Implementación de un modelo de gestiónestratégico de TI para la empresa IT-Expert
Item Type info:eu-repo/semantics/bachelorThesis
Authors Juro Pereira, Peter; Velásquez Vara, Carlos Andrés
Publisher Universidad Peruana de Ciencias Aplicadas (UPC)
Rights info:eu-repo/semantics/openAccess
Download date 01/11/2018 06:26:21
Link to Item http://hdl.handle.net/10757/582052
Facultad de Ingeniería
Escuela de Ingeniería de Sistemas y Computación
Carrera de Ingeniería de Sistemas de Información
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN
ESTRATÉGICO DE TI PARA LA EMPRESA IT-
EXPERT
Memoria del Proyecto Profesional para la obtención del Título Profesional de
Ingeniero de Sistemas de Información
Autores
U201011057, Peter Juro Pereira
U201011417, Carlos Andrés Velásquez Vara
Asesor
Escobar Urueña, Marcela
Lima, Octubre 2015
II
RESUMEN EJECUTIVO
Actualmente el manejo adecuado de la información en las empresas es fundamental para
realizar de manera correcta la toma de decisiones y sobresalir en un ambiente empresarial
cada vez más competitivo. En este sentido, la gestión de TI desde un nivel estratégico es
vital en toda organización. Sin embargo, no todas las organizaciones realizan una eficiente
gestión de TI, sobre todo aquellas que no están consolidadas: Las pymes, estas presentan
ciertos problemas vinculados a la gestión de TI como: Falta de alineamiento entre los
objetivos de TI y los estratégicos, una pobre gestión de proyectos, inversiones que no
generan beneficio alguno, falta de control y seguimiento, y gestión de servicios inadecuada.
El presente documento muestra el trabajo realizado en el proyecto “Implementación de un
modelo de gestión estratégica de TI para la empresa IT-Expert”, cuyo resultado permitirá a
la empresa IT-Expert utilizar la información y la tecnología de la manera más eficiente y así
ayudar a alcanzar los objetivos estratégicos, mediante la implementación de un modelo de
gestión de TI basado en COBIT 5. La metodología de implementación se encuentra en la
guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue
obtenido del primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo
de evaluación de procesos utilizado es PAM (Process Assessment Model) propuesto por el
mismo marco de referencia.
Para este proyecto, se realizó en primera instancia una evaluación de la capacidad actual de
los procesos y se definió también el nivel de capacidad objetivo de los mismos. Después de
un análisis de brechas, se propusieron las mejoras necesarias para alcanzar el nivel de
capacidad objetivo. Estas se priorizaron mediante una evaluación basada en la dificultad de
implementación (tiempo, conocimiento necesario) y los beneficios que producirían. Se
implementaron las mejoras relacionadas al proceso "Gestionar el marco de gestión de TI".
Finalmente, se realizó una segunda evaluación para validar si efectivamente se había
III
alcanzado el nivel de capacidad objetivo. De esta manera, se logró que IT-Expert tuviera
mecanismos y autoridades para la gestión de la información y el uso de TI que pudieran
apoyar a los objetivos de gobierno.
IV
ABSTRACT
Nowadays the proper managing of information inside companies is crucial for properly
perform decision-making and take advantage on business in an increasingly competitive
environment. In that sense, from the view of strategic level, IT management is vital in any
organization or company. However, not all organizations perform efficient IT management,
especially those that are not consolidated: SMEs or small companies; these small companies
suffer certain problems related to IT management such as the following: Lack of alignment
between IT and strategic objectives; Poor project management: investments that do not
generate a substantial profit; Lack of control and monitoring, and inadequate services
management.
This document shows the job done in the project named as "Implementation of a strategic
management model for enterprise IT IT-Expert”, and the corresponding results will allow
the IT-Expert company expertise the use of information technologies more efficiently and it
will achieve the strategic objectives through the implementation of a management model
based IT COBIT 5. The implementation methodology is in the ISACA guide "COBIT 5
Implementation". The process model used as reference was obtained from the first domain
IT management COBIT 5 framework and the process assessment model considered for this
project is PAM (Process Assessment Model) proposed by the same framework document.
For this project, firstly, it was done an evaluation of the current scope of the processes and
also the level of objective capacity was defined. After a gap analysis, it was proposed
necessary improvements to achieve the level of objective capacity. These were prioritized
through an evaluation based on the implementation difficulty (time, required knowledge)
and the benefits that would result of it. It was made process improvements related to
"Manage the IT management framework ". Finally, a second evaluation was performed to
validate if they had actually reached the target level of capacity. By all the above, it was
possible that IT-Expert Company have mechanisms and authorities for information
management and that they could make use of IT to support government objectives.
V
TABLA DE CONTENIDOS
RESUMEN EJECUTIVO .................................................................................................................................... II
ABSTRACT ..................................................................................................................................................... IV
TABLA DE CONTENIDOS ................................................................................................................................. V
LISTA DE ILUSTRACIONES .............................................................................................................................. IX
INTRODUCCIÓN ............................................................................................................................................. 1
DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3
OBJETO DE ESTUDIO ........................................................................................................................................ 4
DOMINIO DEL PROBLEMA .......................................................................................................................... 4
PLANTEAMIENTO DEL PROBLEMA .............................................................................................................. 4
OBJETIVO DEL PROYECTO ................................................................................................................................ 5
INDICADORES DE ÉXITO .............................................................................................................................. 5
PLANIFICACION DEL PROYECTO .................................................................................................................. 6
MARCO TEORICO ......................................................................................................................................... 18
CONCEPTO ..................................................................................................................................................... 19
ENFOQUES DE TRABAJO ................................................................................................................................ 20
Primera fase .............................................................................................................................................. 20
Segunda fase ............................................................................................................................................. 20
ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES ................................................... 20
COBIT 5 ..................................................................................................................................................... 20
Primer dominio de gestión de Cobit 5 ....................................................................................................... 22
Modelo de evaluación de procesos PAMP ................................................................................................ 25
ESTADO DEL ARTE........................................................................................................................................ 28
ESTADO DEL ARTE .......................................................................................................................................... 29
Revisión de la literatura ............................................................................................................................ 29
Modelos de gestión y gobierno de TI ........................................................................................................ 35
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45
FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN ........................ 46
PUNTOS DÉBILES ....................................................................................................................................... 46
EVENTOS DESENCADENANTES .................................................................................................................. 47
IDENTIFICACIÓN DE PARTES INTERESADAS .............................................................................................. 47
FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL....................................................... 50
VI
CASCADA DE METAS ................................................................................................................................. 50
Mapeo Entre necesidades de las partes interesadas y las metas de la empresa .................................................. 50
Mapeo entre las necesidades de la empresa y las metas relacionadas con TI ...................................................... 58
Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 ............................................. 69
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE
REVISIÓN) .................................................................................................................................................. 77
Evaluaciones del dominio de gestión .................................................................................................................... 77
Criterios de evaluación .......................................................................................................................................... 78
Calificación de la capacidad actual de los procesos seleccionados ....................................................................... 81
Resumen de calificación de la capacidad actual de los procesos seleccionados ................................................. 110
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO ........................................... 113
NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS ............................................................................. 113
LISTA DE OPORTUNIDADES DE MEJORA ................................................................................................. 114
CUADRO INTEGRADO DE MEJORA .......................................................................................................... 118
PLAN DE MEJORAMIENTO DE ALTO NIVEL ............................................................................................. 121
FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS ................................................................... 123
Priorizar las iniciativas potenciales ......................................................................................................... 123
DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI .......................................................... 132
Roles .................................................................................................................................................................... 133
Stakeholders ........................................................................................................................................................ 134
Entradas del proceso ........................................................................................................................................... 135
Salidas de proceso ............................................................................................................................................... 136
Caracterización .................................................................................................................................................... 137
Diagrama de proceso........................................................................................................................................... 143
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL ............................................. 144
Descripción del proceso ...................................................................................................................................... 144
Roles .................................................................................................................................................................... 144
STAKEHOLDERS ................................................................................................................................................... 145
Entradas del proceso ........................................................................................................................................... 145
Salidas del proceso .............................................................................................................................................. 145
Caracterización .................................................................................................................................................... 146
Diagrama del proceso .......................................................................................................................................... 147
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO .............................................................................. 148
Descripción del proceso ...................................................................................................................................... 149
Roles .................................................................................................................................................................... 149
STAKEHOLDERS ................................................................................................................................................... 150
Entradas del proceso ........................................................................................................................................... 151
Salidas del proceso .............................................................................................................................................. 153
Caracterización .................................................................................................................................................... 154
Diagrama del proceso .......................................................................................................................................... 158
DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS HUMANOS ......................................................... 158
Descripción del proceso ...................................................................................................................................... 159
VII
Roles .................................................................................................................................................................... 159
STAKEHOLDERS ................................................................................................................................................... 159
Entradas del proceso ........................................................................................................................................... 160
Salidas del proceso .............................................................................................................................................. 160
Caracterización .................................................................................................................................................... 160
Diagrama del proceso .......................................................................................................................................... 161
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN ............................... 163
Productos de Trabajo de la Implementación .......................................................................................... 163
MODELO DE PROCESOS .......................................................................................................................... 165
DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................... 166
DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI .......................................................... 168
DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA ORGANIZATIVA ....................................................... 179
DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS CATALIZADORES ............................................... 189
DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI ............... 201
DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ............................ 207
DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS .................................. 213
DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..... 220
POLÍTICAS ................................................................................................................................................ 225
ESTRUCTURA ORGANIZATIVA ................................................................................................................. 227
ARQUITECTO DE TI .............................................................................................................................................. 227
GESTOR DE RIESGOS ............................................................................................................................................ 228
GESTOR DE LA SEGURIDAD .................................................................................................................................. 228
ROLES ...................................................................................................................................................... 229
ARQUITECTO DE TI .............................................................................................................................................. 229
GESTOR DE RIESGOS ............................................................................................................................................ 229
GESTOR DE LA SEGURIDAD .................................................................................................................................. 229
MÉTRICAS ............................................................................................................................................... 230
INDICADORES ...................................................................................................................................................... 230
NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES ............................................................................. 230
NIVEL DE AVANCE REAL DEL PROYECTO ............................................................................................................. 231
NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO ....................................................................................... 231
FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR? DESARROLLAR EL PLAN DE IMPLEMENTACIÓN .......................... 233
Tablero De Indicadores ........................................................................................................................... 233
Formulario Reuniones Del Proyecto ........................................................................................................ 234
Formulario Avance Del Proyecto ............................................................................................................. 235
Reporte De Informe De Avance Y Reuniones De It-Expert ...................................................................... 236
Avance del proyecto ................................................................................................................................ 236
Reuniones por proyecto .......................................................................................................................... 237
Informe de EDT ....................................................................................................................................... 237
Informe de reuniones .............................................................................................................................. 238
Resumen de avances comparativo ......................................................................................................... 239
VIII
Resumen de reuniones comparativo ....................................................................................................... 240
FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO? MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA
IMPLEMENTACIÓN ...................................................................................................................................... 242
Evaluación ............................................................................................................................................... 242
Lecciones Aprendidas .............................................................................................................................. 245
Mejoras Futuras ...................................................................................................................................... 246
GESTIÓN DEL PROYECTO ........................................................................................................................... 248
PRODUCTO FINAL ........................................................................................................................................ 249
GESTIÓN DEL TIEMPO .................................................................................................................................. 250
GESTIÓN DE LOS RECURSOS HUMANOS ...................................................................................................... 256
GESTIÓN DE LAS COMUNICACIONES ........................................................................................................... 258
GESTIÓN DE LOS RIESGOS ............................................................................................................................ 259
LECCIONES APRENDIDAS ............................................................................................................................. 262
CONCLUSIONES ......................................................................................................................................... 263
RECOMENDACIONES ................................................................................................................................. 265
GLOSARIO .................................................................................................................................................. 266
SIGLARIO ................................................................................................................................................... 268
BIBLIOGRAFÍA ............................................................................................................................................ 269
ANEXOS ..................................................................................................................................................... 270
ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270
ANEXO 2: EDT DEL PROYECTO 1ERA ETAPA......................................................................................................... 300
ANEXO 4: LISTA DE REVISIONES ......................................................................................................................... 328
ANEXO 5: MAPA DE PROCESOS ......................................................................................................................... 392
ANEXO 6: ACTAS DE REUNIÓN 2DA ETAPA .......................................................................................................... 395
ANEXO 7: EDT DEL PROYECTO 2DA ETAPA .......................................................................................................... 418
ANEXO 8: ACTAS DE ACEPTACIÓN DE LOS ENTREGABLES DE LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN ESTRATÉGICA . 432
ANEXO 9: ACTA DE ACEPTACIÓN DE LA GESTIÓN DEL PROYECTO .............................................................................. 433
ANEXO 10: CONSTANCIA DE SERVICIO DE VALIDACIÓN Y VERIFICACIÓN QS................................................................ 434
ANEXO 11: CERTIFICADO DE APROBACIÓN .......................................................................................................... 438
ANEXO 12: PAPER CIENTÍFICO .......................................................................................................................... 439
ANEXO 13: POSTER Y BRIEF .............................................................................................................................. 454
IX
LISTA DE ILUSTRACIONES
ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9
ILUSTRACION 2: PRINCIPIOS DE COBIT 5 ...................................................................................................................... 20
ILUSTRACIÓN 3: CASCADA DE METAS ........................................................................................................................... 21
ILUSTRACIÓN 4: PROCESOS DEL PRIMER DOMINIO ESTRATÉGICO DE COBIT 5 (APO) ............................................................. 22
ILUSTRACIÓN 5: NIVEL DE CAPACIDAD ......................................................................................................................... 25
ILUSTRACIÓN 6: ESCALA DE CALIFICACIÓN .................................................................................................................... 27
ILUSTRACIÓN 7: SEGMENTOS DEL MARCO DE CALDER-MOIR ............................................................................................ 30
ILUSTRACIÓN 8: MODELO DE GOBIERNO DE LAS TI DE LA NORMA ISO 38500 .................................................................... 31
ILUSTRACIÓN 9: MODELO DE LEAVITT ......................................................................................................................... 32
ILUSTRACIÓN 10: ESTRUCTURA CMMI ....................................................................................................................... 33
ILUSTRACIÓN 11: MODELO DE GOBIERNO DE TI PARA LA INDUSTRIA EDITORIAL .................................................................. 35
ILUSTRACIÓN 12: MAGERIT Y EL MARCO DE GESTIÓN DE RIESGOS ISO 31000 (DIRECCIÓN GENERAL DE MODERNIZACIÓN
ADMINISTRATIVA, PROCEDIMIENTOS E IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA, 2012) ................................... 38
ILUSTRACIÓN 13: MOTIVOS POR LOS QUE SE DECIDE IMPLANTAR UN SISTEMA DEL GOBIERNO DE LAS TI EN UNA UNIVERSIDAD ...... 39
ILUSTRACIÓN 14: GUÍA DE BUEN GOBIERNO DE LAS TI PARA EL PRINCIPIO DE RESPONSABILIDAD ............................................. 40
ILUSTRACIÓN 15: TIPOS DE INDICADORES INCLUIDOS EN EL GTI4U ................................................................................... 41
ILUSTRACIÓN 16: MODELO INTEGRADO DE PROCESOS DE GOBERNANZA Y GESTIÓN DE TI ..................................................... 42
ILUSTRACIÓN 17: NIVEL DE CAPACIDAD DE LOS PROCESOS DE LA EMPRESA IT-EXPERT ......................................................... 113
ILUSTRACIÓN 18: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI – (PROPUESTA) ........................................................... 143
ILUSTRACIÓN 19: PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL – (PROPUESTA) .................................................. 147
ILUSTRACIÓN 20: PROCESO GESTIONAR PORTAFOLIO – (PROPUESTA) ............................................................................. 158
ILUSTRACIÓN 21: PROCESO GESTIONAR LOS RECURSOS HUMANOS – (PROPUESTA) ........................................................... 161
ILUSTRACIÓN 22: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI ................................................................................. 178
ILUSTRACIÓN 23: PROCESO DEFINIR LA ESTRUCTURA ORGANIZATIVA .............................................................................. 188
ILUSTRACIÓN 24: PROCESO MANTENER LOS ELEMENTOS CATALIZADORES........................................................................ 200
ILUSTRACIÓN 25: PROCESO DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI............................................. 206
ILUSTRACIÓN 26: PROCESO COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ....................................................... 212
ILUSTRACIÓN 27: PROCESO GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS ............................................................ 219
ILUSTRACIÓN 28: PROCESO MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..................................... 224
ILUSTRACIÓN 29: ORGANIGRAMA DE IT-EXPERT 2014 IMPLEMENTADO .......................................................................... 227
ILUSTRACIÓN 30: FORMULARIO DE REUNIONES DEL PROYECTO ....................................................................................... 234
ILUSTRACIÓN 31: FORMULARIO DE AVANCE DEL PROYECTO ........................................................................................... 236
ILUSTRACIÓN 32: AVANCE POR PROYECTO ................................................................................................................. 236
ILUSTRACIÓN 33: REUNIONES POR PROYECTO ............................................................................................................. 237
X
ILUSTRACIÓN 34: INFORME EDT .............................................................................................................................. 237
ILUSTRACIÓN 35: INFORME DE REUNIONES ................................................................................................................. 238
ILUSTRACIÓN 36: RESUMEN DE AVANCES SEMÁFOROS .................................................................................................. 239
ILUSTRACIÓN 37: RESUMEN DE AVANCES GRÁFICOS ..................................................................................................... 240
ILUSTRACIÓN 38: RESUMEN DE REUNIONES ................................................................................................................ 240
XI
LISTA DE TABLAS
TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4
TABLA 2: PLAN DE GESTIÓN DE TIEMPO (FASES E HITOS DEL PROYECTO) ............................................................................... 6
TABLA 3: ACTIVIDADES SEMANAL / ENTREGABLES............................................................................................................ 7
TABLA 4: ROLES ...................................................................................................................................................... 10
TABLA 5: PLAN DE COMUNICACIONES ......................................................................................................................... 12
TABLA 6: TABLA DE RIESGOS ..................................................................................................................................... 16
TABLA 7: RESPONSABILIDADES E INTERESES DE LAS PARTES INTERESADAS ........................................................................... 47
TABLA 8: MAPEO ENTRE NECESIDADES DE LAS PARTES INTERESADAS Y LAS METAS DE LA EMPRESA .......................................... 52
TABLA 9: MAPEO ENTRE LAS METAS DE LA EMPRESA Y LAS METAS RELACIONADAS CON TI ...................................................... 59
TABLA 10: MAPEO ENTRE LAS METAS RELACIONADAS CON TI Y LOS PROCESOS DEL MODELO DE COBIT 5 ................................ 70
TABLA 11: CALIFICACIÓN DE LA CAPACIDAD ACTUAL DE LOS PROCESOS SELECCIONADOS ...................................................... 111
TABLA 12: LISTA DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .............................................................. 115
TABLA 13: MAPEO PROCESOS APO - OPORTUNIDADES DE MEJORA DE LA EMPRESA IT-EXPERT ........................................... 116
TABLA 14: PRIORIZACIÓN DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .................................................... 118
TABLA 15: CUADRO INTEGRADO DE MEJORA PARA LA EMPRESA IT-EXPERT ....................................................................... 120
TABLA 16: HOJA DE RUTA DEL PROYECTO IMGETI ...................................................................................................... 121
TABLA 17: MAPEO DE COBIT5 VS HERRAMIENTAS ..................................................................................................... 124
TABLA 18: PRODUCTOS DE TRABAJO DEL PROYECTO IMGETI ........................................................................................ 163
TABLA 19: HABILITADORES DE COBIT5 .................................................................................................................... 164
TABLA 20: PRODUCTOS DE TRABAJO Y HABILITADORES ................................................................................................. 164
TABLA 21: MODELO COBIT Y PROCESOS IMPLEMENTADOS .......................................................................................... 165
TABLA 22: EVALUACIÓN DE PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................................. 242
TABLA 23: GESTIÓN DE RIESGOS .............................................................................................................................. 259
TABLA 24: CONDICIONES DEFINIDAS PARA ESCALAS DE IMPACTO DE UN RIESGO SOBRE LOS PRINCIPALES OBJETIVOS DEL PROYECTO
................................................................................................................................................................ 260
TABLA 25: MAPEO ENTRE LOS PROCESOS ACTUALES DE IT-EXPERT Y MODELO DE PROCESOS DE COBIT 5 DEL PRIMER DOMINIO DE
GESTIÓN .................................................................................................................................................... 393
XII
XIII
1
INTRODUCCIÓN
El presente documento representa la memoria del proyecto “Implementación de un modelo
de gestión estratégico de TI para la empresa IT-Expert”. Este proyecto tiene como fin la
propuesta de un modelo de gestión para la empresa virtual IT-Expert basado en el primer
dominio de gestión del marco de referencia COBIT 5, así como, su posterior
implementación en la empresa.
La estructura del documento está compuesta por cinco capítulos, los cuales serán explicados
brevemente a continuación. El primer capítulo abarca la descripción del proyecto; es decir,
se plantea el problema y la solución propuesta, se definen los objetivos del proyecto; así
como, el alcance e indicadores de éxito del mismo. Asimismo, se presentan todos los
entregables relacionados a la planificación del proyecto.
El segundo capítulo presenta el marco teórico necesario para la comprensión del desarrollo
del proyecto e interpretación de los resultados del mismo. Se define el enfoque de trabajo a
seguir, y se realiza un análisis de los marcos de referencia y/o estándares internacionales
referenciados en el proyecto.
El tercer capítulo abarca el Estado del Arte del tema del proyecto, en este se resume la
investigación de otros trabajos realizados sobre problemas similares. De los cuales, se
extraen aportes que sirven de ayuda para elegir el mejor modelo de gestión basado en
marcos de referencia y/o estándares internacionales que más se adapte a la situación de la
empresa IT-Expert.
2
El cuarto capítulo se centra en la ejecución del proyecto IMGETI: Implementación de un
modelo de gestión estratégica basado en COBIT 5. Para la empresa IT-Expert solo nos
enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El
proyecto está dividido en dos partes. La primera parte está conformado por las fases de
implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de
implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa
y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de
nivel de capacidad a los procesos, se define el nivel objetivo de los procesos, y se definen las
oportunidades de mejora para finalmente priorizarlas en base a sus niveles de dificultad y
beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases
involucran la creación de un del plan de implementación de las soluciones escogidas en la
fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el
control de los procesos de la empresa IT-Expert que adjuntarán a un cuadro de control y
finalmente se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.
Además se menciona las conclusiones y recomendaciones para la mejora continua de la
empresa.
Por último, el quinto capítulo muestra como se ha trabajado la gestión del proyecto. Se listan
los planes de gestión del tiempo, de los recursos humanos, de las comunicaciones, y de
riesgos. Adicionalmente, se mencionan las lecciones aprendidas durante el desarrollo del
proyecto.
3
DESCRIPCIÓN DEL PROYECTO
En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de
Información para la empresa virtual IT-Expert de la Universidad Peruana de Ciencias
Aplicadas, en este caso se basa la justificación del proyecto IMGETI. Se definen los
objetivos del proyecto, así como, el alcance e indicadores de éxito del mismo Asimismo, se
describe la gestión del proyecto para el logro de los objetivos teniendo en cuenta los
indicadores de éxito del proyecto.
4
OBJETO DE ESTUDIO
IT-Expert es una empresa virtual que brinda servicios de TI a las empresas virtuales de la
Universidad Peruana de Ciencias Aplicadas, esta empresa requiere de una gestión de TI que
le permita conseguir sus objetivos estratégicos. El proyecto IMGETI propone un modelo de
gestión de TI basándose en un marco de referencia que le permita tener las metas de TI
alineadas a los objetivos estratégicos de la empresa.
DOMINIO DEL PROBLEMA
Tabla 1: Dominio del problema
Problema Causas
La trazabilidad entre las necesidades
de la alta dirección con los objetivos
de TI no es apreciable
No existe un modelo de gobierno y gestión de
TI en IT-Expert que permita alinear los
objetivos de TI a los objetivos empresariales
Falta de integración entre los
proyectos desarrollados en IT-Expert
No existe una adecuada administración de la
portafolio de proyectos que permita integrar
los proyectos existentes para cumplir con los
objetivos de la empresa
Fuente: Elaboración propia
PLANTEAMIENTO DEL PROBLEMA
Una solución al problema identificado es la implementación de una modelo de gestión
estratégica que nos permita alinear tanto los objetivos estratégicos de la empresa con los
objetivos de TI. Un modelo que permita cubrir las necesidades de los Stakeholders mediante
la tecnología de información. Un modelo que permita tener los procesos con aceptación
externa, que sean medibles, auditable, y estén definidos con las mejores prácticas. Además,
que permita tomar decisiones acertadas y en el momento oportuno.
Gestionar adecuadamente el marco de gestión de TI
5
Una correcta gestión de la arquitectura empresarial que incorpore actividades que relacionen
los objetivos de la parte estratégica con los objetivos de TI
Un manejo adecuado de los portafolios de proyectos
Uso eficiente de los recursos de la empresa para el soporte del portafolio de proyectos
OBJETIVO DEL PROYECTO
Objetivo General
OG: Implementar un modelo de gestión de TI para la alineación, planificación y
organización de los procesos de la empresa IT-Expert bajo el marco de referencia COBIT 5
Objetivos Específicos
OE1: Analizar la situación actual en la que se encuentra la empresa IT-Expert con relación
al primer dominio de gestión de TI según COBIT 5
OE2: Diseñar una arquitectura de procesos que cumpla con las recomendaciones del primer
dominio de la gestión de TI según COBIT 5
OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert
INDICADORES DE ÉXITO
IE1 – Acta de aceptación de la evaluación de capacidad de los procesos de IT-Expert
aprobado por el cliente
IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto
IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto
aprobado por el gerente de IT-Expert
IE4 – Acta de aceptación de la gestión del proyecto aprobada por el gerente de IT-Expert
6
PLANIFICACION DEL PROYECTO
Alcance
El presente proyecto tendrá como resultado final la implementación de un modelo de gestión
de TI para la empresa virtual IT-Expert, para lo cual es necesario, en primer lugar, un
análisis de capacidad de la situación actual de la empresa. Posteriormente, se desarrollará
una arquitectura de procesos candidata de los procesos relacionados al alineamiento,
planificación y organización de TI. Asimismo, se evaluaran los proyectos existentes en la
cartera para seleccionar aquellos que ayuden a cumplir los requerimientos de COBIT e
integrarlos a la arquitectura de procesos propuesta. Finalmente, se dará paso de la
implementación de la arquitectura propuesta.
Solo se tomará en cuenta los procesos del primer dominio de Gestión de TI del marco de
trabajo COBIT 5.
Plan de Gestión del Tiempo
Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto)
Hito del proyecto Fecha
Estimada Entregables incluidos Prioridad
Project Charter
aprobado por el comité Semana 06
Project Charter Alta
EDT Alta
Grupo de entregables
aprobados Semana 14
Cascada de metas Alta
Modelo de capacidad Alta
Estado del arte
aprobado Semana 15 Estado del arte Alta
Exposición de fin de
ciclo 2014-01
aprobado
Semana 16
Memoria parcial Alta
Estado del arte final Alta
7
Hito del proyecto Fecha
Estimada Entregables incluidos Prioridad
Entregables
certificados por QA
primer paquete
Semana 7 Definición de procesos Alta
Entregables
certificados por QA
segundo paquete
Semana 14 Definición de procesos Alta
Paper científico
aprobado Semana 15 Paper científico Alta
Exposición de fin de
ciclo 2014-01
aprobado
Semana 16
Memoria Final Alta
Paper Científico final Alta
Fuente: Elaboración propia
Los entregables son aquellos que están en cursiva
Tabla 3: Actividades semanal / Entregables
Semana Actividades / Entregables
Semana 3
Investigar marco de referencia de COBIT 5
Desarrollar Project Charter
Desarrollar Cronograma
Semana 4
Desarrollar documento Registro de Interesados
Desarrollar documento Gestión de Personal
Desarrollar documento Gestión de Riesgo
8
Semana Actividades / Entregables
Desarrollar diccionario EDT
Desarrollar documento Plan Gestión de Alcance
Semana 5
Desarrollar documento Plan Gestión de Calidad
Desarrollar documento Gestión de Comunicaciones
Desarrollar documento Matriz de Comunicaciones
Desarrollar Índice de Memoria
Semana 6
Desarrollar presentación para el comité
Identificar guías de COBIT
Semana 7
Realizar presentación ante el comité
Investigar Guías de consulta de COBIT
Buscar fuentes para el estado del arte
Semana 9
Iniciar Fase 1 de implementación
Definir Cascada de metas
Semana 10 Presentar informes de fuentes del estado del arte
Semana 11
Iniciar Fase 2 de implementación
Definir problemas y oportunidades
Desarrollar Checklist
Redactar parte inicial del estado del arte
Semana 12
Modelo de capacidad
Redactar parte intermedia del estado del arte
9
Semana Actividades / Entregables
Semana 13 Iniciar Fase 3 de implementación
Semana 14
Realizar plan de implementación
Redactar parte final del estado del arte
Semana 15
Desarrollar presentación final para el comité
Presentar estado del arte
Semana 16 Realizar presentación final ante el comité
Fuente: Elaboración propia
Los horarios de desarrollo del proyecto son los martes y jueves de 4pm a 7pm y en un
horario acordado con los jefes de proyectos el desarrollo del proyecto se realizara los lunes,
miércoles, viernes y sábados.
Los horarios de reuniones con el Cliente profesor serán los miércoles de 5pm a 6pm.
Las reuniones con el Gerente profesor se realizaran los martes en el horario de clases del
curso de taller de proyecto.
Las reuniones tanto con el cliente y el gerente serán los jueves en el horario de clases.
Las reuniones con el alumno de apoyo se realizaran en los horarios de clase de Taller de
Proyecto 1 y se realizaran los acuerdos mediante el correo de la UPC [email protected].
Plan de Gestión de Recursos Humanos
El equipo del proyecto está organizado según el siguiente organigrama, en él estamos
mostrando claramente las líneas de reporte de cada miembro del equipo.
Ilustración 1: Diagrama de equipo
10
COMITÉ GENERAL
GERENTE PROFESOR (Gerente de IT-Expert)
GERENTE ALUMNO
JEFES DE PROYECTO
CLIENTE PROFESOR
ALUMNO RECURSO
ANALISTA QA
Fuente: Elaboración propia
Tabla 4: Roles
Rol Miembro Responsabilidades
Jefe de Proyecto Velásquez Vara,
Carlos Andrés
Supervisar y controlar
la ejecución de las
actividades para que se
cumplan todos los
objetivos del proyecto.
Jefe de Proyecto Juro Pereira, Peter Supervisar y controlar
la ejecución de las
actividades para que se
cumplan todos los
objetivos del proyecto.
Gerente Profesor Rivas Galloso, Paul Brindar apoyo y
asesoría durante el
11
Rol Miembro Responsabilidades
Harry desarrollo del
proyecto.
Cliente Profesor Rosas Acevedo, Vania Brindar la información
necesaria e Indicar los
requerimientos
necesarios para
cumplir con el objetivo
principal del proyecto
y la aprobación de los
entregables del
proyecto.
Gerente Alumno Karen Panduro Controlar y supervisar
el avance eficaz de los
proyectos y mantener
informado a los
alumnos de Taller de
Proyectos informados
de las actividades de la
empresa IT-Expert.
Analista QA Alumno Analista Verificar y Validar la
calidad de los
entregables del
proyecto.
Alumno Recurso Erick Merino Brindar apoyo en las
actividades referentes
del proyecto
12
Rol Miembro Responsabilidades
Comité General Rosario Villalta,
Jimmy Armas, Carlos
Raymundo
Evaluar el proyecto
bajo los estándares
establecidos por la
Carrera de Ingeniería
de Sistemas de la
Universidad Peruana
de Ciencias Aplicadas.
Fuente: Elaboración propia
Plan de Comunicaciones
Detalle del plan de comunicación con información requerida, descripción, encargado,
destino, canal y periodo de entrega:
Tabla 5: Plan de Comunicaciones
Información
requerida Descripción Encargado
Para su entrega a
los Stakeholders Canal Periodo
Acta de
Reunión
Cliente
Profesor
El acta de
reunión
contiene los
requerimientos
del cliente
para el
desarrollo del
proyecto
IMGETI,
mediante:
Peter Juro
Pereira –
Carlos
Velásquez
Vara
Cliente Profesor Reunión Semanal
13
Información
requerida Descripción Encargado
Para su entrega a
los Stakeholders Canal Periodo
-Temas a
tratar sobre el
proyecto y
avances
-Acuerdos en
con el cliente
-Tareas de la
semana
EDT
Es un
documento
similar al
Cronograma
de Actividades
en el que se
listan las
actividades
que se tienen
planeadas y su
cumplimiento.
Peter Juro
Pereira –
Carlos
Velásquez
Vara
Gerente Alumno –
Gerente Profesor
Sincronización
Documentos
compartidos
Semanal
Asignación
de
Actividades
Mensaje
mediante el
cual se le
dejan
asignadas
actividades de
apoyo al
Alumno
Peter Juro
Pereira –
Carlos
Velásquez
Vara
Alumno Recurso Correo
Calendar Semanal
14
Información
requerida Descripción Encargado
Para su entrega a
los Stakeholders Canal Periodo
Recurso
Acta de
Reunión
Gerente
Profesor
El acta de
reunión
contiene los
las consultas y
aclaraciones
en temas
relacionados
al proyecto
IMGETI,
mediante: Peter Juro
Pereira –
Carlos
Velásquez
Vara
Gerente Profesor Reunión - Semanal
-Temas a
tratar sobre el
proyecto y
avances
- Acuerdos en
con el cliente
-Tareas de la
semana
15
Información
requerida Descripción Encargado
Para su entrega a
los Stakeholders Canal Periodo
Acta de
Reunión
Gerente
Profesor y
Cliente
El acta de
reunión los
acuerdos entre
Gerente
profesor y
Cliente
profesor para
llevar un
control
adecuado del
desarrollo del
proyecto
IMGETI tanto
para el Cliente
profesor como
para el
Gerente
Profesor,
mediante:
Peter Juro
Pereira –
Carlos
Velásquez
Vara
Cliente Profesor Reunión - Semanal
-Temas a
tratar sobre el
proyecto y
avances
-Acuerdos en
con el cliente
-Tareas de la
semana
Fuente: Elaboración propia
16
Plan de Gestión de Riesgos
Entre los posibles riesgos que pueden peligrar el proyecto son los siguientes:
Tabla 6: Tabla de Riesgos
# Riesgo Probabilidad Impacto Estrategia de mitigación
1 Disponibilidad
horaria del
profesor
cliente.
Probable Alto Comunicación constante con el
cliente. Así como, la
reprogramación de nuevas
reuniones para subsanar
reuniones canceladas.
2 Incumplimient
o de
actividades por
parte del
recurso alumno
asignado
Improbable Medio Mantener una comunicación
constante con nuestro recurso
alumno. Acordar la posibilidad
de solicitar la ayuda de otro
recurso alumno si el asignado no
puede cumplir con sus
actividades ya sea por motivos
de salud o personales.
3 Cambio de
Gerencia en
IT-Expert
Improbable Alto Tomar en consideración los
objetivos a largo plazo.
Implementar la gestión del
cambio para abordar los posibles
cambios de los objetivos de la
empresa.
4 Subestimación
del tiempo de
desarrollo de
los artefactos
Probable Medio Dejar una holgura de tiempo
para las actividades relacionadas
al desarrollo de entregables en el
cronograma.
Fuente: Elaboración propia
17
18
MARCO TEORICO
El segundo capítulo trata acerca del marco teórico que sirve como conocimiento base para el
entendimiento de los conceptos que son usados durante el desarrollo del proyecto. Estos
hacen referencia al marco que se está utilizando en este proyecto COBIT5. También
contiene el enfoque de trabajo a seguir en el proyecto.
19
CONCEPTO
Para poder comprender más a fondo el proyecto IMGETI (Implementación de un Modelo de
Gestión Estratégica de TI para la Empresa IT-Expert), tenemos que entender varios factores
relacionados con el tema del proyecto. El marco teórico permitirá tener una vista general de
propósito de IMGETI, en un comienzo se analizaran conceptos generales relacionados con
el tema del proyecto, también se mostrara la importancia del proyecto para la empresa IT-
Expert y finalmente se profundizara en el marco de referencia más adecuado para cumplir
los objetivos del proyecto.
Un modelo de gestión estratégica es un conjunto de reglas o referencias que ayudan a
gestionar y administrar adecuadamente una empresa con un enfoque estratégico. El modelo
propone uno o más planes de gestión que ayuden a cumplir los objetivos que se tienen y las
decisiones que se tomen por parte del gobierno de la empresa.
La información es uno de los recursos con más valor en la empresa, pues es el conocimiento
útil que se utilizará para cumplir los objetivos de las partes interesadas. Manejar la
información precisa y de forma adecuada que ayudará a tomar las decisiones acertadas ante
los retos que se presenten en el día a día de una empresa. Además, en la actualidad se cuenta
con el conjunto de conocimientos técnicos y científicos que ayudan a manejar la
información de forma eficiente, ahorrando recursos y facilitando el uso de la información,
estos conocimientos en conjunto son la Tecnología de Información (TI).
Por lo tanto, podemos concluir que un modelo de gestión estratégico de TI es el
alineamiento de las estrategias de TI con las estrategias de la empresa, en este caso la
empresa IT-Expert. La empresa IT-Expert, cuya misión es “aplicar los estándares de calidad
internaciones a los procesos involucrados en la prestación de servicios y desarrollo de
proyectos de TI”, no presenta integración en los proyectos que están vinculadas con el
objetivo principal de IT-Expert. Esto es debido a que no se alinean a un modelo de gestión y
no existe una integración de la información entre los proyectos. Implementando un plan de
gestión estratégica de TI se promueve el crecimiento sostenible en la gestión de TI pues
mantendrían alineados los objetivos de la empresa con lo de TI lo que brinda una un
conjunto de referencias en la gestión de los procesos más importantes. Asimismo se
gestionaría eficientemente los servicios que se brinden, pues se tiene un control de completo
de estos servicios.
20
Ilustración 2: Principios de Cobit 5
Bajo esta necesidad la herramienta se mencionara la herramienta idónea para implementar el
proyecto COBIT 5 y para gestionarlo PMBOK.
ENFOQUES DE TRABAJO
Primera fase
Se utilizará el FrameWork COBIT versión 5
Se utilizara PMBOK como guía de referencia para la dirección de proyectos para la
adecuada gestión del proyecto.
Segunda fase
Se utilizará la metodología EUP para el desarrollo de la arquitectura de procesos.
La notación para modelar los procesos de negocio elegido es BPMN.
ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES
INTERNACIONALES
COBIT 5
COBIT 5 proporciona un marco de referencia para ayudar a las organizaciones a alcanzar
sus objetivos a partir de un buen gobierno y una gestión de TI. En pocas palabras, ayuda a
las empresas a crear valor optimo manteniendo un equilibrio entre la obtención de beneficios
y la optimización de los niveles de riesgos y el uso de los recursos.
21
Fuente: ISACA 2014
En la ilustración se muestran los 5 principios en los que se basa COBIT 5. Cada
organización opera en un contexto diferente que este determinado por factores externos (el
mercado, la industria, la geopolítica, etc.) y factores internos (la cultura, la organización, el
apetito de riesgo, etc.), esto requiere una medida de gobierno y gestión de sistemas. Las
necesidades de los Stakeholders tienen que ser transformadas en una estrategia a ejecutarse
en la organización.
Ilustración 3: Cascada de metas
22
Fuente: ISACA 2014
COBIT 5 propone las metas en cascada como el mecanismo para traducir las necesidades de
los interesados (Stakeholders) en las metas específicas del negocio, acciones concretas y
personalizadas, los objetivos relacionados con II y los objetivos de los facilitadores. Esta
traducci6n permite establecer objetivos específicos en todos los niveles y en todas las áreas
de la empresa en apoyo a los objetivos generales y requisitos de los Stakeholders y por lo
tanto apoya efectivamente la alineación entre las necesidades empresariales y soluciones de
TI y servicios. En la figura 15 se ilustran las metas en cascada de COBIT.
Primer dominio de gestión de Cobit 5
El dominio APO de COBIT 5 explica los procesos necesarios para la planificación y
organización eficaces de los recursos TI internos y externos, incluyendo la planificación
estratégica, planificación de la tecnología y la arquitectura, planificación organizativa,
planificación de la innovación, gestión de la cartera, gestión de la inversión, gestión del
riesgo, gestión de las relaciones y gestión de la calidad.
Ilustración 4: Procesos del primer dominio estratégico de Cobit 5 (APO)
Fuente: ISACA 2014
Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la
visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión
de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en
consonancia con las políticas y los principios rectores.
23
Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno
de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado.
Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los
servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil,
confiable y eficiente a los objetivos estratégicos.
Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por
los procesos de negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de
la empresa y de TI mediante la creación de modelos clave y prácticas que describan las
líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las
normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar
un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales
como la reutilización de bloques de componentes para los procesos de construcción.
Gestionar la Innovación: Mantener un conocimiento de la tecnología de la información y las
tendencias relacionadas con el servicio, identificar las oportunidades de innovación y
planificar la manera de beneficiarse de la innovación en relación con las necesidades del
negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora
puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas
por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos
empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la
arquitectura de empresa.
Gestionar Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión
alineada con la visión de la arquitectura empresarial, las características deseadas de
inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de
inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar
programas y servicios, gestionar la demanda con los recursos y restricciones de fondos,
basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo
corporativo. Mover los programas seleccionados al portafolio de servicios activos listos
para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y
programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de
programas y servicios o al cambio en las prioridades corporativas.
24
Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una
óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos
humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la
formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de
gente competente y motivada.
Gestionar las Relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales
exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y
los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles,
lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones
claves.
Gestionar los Acuerdos de Servicio: Alinear los servicios basados en TI y los niveles de
servicio con las necesidades y expectativas de la empresa, incluyendo identificación,
especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de
servicio e indicadores de rendimiento.
Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de
proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los
proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y
supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos,
procedimientos y resultados relacionados de la organización, incluyendo controles,
vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y
esfuerzos de eficiencia.
Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma
continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la
empresa.
Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la
seguridad de la información.
25
Modelo de evaluación de procesos PAMP
El PAM de COBIT 5 es compatible con la norma ISO/IEC 155041 y se puede utilizar como
base para la realización de una evaluación de la capacidad de cada uno de los procesos de
COBIT 5. El modelo está basado en la evidencia para permitir una forma fiable, consistente
y repetible para evaluar las capacidades de los procesos de TI.
Proporciona indicadores para orientar la interpretación del propósito del proceso y los
resultados esperados tal como se define en COBIT 5 y los atributos de proceso definidos en
la norma ISO/IEC 15504-2.
El PAM proporciona una vista en dos dimensiones:
Dimensión del proceso: El Modelo de Referencia de Procesos (PRM) de COBIT 5 está
compuesto de 37 procesos que describen el ciclo de vida para el Gobierno y la Gestión de
las TI de la Empresa.
Dimensión de la capacidad: La dimensión de capacidad proporciona una medida de la
capacidad de un proceso para cumplir con los objetivos de negocio actuales o futuros de una
empresa para el proceso.
La capacidad del proceso es expresada en términos de Atributos de Proceso (PA) agrupados
en niveles de capacidad. El nivel de capacidad de un proceso es determinado con base a la
consecución de los PA específicos de acuerdo con la norma ISO/IEC 15504-2.
Ilustración 5: Nivel de capacidad
1 La ISO/IEC 15504, es una norma internacional para establecer y mejorar la capacidad y
madurez de los procesos de las organizaciones en la adquisición, suministro, desarrollo,
operación, evolución y soporte de productos y servicios. Cfr. ISO 2014
26
Fuente: ISACA 2014
Los niveles de capacidad definidos son los siguientes:
Nivel 0 Incompleto: El proceso no está implementado o no alcanza su propósito. A este
nivel, hay muy poca o ninguna evidencia de algún logro sistemático del propósito del
proceso.
Nivel 1 Ejecutado: El proceso implementado alcanza su propósito.
Nivel 2: Gestionado: El proceso ejecutado está implementado de forma gestionada y los
resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.
Nivel 3 Establecido: El proceso gestionado ahora está implementado usando un proceso
definido que es capaz de alcanzar sus resultados de proceso.
Nivel 4 Predecible: El proceso establecido ahora se ejecuta dentro de límites definidos para
alcanzar sus resultados de proceso.
Nivel 5 Optimizado: El proceso predecible es mejorado de forma continua para cumplir con
las metas empresariales presentes y futuras.
El PAM también establece una escala de calificación para evaluar cada atributo de proceso,
la cual se muestra a continuación.
27
Ilustración 6: Escala de calificación
Fuente: ISACA 2014
N (No Alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el atributo definido
en el proceso de evaluación.
P (Parcialmente Alcanzado): Hay alguna evidencia de aproximación a, y algún logro del
atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo pueden ser
impredecibles.
L (Ampliamente Alcanzado): Hay evidencias de un enfoque sistemático y de un logro
significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas
debilidades relacionadas con el atributo en el proceso evaluado.
F (Completamente Alcanzado): Existe evidencia de un completo y sistemático enfoque y un
logro completo del atributo definido en el proceso evaluado. No existen debilidades
significativas relacionadas con el atributo en el proceso evaluado.
28
ESTADO DEL ARTE
El contenido del capítulo tres tiene la información que se obtuvo a partir de la investigación
de artículos científicos que abordaron diferentes proyectos del tópico modelo. Se extrae el
aporte de cinco artículos científicos sobre el modelo de gestión de TI para la gestión de una
universidad, una empresa petrolera, el uso de portafolios de proyectos, industria editorial y
administración electrónica. Asimismo, se muestran las técnicas usadas y el manejo de los
distintos recursos para la investigación realizada en los diferentes proyectos como: Modelos
basados en estándares, Marcos de referencias, Modelos de Gestión Rediseñados, Estándares,
entre otros.
29
ESTADO DEL ARTE
Revisión de la literatura
El Gobierno de TI define la estructura de relaciones y procesos para dirigir y controlar la
empresa hacia el logro de sus objetivos estratégicos agregando valor al mismo tiempo que se
logra un balance entre el riesgo, el retorno de la inversión en TI, y la efectividad de sus
procesos.
El gobierno o gobernanza de TI como también se conoce, motivado a cumplir los objetivos
de TI (alineados con el negocio y con el gobierno corporativo), ejerce un control permanente
sobre los procesos de TI, clasificados en las siguientes categorías: Evaluar, dirigir y
monitorear, Alinear, planear y organizar, Construir, adquirir e implementar, Entregar, servir
y dar soporte, monitorear, evaluar y valorar, de acuerdo con el marco de referencia COBIT
5.
COBIT 5 es un marco de referencia de Gobierno de TI y un conjunto de herramientas de
soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los
temas técnicos y los riesgos del negocio. Además, permite el desarrollo de una política clara
y una buena práctica para el control de TI en las organizaciones. El marco acentúa el
cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor asociado al área
de TI, habilita la alineación y simplifica la puesta en práctica del marco de referencia2.
Otro marco de referencia que aborda esta temática es el modelo de gobierno de IT Calder-
Moir, el cual suministra lineamientos para la Arquitectura Empresarial. Asimismo,
proporciona un enfoque holístico para el diseño, planificación, implementación y gobierno
de una arquitectura empresarial de información. Los estándares y el cumplimiento de estos,
aseguran que las tecnologías de información de la organización apoyan y facilitan el logro
de sus estrategias y objetivos. Más que un marco es una colección de los diferentes marcos
de gobierno como COBIT, BSC3, COSO
4, ITIL
5 entre otros. Calder-Moir orquesta los
2 Cfr. Saavedra Torres 2012:25
3 El Cuadro de Mando Integral traduce la estrategia y la misión de una organización en un
amplio conjunto de medidas de actuación, que proporcionan la estructura necesaria para un
sistema de gestión y medición estratégica. Cfr. Bertolino y otros 2002:4
30
marcos guiando los procesos de extremo a extremo6. En el siguiente gráfico, se muestran los
segmentos del marco Calder-moir.
Ilustración 7: Segmentos del marco de Calder-moir
Fuente: Saavedra-Torres, Adaptado IT Governance ©2006-2008 S T W Moir
Otro modelo que se encuentra en la literatura es el aplicado en el proyecto del Diseño de un
modelo de gestión de seguridad de la información del sistema ERP de EP
PETROECUADOR que se basa en adaptar COBIT 5 según las metas corporativas del
sistema mencionado. En este estudio se aplica la metodología MAGERIT7, la cual es
utilizada para la gestión de riesgo dentro del modelo. MAGERIT se basa en el estándar ISO
4 El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una
iniciativa conjunta de las cinco organizaciones del sector privado que figuran a la izquierda
y se dedica a proporcionar el liderazgo de pensamiento a través de la elaboración de marcos
y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del
fraude. Cfr. COSO:2014
5 Biblioteca de la Infraestructura de Tecnología de la Información (ITIL), que está formada
por una serie de “Mejores Prácticas” procedentes de todo tipo de suministradores de
servicios de TI. Cfr. ITIL:2014
6 Cfr. Saavedra y Torres 2012:33
7 MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
31
3100008, por lo que es totalmente compatible con COBIT 5. Además, su uso es de acceso
libre y toda la documentación está disponible en varios idiomas (español, inglés e italiano).
Además, este modelo también implementa las buenas prácticas descritas en la
ISO/IEC27002. Este estándar establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestión de seguridad de la información en una
organización. Adicionalmente, contiene las mejores prácticas de los objetivos de control y
controles en las siguientes áreas de gestión de seguridad de la información (La política de
seguridad, Organización de la seguridad de la información, Gestión de activos, La seguridad
de los recursos humanos, Física y la seguridad del medio ambiente, Las comunicaciones y la
gestión de las operaciones, Control de acceso, Adquisición de sistemas de información,
desarrollo y mantenimiento, Gestión de incidentes de seguridad de la información, Gestión
de la continuidad del negocio, Cumplimiento)9.
Entre los estándares más usados actualmente que tienen como objeto de estudio el gobierno
de TI, el que más destaca es la ISO 38500. Esta incluye un conjunto de definiciones
relacionadas con el Gobierno de las TI que sirven como vocabulario común para todos
aquellos que conozcan e implementen este estándar. Además, propone un marco de
referencia para el gobierno de las TI basado en los siguientes seis principios:
Responsabilidad, estrategia, adquisición, Desempeño, Cumplimiento y Componente
Humano; y el siguiente modelo de gobierno de TI.
Ilustración 8: Modelo de Gobierno de las TI de la norma ISO 38500
8 Principios y lineamientos, proporciona principios, el marco y un proceso para la gestión
del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño,
actividad o sector. El uso de ISO 31000 puede ayudar a las organizaciones a aumentar la
probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y
amenazas y efectivamente asignan y utilizan los recursos para el tratamiento de riesgos. Cfr.
ISO 2014
9 Cfr. ISO 2014
32
Fuente: Fernández 2011
En el desarrollo de Modelo de Procesos Integrado de Gobernanza y Gestión de TI propuesto
por Carrillo y Rubio, hace referencia al modelo de Leavitt. Este modelo presenta cuatro
elementos de un sistema de negocio como la claves para abordar de forma correcta la
gestión y optimización de TI en las empresas10
.
Ilustración 9: Modelo de Leavitt
Fuente: Carrillo y Rubio 2012
Igualmente, se menciona CMMI (CapabilityMaturityModelIntegration) como un método
para medir el grado de madurez de las organizaciones. El objetivo de CMMI es establecer
10
Cfr. Carrillo y Rubio 2012:29,30
33
una guía que permita a las organizaciones mejorar sus procesos y su habilidad para
organizar, desarrollar, adquirir y mantener productos y servicios informáticos. En CMMI se
diferencian actualmente tres modelos que comparten un núcleo común. Además, CMMI
define áreas de proceso que se agrupan en cuatro categorías, tres comunes a todos los
modelos y una diferente para cada modelo: Gestión de procesos (común), Gestión de
proyectos (común), Soporte (común) e Ingeniería (sólo en DEV). En la siguiente figura se
presenta la estructura de CMMI que incluye los tres modelos y áreas de proceso
mencionados anteriormente, así como los procesos que los conforman11
.
Ilustración 10: Estructura CMMI
Fuente: Carrillo y Rubio 2012
Cabe mencionar que en la búsqueda de evidencia de que un activo estratégico y proporciona
un valor añadido a los negocios de la empresa, se establecen actividades de gobierno que
incluyen mecanismos que buscan la alineación de TI con los objetivos en el contexto de la
actividad empresarial. Uno de los mecanismos habituales para mejorar la alineación entre la
junta (gobernadores de TI), las unidades de negocio (proyectos de TI solicitantes) y el
personal de TI (IT adquirentes o desarrolladores) es a través de un proceso de aprobación de
la Cartera de Proyectos transparente. Entre otros beneficios, este proceso debería permitir a
las empresas a comunicar esta alineación entre los objetivos y proyectos de forma eficaz, la
creación de un mayor valor de los activos de TI. Estos mecanismos muestran cómo estas
11
Cfr. Carrillo y Rubio 2012:36,37
34
estructuras se relacionan en el gobierno de TI y ofrecer una oportunidad para mejorar la
comunicación entre los gobernadores (miembros del consejo) y el resto de los partícipes de
la empresa12
.
Saavedra y Torres (2012) proponen un Modelo Genérico de Gobierno y Gestión de TI, que
ayude a las organizaciones del sector editorial a definir los procesos de TI en los que debe
focalizar sus esfuerzos. Para esto, como punto de partida se toma la matriz de necesidades de
los interesados (Stakeholders) y la técnica de la cascada de COBIT 5, encuestas para
determinar la brecha entre el estado actual y el deseado, y herramientas estadísticas para
filtrar y priorizar.
Mera (2014) diseña un modelo de gestión de seguridad de la información para el sistema
ERP, basado en el marco de trabajo COBIT 5 y la norma ISO/IEC 27002, que optimiza los
procesos empresariales implementados y obtiene el mayor beneficio de la plataforma
tecnológica adquirida. La caracterización del modelo se realizó identificando la información
crítica del sistema y sus amenazas mediante la metodología de análisis de riesgo MAGERIT.
Fernández (2011) propone el diseñado y valida un marco de referencia de Gobierno de las
TI para Universidades (GTI4U). Este marco se basa y respeta por completo al modelo de
gobierno TI propuesto por la norma ISO 38500. Pero a la vez, proporciona una serie de
herramientas para que sea fácilmente implementado en un entorno universitario.
Debido a que la Tecnología de información es un factor que estratégico en el gobierno de las
empresas, Carillo y Rubio (2012) afirman que Por esta razón, las empresas se tienen que
hacerse de una estructura de gestión de la información que les permita el alineamiento de TI
con la estrategia de negocio, el logro de beneficios, reducción de costes, el control de riesgos
y en general la mejora de las operaciones de TI. En este escenario, se introduce el concepto
de Gobernanza de TI, responsable de integrar e institucionalizar las buenas prácticas para
garantizar que la TI en las empresas soporte los objetivos del negocio y aproveche al
máximo su información, maximice los beneficios, capitalice las oportunidades y gane
ventajas competitivas.
Barceló et al (2012) demuestra que los tres mecanismos de gobernanza de TI: alineación,
comunicación y estructuras, cuando se utilizan correctamente, son medios insustituibles para
12
Cfr. Barceló y otros 2012:71
35
producir el valor que el consejo espera de TI. También representamos parte de nuestro
marco de gobierno de TI que utiliza estos tres mecanismos, con especial referencia a la
alineación del negocio / TI.
Modelos de gestión y gobierno de TI
Modelo de Gobierno de TI como apoyo al proceso de transformación digital en
empresas de la industria editorial.
Uno de los aportes más importantes de esta propuesta es la definición de la brecha
estratégica de la industria editorial, que permite establecer las prioridades en las cuales el
sector debe concentrar todos sus esfuerzos para afrontar el proceso de transformación digital
que vive en la actualidad. Las encuestas realizadas matizan esta propuesta con las
necesidades propias del sector en su situación estratégica actual y con el estado estratégico
deseado, que para los encuestados, es el escenario ideal para asumir de forma exitosa el
proceso de transformación.
Como resultado de esta combinación se obtiene un listado de objetivos estratégicos del
negocio que son el insumo inicial para el inicio de la técnica de la cascada propuesta por
COBIT 5, y que al final conduce a la obtención de los procesos de TI priorizados y filtrados.
Ilustración 11: Modelo de Gobierno de TI para la industria Editorial
36
Fuente: Saavedra y Torres 2012
En la gráfica se ilustra cómo se aborda un problema resultado de la situación que afronta
actualmente un sector de la economía mundial, utilizando la técnica de la cascada de COBIT
5, que parte del conocimiento de la planeación estratégica corporativa o El “Balanced Score
Card” del negocio.
Al no obtener con facilidad información estratégica del sector, se realizan las encuestas de
estado actual y estado deseado, que después de tabular y procesar sus respuestas, dan como
resultado la brecha estratégica de la industria, representada en los objetivos estratégicos
genéricos, insumo necesario para obtener las metas de TI y los procesos de TI. Estos últimos
son insumo para el componente de Gestión de TI del proyecto M3GTI.
La metodología propuesta para la obtención de los Procesos de TI, se basa en la técnica de la
cascada de COBIT 5 y apoyada en la estadística para priorizar y filtrar los elementos en cada
paso del proceso. En esta sección se muestran los resultados obtenidos después de aplicar la
propuesta de este trabajo.
37
Para relacionar las metas de TI con los procesos definidos de COBIT utiliza el método de
despliegue de función de calidad QDF13
.
Modelo de gestión de seguridad de la información del sistema ERP de EP
PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5
La caracterización de este modelo se realizó mediante una investigación descriptiva del
estado del arte de la S-I en EP PETROECUADOR, utilizando técnicas documentales que
permitieron recopilar y analizar temas relacionados con la normativa de procesos, informes
de hacking ético, consultorías, estructura organizacional y análisis de riesgo del sistema
ERP; para definir una línea base sobre la cual es establezca un modelo de gestión de S-I
completo y personalizado. La priorización y simplificación del modelo basado en COBIT 5
e ISO/IEC 27002, se realizó utilizando las metas corporativas que la empresa planteó con la
implementación del sistema ERP como proyecto estratégico, de esta manera se logró que las
metas de TI soporten las metas corporativas y los intereses de las partes interesadas,
evitando elaborar marcos desenfocados o demasiado extensos.
Los resultados obtenidos en esta investigación revelan, un marco de gestión incompleto,
nivel de riesgo alto de la plataforma tecnológica de EP PETROECUADOR, así como
riesgos importantes relacionados sobre todo con amenazas internas. En el ámbito de la
propuesta del modelo de gestión se verificó la necesidad del involucramiento de la alta
gerencia en todas las iniciativas empresariales relacionadas con la S-I, así como se
determinó la importancia de un modelo de gestión de S-I, como complemento clave de un
proyecto estratégico, que contemple no solo aspectos técnicos sino también estructurales, de
cultura organizacional, comportamiento y habilidades del personal involucrado14
.
13
QFD es una metodología de gestión de la calidad que sirve especialmente para identificar
y priorizar las necesidades de los clientes. La metodología propone una técnica en la que
transfiere lo “que desean los clientes” a los “como se pueden satisfacer”, valorando el grado
de correlación entre los deseos del cliente (QUE) y las acciones para satisfacerlos (COMO).
Cfr. Saavedra y Torres 2012:39
14 Cfr. Mera 2012:2
38
Se usaron sistemas ERP para la solución en la integración de las diferentes áreas y
automatización de los proceso de la empresa. Además, este sistema facilito la recolección y
poner la información actualizada del estado y actividades de los departamentos de una
empresa a disposición de los usuarios del sistema15
.
Para esto se usa la en conjunto el marco de referencia COBIT 5, ISO/IEC 27002 y la
metodología MAGERIT. Para el modelo de gestión de seguridad de la información fue
caracterizado utilizando los 7 catalizadores y la cascada de metas definidos en el marco
COBIT 5. Este enfoque permite simplificar el marco principal utilizando las metas
corporativas del sistema ERP de EP PETROECUADOR como punto de partida; para luego
traducir estas metas a metas de TI, las cuales, en el mismo sentido, se soportan en las metas
de cada uno de los catalizadores16
. En conjunto con cada catalizador se usó la ISO 20072,
concentrándose principalmente en los siguientes dominios:
Política de seguridad
Gestión de comunicaciones y operaciones
Adquisición, desarrollo y mantenimiento de sistemas de información
Posteriormente se usó la metodología MAGERIT para el análisis de riesgos, a continuación
se muestra el marco de gestión de riesgos en la ilustración.
Ilustración 12: MAGERIT y el marco de gestión de riesgos ISO 31000 (Dirección General
de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, 2012)
15
Cfr. Mera 2012:3
16 Cfr. Mera 2012:7
39
Fuente: Mera 2012
Modelo de Gobierno de las TI GTI4U para Universidades basado en la ISO 38500
El modelo GTI4U que Fernández diseño está compuesto por tres niveles:
El primer nivel incluye todos los elementos de la norma ISO 38500: modelo de gobierno TI,
principios, buenas prácticas y diccionario de términos.
El segundo está compuesto por un Modelo de Madurez (MM) para cada principio, que se
utilizará para establecer en qué nivel de madurez de gobierno de las TI se encuentra cada
universidad.
El tercero incluye a los indicadores que van servir para medir hasta qué punto se satisfacen
los criterios presentados en la norma17
.
Ilustración 13: Motivos por los que se decide implantar un sistema del gobierno de las TI en
una universidad
17
Cfr. Fernández 2011:148
40
Fuente: Fernández 2011
Primer Nivel: En cuanto a la guía ISO 38500 se utilizan las guías de buen gobierno de la TI.
Las recomendaciones se describen de alto nivel y sólo son un punto de partida para los
responsables de las TI que deben completar estas guías al implementarse, identificando
cuales son las acciones específicas necesarias para alcanzar los principios, teniendo en
cuenta la naturaleza especial de cada organización y realizando un análisis exhaustivo de las
oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto.
Esta norma, ISO 38500, muestra una guía para el buen gobierno con cada uno de sus
principios. Esta guía se define en base a las acciones de gobierno que se recomiendan por la
norma ISO 38500. Se presenta, manera de ejemplo, la guía que se propone por Fernández
para el principio de responsabilidad18
.
Ilustración 14: Guía de buen gobierno de las TI para el principio de Responsabilidad
Fuente: Fernández 2011
18
Cfr. Fernández 2011:150
41
Segundo Nivel: Se busca un modelo de madurez que cubra las necesidades del negocio. Y se
utilizan los modelos de madurez más importantes relacionados con las TI, en estos está
incluido COBIT por el IT Governance Institute (ITGI)19
.
Este modelo de madurez (MM) establece los niveles de madures del modelo, y es útil para
establecer un nivel actual y uno deseado mediante la autoevaluación, cada nivel describe los
requisitos relacionados con las tres acciones de gobierno (Evaluar, Dirigir y Monitorizar).
Ilustración 15: Tipos de indicadores incluidos en el GTI4U
Fuente: Fernández 2011
Tercer Nivel: El tercer nivel Fernández afirma que el GTI4U está compuesto por un
conjunto de indicadores que tienen por objetivo medir si se están llevando a cabo
satisfactoriamente las buenas prácticas recomendadas para el gobierno de las TI.
Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será evaluado a
partir de un conjunto de indicadores Agrupados en tres tipos diferentes (Figura 10.6):
19
GEIT es un Instituto de gobernanza de tecnología de información eficaz que ayuda a asegurar que TI soporte las metas
del negocio, optimice la inversión del negocio en TI, y gestiona adecuadamente los riesgos y oportunidades relacionados
con IT. Cfr. ITGI:2014
42
Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo de situar
automáticamente a la organización en el nivel que le corresponde dentro del Modelo de
Madurez de Gobierno TI de cada principio.
Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas que deben
estar presentes en la organización para mejorar su madurez de gobierno de las TI.
Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son evidencias, pero
expresadas con valores absolutos, de cuál es el estado de madurez de algunos aspectos del
gobierno de las TI de la organización.
Modelo de Procesos Integrado de Gobernanza y Gestión de TI
El modelo propuesto de Procesos de Gobernanza y Gestión de la Tecnología de Información
por Carillo y Rubio está estructurado en tres niveles y en 9 áreas como se observa en la
siguiente figura:
Ilustración 16: Modelo Integrado de Procesos de Gobernanza y Gestión de TI
43
Fuente: Carrillo y Rubio 2012
Este modelo es implantado tiene en cuenta los siguientes aspectos:
Primero las restricciones impuestas por el negocio en cuanto a principios y políticas de la
organización, la estructura organizativa, los recursos y la cultura de la empresa.
Segundo al analizar en qué estado se encuentra la organización y a dónde quiere llegar, es
decir tener clara su misión, su visión, sus objetivos, conocer y entender qué problemas
enfrenta su organización en la gestión de la tecnología de información (sería bueno que los
listara) e identificar que oportunidades le ofrece este modelo para mejorar sus procesos, y
hacer un rediseño de los mismos (o en caso de que no estén definidos una guía para
establecerlos).
Tercero, es un problema de organización corporativa que va a afectar a todo el negocio, por
lo cual, el máximo órgano de gobierno debe estar totalmente involucrado en la supervisión
de la nueva estrategia y comunicar lo que se pretende con el modelo para lograr la
colaboración y participación de todo el personal de la compañía afectado.
Por ser este un modelo orientado a procesos, que reúne los procesos clave de gobernanza y
gestión de TI tomando estándares internacionales.
Negocios / Proyectos de TI de alineación a través del proceso de aprobación del
portafolio de proyectos de TI como Instrumento de Gobierno
En el marco de gobierno de TI propuesto por Barceló se basa en el estándar ISO / IEC
38500. Esta norma general, se compone de dos capas, la gobernanza y la gestión,
respectivamente. Esto se ha ampliado con dos capas adicionales, estrategia corporativa y
operación de la línea. Cada capa en el marco representa acciones esenciales realizadas por
sus principales grupos de interés. La transición entre las capas se realiza a través de
diferentes instrumentos que representan la gobernanza de la TI. En particular, el proceso de
aprobación de la Cartera de Proyectos es uno de los instrumentos más importantes. El
proceso es un ciclo virtuoso, que comienza y termina con el tablero. Se inicia cuando el
consejo busca el valor de las nuevas aplicaciones de TI, y termina cuando se aprueba una
cartera de proyectos al año. Como instrumento de gobernanza de TI, el proceso de
aprobación de la Cartera de Proyectos es uno de los mejores mecanismos de alineación entre
44
las unidades de negocio y el personal de TI, ya que formaliza este proceso transparente para
todas las partes interesadas e incluso el público en general20
.
En primer lugar, la Junta debe establecer la dirección del gobierno de TI (por un período
superior a un año) establecer los objetivos estratégicos. El CIO establece los objetivos
tácticos. Los resultados de estos objetivos (estratégicos y tácticos) son los planes de TI y
políticas. La selección final de los proyectos de la cartera debe estar alineada con estos
planes y políticas. Luego, las unidades de negocio y el personal de TI colaboran juntos para
presentar propuestas de proyectos a la oficina de CIO. Estas propuestas son promovidas por
los patrocinadores y luego son evaluados por el CIO. La instancia última de la construcción
de la cartera de proyectos es la aprobación formal de la junta, cerrando el ciclo del proceso.
Por lo tanto, los objetivos estratégicos y las tácticas, las propuestas de proyectos
provenientes de unidades de negocio (departamentos y oficinas) y las decisiones finales se
publican de forma explícita en el marco de gobierno de TI21
.
20
Barceló 2012: 71
21 Barceló 2012: 72
45
IMPLEMENTACIÓN DE UN MODELO DE
GESTIÓN ESTRATEGICA EN IT-EXPERT
Este capítulo se centra en la ejecución del proyecto IMGETI. Para el caso de IT-Expert, solo
nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El
proyecto está dividido en dos partes. La primera parte está conformado por las fases de
implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de
implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa
y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de
nivel de capacidad a los procesos, se define el nivel al que se quiere llegar, y se definen las
oportunidades de mejora para luego priorizarlas en base a sus niveles de dificultad y
beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases
involucran la creación de un del plan de implementación de las soluciones escogidas en la
fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el
control de los procesos de la empresa IT-Expert agrupados en un cuadro de control;
finalmente, se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.
Además se menciona algunas conclusiones y recomendaciones para la mejora continua de
la empresa.
46
FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL
COMPROMISO DE LA ALTA DIRECCIÓN
El objetivo de esta fase es reconocer y aceptar la necesidad de una iniciativa de mejora por
parte de la gerencia de la empresa, así como, obtener el compromiso de las demás partes
interesadas. Por eso, como primera actividad, se ha realizado la identificación de los puntos
débiles y eventos desencadenantes, los cuales servirán como motivadores del cambio22
que
serán presentados ante la gerencia para lograr su total apoyo y compromiso, así como las
partes interesadas sus roles y responsabilidades en la empresa para considerar la efectividad
de estos en la creación de valor para la empresa.
PUNTOS DÉBILES
Cambio en la gerencia duplicación o superposición entre las iniciativas o despilfarro de
recursos
Existen muchos proyectos de TI que han sido desarrollados, pero que no han sido puestos en
marcha en la empresa. Además, se han encontrado casos de proyectos que son aprobados
para formar parte de la cartera de proyectos, a pesar de que estos ya hayan sido realizados de
manera parcial o total anteriormente, lo que provoca la pérdida de recursos utilizados
durante el desarrollo del proyecto hasta la detección del problema. Esto es debido a la falta
de una visión holística de todos los proyectos de TI, y la inexistencia de procesos y la
estructura para la capacidad de decisión alrededor del portafolio.
El equipo humano presenta un nivel de competencias insuficiente para el desarrollo de
sus responsabilidades
Se ha encontrado también un problema con el nivel de competencias del equipo humano.
Cada ciclo se realiza una rotación del personal y cada ciclo se enfrenta el mismo problema
22
“Un motivador de cambio es un evento interno o externo, condición o aspecto clave que
sirve como estímulo para el cambio.” Cfr. COBIT 2012:20
47
de que los nuevos miembros desconocen algunas de las normas o estándares bajo los cuales
IT-Expert maneja sus actividades, a pesar de que existan algunas políticas que ya abordan
este problema. Esto podría deberse a la falta de control del cumplimiento de las políticas que
debería ser realizada por la gestión de recursos humanos.
EVENTOS DESENCADENANTES
Cambio en la Gerencia
Actualmente la empresa está pasando por un proceso de cambio de gerente. Como parte de
este proceso, se están realizando revisiones de los procesos actuales de la empresa,
repositorios de documentos, portafolio de proyectos y registros existentes de los recursos
físicos e intangibles.
Deseo de mejorar
Existe un plan de mejora de procesos que inicia en la determinación y análisis del proceso a
mejorar para luego proponer posibles mejoras así como las acciones necesarias para la
implementación de las mismas.
IDENTIFICACIÓN DE PARTES INTERESADAS
A demás de concientizar a la gerencia, es necesario lograr un compromiso con las demás
partes interesadas. Para esto, se han definido e identificado las responsabilidades e intereses
de las partes interesadas con relación al programa de mejora, el cual se desarrolla en el
presente proyecto.
Tabla 7: Responsabilidades e Intereses de las partes interesadas
48
Partes Interesadas Responsabilidades Interés en los Resultados del
Programa de implementación
Gerente Profesor,
Gerente Alumno
Establecer los objetivos para el programa de
mejora y asegurar su alineación con la
estrategia y de metas de la empresa.
Aprobar los resultados del programa, y
asegurar que los beneficios previstos son
alcanzados.
Se encuentran interesados en obtener
el máximo beneficio en el negocio de la
implantación del programa. Quieren
garantizar que todas las cuestiones
relevantes requeridas se consideran,
que las tareas requeridas se llevan a
cabo y que los resultados esperados
se entregan correctamente.
Responsables de procesos de
TI
Dar información clave para la evaluación del
desempeño y para establecer los objetivos
de mejoras. Proporcionar información sobre
las buenas prácticas pertinentes que deben
ser incorporados y proporcionar
asesoramiento.
Esto grupo está interesado en
garantizar que las iniciativas de
mejora resulten en un mejor gobierno
de TI sobre todas y cada una de las
áreas, y que las opiniones sobre el
negocio necesarias para ello son
obtenidas de la mejor forma posible.
Profesor Cliente Asesorar en la planificación y desarrollo del
programa. Evaluar los entregables que se
hayan definido en el programa.
Está interesado en que los resultados
previstos se alcancen mediante la
ejecución correcta del programa.
Equipo de implantación Dirigir, diseñar, controlar y gestionar el
programa, desde la identificación de
objetivos y requerimientos hasta las
eventuales evaluaciones del programa
respecto a los objetivos del programa.
El equipo quiere asegurarse de que
todos los resultados previstos se
obtienen y se maximizan.
Clientes Los clientes podrían verse afectados
por el grado en que se cumplen los
objetivos del programa. El cliente tiene
una participación indirecta en los
resultados del programa de
49
Partes Interesadas Responsabilidades Interés en los Resultados del
Programa de implementación
implantación.
Fuente: Elaboración propia
50
FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL
ESTADO ACTUAL
El objetivo de esta fase es asegurar que el equipo del programa conoce y entiende los
objetivos de la empresa. Identificar los procesos críticos u otros catalizadores que se
abordarán en el plan de mejora y determinar la capacidad actual de los procesos
seleccionados mediante una evaluación.
Como parte de esta segunda fase se debe definir el alcance mediante la identificación de los
objetivos de negocio de la empresa relacionados a los objetivos de TI, con estos objetivos
de TI se podrá establecer la correspondencia a los procesos propuestos por COBIT 5, de esta
forma se proporciona un mapeo genérico de los objetivos de negocio con los relacionados
con TI y sus procesos para ayudar con la selección de procesos importantes para la empresa
y la alineación de los objetivos de TI a los objetivos de negocio.
Dados los objetivos de la empresa y de TI seleccionados, se identifican los procesos críticos
que se necesitan para asegurar resultados exitosos. La gerencia necesita saber dónde están
las capacidades actuales y dónde pueden existir ineficiencias. Esto se logra mediante una
evaluación de capacidad del estado de los procesos seleccionados.
Para entender mejor cada artefacto en esta fase, se tendrá la siguiente estructura dividida en:
Descripción: Define y describe en no más de un párrafo al artefacto del modelo que se está
implementado.
Propósito: Muestra la función que tiene el artefacto en el modelo que se está implementado.
Alcance: Nos indica el alcance del artefacto dentro del proyecto IMGETI.
CASCADA DE METAS
Mapeo Entre necesidades de las partes interesadas y las metas de la empresa
Descripción: Es un cuadro que posee dos dimensiones: Necesidades de las partes
interesadas y Las metas de la empresa. Esto nos ayuda a identificar las necesidades de las
51
partes interesadas en forma de preguntas con las metas de la empresa en la parte superior.
Los cuadros azules muestran la relación que hay entre ambas cabeceras.
Propósito: Tener una visión de la relación entre las necesidades de las partes interesadas y
los objetivos empresariales.
Alcance: Solo se toma en cuenta las necesidades de las partes interesadas definidas en el
punto anterior.
Tabla 8: Mapeo Entre necesidades de las partes interesadas y las metas de la empresa
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
¿Cómo consigo valor del uso de TI? ¿Están los
usuarios finales satisfechos con la calidad del
servicio de TI?
¿Cómo gestiono el rendimiento de TI?
¿Cómo puedo explotar mejor las nuevas tecnologías
para nuevas oportunidades de negocio?
53
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
¿Cómo construyo y estructuro mejor mi
departamento de TI?
¿Cuánto dependo de los proveedores externos?
¿Estoy gestionando bien los contratos de
externalización de TI? ¿Cómo obtengo aseguramiento
sobre los proveedores externos?
¿Cuáles son los requisitos (de control) para la
información?
54
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
¿Considero todos los riesgos relativos a TI?
¿Estoy realizando una operación de TI eficiente y
robusta?
¿Cómo controlo el coste de TI? ¿Cómo utilizo los
recursos de TI de la manera más efectiva y eficiente?
¿Tengo suficiente personal para TI? ¿Cómo puedo
desarrollar y mantener sus habilidades y cómo
gestiono su rendimiento?
55
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
¿Cómo consigo confianza sobre TI?
¿Está bien asegurada la información que se está
procesando?
¿Cómo puedo mejorar la capacidad de respuesta del
negocio mediante un entorno de TI más flexible?
¿Fracasan los proyectos de TI en proporcionar lo que
habían prometido? Si es así, ¿por qué? ¿Está siendo
TI un obstáculo para ejecutar la estrategia de
56
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
negocio?
¿Cómo es de crítica la TI para para la sostenibilidad
de la empresa? ¿Qué pasaría si la TI no estuviera
disponible?
¿Qué procesos de negocio críticos dependen de TI y
cuáles son los requerimientos de los procesos de
negocio?
¿Qué parte del esfuerzo de TI se dedica a apagar
57
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l
clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga
del s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
co
ntin
uam
ente
lo
s pr
oces
os
de
nego
cio
Man
tene
r la
pro
duct
ivid
ad d
e la
ope
raci
ón y
del p
erso
nal e
n ni
vele
s óp
tim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del
pers
onal
Prom
over
un
a cu
ltur
a de
in
nova
ción
en
el
nego
cio
fuegos en lugar de facilitar las mejoras del negocio?
Fuente: Elaboración propia
58
Mapeo entre las necesidades de la empresa y las metas relacionadas con TI
Descripción: Cuadro de dos dimensiones que muestra la relación entre Metas de la
empresa y Las metas relacionadas con TI. Aquí podemos visualizar los objetivos de TI en
la cabecera izquierda y los objetivos de la empresa en la cabecera superior. Además, cada
relación esta diferenciada entre P (Primaria) o S (Secundaria), esto nos ayuda a priorizar los
objetivos de la empresa con mayor relación con los objetivos de TI.
Propósito: Sirve como evidencia para demostrar que las metas relacionadas con TI están
alineadas a las metas de la empresa.
Alcance: Se consideran todas las metas presentes en mapeo anterior.
59
Tabla 9: Mapeo entre las metas de la empresa y las metas relacionadas con TI
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Meta relacionada con las TI - Columna Cliente Interno Aprendizaje y Crecimiento
Fina
ncie
ra
Alineamiento de TI y la estrategia de negocio P S P P S P S S
60
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Cumplimiento y Soporte de la TI al cumplimiento
del negocio de las leyes y regulaciones
externas
S
Compromiso de la dirección ejecutiva para P S P S P
61
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
gestionados P P S
Realización de beneficios del portafolio de S S S S
62
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Inversiones y Servicios relacionados con las TI
Transparencia de los costes, beneficios y
riesgos de las TI S S
Clie
nte Entrega de servicios de TI de acuerdo a los P S P P S P S S
63
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
requisitos del negocio
Uso adecuado de aplicaciones, información
y soluciones tecnológicas P P P S S P S S
Inte
rno Agilidad de las TI S S S S S
64
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
P P
Optimización de activos, recursos y P P P S P S
65
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
capacidades de las TI
Capacitación y soporte de procesos de
negocio integrando aplicaciones y
tecnología en procesos de negocio
P P S P S P P P S
66
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto y
satisfaciendo los requisitos y normas de
calidad
S S
Disponibilidad de información útil y relevante S S S
67
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
para la toma de decisiones
Cumplimiento de TI con las políticas internas S
Apre
ndiz
aje
y
Crec
imie
nto Personal del negocio y de las TI competente
y motivado S P P P P P
68
Metas Corporativas - Fila
Prom
over
una
cul
tura
de
serv
icio
ori
enta
da a
l clie
nte
Aseg
urar
la c
ontin
uida
d y
disp
onib
ilida
d de
los
serv
icio
s de
l neg
ocio
Gara
ntiz
ar la
cal
idad
y e
ficie
ncia
en
la e
ntre
ga d
el s
ervi
cio
Gene
rar
valo
r pa
ra la
s pa
rtes
inte
resa
das
Man
tene
r pr
oduc
tos
y se
rvic
ios
de c
alid
ad
Cont
rola
r lo
s ri
esgo
s de
l neg
ocio
Mej
orar
con
tinua
men
te lo
s pr
oces
os d
e ne
goci
o
Man
tene
r la
pr
oduc
tivi
dad
de
la
oper
ació
n y
del
pers
onal
en
ni
vele
s
óptim
os
Fom
enta
r la
mot
ivac
ión
y el
ent
rena
mie
nto
del p
erso
nal
Prom
over
una
cul
tura
de
inno
vaci
ón e
n el
neg
ocio
Conocimiento, experiencia e iniciativas para
la innovación de negocio P P P S P
Fuente: Elaboración propia
69
Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5
Descripción: Cuadro de dos dimensiones que muestra las relacionadas entre las metas
relacionadas con TI y los procesos del modelo de COBIT 5. En este caso podemos
diferencias las metas relacionadas con TI en la cabecera superior de los procesos de COBIT
que se encuentran en la cabecera izquierda. En esta relación también se tiene en cuenta la
prioridad P (Primaria) o S (Secundaria).
Propósito: Identificar los procesos que ayuden a cumplir las metas relacionadas con TI.
Alcance: Solo se consideran los procesos del primer dominio de gestión de COBIT 5.
70
Tabla 10: Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
Procesos de COBIT 5 - Columna Financiera Cliente Interno Aprendizaje y
Crecimiento
Alin
ear,
Plan
ific
ar
y
Org
aniz
ar
APO01 Gestionar el Marco de P S S S S P S S S
71
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
Gestión de TI
APO02 Gestionar la Estrategia P S S P S P S S S
APO03 Gestionar la
Arquitectura
P S S S P P S
72
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
Empresarial
APO04 Gestionar la Innovación S S S P S P
APO05 Gestionar Portafolio P S S S S S S
73
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
APO06 Gestionar el Presupuesto
y los Costes S S S S S S
APO07 Gestionar los Recursos
Humanos S S S S
S P P P
74
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
APO08 Gestionar las
Relaciones P S S P
P S
APO09 Gestionar los Acuerdos
de Servicio S S P S S
75
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
APO10 Gestionar los
Proveedores P S S S S S
APO11 Gestionar la Calidad S S P S P S S
76
Meta relacionada con las TI - Fila
Alin
eam
ient
o de
TI y
la e
stra
tegi
a de
neg
ocio
Com
prom
iso
de l
a di
recc
ión
ejec
utiv
a pa
ra t
omar
dec
isio
nes
rela
cion
adas
con
TI
Ries
gos
de n
egoc
io r
elac
iona
dos
con
las
TI g
esti
onad
os
Entr
ega
de s
ervi
cios
de
TI d
e ac
uerd
o a
los
requ
isito
s de
l neg
ocio
Uso
adec
uado
de
aplic
acio
nes,
info
rmac
ión
y so
luci
ones
tec
noló
gica
s
Segu
rida
d de
la
in
form
ació
n,
infr
aest
ruct
uras
de
pr
oces
amie
nto
y
aplic
acio
nes
Opt
imiz
ació
n de
act
ivos
, rec
urso
s y
capa
cida
des
de la
s TI
Capa
cita
ción
y s
opor
te d
e pr
oces
os d
e ne
goci
o in
tegr
ando
apl
icac
ione
s y
tecn
olog
ía e
n pr
oces
os d
e ne
goci
o
Pers
onal
del
neg
ocio
y d
e la
s TI
com
pete
nte
y m
otiv
ado
Cono
cim
ient
o, e
xper
ienc
ia e
inic
iati
vas
para
la in
nova
ción
de
nego
cio
APO12 Gestionar el Riesgo P S S P S S
APO13 Gestionar la Seguridad P S S P
Fuente: Elaboración propia
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS
ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE
REVISIÓN)
Evaluaciones del dominio de gestión
Descripción: Resultado de la evaluación de capacidad de todos los proceso del dominio
APO. Esta evaluación se realiza para obtener el nivel actual de la empresa.
Propósito: Identificar el nivel de capacidad de cada proceso de dominio APO.
Alcance: Se consideraron solo los procesos del dominio APO que estén alineados a los
objetivos de TI. Asimismo, la evaluación se basó en las listas de revisión adjuntas en el
Anexo 2. Para realizar la fase dos se debe analizar el estado actual o nivel de capacidad
de los procesos de la empresa en el dominio Alinear, Planear y Organizar. Los Procesos
APO comprenden de 13 procesos. Sin embargo, para el análisis de la empresa IT-Expert
no se considerara el proceso “APO06Gestionar el Presupuesto y los Costes”, debido a
que esta no se alinea a los objetivos de TI de la empresa.
Los siguientes cuadros describen los resultados de la evaluación de los procesos APO
en la empresa IT-Expert en los siguientes procesos:
APO01 Gestionar el Marco de Gestión de TI
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar Portafolio
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las Relaciones
APO09 Gestionar los Acuerdos de Servicio
APO10 Gestionar los Proveedores
78
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Hay que tener en cuenta que en cada cuadro tenemos los tres criterios de evaluación con
valores porcentuales. Estos valores porcentuales están con color de fondo amarillo y que
luego se promedian para obtener el nivel de capacidad de cada proceso en el nivel 1.
Para analizar e identificar el valor porcentual tenemos evaluar el proceso mediante listas
de revisión que se encuentran en el anexo 2 del presente documento.
Criterios de evaluación
Meta del Proceso (Os): Estos son los objetivos que se cumplen en cada meta de cada
proceso en los dominios de COBIT 5. Para la evaluación se tendrá un nivel de
cumplimiento de cada meta del 1 al 4, siendo la escala de la siguiente forma:
Nivel Descripción
1 Cumple en su
minoría
2 Cumple
parcialmente
3 Cumple en su
mayoría
4 Cumple totalmente.
Fórmula para obtener el valor porcentual de la Meta proceso del Proceso se usa la
siguiente formula, Nivel de Meta (NM):
79
Ejemplo: Para el dominio APO01 el NM1 es 2 y el NM2 es 3
[ ] [ ]
Prácticas Base (BPs): Estas son las actividades a realizarse en el proceso, estas
actividades están dentro de las mejores prácticas en el GEIT. Cada actividad del proceso
contiene tareas, para medir el cumplimiento de las actividades con relación a las tareas
de cada actividad se evalúa por porcentaje de tareas logradas en cada actividad entre el
(0% - 100%).
Fórmula para obtener el valor porcentual de las prácticas base se tiene en cuenta el
resultado de las listas de revisión mediante el resultado del cumplimiento de las tareas
de cada práctica base en la empresa IT-Expert. Luego de obtener los valores de cada
práctica base se promedian para obtener el valor porcentual promedio de las prácticas
base del proceso, Cumplimiento de práctica base (CPB):
Ejemplo: Para el dominio APO01 el CPB1 es 30%, el CPB2 es 22%, el CPB3 es 13% y
el CPB4 es 24%
80
Producto de Trabajo (WPs): El producto de trabajo es el entregable de cada proceso en
el dominio APO. Para la evaluación de esta parte se contabilizaran los entregables
existentes y los que no existen, (SI - NO).
Teniendo en cuenta si se contempla la creación de este producto de trabajo o entregable
se contara con un SI y si no se contempla se contara como un NO, Producto
Contemplado (PC):
Por medio de estos tres indicadores podremos obtener el grado o alcance en el nivel de
capacidad uno23
, Cumplimiento (Os) Cumplimiento (BPs) Cumplimiento (WPs).
23
El nivel 1 del Nivel de capacidad es el que sigue del nivel más bajo (nivel 0), el nivel
1 es tomado como base en el proyecto, pues el nivel cero es teniendo en cuenta que no
se tiene nada de la empresa IT-Expert que cumpla con los mínimos niveles en las
buenas prácticas que se da en empresas que implementan por 1era vez un modelo de
gestión.
81
Calificación de la capacidad actual de los procesos seleccionados
APO01 Gestionar el Marco de Gestión de TI
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO01 tiene un total de 46.6% de capacidad en
el nivel 1.
Evaluación APO01
APO01 Gestionar el Marco de Gestión de TI 46.6
82
Descripción del Proceso
Aclarar y mantener el gobierno de la misión y la visión
corporativa de TI. Implementar y mantener mecanismos y
autoridades para la gestión de la
Información y el uso de TI en la empresa para apoyar los
objetivos de gobierno en consonancia con las políticas y
los principios rectores.
Declaración del Propósito del
Proceso
Proporcionar un enfoque de gestión consistente que
permita cumplir los requisitos de gobierno corporativo e
incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y
reproducibles y habilidades y competencias.
Meta del Proceso (Os) (1-4) 50
APO01-O1 Se ha definido y se mantiene un conjunto eficaz de
políticas. 3
APO01-O2
Todos tienen conocimiento de las políticas y de cómo
deberían 1
Implementarse.
Prácticas Base (BPs) % 46
APO01-BP1 Definir la estructura organizativa. 50
APO01-BP2 Establecer roles y responsabilidades 85.7
APO01-BP3 Mantener los elementos catalizadores del sistema de
gestión 22.2
APO01-BP4 Comunicar los objetivos y la dirección de gestión 0
APO01-BP5 Optimizar la ubicación de la función de TI. 100
APO01-BP6 Definir la propiedad de la información (datos) y del
50
83
sistema.
APO01-BP7 Gestionar la mejora continua de los procesos 40
APO01-BP8 Mantener el cumplimiento con las políticas y
procedimientos 20
Producto de Trabajo (WPs) S/N 42.9
APO01-WP1 Políticas relativas a TI no
APO01-WP2 Acciones de remediación por no cumplimiento no
APO01-WP3 Evaluación de las opciones para la organización de TI si
APO01-WP4 Definir la función operacional de las funciones de TI si
APO01-WP5 Definición de estructura y funciones organizativas si
APO01-WP6 Directrices operativas de la organización si
APO01-WP7 Reglas básicas de comunicación si
APO01-WP8 Definición de roles y responsabilidades relativos a TI si
APO01-WP9 Definición de prácticas de supervisión no
APO01-WP10 Evaluaciones de la capacidad de los procesos no
APO01-WP11 Oportunidades de mejoras de proceso no
APO01-WP12 Objetivos y métricas de rendimiento para el seguimiento
de la mejora de procesos no
APO01-WP13 Comunicación de objetivos de TI no
APO01-WP14 Directrices para la clasificación de datos no
Fuente: Elaboración propia
84
APO02 Gestionar la Estrategia
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO02 tiene un total de 26.2% de capacidad en
el nivel 1. Y pertenece a uno de los procesos que deben ser implementados con más
urgencia en la empresa, debido a que se debe tener una gestión y control en la empresa
de forma más eficiente y completa.
Evaluación APO02
APO02 Gestionar la Estrategia 26.2
Descripción del Proceso
Aclarar y mantener el gobierno de la misión y la
visión corporativa de TI. Implementar y mantener
mecanismos y autoridades para la gestión de la
información y el uso de TI en la empresa para apoyar
los objetivos de gobierno en consonancia con las
políticas y los principios rectores.
Declaración del Propósito del
Proceso
Proporcionar un enfoque de gestión consistente que
permita cumplir los requisitos de gobierno
corporativo e incluya procesos de gestión,
estructuras, roles y responsabilidades organizativos,
actividades fiables y reproducibles y habilidades y
competencias.
Meta del Proceso (Os) (1-4) 30.0
85
APO02-O1 Todos los aspectos de la estrategia de TI están
alineados con la estrategia del negocio. 2
APO02-O2
La estrategia de TI es coste-efectiva, apropiada,
realista, factible, enfocada al negocio y equilibrada. 1
APO02-O3
Se pueden derivar objetivos a corto plazo claros,
concretos, y trazables de iniciativas a largo plazo
específicas, y se pueden traducir, por tanto, en
planes operativos.
1
APO02-O4 TI es un generador de valor para el negocio. 1
APO02-O5
Existe conciencia de la estrategia de TI y una clara
asignación de responsabilidades para su entrega. 1
Prácticas Base (BPs) % 15.3
APO02.01 Comprender la dirección de la empresa. 66.7
APO02.02
Evaluar el entorno, capacidades y rendimiento
actuales. 25.0
APO02.03 Definir el objetivo de las capacidades de TI. 0.0
APO02.04 Realizar un análisis de diferencias. 0.0
APO02.05 Definir el plan estratégico y la hoja de ruta. 0.0
APO02.06 Comunicar la estrategia y la dirección de TI. 0.0
Producto de Trabajo (WPs) S/N 33.3
APO02-WP1 Fuentes y prioridades para cambios no
APO02-WP2 Línea de referencia de capacidades actuales no
APO02-WP3
Diferencias y riesgos relacionados con las
capacidades actuales no
86
APO02-WP4 Análisis FODA de capacidades si
APO02-WP5 Objetivos de TI a alto nivel si
APO02-WP6 Requerimientos del negocio y capacidades de TI no
APO02-WP7 Propuesta de cambio en la arquitectura del negocio no
APO02-WP8
Diferencias y cambios requeridos para alcanzar la
meta de capacidad no
APO02-WP9
Declaración del valor beneficio para el entorno
deseado no
APO02-WP10 Definición de iniciativas estratégicas si
APO02-WP11 Evaluación de riesgo si
APO02-WP12 Hoja de ruta estratégica no
APO02-WP13 Plan de comunicación si
APO02-WP14 Paquete de comunicación si
Fuente: Elaboración propia
APO03 Gestionar la Arquitectura Empresarial
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO03 tiene un total de 14.6% de capacidad en
el nivel 1. Y es el segundo proceso que tiene los más bajos niveles en la evaluación del
nivel de capacidad. Es importante el proceso para la empresa IT-Expert debido a los
diferentes cambios que hay en la arquitectura de la empresa, de ahí la importancia de la
implementación de un proceso que gestione la arquitectura empresarial y todos sus
cambios.
87
Evaluación APO03
APO03 Gestionar la Arquitectura Empresarial 14.6
Descripción del
Proceso
Establecer una arquitectura común compuesta por los procesos de
negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica de manera eficaz y eficiente para la
realización de las estrategias de la empresa y de TI mediante la
creación de modelos clave y prácticas que describan las líneas de
partida y las arquitecturas objetivo. Definir los requisitos para la
taxonomía, las normas, las directrices, los procedimientos, las
plantillas y las herramientas y proporcionar un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar
la calidad de la información y generar ahorros de costes potenciales
mediante iniciativas tales como la reutilización de bloques de
componentes para los procesos de
construcción.
Declaración del
Propósito del
Proceso
Representar a los diferentes módulos que componen la empresa y
sus interrelaciones, así como los principios rectores de su diseño y
evolución en el tiempo, permitiendo una entrega estándar, sensible y
eficiente de los objetivos operativos y estratégicos.
Meta del Proceso (Os) (1-4) 25.0
APO03-O1 La arquitectura y los estándares son eficaces apoyando a la 1
88
empresa.
APO03-O2
Todos tienen conocimiento de las políticas y de cómo deberían
implementarse. 1
APO03-O3
Existen dominios apropiados y actualizados y/o arquitecturas
federadas que proveen información fiable de la arquitectura. 1
APO03-O4
Se utiliza un marco de arquitectura de empresa y una metodología
común, así como un repositorio de arquitectura integrado, con el fin
de permitir la reutilización de eficiencias dentro de la empresa.
1
Prácticas Base (BPs) % 2.2
APO03-BP1 Desarrollar la visión de la arquitectura de empresa. 0.0
APO03-BP2 Definir la arquitectura de referencia. 11.1
APO03-BP3 Seleccionar las oportunidades y las soluciones. 0.0
APO03-BP4 Definir la implantación de la arquitectura. 0.0
APO03-BP5 Proveer los servicios de arquitectura empresarial. 0.0
Producto de Trabajo (WPs) S/N 16.7
APO03-WP1 Alcance de la arquitectura definido si
APO03-WP2 Principios de arquitectura no
APO03-WP3 Caso de negocio y propuesta de valor del concepto de arquitectura no
APO03-WP4 Descripciones de dominio de partida y definición de la arquitectura si
APO03-WP5 Modelo de arquitectura de procesos no
APO03-WP6 Modelo de la arquitectura de la información no
APO03-WP7 Estrategia de Implementación a alto nivel y estrategia de migración no
89
APO03-WP8 Arquitecturas de transición no
APO03-WP9 Necesidades de recursos no
APO03-WP10 Descripciones de las fases de implementación no
APO03-WP11 Requisitos de gobierno de la arquitectura no
APO03-WP12 Orientación para el desarrollo de soluciones no
Fuente: Elaboración propia
APO04 Gestionar la Innovación
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO04 tiene un total de 12.7% de capacidad en
el nivel 1. Este proceso tiene el resultado más bajo debido a que no existe un proceso
que contemple la gestión de la innovación. Este proceso será parte del portafolio de
procesos a definirse para la empresa IT-Expert.
Evaluación APO04
APO04 Gestionar la Innovación 12.7
90
Descripción del
Proceso
Mantener un conocimiento de la tecnología de la información y las
tendencias relacionadas con el servicio, identificar las oportunidades
de innovación y planificar la manera de beneficiarse de la innovación
en relación con las necesidades del negocio. Analizar cuáles son las
oportunidades para la innovación empresarial o qué mejora puede
crearse con las nuevas tecnologías, servicios o innovaciones
empresariales facilitadas por TI, así como a través de las tecnologías
ya existentes y por la innovación en procesos empresariales y de TI.
Influir en la planificación estratégica y en las decisiones de la
arquitectura de empresa.
Declaración del
Propósito del
Proceso
Lograr ventaja competitiva, innovación empresarial y eficacia y
eficiencia operativa mejorada mediante la explotación de los
desarrollos tecnológicos para la explotación de la información.
Meta del Proceso (Os) (1-4) 25.0
APO04-O1
El valor de empresa es creado mediante la cualificación y puesta en
escena de los avances e innovaciones tecnológicas más apropiadas,
los métodos y las soluciones TI utilizadas.
1
APO04-O2
Los objetivos de la empresa se cumplen por la mejora de los
beneficios de la calidad y/o la reducción de costes como resultado
de la identificación e implementación de soluciones innovadoras.
1
APO04-O3
La innovación se permite y se promueve y forma parte de la cultura
de
la empresa.
1
Prácticas Base (BPs) % 13.1
APO04-BP1 Crear un entorno favorable para la innovación. 20.0
APO04-BP2 Mantener un entendimiento del entorno de la empresa. 33.3
APO04-BP3 Supervisar y explorar el entorno tecnológico. 25.0
91
APO04-BP4 Evaluar el potencial de las tecnologías emergentes y las ideas
innovadoras. 0.0
APO04-BP5 Recomendar iniciativas apropiadas adicionales. 0.0
APO04-BP6 Supervisar la implementación y el uso de la innovación. 0.0
Producto de Trabajo (WPs) S/N 0.0
APO04-WP1 Oportunidades de innovación vinculadas a los motivadores del
negocio no
APO04-WP2 Análisis de investigación de las posibilidades de innovación no
APO04-WP3 Evaluación de las ideas de innovación no
APO04-WP4 Alcance de la prueba de concepto y descripción de los casos de
negocio no
APO04-WP5 Comprobar los resultados de las iniciativas de pruebas de concepto. no
APO04-WP6 Resultados y recomendaciones de las pruebas de concepto no
APO04-WP7 Análisis de las iniciativas rechazadas no
APO04-WP8 Plan de Innovación no
APO04-WP9 Programa de reconocimiento y recompensa no
APO04-WP10 Valoración del uso de enfoques innovadores no
APO04-WP11 Evaluación de los beneficios de la innovación no
APO04-WP12 Planes de innovación ajustados no
Fuente: Elaboración propia
APO05 Gestionar Portafolio
92
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO05 tiene un total de 46.6% de capacidad en
el nivel 1. Este proceso gestiona los portafolios de activos, se debe implementar el
proceso con un alineamiento a los objetivos de la empresa.
Evaluación APO05
APO05 Gestionar Portafolio 29.2
Descripción del
Proceso
Ejecutar el conjunto de direcciones estratégicas para la inversión
alineada con la visión de la arquitectura empresarial, las
características deseadas de inversión, los portafolios de servicios
relacionados, considerar las diferentes categorías de inversión y
recursos y las restricciones de financiación. Evaluar, priorizar y
equilibrar programas y servicios, gestionar la demanda con los
recursos y restricciones de fondos, basados en su alineamiento con
los objetivos estratégicos así como en su valor y riesgo corporativo.
Mover los programas seleccionados al portafolio de servicios
activos listos para ser ejecutados. Supervisar el rendimiento global
del portafolio de servicios y programas, proponiendo ajustes si
fuesen necesarios en respuesta al rendimiento de programas y
servicios o al cambio en las prioridades corporativas.
Declaración del
Propósito del
Proceso
Optimizar el rendimiento del portafolio global de programas en
respuesta al rendimiento de programas y servicios y a las
cambiantes prioridades y demandas corporativas.
Meta del Proceso (Os) (1-4) 25.0
APO05-O1 Se ha definido una mezcla apropiada de inversión alineada con la 1
93
estrategia corporativa.
APO05-O2 Fuentes de fondos de inversión identificados y están disponibles. 1
APO05-O3 Casos de negocio de programa evaluados y priorizados antes de que
se asignen los fondos. 1
APO05-O4 Existe una vista precisa y comprensiva del rendimiento de las
inversiones del portafolio. 1
APO05-O5 Los cambios en el programa de inversiones se reflejan en los
portafolios relevantes de servicios, activos y recursos de TI. 1
APO05-O6 Los beneficios han sido generados debido a los beneficios de la
monitorización. 1
Prácticas Base (BPs) % 29.2
APO05-BP1 Establecer la mezcla del objetivo de inversión. 0.0
APO05-BP2 Determinar la disponibilidad y las fuentes de fondos.
APO05-BP3 Evaluar y seleccionar los programas a financiar. 50.0
APO05-BP4 Supervisar, optimizar e informar sobre el rendimiento del portafolio
de inversiones. 0.0
APO05-BP5 Mantener los portafolios.
APO05-BP6 Gestionar la consecución de beneficios. 66.7
Producto de Trabajo (WPs) S/N 33.3
APO05-WP1 Mezcla de inversión definida -
APO05-WP2 Identificar recursos y capacidades necesarias para soportar la
estrategia no
APO05-WP3 Observaciones a la estrategia y a las metas no
94
APO05-WP4 Opciones de financiación -
APO05-WP5 Expectativas de retorno de inversión -
APO05-WP6 Casos de negocio de programa si
APO05-WP7 Evaluaciones de los casos de negocio no
APO05-WP8 Programas seleccionados con hitos del retorno de inversión (ROI) -
APO05-WP9 Informes de rendimiento del portafolio de inversiones -
APO05-WP10 Portafolios de programas, servicios y activos actualizados si
APO05-WP11 Resultados de los beneficios y comunicaciones relacionadas -
APO05-WP12 Acciones correctivas para mejorar la producción de beneficio no
Fuente: Elaboración propia
APO07 Gestionar los Recursos Humanos
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO07 tiene un total de 23.3% de capacidad en
el nivel 1. Teniendo en cuenta los objetivos de la empresa virtual IT-Expert, se debe
implementar de manera urgente el proceso Gestionar los recursos humanos.
Evaluación APO07
95
APO07 Gestionar los Recursos Humanos 23.3
Descripción del Proceso
Proporcionar un enfoque estructurado para garantizar
una óptima estructuración, ubicación, capacidades de
decisión y habilidades de los recursos humanos. Esto
incluye la comunicación de las funciones y
responsabilidades definidas, la formación y planes de
desarrollo personal y las expectativas de desempeño, con
el apoyo de gente competente y motivada.
Declaración del Propósito del
Proceso
Optimizar las capacidades de recursos humanos para
cumplir los objetivos de la empresa.
Meta del Proceso (Os) (1-4) 25.0
APO07-O1 La estructura organizacional y las relaciones de TI son
flexibles y dan respuesta ágil. 1
APO07-O2 Los recursos humanos son gestionados eficaz y
eficientemente. 1
Prácticas Base (BPs) % 44.9
APO07-BP1 Mantener la dotación de personal suficiente y adecuado. 60.0
APO07-BP2 Identificar personal clave de TI. 50.0
APO07-BP3 Mantener las habilidades y competencias del personal. 14.3
APO07-BP4 Evaluar el desempeño laboral de los empleados. 28.6
APO07-BP5 Planificar y realizar un seguimiento del uso de recursos
humanos de TI y del negocio. 66.7
APO07-BP6 Gestionar el personal contratado. 50.0
Producto de Trabajo (WPs) S/N 25.0
96
APO07-WP1 Evaluaciones de requisitos de personal no
APO07-WP2 Planes de desarrollo de carrera y de competencias no
APO07-WP3 Planes de aprovisionamiento de personal no
APO07-WP4 Matriz de habilidades y competencias no
APO07-WP5 Planes de desarrollo de habilidades no
APO07-WP6 Revisión de informes si
APO07-WP7 Metas personales no
APO07-WP8 Evaluaciones de desempeño si
APO07-WP9 Planes de mejora no
APO07-WP10 Inventario de recursos humanos del negocio y de TI no
APO07-WP11 Análisis de deficiencias en la obtención de recursos no
APO07-WP12 Registros de utilización de recursos si
APO07-WP13 Políticas de contratación de personal -
APO07-WP14 Acuerdos contractuales -
APO07-WP15 Revisiones de acuerdos contractuales -
Fuente: Elaboración propia
APO08 Gestionar las Relaciones
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO08 tiene un total de 29.4% de capacidad en
el nivel 1. Este Proceso será definido en la empresa, pues no se contempla en la
arquitectura empresarial de IT-Expert.
97
Evaluación APO08
APO08 Gestionar las Relaciones 29.4
Descripción del Proceso
Gestionar las relaciones entre el negocio y TI de
modo formal y transparente, enfocándolas hacia el
objetivo común de obtener resultados empresariales
exitosos apoyando los objetivos estratégicos y dentro
de las restricciones del presupuesto y los riesgos
tolerables. Basar la relación en la confianza mutua,
usando términos entendibles, lenguaje común y
voluntad de asumir la propiedad y responsabilidad en
las decisiones claves.
Declaración del Propósito del
Proceso
Crear mejores resultados, mayor confianza en la
tecnología y conseguir un uso efectivo de los
recursos.
Meta del Proceso (Os) (1-4) 25.0
APO08-O1
Las estrategias, planes y requisitos de negocio están
bien entendidos,
documentados y aprobados.
1
APO08-O2 Existencia de buenas relaciones entre la empresa y
las TI. 1
APO08-O3 Las partes interesadas del negocio son conscientes
de las oportunidades
1
98
posibilitadas por la TI.
Prácticas Base (BPs) % 29.9
APO08-BP1 Entender las expectativas del negocio. 14.3
APO08-BP2 Identificar oportunidades, riesgos y limitaciones de TI
para mejorar el negocio. 20.0
APO08-BP3 Gestionar las relaciones con el negocio. 40.0
APO08-BP4 Coordinar y comunicar. 75.0
APO08-BP5 Proveer datos de entrada para la mejora continua de
los servicios. 0.0
Producto de Trabajo (WPs) S/N 33.3
APO08-WP1 Expectativas de negocio aclaradas y acordadas no
APO08-WP2 Acuerdo en los siguientes pasos y planes de acción no
APO08-WP3 Decisiones claves acordadas no
APO08-WP4 Estado de las quejas y del escalado si
APO08-WP5 Plan de comunicación si
APO08-WP6 Paquetes de comunicación si
APO08-WP7 Respuestas de los clientes no
APO08-WP8 Análisis de satisfacción no
APO08-WP9 Definición de proyectos de mejora potencial no
Fuente: Elaboración propia
APO09 Gestionar los Acuerdos de Servicio
99
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO09 tiene un total de 56.3% de capacidad en
el nivel 1. Este nivel es el más alto del proceso y representa un nivel con objetivos y
metas altamente alcanzados.
Evaluación APO09
APO09 Gestionar los Acuerdos de Servicio 56.3
Descripción del Proceso
Alinear los servicios basados en TI y los niveles de
servicio con las necesidades y expectativas de la
empresa, incluyendo identificación, especificación,
diseño, publicación, acuerdo y supervisión de los
servicios TI, niveles de servicio e indicadores de
rendimiento.
Declaración del Propósito del
Proceso
Asegurar que los servicios TI y los niveles de servicio
cubren las necesidades presentes y futuras de la
empresa.
Meta del Proceso (Os) (1-4) 25.0
APO09-O1 La empresa puede usar de modo efectivo los
servicios TI tal como se han definido en el catálogo. 1
APO09-O2 Los acuerdos de servicio reflejan las capacidades y
necesidades de la TI 1
APO09-O3 Los servicios TI rinden como está estipulado en los 1
100
acuerdos de servicio.
Prácticas Base (BPs) % 64.0
APO09-BP1 Identificar servicios TI. 33.3
APO09-BP2 Catalogar servicios basados en TI. 66.7
APO09-BP3 Definir y preparar acuerdos de servicio. 80.0
APO09-BP4 Supervisar e informar de los niveles de servicio. 40.0
APO09-BP5 Revisar acuerdos de servicio y contratos. 100.0
Producto de Trabajo (WPs) S/N 80.0
APO09-WP1 Carencias identificadas de los servicios TI de cara al
negocio no
APO09-WP2 Definición de servicios estándar si
APO09-WP3 Definición de servicios si
APO09-WP4 Portafolio de servicios de actualizado si
APO09-WP5 Catálogos de servicio si
APO09-WP6 Acuerdos de nivel de servicio si
APO09-WP7 Acuerdos de nivel operativos (OLAs). si
APO09-WP8 Informes de rendimiento del nivel de servicio si
APO09-WP9 Planes de acción de mejora y remedio no
APO09-WP10 SLAs actualizados si
Fuente: Elaboración propia
APO10 Gestionar los Proveedores
101
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO10 tiene un total de 41.2% de capacidad en
el nivel 1.
Evaluación APO10
APO10 Gestionar los Proveedores 41.2
Descripción del Proceso
Administrar todos los servicios de TI prestados por
todo tipo de proveedores para satisfacer las
necesidades del negocio, incluyendo la selección de
los proveedores, la gestión de las relaciones, la
gestión de los contratos y la revisión y supervisión
del desempeño, para una eficacia y cumplimiento
adecuados.
Declaración del Propósito del
Proceso
Minimizar el riesgo de proveedores que no rindan y
asegurar precios competitivos.
Meta del Proceso (Os) (1-4) 25.0
APO10-O1 Los proveedores rinden según lo acordado. 1
APO10-O2 El riesgo de los proveedores se evalúa y trata
adecuadamente. TI. 1
APO10-O3 Las relaciones con los proveedores son eficaces. 1
102
Prácticas Base (BPs) % 48.6
APO10-BP1 Identificar y evaluar las relaciones y contratos con
proveedores. 50.0
APO10-BP2 Seleccionar proveedores. 50.0
APO10-BP3 Gestionar contratos y relaciones con proveedores. 42.9
APO10-BP4 Gestionar el riesgo en el suministro. 50.0
APO10-BP5 Supervisar el cumplimiento y el rendimiento del
proveedor. 50.0
Producto de Trabajo (WPs) S/N 50.0
APO10-WP1 Relevancia del contratista y criterios de evaluación -
APO10-WP2 Catálogo de proveedores si
APO10-WP3 Revisiones potenciales de los contratos con los
proveedores no
APO10-WP4 Roles y responsabilidades de los proveedores si
APO10-WP5 Procesos de revisión y comunicación si
APO10-WP6 Resultados y sugerencias de mejora no
APO10-WP7 Identificar el riesgo de entrega del proveedor no
APO10-WP8 Identificar requisitos contractuales para minimizar
riesgo -
APO10-WP9 Criterios de supervisión del cumplimiento de los
proveedores -
APO10-WP10 Resultados de las revisiones de la supervisión del
cumplimiento de os proveedores -
103
APO10-WP11 Solicitudes de Información (RFIs) y peticiones de
propuestas (RFPs) a proveedores -
APO10-WP12 Evaluaciones de RFIs y RFPs -
APO10-WP13 Resultados decididos tras las evaluaciones de
proveedores -
Fuente: Elaboración propia
APO11 Gestionar la Calidad
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO011 tiene un total de 34.8.6% de capacidad
en el nivel 1. Este nivel es alto de forma relativa, pero tiene un valor P-Parcialmente
alcanzado lo que nos indica que debe ser realizada la oportunidad de mejora con
urgencia, esta oportunidad de mejora será la definición del proceso que no existe en la
empresa IT-Expert.
Evaluación APO11
APO11 Gestionar la Calidad 34.8
Descripción del Proceso
Definir y comunicar los requisitos de calidad en todos
los procesos, procedimientos y resultados
relacionados de la organización, incluyendo
controles, vigilancia constante y el uso de prácticas
104
probadas y estándares de mejora continua y
esfuerzos de eficiencia.
Declaración del Propósito del
Proceso
Asegurar la entrega consistente de soluciones y
servicios que cumplan con los requisitos de la
organización y que satisfagan las necesidades de las
partes interesadas.
Meta del Proceso (Os) (1-4) 25.0
APO11-O1
Las partes interesadas están satisfechas con la
calidad de los servicios
y las soluciones.
1
APO11-O2
Los resultados de los proyectos y de los servicios
entregados son
predecibles.
1
APO11-O3 Los requisitos de calidad están implementados en
todos los procesos. 1
Prácticas Base (BPs) % 29.5
APO11-BP1 Establecer un sistema de gestión de la calidad (SGC). 12.5
APO11-BP2 Definir y gestionar los estándares, procesos y
prácticas de calidad. 0.0
APO11-BP3 Enfocar la gestión de la calidad en los clientes. 16.7
APO11-BP4 Supervisar y hacer controles y revisiones de calidad. 71.4
APO11-BP5 Integrar la gestión de la calidad en la implementación
de soluciones y la entrega de servicios. 33.3
APO11-BP6 Mantener una mejora continua 42.9
Producto de Trabajo (WPs) S/N 50.0
105
APO11-WP1 Roles, responsabilidades y capacidades de decisión
del SGC. no
APO11-WP2 Planes de gestión de la calidad si
APO11-WP3 Resultados de la revisiones de eficacia del SGC no
APO11-WP4 Estándares de gestión de la calidad no
APO11-WP5 Requisitos de los clientes para la gestión de la calidad no
APO11-WP6 Criterios de aceptación si
APO11-WP7 Revisión de los resultados de la calidad de los
servicios, incluyendo la opinión de los clientes. si
APO11-WP8 Resultados de las revisiones y auditorias de calidad si
APO11-WP9 Metas y métricas del proceso de calidad de los
servicios si
APO11-WP10 Resultados de la supervisión de la calidad de los
servicios y las soluciones entregados si
APO11-WP11 Causas raíz de los fallos en la calidad de la entrega no
APO11-WP12 Comunicaciones sobre las mejores prácticas y la
mejora continua no
APO11-WP13 Ejemplos de las mejores prácticas para ser
compartidos. no
APO11-WP14 Resultados de revisiones de análisis comparativos de
la calidad si
Fuente: Elaboración propia
APO12 Gestionar el Riesgo
106
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO012 tiene un total de 38.0% de capacidad
en el nivel 1.Este resultado nos muestra que debemos implementar el proceso en la
empresa.
Evaluación APO12
APO12 Gestionar el Riesgo 38.0
Descripción del Proceso
Identificar, evaluar y reducir los riesgos relacionados
con TI de forma continua, dentro de niveles de
tolerancia establecidos por la dirección ejecutiva de
la empresa.
Declaración del Propósito del
Proceso
Integrar la gestión de riesgos empresariales
relacionados con TI con la gestión de riesgos
empresarial general (ERM) y equilibrar los costes y
beneficios de gestionar riesgos empresariales
relacionados con TI.
Meta del Proceso (Os) (1-4) 25.0
APO12-O1 El riesgo relacionado con TI está identificado,
analizado, gestionado y reportado. 1
APO12-O2 Existe un perfil de riesgo actual y completo. 1
107
APO12-O3 Todas las acciones de gestión para los riesgos
significativos están gestionadas y bajo control. 1
APO12-O4 Las acciones de gestión de riesgos están
efectivamente implementadas. 1
Prácticas Base (BPs) % 49.0
APO12-BP1 Recopilar datos. 42.9
APO12-BP2 Analizar el riesgo. 57.1
APO12-BP3 Mantener un perfil de riesgo. 57.1
APO12-BP4 Expresar el riesgo. 20.0
APO12-BP5 Definir un portafolio de acciones para la gestión de
riesgos. 66.7
APO12-BP6 Responder al riesgo. 50.0
Producto de Trabajo (WPs) S/N 40.0
APO12-WP1 Datos en el entorno de operación relacionados con el
riesgo no
APO12-WP2 Datos en eventos de riesgo y en factores
contribuyentes no
APO12-WP3 Elementos y factores de riesgo emergentes no
APO12-WP4 Alcance de los esfuerzos de análisis de riesgos si
APO12-WP5 Escenarios de riesgo de TI si
APO12-WP6 Resultados de análisis de riesgos si
APO12-WP7 Escenarios de riesgo documentados por línea de
negocio y función no
108
APO12-WP8 Perfil de riesgo agregado, incluyendo el estado de las
acciones de gestión del riesgo si
APO12-WP9 Análisis de riesgos e informes del perfil de riesgos
para las partes interesadas no
APO12-WP10 Revisión de resultados de evaluaciones de riesgos de
terceras partes no
APO12-WP11 Oportunidades para la aceptación de un riesgo mayor no
APO12-WP12 Propuestas de proyecto para reducir el riesgo si
APO12-WP13 Planes de respuesta para incidentes relacionados
con el riesgo si
APO12-WP14 Comunicaciones del impacto del riesgo no
APO12-WP15 Causas raíz relacionadas con el riesgo no
Fuente: Elaboración propia
APO13 Gestionar la Seguridad
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO13 tiene un total de 27.1% de capacidad en
el nivel 1. Un nivel muy bajo para este proceso, esto requiere una definición del proceso
ya que no se encuentra dentro de los procesos de la empresa IT-Expert.
109
Evaluación APO13
APO13 Gestionar la Seguridad 27.1
Descripción del Proceso Definir, operar y supervisar un sistema para la
gestión de la seguridad de la información.
Declaración del Propósito del
Proceso
Mantener el impacto y ocurrencia de los incidentes
de la seguridad de la información dentro de los
niveles de apetito de riesgo de la empresa.
Meta del Proceso (Os) (1-4) 25.0
APO13-O1
Está en marcha un sistema que considera y trata
efectivamente los
requerimientos de seguridad de la información de la
empresa.
1
APO13-O2
Se ha establecido, aceptado y comunicado por toda la
empresa un plan
de seguridad.
1
APO13-O3
Las soluciones de seguridad de la información están
implementadas y
operadas de forma consistente en toda la empresa.
1
Prácticas Base (BPs) % 22.9
APO13-BP1 Establecer y mantener un SGSI. 0.0
APO13-BP2 Definir y gestionar un plan de tratamiento del riesgo
de la seguridad de la información. 28.6
APO13-BP3 Supervisar y revisar el SGSI. 40.0
Producto de Trabajo (WPs) S/N 33.3
110
APO13-WP1 Política de SGSI si
APO13-WP2 Declaración de alcance del SGSI no
APO13-WP3 Plan de tratamiento de riesgos de seguridad de la
información si
APO13-WP4 Casos de negocio de seguridad de información no
APO13-WP5 Informes de auditoría del SGSI no
APO13-WP6 Recomendaciones para mejorar el SGSI no
Fuente: Elaboración propia
Resumen de calificación de la capacidad actual de los procesos seleccionados
Descripción: Resumen de la calificación de la capacidad actual de los procesos
seleccionados. Este cuadro reúne el alcance en valores cuantitativo el alcance en el nivel
1 de los procesos en el domino APO. Cada valor de alcance está representado por letras
que a su vez son la representación de cada rango porcentual del alcance alcanzado por
proceso.
Propósito: Mostrar de manera resumida el nivel de capacidad de cada proceso, así
como, la escala obtenida. Esto nos brinda una visión general del alcance de cada
proceso en el nivel uno.
Nivel Valor Descripción
N 0%-15% No Alcanzado
P 15%-50% Parcialmente Alcanzado
L 50%-85% Ampliamente Alcanzado
F 85%-100% Completamente Alcanzado
111
Asimismo, nos indica los procesos en que la empresa obtiene un nivel muy bajo y alto,
las partes en que debemos trabajar más y en las que estamos con un buen nivel de
capacidad.
Alcance: Solo se consideraron los procesos seleccionados y el nivel 1 de capacidad
Tabla 11: Calificación de la capacidad actual de los procesos seleccionados
Calificación de la capacidad actual de los procesos seleccionados
Nivel de Capacidad del Proceso
ID
Proceso
Nombre del Proceso ¿En el
alcance?
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Ali
nea
r, P
lan
ear
y O
rgan
izar
APO01 Gestionar el Marco de Gestión de TI SI P
APO02 Gestionar la Estrategia SI P
APO03
Gestionar la Arquitectura
Empresarial SI N
APO04 Gestionar la Innovación SI N
APO05 Gestionar Portafolio SI P
APO06 Gestionar el Presupuesto y los Costes NO
APO07 Gestionar los Recursos Humanos SI P
APO08 Gestionar las Relaciones SI P
APO09 Gestionar los Acuerdos de Servicio SI L
APO10 Gestionar los Proveedores SI P
APO11 Gestionar la Calidad SI P
APO12 Gestionar el Riesgo SI P
N 0%-15% P 15%-50% L 50%-85% F 85%-100%
112
APO13 Gestionar la Seguridad SI P
Fuente: Elaboración propio
Para esta fase se concluye que el valor actual de la empresa IT-Expert en el nivel 1 de
los niveles de capacidad de COBIT enfocados en los procesos que el marco propone , en
este caso el primer nivel de gestión APO, es muy bajo, pues en 9 de los 12 proceso que
se están considerando tiene un nivel de capacidad de P-Parcialmente alcanzado, en los
procesos 3 y 4 los niveles alcanzados son N-No alcanzado y solo un proceso, el proceso
9, tiene un nivel L-Altamente alcanzado. Esta información es la entrada para poder
definir el nivel de capacidad deseado en todos los procesos APO y las oportunidades de
mejora que deben realizarse mediante el plan de implementación para la empresa IT-
Expert.
113
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL
ESTADO FUTURO DESEADO
En esta fase se establecen los objetivos de mejora en base a un análisis de brechas entre
el nivel de capacidad actual de los procesos y el deseado, el estado actual de la empresa
se obtiene mediante una evaluación de nivel de capacidad mediante la herramienta PAM
del marco de referencia COBIT 5. Algunas de las soluciones propuestas serán
fácilmente aplicables, mientras que otras serán un reto. Es necesario priorizar las
soluciones que son más fáciles de alcanzar y que aparentemente aportan mayores
beneficios. Posteriormente se debe describir un plan de alto nivel con las potenciales
soluciones.
NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS
Descripción: Diagrama que indica el nivel de capacidad deseado en cada proceso.
Propósito: Mostrar la brecha entre la nivel actual y el nivel deseado.
Alcance: Solo se consideraron los procesos seleccionados.
Como primera actividad de esta fase se ha definido cuál va a ser el nivel de capacidad
que se quiere lograr alcanzar mediante este proyecto. Se ha tomado en cuenta los
procesos evaluados en la fase anterior, es decir, los que tienen una relación del tipo
primario con logro de las metas relacionadas a TI. En el gráfico a continuación, se
puede observar el nivel de capacidad actual de los procesos dentro del alcance y el
nivel deseado para cada uno de ellos.
Ilustración 17: Nivel de capacidad de los procesos de la empresa IT-Expert
114
Fuente: Elaboración propia
Se puede apreciar que la mayoría de los procesos tienen una calificación P
(Parcialmente Alcanzado) a excepción del proceso APO09 en el nivel de capacidad
uno. Según el modelo de evaluación elegido (PAM), para alcanzar un nivel de
capacidad dos es necesario primero tener una calificación L (Largamente Alcanzado) o
F (Completamente Alcanzado) en el nivel de capacidad uno. Por ese motivo, se ha
decidido que el nivel de capacidad deseado es el nivel uno, pero con una calificación
aprobatoria necesaria para que en un futuro se pueda apuntar al nivel siguiente. Lo que
se quiere alcanzar al finalizar este proyecto es que los procesos obtengan una
calificación F en el nivel uno de capacidad.
LISTA DE OPORTUNIDADES DE MEJORA
Descripción: Contiene la relación de oportunidades de mejoras obtenidas del análisis de
brechas de los niveles de capacidad actuales y deseados.
Propósito: La implementación de las oportunidades de mejora sirve para alcanzar el
nivel de capacidad deseado.
NIVEL DESEADO
NIVEL ACTUAL
115
Alcance: Propuestas de mejora para todos los procesos del dominio APO
Para alcanzar la calificación definida en el punto anterior, se han identificado una serie
de oportunidades de mejora, las cuales serán listadas en el siguiente cuadro.
Tabla 12: Lista de oportunidades de mejora para la empresa IT-EXPERT
CODIGO NOMBRE DESCRIPCION
OP01 Rediseño del modelo de
procesos
Se rediseñan los procesos ya implementados en la empresa,
teniendo en cuenta las prácticas de gestión propuestas por COBIT
5. Así como otros marcos de referencias y estándares con los
cuales se relaciona COBIT.
OP02 Modelado de procesos Se modelaran los procesos que no se encuentren definidos como
parte de la propuesta del modelo de gestión.
OP03 Definición de políticas Se crearan las políticas necesarias para la supervisión y control
del cumplimiento de los objetivos estratégicos y el alineamiento
de estos objetivos con los objetivos de TI.
OP04 Creación de plantillas de
entregables
Elaboración de plantillas de los entregables sugeridos por COBIT
para cada proceso de gestión con el fin de facilitar la
implementación del modelo propuesto.
OP05 Implementación de un
sistema de gestión de
calidad
Conjunto de procedimientos documentados necesarios para
implantar la Gestión de la Calidad, partiendo de una estructura
organizativa y de unos recursos determinados. Basado en la ISO
9001
OP06 Implementación de un
sistema de seguridad de la
información
Conjunto de políticas sobre la gestión de la información, Basado
en la ISO 27001
Fuente: Elaboración propia
116
Algunas de las mejoras afectan a varios procesos, mientras que otras solo ayudan a
mejorar la calificación de ciertos procesos específicos. A continuación, se muestra el
alcance con relación a los procesos de cada una de las oportunidades de mejoras
identificadas.
Tabla 13: Mapeo Procesos APO - Oportunidades de Mejora de la empresa IT-Expert
Mapeo Procesos APO - Oportunidades de Mejora
Oportunidades de mejora
Procesos OP01 OP02 OP03 OP04 OP05 OP06
APO01
APO02
APO03
APO04
APO05
APO07
APO08
APO09
APO10
APO11
APO12
APO13
Fuente: Elaboración propia
Ahora que se cuenta con las oportunidades de mejora identificadas, es necesario
priorizarlas. Para esto, se definido utilizar un método de priorización basado en la
117
dificultad de la implantación y el impacto en la organización. De esta manera, se logrará
identificar que oportunidades de mejora son las que son más fáciles de aplicar y mejores
beneficios aportan.
Dificultad de la Implantación
La dificultad en la implantación de una acción de mejora puede ser un factor clave a
tener en cuenta, puesto que puede llegar a determinar la consecución, o no, del mismo.
Se procederá a priorizarlas de menor a mayor grado de dificultad.
Dificultad
1 MUCHA 2 BASTANTE 3 POCA 4 NINGUNA
Impacto en la Organización
Se define como el resultado de la actuación a implantar, medido a través del grado de
mejora conseguido (un cambio radical tiene un impacto mucho mayor que pequeños
cambios continuos). Es importante también tener en cuenta el grado de despliegue al
que afecta la medida. Si ésta afecta a varias titulaciones su impacto será mayor y la
prioridad también deberá serlo.
Impacto
1 NINGUNO 2 POCO 3 BASTANTE 4 MUCHO
Prioridad de la Mejora
La prioridad será calcula mediante la suma del valores determinados de la dificultad de
implantación y el impacto en la organización de la oportunidad de mejora.
PRIORIDAD = DIFICULTAD + IMPACTO
118
A continuación se muestra el resultado de aplicar este método de priorización, del cual
se puede apreciar que las oportunidades de mejora con un nivel de prioridad alto son:
“OP01-Rediseño del modelo de procesos de procesos” y “OP02-Modelado de
procesos”.
Tabla 14: Priorización de oportunidades de mejora para la empresa IT-Expert
Priorización de oportunidades de mejora
Procesos Dificultad Impacto Prioridad
OP01 4 4 8
OP02 3 4 7
OP03 1 3 4
OP04 2 3 5
OP05 1 3 4
OP06 1 3 4
Fuente: Elaboración propia
CUADRO INTEGRADO DE MEJORA
Descripción: Cuadro de resumen que integra la calificación del nivel de capacidad
actual de los procesos, el nivel deseado y las oportunidades de mejora identificadas en
el punto anterior.
Propósito: Mostrar de manera resumida los tres puntos anteriormente desarrollados.
Alcance: solo se utilizaron como datos de entrada los tres puntos anteriormente
desarrollados.
119
El siguiente cuadro muestra nos da una visión global de todo lo desarrollado en esta
fase. Se puede apreciar la calificación del nivel de capacidad evaluado de cada proceso,
así como, la calificación del nivel deseado. También, se aprecia las oportunidades de
mejoras y su impacto sobre los procesos a mejorar, así como, su prioridad en base al
color de cada una.
120
Tabla 15: Cuadro integrado de mejora para la empresa IT-Expert
Cuadro integrado de mejora
ID Proceso Nombre del Proceso Oportunidades de mejora Nivel 1
Nivel
2
Nivel
3
Nivel
4
Nivel
5 Nivel Deseado
Alin
ear,
Pla
near
y O
rgan
izar
APO01 Gestionar el Marco de Gestión de TI OP01 OP03 OP04
P Nivel 1 (F)
APO02 Gestionar la Estrategia OP02 OP03 OP04
P Nivel 1 (F)
APO03 Gestionar la Arquitectura Empresarial OP01 OP03 OP04
N Nivel 1 (F)
APO04 Gestionar la Innovación OP01 OP03 OP04
N Nivel 1 (F)
APO05 Gestionar Portafolio OP01 OP03 OP04
P Nivel 1 (F)
APO07 Gestionar los Recursos Humanos OP02 OP04
P Nivel 1 (F)
APO08 Gestionar las Relaciones OP01 OP03 OP04
P Nivel 1 (F)
APO09 Gestionar los Acuerdos de Servicio OP01 OP03 OP04
L Nivel 1 (F)
APO10 Gestionar los Proveedores OP01 OP03 OP04
P Nivel 1 (F)
APO11 Gestionar la Calidad OP02 OP04 OP05
P Nivel 1 (F)
APO12 Gestionar el Riesgo OP02 OP04
P Nivel 1 (F)
APO13 Gestionar la Seguridad OP02 OP03 OP04 OP06
P Nivel 1 (F)
Fuente: Elaboración propia
Leyenda
OP
Número de la oportunidad de mejora asociado es de alto nivel
OP
Número de la oportunidad de mejora asociado es de medio nivel
OP
Número de la oportunidad de mejora asociado es de bajo nivel
121
PLAN DE MEJORAMIENTO DE ALTO NIVEL
Descripción: Plan de alto nivel para la implementación de las mejoras identificadas en
el análisis de brechas.
Propósito: Sirve de guía para el desarrollo de un plan de implementación detallado de
las mejoras e identificadas
Alcance: Abarca la implementación de las oportunidades de mejora OP01 “Rediseño
del modelo de procesos de procesos”, OP02 “Modelado de procesos” y OP4 “Creación
de plantillas de entregables”
Una vez priorizadas las oportunidades de mejoras, se realiza un plan de mejoramiento
de alto el cual debe contener la hoja de ruta que indicará cuándo y cuánto tiempo tomará
la implantación de cada oportunidad de mejora presentes en el alcance del plan. El
alcance del plan de mejoramiento abarca las oportunidades de mejora: “OP01-Rediseño
del modelo de procesos de procesos”, “OP02-Modelado de procesos” y “OP04-
Creación de plantillas de entregables “, las cuales se desarrollarán en el ciclo académico
2014-2 según la siguiente hoja de ruta.
Tabla 16: Hoja de ruta del proyecto IMGETI
Hoja de ruta
Semana
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
OP01
OP02
OP04
Fuente: Elaboración Propia
Las oportunidades de mejoras principales son el resultado de haber realizado una
evaluación teniendo en cuenta la dificultad de la implementación de la oportunidad de
122
mejora y el impacto positivo que puede causar está a la empresa IT-Expert. En esta fase
se crea un plan de mejoramiento de alto nivel que contiene las oportunidades de mejoras
principales obtenidas, para luego definir planes o programas de mejoras específicos que
luego de una evaluación serán puestos en marcha en la fase cinco. Cada plan o
programa de mejora detallado está relacionado a los diferentes habilitadores del modelo
COBIT5. En este sentido, el plan de mejora detallado que brinde mayor valor y facilite
el cumplimento de los objetivos de la empresa será el elegido para la implementación.
123
FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS
BRECHAS
La fase cuatro del proyecto IMGETI se enfoca en la definición de los planes de mejora
detallados o programas que se proponen para la empresa IT-Expert a partir de las
soluciones de alto nivel. Además, en este proceso se define cuál de estos programas
propuestos provee mayor valor a la empresa y que ayude al cumplimiento de los
objetivos estratégicos, con la priorización de las iniciativas potenciales se deben
desarrollar proyectos de grandes beneficios y fáciles de implementar. Además, con el
fin de evitar la duplicación de esfuerzos se debe mantener reuniones con los Jefes de
diferentes proyectos y la gerencia de IT-Expert.
Priorizar las iniciativas potenciales
Para realizar la justificación del proyecto IMGETI se definen con la Gerencia de la
empresa que procesos van a ser revisados sin cruzar información con los diferentes
proyectos que se implementaran. La empresa cuenta con dos procesos, Gestión de
Riesgo y Gestión de Servicios, existentes que serán redefinidos e implementados por un
proyecto. Además, hay otros proyectos relacionados a la Seguridad de Información y
Arquitectura empresarial de IT-Expert que usaran diferentes Marcos de referencias,
Normas o Frameworks.
Finalmente existe un proyecto que implementara el dominio de DSS (Entregar, dar
Servicio y Soporte) de COBIT 5, para este último se tuvo en cuenta un grupo de
actividades y reuniones que ayudan a tener los proyectos con el marco COBIT 5
alineados y comunicados.
Para el resto de proyectos se realiza una matriz que describe la relación que hay entre
COBIT5 y las diferentes herramientas utilizadas por estos proyectos. Ya que COBIT 5
es un marco de referencia que en su desarrollo consideró estándares y marcos de
referencia24, se realizó un mapeo de herramientas para entender la relación e
24 “COBIT 5 se desarrolló teniendo en cuenta un número considerable de estándares y
marcos de referencia” Cfr. COBIT Un marco de negocio para el gobierno y la gestión
de las TI de la empresa 2012:60
124
integración entre la parte estratégica de la empresa y los proyectos de implementación
que no están basados en COBIT 5.
Tabla 17: Mapeo de COBIT5 vs Herramientas
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
APO01 Gestionar el
marco de
gestión de TI
3.1
Responsabilidad
de la dirección
4.4 Mejora
continua
6. Organización
de la Seguridad
de la
Información
25. 7 Pasos para
la Mejora de
Procesos
APO02 Gestionar la
estrategia
4.0 Planificación
e
implementación
de la gestión del
servicio
5.0 Planificación
e
implementación
de servicios
nuevos o
modificados
1 Creación de la
Estrategia
125
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
APO03 Gestionar la
arquitectura
empresarial
El núcleo de
TOGAF es el
Método de
Desarrollo de la
Arquitectura
(ADM
Architecture
Development
Method en
inglés) que está
relacionado con
las prácticas de
desarrollo de una
visión de la
arquitectura
(ADM Fase A),
con la definición
de arquitecturas
de referencia
(ADM Fases B, C,
D), con la
selección de
oportunidades y
soluciones (ADM
Fase E) y con la
definición de la
implementación
de la
arquitectura
(ADM Fases F,
126
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
G). Varios de los
componentes de
TOGAF se
corresponden
con las prácticas
de COBIT 5 de
provisión de
servicios de
arquitectura
empresarial.
Entre ellas se
incluyen la
Gestión de
Requerimientos
ADM, Principios
de la
Arquitectura,
Gestión de
Partes
Interesadas,
Evaluación de la
Preparación para
la
Transformación
del Negocio,
Gestión de
Riesgos,
Planificación
Basada en
Capacidad,
127
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
Cumplimiento de
Arquitectura y
Contratación en
Arquitectura.
APO04 Gestionar la
innovación
APO05 Gestionar el
portafolio
3.1
Responsabilidad
de la Dirección
4.0 Planificación
e
implementación
de la gestión del
servicio
5.0 Planificar e
3. Gestión del
Portafolio de
Servicios
Marco de
Habilidades para
la Era de la
Información
(Skills
Framework for
the Information
Age, SFIA)
128
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
implementar
servicios nuevos
o modificados
APO06 Gestionar el
presupuesto y
los costes
1.4.
Presupuestar y
contabilizar los
servicios de TI
2. Gestión
Financiera
APO07 Gestionar los
recursos
humanos
8. Seguridad de
los Recursos
Humanos
SFIA - Referencia
de habilidades
APO08 Gestionar las
relaciones
7.2 Gestión de
las relaciones
con el negocio
2 Gestión de la
Demanda
APO09 Gestionar los
acuerdos de
servicio
5.0 Planificar e
implantar
servicios nuevos
o modificados
6.0 Gestión del
nivel del servicio
2. Gestión de la
Demanda
3. Gestión de la
Cartera de
Servicios
5. Gestión del
Catálogo de
Servicios
6. Gestión del
Nivel del Servicio
26. Informes del
129
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
Servicio
APO10 Gestionar los
proveedores
7.3 Gestión de
proveedores
11. Gestión de
proveedores
Cuerpo de
Conocimiento de
Gestión de
Proyectos
(Project
Management
Body of
Knowledge -
PMBOK)
Procesos de
adquisiciones del
PMBOK
APO11 Gestionar la
calidad
ISO/IEC
9001:2008
130
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
APO12 Gestionar el
riesgo
ISO/IEC
27002:2011
ISO/IEC
27001:2005
Sistemas de
gestión de la
seguridad de
información—
Requerimientos,
Sección 4
ISO/IEC 31000 6.
Procesos para la
Gestión del
Riesgo
APO13 Gestionar la
seguridad
ISO/IEC
27002:2011
Diseño de
Servicio, 4.7
Gestión de la
Seguridad de la
Información.
ISO/IEC
27001:2005
Sistemas de
gestión de la
seguridad de
información—
Requerimientos,
Sección 4
NIST (National
Institute of
Standards and
Technology)
SP800-53
Controles de
Seguridad
Recomendados
para Sistemas de
Información
131
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
Federales de
EE.UU.
Fuente: Elaboración propia
Mediante esta tabla de relación que hay entre el Marco de referencia COBIT5 y las
demás herramientas Se podrá obtener la relación que existe entre las herramientas
usadas por los diferentes proyectos de la empresa IT-Expert y el proyecto IMGETI
basado en COBIT5 y así ver cómo se puede trabajar de forma integral con los demás
proyectos. Luego de realizar una reunión con los demás proyectos y coordinar con la
gerencia de IT-Expert y el Cliente Gerente se definieron los procesos que se
propusieron en el proyecto IMGETI:
Oportunidades de Mejora
Modelo de procesos
Gestionar el marco gestión de TI
Rediseño de modelo de procesos
Gestionar la arquitectura empresarial
132
Gestionar Portafolio
Gestionar los Recursos Humanos
Cada proceso representa un plan de mejora detallado, la selección de estos procesos fue
el resultado de reuniones en las que se tomó en cuenta principalmente el valor que su
implementación daría a la empresa. A continuación se presentarán las definiciones de
procesos que se proponen a la empresa IT-Expert, las cuales han sido revisadas por la
empresa de apoyo Quality Services. La definición de procesos del segundo nivel están
anexadas en el documento, estos procesos presentan la las actividades correspondientes
al modelo COBIT5.
Procesos propuestos para implementación
DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN
DE TI
Descripción
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar
y mantener mecanismos y autoridades para la gestión de la información y el uso de TI
en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y
los principios rectores.
Propósito
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
gobierno corporativo e incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y
competencias.
Alcance
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la
empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO
(Alinear Planear y Organizar)
133
Descripción del proceso
Declarativa
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en
la gestión del marco de gestión de TI.
Definir la estructura organizativa.
Establecer roles y responsabilidades.
Mantener los elementos catalizadores del sistema de gestión.
Comunicar los objetivos y la dirección de gestión.
Optimizar la ubicación de la función de TI.
Definir la propiedad de la información (datos) y del sistema.
Gestionar la mejora continua de los procesos.
Mantener el cumplimiento con las políticas y procedimientos.
Roles
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y
el área funcional a la que pertenece.
Rol Descripción Área funcional
Gestor de
arquitectura de TI
Implementar la redefinición de
procesos. Rediseño de procesos
priorizando las iniciativas para la
mejora del proceso y rediseñar los
procesos para cumplir con las políticas
y procedimientos.
Operaciones
Analista de riesgos Aplicar las medidas necesarias para
mantener un control de riesgos,
Riesgo de operaciones
134
Rol Descripción Área funcional
garantizar un adecuado control en los
procesos.
Analista de
seguridad
Aplicar los objetivos de TI a la
seguridad de información en la
empresa, las medidas de mejora para la
seguridad de información y adoptar las
acciones necesarias para realizar los
procesos relacionados a la seguridad
de información adoptando las políticas
y procedimientos propuestos.
Seguridad de información
Gerente alumno Encargado de desarrollar diferentes
actividades como desarrollar las
actividades en la definición,
alineación y el establecimiento de una
estructura organizativa, definir los
roles y las responsabilidades, integrar
los principios de TI con los del
negocio entre otras actividades.
Gerencia
Gerente de
servicios
Considerar las maneras de mejorar la
eficiencia mediante la priorización de
acciones para realizar la mejora
continua y adoptar las acciones
necesarias para realizar el soporte de
servicios adoptando las políticas y
procedimientos propuestos.
Gerencia
Stakeholders
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Toma de decisiones y gobierno de la empresa IT-Expert
135
Gerente general Gerente de la empresa que requiere la información a nivel
estratégica desplegada para su consulta.
Gerente profesor Encargado de aprobación y consulta sobre los diferentes
procesos en la empresa IT-Expert
Entradas del proceso
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve
descripción y el encargado de elaborar el mismo.
Entradas Descripción Encargado de
Elaboración
Modelo de arquitectura de
procesos
Modelo de arquitectura de procesos para la definición
de procesos en la empresa IT-Expert.
Gobierno - Comité
Niveles de autoridad
asignados
Niveles de autoridad a cada usuario asignado a los
diferentes roles en la empresa IT-Expert.
Gobierno - Comité
Roles y responsabilidades
asignados
Roles, Perfiles y Responsabilidades asignados a los
diferentes procesos en la empresa IT-Expert.
Gerencia
Principios de gobierno
corporativo
Reglas de negocio con la cultura y principios por
parte del Gobierno y comité de las empresas.
Gobierno - Comité
Comunicación de gobierno
corporativo
Información con los diferentes requerimientos de
parte del Gobierno y comité de las empresas.
Gobierno - Comité
Principios, Comunicados y
Políticas
Principios, comunicados y políticas de la dirección
de la empresa por el Gobierno y comité de las
empresas.
Gobierno - Comité
Estrategia del negocio Estrategia de negocio de las empresa, contienen los
objetivos de negocio y requerimientos de las partes
interesadas.
Gobierno - Comité
Políticas y procedimientos Políticas y procedimientos para identificar los
procesos críticos.
Gerencia
136
Entradas Descripción Encargado de
Elaboración
Políticas y procedimientos Políticas y procedimientos para realizar el
seguimiento y cumplimiento de las obligaciones de
todos los empleados.
Gerencia
Salidas de proceso
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve
descripción y el encargado de elaborar el mismo.
Salidas Descripción Encargado
Definición de estructura y
funciones organizativas
Definición de funciones en la empresa IT-Expert,
definición de la estructura de la empresa IT-Expert.
Gerencia
Directrices operativas de la
organización
Normas y directrices de las operaciones internas en la
organización.
Gerencia
Reglas básicas de
comunicación
Reglas de negocio en la comunicación con el
Gobierno o comité de la empresa IT-Expert.
Gerencia
Definición de roles y
responsabilidades
Documento en el que se encuentra la definición de
roles y responsabilidades de cada empleado en la
empresa IT-Expert.
Gerencia
Políticas relativas a TI Reglas de negocio con la tecnología de información
dentro de la empresa.
Gerencia
Comunicación de objetivos
de TI
Documento con los objetivos de TI en la empresa. Riesgo de
operaciones
Definir la función
operacional de las funciones
de TI
Definición de las actividades y funciones que se
realizan a nivel operacional relacionadas a TI.
Gerencia
137
Salidas Descripción Encargado
Evaluación de las opciones
para la organización de TI
Opciones de la organización de TI para la empresa.
Incluye una evaluación de la estrategia empresarial.
Gerencia
Directrices para el control y
seguridad de datos
Políticas y reglas de negocio para realizar el control
y mantener segura la información.
Gerencia
Evaluación de capacidad de
procesos
Evaluación mediante las herramientas de Cobit5 para
obtener el nivel de capacidad de la empresa.
Gerencia
Objetivos y métricas de
rendimiento
Objetivos y métricas de rendimiento para el
seguimiento de la mejora de procesos
Operaciones
Acciones de remediación
para el no cumplimiento
Acciones apropiadas para la remediación del no
cumplimiento, esto incluye cambio de
requerimientos.
Gerencia
Caracterización
ID Entrada Actividad Salida Descripción Responsa
ble
A.0 … Inicio Necesidad de
Marco de
Gestión de TI
Necesidad de
Gestionar el Marco de
Gestión de TI
Gerente
alumno
A.1 Modelo de
arquitectura de
procesos
A.1.Definir la
estructura
organizativa.
Definición de
estructura y
funciones
organizativas /
Directrices
operativas de la
organización /
Reglas básicas
de
comunicación
Establecer una
estructura
organizativa interna y
extensa que refleje las
necesidades del
negocio y las
prioridades de TI.
Implementar las
estructuras de gestión
requeridas (p. ej.,
comités) para permitir
que la toma de
Gerente
alumno
138
ID Entrada Actividad Salida Descripción Responsa
ble
decisiones se lleve a
cabo de la forma más
eficaz y eficiente
posible.
A.2 Niveles de
autoridad
asignados /
Roles y
responsabilida
des asignados
Establecer roles
y
responsabilidad
es
Definición de
roles y
responsabilidad
es
Establecer, acordar y
comunicar roles y
responsabilidades del
personal de TI, así
como de otras partes
interesadas con
responsabilidades en
las TI corporativas,
que reflejen
claramente las
necesidades generales
del negocio y los
objetivos de TI, así
como la autoridad, las
responsabilidades y la
rendición de cuentas
del personal relevante.
Gerente
alumno
A.3 Principios de
gobierno
corporativo
Mantener los
elementos
catalizadores del
sistema de
gestión
Políticas
relativas a TI
Mantener los
elementos
catalizadores del
sistema de gestión y
del entorno de control
de la TI de la empresa
y garantizar que están
integrados y alineados
con la filosofía y el
estilo operativo de
Gerente
alumno
139
ID Entrada Actividad Salida Descripción Responsa
ble
gobierno y de gestión
de la empresa. Estos
elementos
catalizadores incluyen
una comunicación
clara de
expectativas/requisito
s. El sistema de
gestión debería
fomentar la
cooperación
interdepartamental y
el trabajo en equipo,
promover el
cumplimiento y la
mejora continua y
tratar las desviaciones
en el proceso
(incluidos los fallos).
A.4 Comunicación
de gobierno
corporativo /
Principios,
Comunicados
y Políticas
Comunicar los
objetivos y la
dirección de
gestión
Comunicación
de objetivos de
TI
Comunicar la
sensibilización y la
comprensión de los
objetivos y la
dirección de TI a las
partes interesadas y
usuarios pertinentes a
lo largo de toda la
empresa.
Gerente
alumno /
Analista de
riesgos /
Analista de
seguridad
140
ID Entrada Actividad Salida Descripción Responsa
ble
A.5 Estrategia del
negocio
Optimizar la
ubicación de la
función de TI
Definir la
función
operacional de
las funciones de
TI / valuación
de las opciones
para la
organización de
TI
Posicionar la
capacidad de TI en la
estructura
organizativa global
para reflejar en el
modelo de empresa la
importancia de TI en
la organización,
especialmente su
criticidad para la
estrategia empresarial
y el nivel de
dependencia de TI. La
línea de reporte del
CIO debe ser
proporcional a la
importancia de las TI
en la empresa.
Gerente
alumno
A.6 Necesidad de
definir la
propiedad de
la información
y del sistema
A.6.Definir la
propiedad de la
información y
del sistema
Directrices para
el control y
seguridad de
datos
Definir y mantener las
responsabilidades de
la propiedad de la
información (datos) y
los sistemas de
información.
Asegurar que los
propietarios toman
decisiones sobre la
clasificación de la
información y los
sistemas y su
protección de acuerdo
con esta clasificación.
Gerente
alumno
141
ID Entrada Actividad Salida Descripción Responsa
ble
A.7 Políticas y
procedimiento
s
Gestionar la
mejora continua
de los procesos
Evaluación de
capacidad de
procesos /
Objetivos y
métricas de
rendimiento
Evaluar, planificar y
ejecutar la mejora
continua de procesos
y su madurez para
asegurar que son
capaces de entregarse
conforme a los
objetivos de la
empresa, de gobierno,
de gestión y de
control. Considerar
las directrices de la
implementación de
procesos de COBIT,
estándares
emergentes,
requerimientos de
cumplimiento,
oportunidades de
automatización y la
realimentación de los
usuarios de los
procesos, el equipo
del proceso y otras
partes interesadas.
Actualizar los
procesos y considerar
el impacto en los
catalizadores del
proceso.
Gerente
alumno /
Gestor de
arquitectur
a de TI /
Gerente de
servicios /
Analista de
seguridad
142
ID Entrada Actividad Salida Descripción Responsa
ble
A.8 Políticas y
procedimiento
s
Mantener el
cumplimiento
con las políticas
y
procedimientos
Acciones de
remediación
para el no
cumplimiento
Poner en marcha
procedimientos para
mantener el
cumplimiento y
medición del
funcionamiento de las
políticas y otros
catalizadores del
marco de referencia;
hacer cumplir las
consecuencias del no
cumplimiento o del
desempeño
inadecuado. Seguir las
tendencias y el
rendimiento y
considerarlos en el
diseño futuro y la
mejora del marco de
control.
Gerente
alumno /
Gestor de
arquitectur
a de TI /
Gerente de
servicios /
Analista de
seguridad
A.9 Marco de
gestión de TI
Gestionado
Fin … Fin del proceso Gerente
alumno /
Gestor de
arquitectur
a de TI /
Gerente de
servicios /
Analista de
seguridad
Diagrama de proceso
Ilustración 18: Proceso Gestionar el Marco Gestión de TI – (Propuesta)
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA
EMPRESARIAL
Descripción
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y
mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la
empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los
principios rectores.
Propósito
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades
organizativos, actividades fiables y reproducibles y habilidades y competencias.
Alcance
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa
IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear
y Organizar)
Descripción del proceso
Declarativa
Establecer una arquitectura común compuesta por los procesos de negocio, la información,
los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y
eficiente para la realización de las estrategias de la empresa y de TI mediante la creación
de modelos clave y prácticas que describan las líneas de partida y las arquitecturas
objetivo.
Roles
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
145
Rol Descripción Área funcional
Gestor de la
Arquitectura
Es el encargado de asegurar la
integridad de la arquitectura, en
términos de abordar adecuadamente
todos los intereses de las partes
interesadas mediante compensaciones
eficientes (Por ejemplo, seguridad vs
rendimiento)
Área de Tecnologías de la
Información
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Gerente general de IT-Expert Tiene interés en que la arquitectura empresarial este alineada
con los objetivos de la empresa
Gestor de la Arquitectura Tiene la responsabilidad del diseño arquitectónico y la
documentación del modelo de referencia desde un perspectiva
más alta hasta un nivel netamente técnico
Entradas del proceso
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Petición de Trabajo de
Arquitectura
Existe una necesidad de
realizar un cambio en la
arquitectura empresarial actual.
Encargado del área solicitante
Salidas del proceso
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
146
Salida Descripción Encargado de Elaboración
Publicación de documentos
post-implementación
Es necesario, después de
implementar las soluciones que
permitieron alcanzar la
arquitectura objetivo, publicar
las guías de soporte y uso de la
arquitectura actualizadas, así
como, los reportes de los
indicadores establecidos
Gestor de la Arquitectura
Caracterización
ENTRADA ACTIVIDAD SALIDA DESCRIPCIÓN RESPONSABLE
0. Inicio
Petición de
Trabajo de
Arquitectura
Existe una necesidad de
realizar un cambio en la
arquitectura empresarial
Encargado del
área solicitante
Petición de
Trabajo de
Arquitectura
1. Desarrollar la
visión de la
arquitectura de
empresa
Visión de la
Arquitectura
Principios de
arquitectura
Se desarrolla la visión de la
arquitectura, la cual
proporciona una primera
descripción de alto nivel de
las arquitecturas de actual y
objetivo, cubriendo los
dominios de negocio,
información, datos,
aplicaciones y tecnología
Gestor de la
Arquitectura
Visión de la
Arquitectura
Principios de
arquitectura
2. Definir la
arquitectura de
referencia
Definición de
la arquitectura
Se define la arquitectura de
referencia, la cual describe
la situación actual y el
objetivo de la arquitectura
de manera más detallada
para los dominios negocio,
información, datos,
Gestor de la
Arquitectura
147
aplicaciones y tecnología
Definición de la
arquitectura
3. Seleccionar
las
oportunidades y
las soluciones
Plan de
implementació
n y migración
Se analizan las diferencias
entre las arquitecturas de
referencia y objetivo,
considerando tanto la
perspectiva técnica como la
del negocio y agrupándolos
a ambos en paquetes de
trabajo del proyecto
Gestor de la
Arquitectura
Plan de
implementación
y migración
4. Definir la
implantación de
la
arquitectura
Requisitos de
gobierno de la
arquitectura
Se detalla el plan de
implementación y de
migración validando que se
cuenten con los recursos
necesarios para su ejecución
Gestor de la
Arquitectura
Requisitos de
gobierno de la
arquitectura
5. Proveer los
servicios de
arquitectura
empresarial
Publicación de
documentos
post-
implementació
n
Abarca las guías y
supervisión de los proyectos
a implementar, así como, la
medición y comunicación
de los valores aportados por
la arquitectura
Gestor de la
Arquitectura
Publicación de
documentos
post-
implementación
6. Fin
Diagrama del proceso
Ilustración 19: Proceso Gestionar la Arquitectura Empresarial – (Propuesta)
148
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO
Descripción
Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de
la arquitectura empresarial, las características deseadas de inversión, los portafolios de
servicios relacionados, considerar las diferentes categorías de inversión en recursos y las
restricciones de los mismos. Evaluar, priorizar y equilibrar programas y servicios,
gestionar la demanda con los recursos y restricciones de estos, basados en su alineamiento
con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los
proyectos seleccionados al portafolio de proyectos activos listos para ser ejecutados.
Supervisar el rendimiento global del portafolio de proyectos, proponiendo ajustes si fuesen
necesarios en respuesta al rendimiento de estos o al cambio en las prioridades de IT-
Expert.
Propósito
Optimizar el rendimiento del portafolio global de proyectos en respuesta al rendimiento de
estos y el valor que brinden a la empresa y a las cambiantes prioridades y demandas
corporativas.
Alcance
149
Muestra los procesos necesarios para la gestión de portafolios de proyectos para la empresa
IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear
y Organizar)
Descripción del proceso
Declarativa
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la
gestión de portafolios de proyectos.
Establecer la mezcla del objetivo de inversión
Determinar la disponibilidad y las fuentes de recursos
Evaluar y seleccionar los programas a realizar
Supervisar, optimizar e informar sobre el rendimiento del portafolio de proyectos
Mantener los portafolios
Gestionar la obtención de beneficios
Roles
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno
Realiza funciones de relación entre el
proyecto y objetivos, realización del equilibro
en la inversión y el proyecto para establecer
una estrategia donde se alinean los objetivos
de los proyectos con el objetivo de la empresa
Gerencia
Establece la disponibilidad de los recursos
para los proyectos y determina la implicación
Gerencia
150
del uso de esto en cada proyecto
Realiza las actividades para identificar la
brecha entre el avance de los proyectos y
como estos responden al uso de recursos en la
empresa. Además, brinda un informe al
comité del avance de los proyectos para luego
determinar hitos, asignar recursos, registrar en
el portafolio de proyectos los proyectos
activos y aceptados
Gerencia
Encargado de realizar actividades para
supervisas los portafolios de proyectos y
evaluar posibles cambios en caso surgiesen
estos, controlar avance de los proyectos y
enviar para una revisión al comité
Gerencia
Crear y mantener los proyectos de IT-Expert,
delegar estos a responsables de servicios,
recursos humanos y Jefes de proyectos
Gerencia
Usar métricas para revisar avance de
proyectos, cumplimiento entre otros métodos
de evaluación e implementar acciones
correctivas
Gerencia
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité
Encargado de evaluar el avance de los proyectos y como
estos sustentan sus objetivos al alineamiento del objetivo
de la empresa IT-Expert
151
Evaluar el avance y cumplimiento de los proyectos con
respecto a sus resultados
Gerente profesor
El Gerente profesor se encarga de validar las inversiones
de recursos para los proyectos tomando como referencia el
alcance de estas
Verifica e identifica las opciones de recursos para los
proyectos
Encargado de establecer los procedimientos para la
evaluación de los proyectos luego del feedback del comité
para que estos se lleven a cabo de forma eficiente
Identificar la desviación del proyecto real y estimado para
evaluar la brecha de incumplimiento y evaluar el proyecto
bajo otras métricas de control
Eliminar proyectos alcanzados o superados
Considerar la orientación a expertos asesores o fuentes de
información para el apoyo a los proyectos con necesidad
de apoyo
Entradas del proceso
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de
Elaboración
Propuesta de proyecto Propuesta del proyecto a realizar para
la empresa IT-Expert Gerencia
Principios de la
empresa (objetivo,
misión visión)
Principios con el objetivo estratégico
de IT-Expert, la Misión y la Visión
de la empresa
Gerencia
152
Entrada Descripción Encargado de
Elaboración
Definición objetivo
estratégico de IT-
Expert
Objetivo estratégico de IT-Expert
para realizar la alineación con el
objetivo del proyecto mediante el uso
de la TI
Gerencia
Observaciones a la
estrategia y a las metas
del proyecto
Objetivos de los proyectos alineados
y bien integrados al objetivo
estratégico de IT-Expert
Gerencia
Expectativas de retorno
de inversión de
recursos
Información de resultados del
proyecto para la empresa IT-Expert
(Implementación de un Modelo,
Solución, Aplicativo, etc...)
Gerencia
Criterios de evaluación
Criterios para evaluar la los
beneficios del proyecto, los riesgos
del proyecto, el impacto del proyecto
en la empresa
Gerencia
Portafolio de proyectos Portafolio de proyectos aprobados
para desarrollar Gerencia
Feedback revisión de
portafolio de proyectos
Retorno con la evaluación de los
proyectos Comité
Portafolio de proyectos
Conjunto de proyectos con
información general de estos
(Avance, Objetivos, Indicadores,
etc...)
Gerencia
Resultados de
supervisión
Resultados de la supervisión de los
resultados de las métricas
establecidas en los proyectos
Gerencia
153
Salidas del proceso
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de
Elaboración
Observaciones a la
estrategia y a las metas
del proyecto
Objetivos de los proyectos alineados y
bien integrados al objetivo estratégico
de IT-Expert
Gerencia
Expectativas de retorno
de inversión de
recursos
Información de resultados del proyecto
para la empresa IT-Expert
(Implementación de un Modelo,
Solución, Aplicativo, etc...)
Gerencia
Comunicado de
proyectos a realizar
Portafolio de proyectos aprobados para
desarrollar Comité
Proyectos
seleccionados con hitos
y retorno de inversión
Proyectos con retorno de inversión de
recursos, con resultados positivos a
mejorar la empresa IT-Expert
Gerencia
Resultado de la
revisión del cambio
Información con el cambio realizado en
el proyecto y el ajuste realizado sin que
afecte la integración con el objetivo
estratégico de la empresa IT-Expert
Gerencia
Informe de rendimiento
de portafolios
Informe con avance real y planeado de
los proyectos con evidencia de las
actividades establecidas en el
cronograma
Gerencia
Dashboard métricas de
proyectos de
portafolios
Tablero de control del avance de los
proyectos a lo largo del ciclo Gerencia
Portafolio de proyectos
actualizados
Conjunto de proyectos con información
general de estos (Avance, Objetivos,
Gerencia
154
Salida Descripción Encargado de
Elaboración
Indicadores, etc..) actualizados
Acciones correcticas
implementadas
Ejecución de medidas de mitigación al
proyecto con resultados negativos Gerencia
Caracterización
ID Entrada Actividad Salida Descripción Responsable
C.0 … Inicio
Proyecto
propuesta /
Principios de
la empresa
(objetivo,
misión visión)
/ Definición
objetivo
estratégico de
IT-Expert
Inicio del proceso Gerencia
155
ID Entrada Actividad Salida Descripción Responsable
C.1
Proyecto
propuesta /
Principios de
la empresa
(objetivo,
misión visión)
/ Definición
objetivo
estratégico de
IT-Expert
Establecer la
mezcla del
objetivo de
inversión
Observaciones
a la estrategia
y a las metas
del proyecto
Revisar y
garantizar la
claridad de las
estrategias y
servicios actuales
corporativos y de
TI. Definir una
adecuada mezcla
de inversión,
basada en los
costes, la
alineación con la
estrategia y
medidas
financieras, tales
como coste,
retorno de
inversión esperado
a lo largo de todo
el ciclo de vida
económico, grado
de riesgo y tipo de
beneficio para los
programas del
portafolio. Ajustar
las estrategias
corporativas y de
TI cuando sea
necesario.
Gerencia
C.2
Observaciones
a la estrategia
y a las metas
del proyecto
Determinar la
disponibilidad
y las fuentes
de recursos
Expectativas
de retorno de
inversión de
recursos
Determinar las
fuentes potenciales
de fondos,
diferentes
opciones de
financiación y las
Gerencia
156
ID Entrada Actividad Salida Descripción Responsable
implicaciones de
las fuentes de
financiación sobre
las expectativas
del retorno de
inversión.
C.3
Criterios de
evaluación /
Comunicado
de proyectos a
realizar
Evaluar y
seleccionar
los proyectos
a realizar
Proyectos
seleccionados
con hitos y
retorno de
inversión
Decidir qué
proyectos
candidatos
deberían ser
trasladados al
portafolio de
proyectos activos.
Determinar si los
proyectos
rechazados
deberían ser
conservados para
ser considerados
en el futuro, o
provistos con
algún tipo de
inversión de
recursos para
determinar si el
caso de negocio
puede ser
mejorado o
descartado
Gerencia
157
ID Entrada Actividad Salida Descripción Responsable
C.4
Feedback
revisión de
portafolio de
proyectos
Supervisar,
optimizar e
informar
sobre el
rendimiento
del portafolio
de proyectos
Informe de
rendimiento de
portafolios /
Dashboard
métricas de
proyectos de
portafolios /
Resultado de
la revisión del
cambio
Regularmente,
supervisar y
optimizar el
rendimiento del
portafolio de
inversiones y de
los programas
individuales a lo
largo de todo el
ciclo de vida de
inversión.
Gerencia
C.5 Portafolio de
proyectos
Mantener los
portafolios
Portafolio de
proyectos
actualizados
Mantener los
portafolios de
programas y
proyectos de
inversión,
servicios de TI y
activos de TI.
Gerencia
C.6 Resultados de
supervisión
Gestionar la
obtención de
beneficios
Acciones
correcticas
implementadas
Supervisar los
beneficios de
proporcionar y
mantener servicios
y capacidades TI
apropiadas,
basadas en el caso
de negocio
acordado actual.
Gerencia
C.7
Acciones
correcticas
implementadas
Fin …
Gestión de
portafolios
realizado
Gerencia
158
Diagrama del proceso
Ilustración 20: Proceso Gestionar Portafolio – (Propuesta)
DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS
HUMANOS
Descripción
Proporcionar un enfoque estructurado para garantizar una óptima estructuración,
ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la
comunicación de las funciones y responsabilidades definidas, la formación y planes de
desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y
motivada.
Propósito
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.
Alcance
Muestra la estructura del proceso "Gestionar los recursos humanos" diseñado para la
empresa IT-Expert basado en el marco de referencia COBIT 5.
159
Descripción del proceso
Declarativa
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la
gestión de portafolios de recursos.
Mantener la dotación de personal
Mantener las habilidades y competencias
Realizar seguimiento del uso de recursos
Evaluar el desempeño
Roles
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Jefe de Recursos
Humanos
Encargado de elaborar y controlar el
proceso de reclutamiento, selección,
ingreso e inducción del personal.
Proyectar y coordinar programas de
capacitación y entrenamiento para los
empleados, a fin de cumplir con los
planes de formación
Área de Recursos Humanos
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
160
Gerente de proyectos Tiene interés en el uso eficiente de los recursos humanos
asignados a cada proyecto
Jefe de recursos humanos Es un socio estratégico en lo que respecta al vínculo con el
cliente interno y externo. Colabora para que cada empleado
mejore sus capacidades con el fin de generar un mayor valor
agregado en la organización
Entradas del proceso
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Necesidad de gestionar el
personal
Existe un necesidad de
administrar el personal de
manera óptima
Jefe de Recursos Humanos
Salidas del proceso
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Plan de mejora del desempeño Plan basado en los resultados
del proceso de evaluación y los
requisitos de capacitación y
desarrollo de competencias
Jefe de Recursos Humanos
Caracterización
ENTRADA ACTIVIDAD SALIDA DESCRIPCIÓN RESPONSABLE
161
ENTRADA ACTIVIDAD SALIDA DESCRIPCIÓN RESPONSABLE
0. Inicio
Necesidad de
gestionar el
personal
Existe un necesidad de
administrar el personal de
manera óptima
Jefe de recursos
humanos
Necesidad de
gestionar el
personal
1. Mantener la
dotación de
personal
Personal
contratado
Se evalúa la capacidad de
los recursos humanos para
cumplir con los objetivos
empresariales
Jefe de recursos
humanos
Personal
contratado
2. Mantener las
habilidades y
competencias
Programas de
formación
ejecutados y
revisados
Se gestiona las habilidades
y competencias necesarias
del personal.
Jefe de recursos
humanos
Programas de
formación
ejecutados y
revisados
3. Realizar
seguimiento del
uso de recursos
Informes de
uso de recursos
Registrar el uso de los
recursos. Identificar las
carencias y proporcionar
datos de entrada a los planes
de aprovisionamiento
Jefe de recursos
humanos
Informes de uso
de recursos
4. Evaluar el
desempeño
Plan de mejora
del desempeño
Se realizan evaluaciones de
rendimiento respecto a los
objetivos individuales
derivados de los objetivos
empresariales
Jefe de recursos
humanos
Plan de mejora
del desempeño 5. Fin
Diagrama del proceso
Ilustración 21: Proceso Gestionar los Recursos Humanos – (Propuesta)
162
Se proponen cuatro planes de implementación detallados que parten de los procesos que
brindan mayor valor a la empresa IT-Expert, y que presentan mayor impacto en los
resultados obtenidos y que no conllevan mucha dificultad en su implementación. De los
cuatro planes de implementación detallados se identifica el más importante para su
implementación en la empresa IT-Expert. Los resultados del plan de implementación con
más valor y aceptación para la empresa IT-Expert es el relacionado al proceso “Gestionar
el marco de gestión de TI”, pues contiene los productos de trabajo con mayor facilidad de
habilitar el logro de los objetivos de TI.
163
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR
EL PLAN DE IMPLEMENTACIÓN
En la fase cinco del proceso de implementación se ejecutan los programas priorizados. Este
programa plantea la implementación del proceso “Gestionar el marco de gestión de TI”. Se
debe mantener monitoreado y documentado la implementación de las mejoras adoptando y
adaptando las mejores prácticas enfocadas a IT-Expert y los cambios de las políticas y
procesos.
A continuación me muestra al detalle los productos de trabajo del plan o programa de
implementación de este proceso modelo propuesto por el COBIT 5 y aplicado en la
empresa IT-Expert.
Productos de Trabajo de la Implementación
El entregable de la implementación está compuesto por cinco productos de trabajo, estos
son: Políticas, Estructura organizativa, Modelo de procesos, Roles y Métricas. Estos
productos formaran parte de la información de IT-Expert y serán registrados en los
siguientes documentos de la empresa:
Tabla 18: Productos de trabajo del proyecto IMGETI
IMGETI
COD PRODUCTOS DE TRABAJO DOCUMENTO
WP1 Políticas Políticas de IT-Expert
WP2 Estructura Organización MOF
WP3 Modelo de procesos MEMORIA
WP4 Roles ROF
164
WP5 Métricas - Tablero de
indicadores FORM, Excel y Graficas
Fuente: Elaboración Propia
Los habilitadores o elementos que permiten activar el impulso a lograr los objetivos de TI
en la empresa propuestos por COBIT son:
Tabla 19: Habilitadores de COBIT5
COBIT 5
COD CATALIZADORES
CAT1 1.Principios políticas y marco de referencia
CAT2 2.Procesos
CAT3 3.Estructura Organizativa
CAT4 4.Cultura ética y comportamiento
CAT5 5.Información
CAT6 6.Servicios infraestructura y aplicaciones
CAT7 7.Personas habilidades y competencias
Fuente: Elaboración propia
Estos habilitadores presentan la siguiente correspondencia con los productos de trabajo que
se entregan a IT-Expert.
Tabla 20: Productos de trabajo y Habilitadores
165
COBIT & IMGETI
COD
COBIT5
COD IMGETI
WP1 WP2 WP3 WP4 WP5
CAT1 X
CAT2 X
CAT3 X
CAT4
CAT5
CAT6 X
CAT7 X
Fuente: Elaboración propia
Como se ve en la tabla, los productos de trabajo están se vinculan con los catalizadores que
COBIT propone. Esto significa que los elementos a implementar son habilitadores y que su
definición y manejo en adelante ayudara a lograr los objetivos de TI que hay en la empresa
IT-Expert.
A continuación se definen los productos del trabajo de la implementación del proceso.
MODELO DE PROCESOS
El modelo de procesos aplicado a la empresa IT-Expert toma como referencia el propuesto
por COBIT. Debido a que es un modelo de referencia, no se tomara en cuenta los procesos
que no estén vinculados al cumplimiento de los objetivos de IT-Expert.
Tabla 21: Modelo COBIT y Procesos Implementados
166
Modelo de proceso propuesto por COBIT5 Proceso Aterrizado e Implementado
COD Actividades Propuestos Actividades Implementadas en IT-Expert
APO1 A.1.Definir_la_estructura_organizativa.docx A.1.Definir la estructura organizativa.
APO3 A.3Mantener_los_elementos_catalizadores_del_sistema_de_gestión
A.2.Mantener los elementos catalizadores del sistema de
gestión
APO6 A.6.Definir_la_propiedad_de_la_información_y_del_sistema A.3.Definir la propiedad de la información y del sistema
APO4 A.4Comunicar_los_objetivos_y_la_dirección_de_gestión A.4.Comunicar los objetivos y la dirección de gestión
APO7 A.7.Gestionar_la_mejora_continua_de_los_procesos A.5.Gestionar la mejora continua de los procesos
APO8 A.8.Mantener_el_cumplimiento_con_las_políticas_y_procedimientos
A.6. Mantener el cumplimiento con las políticas y
procedimientos
APO2 A.2.Establecer_roles_y_responsabilidades.docx
APO5 A.5.Optimizar_la_ubicación_de_la_función_de_TI
Fuente: Elaboración propia
La implementación del modelo de procesos cuenta con la propuesta del modelo mediante
el documento Definición de procesos y la ejecución de las actividades del proceso a lo
largo del ciclo de implementación, la salida de cada sub proceso del proceso “Gestionar el
marco de gestión de TI” implementado en IT-Expert se presentan a lo largo del presente
documento. A continuación se presenta la definición del proceso implementado en la
empresa IIT-Expert.
DEFINICION DEL PROCESO GESTIONAR EL MARCO DE
GESTIÓN DE TI
DESCRIPCIÓN
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y
mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la
empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los
principios rectores.
167
PROPOSITO
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades
organizativos, actividades fiables y reproducibles y habilidades y competencias.
ALCANCE
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la
empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear
Planear y Organizar)
168
DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI
DECLARATIVA
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la
gestión del marco de gestión de TI.
Definir la estructura organizativa
Mantener los elementos catalizadores del sistema de gestión
Definir la propiedad de la información y del sistema
Comunicar los objetivos y la dirección de gestión
Gestionar la mejora continua de los procesos
Mantener el cumplimiento con las políticas y procedimientos
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Arquitecto de TI Implementar la redefinición de procesos.
Rediseño de procesos priorizando las
iniciativas para la mejora del proceso y
rediseñar los procesos para cumplir con las
políticas y procedimientos.
Operaciones
Gestor de riesgos Aplicar las medidas necesarias para
mantener un control de riesgos, garantizar
un adecuado control en los procesos.
Riesgo de operaciones
Gestor de la
seguridad
Aplicar los objetivos de TI a la seguridad de
información en la empresa, las medidas de
mejora para la seguridad de información y
adoptar las acciones necesarias para realizar
Seguridad de información
169
los procesos relacionados a la seguridad de
información adoptando las políticas y
procedimientos propuestos.
Gerente alumno Encargado de desarrollar diferentes
actividades como desarrollar las actividades
en la definición, alineación y el
establecimiento de una estructura
organizativa, definir los roles y las
responsabilidades, integrar los principios de
TI con los del negocio entre otras
actividades.
Gerencia
Gerente de
servicios
Considerar las maneras de mejorar la
eficiencia mediante la priorización de
acciones para realizar la mejora continua y
adoptar las acciones necesarias para realizar
el soporte de servicios adoptando las
políticas y procedimientos propuestos.
Gerencia
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Toma de decisiones y gobierno de la empresa IT-Expert
Gerente general Gerente de la empresa que requiere la información a nivel estratégica
desplegada para su consulta.
Gerente profesor Encargado de aprobación y consulta sobre los diferentes procesos en la
empresa IT-Expert
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
170
Artefacto Descripción Encargado de elaboración
Modelo de arquitectura de procesos
Modelo de arquitectura de procesos
para la definición de procesos en la
empresa IT-Expert.
Gobierno - Comité
Políticas de gobierno corporativo
Reglas de negocio con la cultura y
políticas por parte del Gobierno y
comité de las empresas.
Gobierno - Comité
Comunicación de gobierno
corporativo
Información con los diferentes
requerimientos de parte del
Gobierno y comité de las empresas.
Gobierno - Comité
Principios, Comunicados y
Políticas
Principios, comunicados y políticas
de la dirección de la empresa por el
Gobierno y comité de las empresas.
Gobierno - Comité
Políticas y procedimientos Políticas y procedimientos para
identificar los procesos críticos. Gerencia
Políticas y procedimientos
Políticas y procedimientos para
realizar el seguimiento y
cumplimiento de las obligaciones
de todos los empleados.
Gerencia
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Artefacto Descripción Encargado de elaboración
Definición de estructura y
funciones organizativas
Definición de funciones en la
empresa IT-Expert, Definición de
la estructura de la empresa IT-
Expert.
Gerencia
171
Políticas operativas
Normas y directrices de las
operaciones internas en la
organización.
Gerencia
Plan de comunicación
Reglas de negocio en la
comunicación con el Gobierno o
comité de la empresa IT-Expert.
Gerencia
Políticas relativas a TI
Reglas de negocio con la
tecnología de información dentro
de la empresa.
Gerencia
Comunicación de objetivos de TI Documento con los objetivos de TI
en la empresa. Riesgo de operaciones
Evaluación de capacidad de
procesos
Evaluación mediante las
herramientas de Cobit5 para
obtener el nivel de capacidad de la
empresa.
Gerencia
Objetivos y métricas de
rendimiento
Objetivos y métricas de
rendimiento para el seguimiento de
la mejora de procesos
Operaciones
Acciones de remediación para el no
cumplimiento
Acciones apropiadas para la
remediación del no cumplimiento,
esto incluye cambio de
requerimientos.
Gerencia
172
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1.0 … Inicio Requerimiento
de mejora
continua del
Marco de
Gestión de TI
Necesidad de
Gestionar el Marco de
Gestión de TI
Gerente alumno
1.1 Modelo de
arquitectura
de procesos
Definir la
estructura
organizativa.
Definición de
estructura y
funciones
organizativas /
Directrices
operativas de
la organización
/ Reglas
básicas de
comunicación
Establecer una
estructura
organizativa interna y
extensa que refleje las
necesidades del
negocio y las
prioridades de TI.
Implementar las
estructuras de gestión
requeridas (p. ej.,
comités) para permitir
que la toma de
decisiones se lleve a
cabo de la forma más
eficaz y eficiente
posible.
Gerente alumno
1.2 Principios de
gobierno
corporativo
Mantener los
elementos
catalizadores
del sistema de
gestión
Políticas
relativas a TI
Mantener los
elementos
catalizadores del
sistema de gestión y
del entorno de control
de la TI de la empresa
y garantizar que están
integrados y
alineados con la
filosofía y el estilo
operativo de gobierno
Gerente alumno
173
y de gestión de la
empresa. Estos
elementos
catalizadores incluyen
una comunicación
clara de
expectativas/requisito
s. El sistema de
gestión debería
fomentar la
cooperación
interdepartamental y
el trabajo en equipo,
promover el
cumplimiento y la
mejora continua y
tratar las desviaciones
en el proceso
(incluidos los fallos).
1.3 Necesidad de
definir la
propiedad de
la información
y del sistema
Definir la
propiedad de
la información
y del sistema
Directrices
para el control
y seguridad de
datos
Definir y mantener
las responsabilidades
de la propiedad de la
información (datos) y
los sistemas de
información.
Asegurar que los
propietarios toman
decisiones sobre la
clasificación de la
información y los
sistemas y su
protección de acuerdo
con esta clasificación.
Gerente alumno
1.4 Comunicación
de gobierno
corporativo /
Comunicar los
objetivos y la
dirección de
Comunicación
de objetivos de
Comunicar la
sensibilización y la
comprensión de los
Gerente alumno
/ Analista de
riesgos /
174
Principios,
Comunicados
y Políticas
gestión TI objetivos y la
dirección de TI a las
partes interesadas y
usuarios pertinentes a
lo largo de toda la
empresa.
Analista de
seguridad
1.5 Políticas y
procedimiento
s
Gestionar la
mejora
continua de
los procesos
Evaluación de
capacidad de
procesos /
Objetivos y
métricas de
rendimiento
Evaluar, planificar y
ejecutar la mejora
continua de procesos
y su madurez para
asegurar que son
capaces de entregarse
conforme a los
objetivos de la
empresa, de gobierno,
de gestión y de
control. Considerar
las directrices de la
implementación de
procesos de COBIT,
estándares
emergentes,
requerimientos de
cumplimiento,
oportunidades de
automatización y la
realimentación de los
usuarios de los
procesos, el equipo
del proceso y otras
partes interesadas.
Actualizar los
procesos y considerar
el impacto en los
catalizadores del
proceso.
Gerente alumno
/ Gestor de
arquitectura de
TI / Gerente de
servicios /
Analista de
seguridad
175
1.6 Políticas y
procedimiento
s
Mantener el
cumplimiento
con las
políticas y
procedimiento
s
Acciones de
remediación
para el no
cumplimiento
Poner en marcha
procedimientos para
mantener el
cumplimiento y
medición del
funcionamiento de las
políticas y otros
catalizadores del
marco de referencia;
hacer cumplir las
consecuencias del no
cumplimiento o del
desempeño
inadecuado. Seguir
las tendencias y el
rendimiento y
considerarlos en el
diseño futuro y la
mejora del marco de
control.
Gerente alumno
/ Gestor de
arquitectura de
TI / Gerente de
servicios /
Analista de
seguridad
1.7 Marco de
gestión de TI
Gestionado
Fin … Fin del proceso Gerente alumno
/ Gestor de
arquitectura de
TI / Gerente de
servicios /
Analista de
seguridad
7.1 Definición de
estructura y
funciones
organizativas
Mantener la
dotación del
personal
Dotación de
personal
estructurado
Actividades internas
del proceso Mantener
la dotación del
personal
Gerente alumno
3.2 Políticas
operativas
Definir la
arquitectura
de referencia
Modelo de
arquitectura de
procesos
Actividades internas
del proceso Definir la
arquitectura de
Gerente alumno
176
referencia
B.
2
Objetivos y
métricas de
rendimiento
Establecer los
objetivos de
cumplimiento
y rendimiento.
Objetivos de
cumplimiento
alineados a la
mejora
continua de los
procesos
Actividades internas
del proceso
Establecer los
objetivos de
cumplimiento y
rendimiento.
Gerente alumno
B.
3
Evaluación de
capacidad de
procesos
Recopilar y
procesar los
datos de
cumplimiento
y rendimiento.
Procesos
internos del
dominio
Supervisar,
Evaluar y
Valorar
Rendimiento y
Conformidad
Actividades internas
del proceso Recopilar
y procesar los datos
de cumplimiento y
rendimiento.
Gerente alumno
B.
5
Acciones de
remediación
para el no
cumplimiento
Asegurar la
implantación
de medidas
correctivas.
Implementació
n de medidas
correctivas
alineadas a las
políticas de la
empresa.
Actividades internas
del proceso Asegurar
la implantación de
medidas correctivas.
Gerente alumno
A.
1
Mejora
continua del
sistema de
gobierno
Evaluar el
sistema de
gobierno
Principios
rectores de
gobierno
corporativo
Actividades internas
del proceso Evaluar el
sistema de gobierno
Gobierno(Comit
é educativo)
A.
2
Mejora
continua del
sistema de
gobierno
Orientar el
sistema de
gobierno.
Objetivos del
gobierno
Actividades internas
del proceso Orientar
el sistema de
gobierno.
Gobierno(Comit
é educativo)
A.
3
Mejora
continua del
sistema de
Supervisar el
sistema de
gobierno.
Efectividad y
funcionamient
o del gobierno
Actividades internas
del proceso
Supervisar el sistema
Gobierno(Comit
é educativo)
177
gobierno de gobierno.
178
DIAGRAMA DEL PROCESO
Ilustración 22: Proceso Gestionar el Marco Gestión de TI
179
DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA
ORGANIZATIVA
DECLARATIVA
Establecer una estructura organizativa interna y extensa que refleje las necesidades del
negocio y las prioridades de TI. Implementar las estructuras de gestión requeridas (p. ej.,
comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y
eficiente posible.
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Desarrolla las actividades en la definición,
alineación y el establecimiento de una
estructura organizativa que será aprobada
por el Gerente de la empresa IT-Expert.
Gerencia
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Gerente profesor Encargado de establecer estructura organizativa. Gestionar la
implementación de las estructuras de gestión.
ENTRADAS DEL PROCESO
180
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Modelo de arquitectura de
procesos
Modelo de arquitectura de
procesos para la definición de
procesos en la empresa IT-Expert.
Gobierno - Comité
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Definición de estructura y
funciones organizativas
Definición de funciones en la
empresa IT-Expert, Definición de
la estructura de la empresa IT-
Expert.
Gerencia
Políticas operativas Normas y directrices de las
operaciones internas en la
organización.
Gerencia
Plan de comunicación Plan de comunicación establecida
entre el Gobierno o comité de la
empresa IT-Expert con la
gerencia.
Gerencia
181
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1,1,0 … Inicio
Modelo de
arquitectura de
procesos
Inicio de
procesos
Gerente
alumno
1,1,1
Modelo de
arquitectura de
procesos
Definir estructura
organizacional
Definición de
estructura y
funciones
organizativas
Definir el
alcance, las
funciones
internas y
externas, los
roles internos y
externos, y las
capacidades y los
derechos de
decisión
requeridos,
incluidas
actividades de TI
realizadas por
terceras partes.
Gerente
alumno
1,1,2
Definición de
estructura y
funciones
organizativas
Establecer
Decisiones para
resultados
corporativos
identificados
Establecer
actividades
Gerente
alumno
182
ID Entrada Actividad Salida Descripción Responsable
1,1,3
Decisiones para
resultados
corporativos
identificados
Establecer un
comité
estratégico de TI
Implicancia de
Stakeholders
establecida
Establecer un
Comité
Estratégico de TI
(o equivalente) a
nivel del Consejo
de
Administración.
Este comité
debería
asegurarse de que
el gobierno de
TI, como parte
del gobierno
corporativo, está
contemplado de
forma adecuada,
debe aconsejar
sobre la dirección
estratégica y
revisar las
inversiones
principales, en
representación
del consejo de
administración al
completo.
Gerente
alumno
183
ID Entrada Actividad Salida Descripción Responsable
1,1,4
Implicancia de
Stakeholders
establecida
Establecer un
comité directivo
de TI
Organización de
TI relacionado
con modelos de
arquitectura
corporativa
Establecer un
comité directivo
de TI (o
equivalente)
compuesto por la
dirección
ejecutiva, de
negocio y de TI
para determinar
las prioridades de
los programas de
inversión de TI
de acuerdo con la
estrategia y
prioridades de
negocio de la
empresa; realizar
un seguimiento
del estado de los
proyectos y
resolver los
conflictos de
recursos; y
supervisar los
niveles de
servicio y las
mejoras en el
servicio.
Gerente
alumno
1,1,5
Organización de
TI relacionado
con modelos de
arquitectura
corporativa
Converger
Iniciar definición
de roles y
responsabilidades
/ Iniciar
definición de
estructuras
Converger
actividades
Gerente
alumno
184
ID Entrada Actividad Salida Descripción Responsable
1,1,6
Iniciar definición
de roles y
responsabilidades
Identificar
decisiones
estratégicas
Definición de
estructura y
funciones
organizativas
Identificar las
decisiones
necesarias para
alcanzar los
resultados
corporativos y la
estrategia de TI y
para la gestión y
ejecución de
servicios de TI.
Gerente
alumno
1,1,7 Iniciar definición
de estructuras
Definir roles y
responsabilidades
Roles y
responsabilidades
Definir los roles
y las
responsabilidades
de cada función
dentro de la
estructura
organizativa
relativa a TI.
Gerente
alumno
185
ID Entrada Actividad Salida Descripción Responsable
1,1,8 Roles y
responsabilidades
Elaborar matriz
RACI Matriz RACI
Establecer la
implicación de
las partes
interesadas
críticas para la
toma de
decisiones
(quiénes rendirán
cuentas, quiénes
son responsables,
quiénes deben ser
consultados y
quiénes
informados).
Gerente
alumno
1,1,9 Matriz RACI
Elaborar las
políticas para las
funciones
Políticas
operativas
Proporcionar
políticas para
cada estructura
de gestión
(incluyendo
órdenes,
objetivos, marco
temporal,
seguimiento,
supervisión y
vigilancia), así
como las
entradas
requeridas y las
salidas esperadas
en cuanto a las
reuniones.
Gerente
alumno
186
ID Entrada Actividad Salida Descripción Responsable
1,1,10 Políticas
Operativas
Elaborar plan de
comunicación
Plan de
comunicación
Identificar las
decisiones
necesarias para
alcanzar los
resultados
corporativos y la
estrategia de TI y
para la gestión y
ejecución de
servicios de TI.
Establecer y
mantener una
estructura óptima
de enlace,
comunicación y
coordinación
entre el negocio
(Comité,
Gerencia) y las
funciones de TI
(Gestor de
operaciones)
dentro de la
empresa y con
entidades no
pertenecientes a
la empresa.
Gerente
alumno
187
ID Entrada Actividad Salida Descripción Responsable
1,1,11 Plan de
comunicación Fin
Estructura
organizativa
definida
Proporcionar
políticas para
cada estructura
de gestión
(incluyendo
órdenes,
objetivos, marco
temporal,
seguimiento,
supervisión y
vigilancia), así
como las
entradas
requeridas y las
salidas esperadas
en cuanto a las
reuniones.
Gerente
alumno
7.1
Definición de
estructura y
funciones
organizativas
Mantener la
dotación del
personal
Dotación de
personal
estructurado
Actividades
internas del
proceso
Mantener la
dotación del
personal
Gerente
alumno
3.2 Políticas
operativas
Definir la
arquitectura de
referencia
Modelo de
arquitectura de
procesos
Actividades
internas del
proceso Definir
la arquitectura de
referencia
Gerente
alumno
188
DIAGRAMA DEL PROCESO
Ilustración 23: Proceso Definir la Estructura Organizativa
189
DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS
CATALIZADORES
DECLARATIVA
Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la
TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo
operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen
una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar
la cooperación interdepartamental y el trabajo en equipo, promover el cumplimiento y la
mejora continua y tratar las desviaciones en el proceso (incluidos los fallos).
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Integrar los principios de TI con los del
negocio, alinear marco de trabajo,
procesos de TI, Evaluar buenas practicas,
crear un conjunto de políticas con para el
control interno de TI.
Gerencia
Gobierno Encargado de realizar la Evaluación,
Orientación y Supervisión del sistema de
gobierno.
Dirección ejecutiva
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
190
Stakeholder Descripción
Gerente general Transmitir la visión, dirección y la estrategia corporativa a la
empresa. Asegurarse que los procedimientos estén en
funcionamiento.
ENTRADAS DEL PROCESO
Entrada Descripción Encargado de Elaboración
Principios de gobierno
corporativo
Reglas de negocio con la cultura
y principios por parte del
Gobierno y comité de las
empresas.
Gobierno - Comité
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Políticas relativas a TI Reglas de negocio con las
tecnologías de información dentro
de la empresa.
Gerencia
191
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1,2,0 … Inicio Necesidad de
mantener
elementos
catalizadores
Inicio de
procesos
Gerente alumno
1,2,1 Necesidad de
mantener
elementos
catalizadores
Adquirir
comprensión y
visión
visión y
dirección de
estrategia
adquirida
Adquirir
comprensión de
la visión, la
dirección y la
estrategia
corporativas
(Misión, Visión
y Objetivos).
Gerente alumno
192
ID Entrada Actividad Salida Descripción Responsable
1,2,2 visión y
dirección de
estrategia
adquirida
Atender la
cultura ética y
códigos de
conducta
Cultura ética y
códigos de
conducta
atendidos
Tener en cuenta
el entorno
interno de la
empresa,
incluyendo la
cultura y la
filosofía de
gestión, la
tolerancia al
riesgo, la
seguridad, los
valores éticos, el
código de
conducta, la
rendición de
cuentas y los
requisitos de
integridad en la
gestión.
Gerente alumno
193
ID Entrada Actividad Salida Descripción Responsable
1,2,3 Cultura ética y
códigos de
conducta
atendidos
Inferir e
integrar
Principios de
TI integrados
con principios
de negocio
Inferir e integrar
los principios de
TI con los
principios de
negocio,
motivando en la
cultura
empresarial
definida por la
empresa IT-
Expert.
Gerente alumno
1,2,4 Principios de
TI integrados
con principios
de negocio
Alinear Necesidad de
alineamiento
Iniciar
alineamiento de
políticas
Gerente alumno
1,2,5 Necesidad de
alineamiento
Entorno de
control y
políticas
Entorno de
control de TI
alineado con
políticas de TI
Alinear el
entorno de
control de TI
con las políticas
de TI, mantener
el riesgo
controlado.
Gerente alumno
194
ID Entrada Actividad Salida Descripción Responsable
1,2,6 Entorno de
control de TI
alineado con
políticas de TI
Estándares Principios de
gobierno
corporativo
Evaluar las
buenas prácticas
y estándares
para aplicación
en IT-Expert (p.
ej., normativa
específica de
ITIL para
servicios) e
integrarlos
donde
corresponda.
Gerente alumno
195
ID Entrada Actividad Salida Descripción Responsable
1,2,7 Principios
rectores de
gobierno
corporativo
Políticas de
gobierno
Estándares y
códigos de
prácticas de
gobierno
alineados
Alinear las
políticas de
gobierno con
todas las buenas
prácticas y
estándares de
gestión y
evaluar las
buenas prácticas
disponibles con
marcos de
control
internacionales
(COSO).
Gerente alumno
1,2,8 Estándares y
códigos de
prácticas de
gobierno
alineados
Obtener
alineación
Políticas
alineadas
Políticas
alineadas
Gerente alumno
196
ID Entrada Actividad Salida Descripción Responsable
1,2,9 Políticas
alineadas
Aplicar
alineamiento
Alineamiento
aplicado
Aplicar las
políticas y
marcos de
referencia en la
cultura de la
empresa para
motivar la
realización de
los objetivos de
la empresa.
Gerente alumno
197
ID Entrada Actividad Salida Descripción Responsable
1,2,1
0
Alineamiento
aplicado
Crear un
conjunto de
políticas
Políticas
relativas a TI
Crear un
conjunto de
políticas para
conducir las
expectativas de
control de TI en
temas clave
relevantes, como
calidad,
seguridad,
confidencialidad
, controles
internos, uso de
activos de TI,
ética y derechos
de propiedad
intelectual.
Gerente alumno
1,2,1
1
Políticas
relativas a TI
Evaluar las
políticas
Políticas
evaluadas y
actualizadas
Evaluar y
actualizar las
políticas, como
mínimo una vez
al año, para
ajustarlas a los
cambiantes
entornos
operativos o de
negocio.
Gerente alumno
198
ID Entrada Actividad Salida Descripción Responsable
1,2,1
2
Políticas
evaluadas y
actualizadas
Implantar
políticas
Políticas
implantadas
Implantar y
aplicar las
políticas de TI a
todo el personal
relevante, de
forma que estén
incorporadas y
sean parte
integral de las
operaciones
empresariales.
Gerente alumno
199
ID Entrada Actividad Salida Descripción Responsable
1,2,1
3
Políticas
implantadas
Asegurar
funcionamient
o
Funcionamient
o de
procedimientos
asegurado
Asegurarse de
que los
procedimientos
estén en
funcionamiento
para realizar un
seguimiento del
cumplimiento
con las políticas
y definir las
consecuencias al
no llegar a
cumplir los
indicadores
Gerente alumno
1,2,1
4
Funcionamient
o de
procedimientos
asegurado
Fin … Fin de procesos Gerente alumno
A.1 Mejora
continua del
sistema de
gobierno
Evaluar el
sistema de
gobierno
Principios
rectores de
gobierno
corporativo
Actividades
internas del
proceso Evaluar
el sistema de
gobierno
Gobierno(Comit
é educativo)
200
DIAGRAMA DEL PROCESO
Ilustración 24: Proceso Mantener los Elementos Catalizadores
201
DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA
INFORMACIÓN Y DEL SISTEMA DE TI
DECLARATIVA
Definir y mantener las responsabilidades de la propiedad de la información (datos) y los
sistemas de información. Asegurar que los propietarios toman decisiones sobre la
clasificación de la información y los sistemas y su protección de acuerdo con esta
clasificación.
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Proveer políticas y directrices, definir,
mantener y proporcionar herramientas
adecuadas para garantizar la seguridad de
información. Definir e implementar
procedimientos para asegurar la integridad y
consistencia en la información.
Gerencia
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Definir la prioridad de la información y mantener las responsabilidades
de la prioridad de la información.
ENTRADAS DEL PROCESO
202
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Requerimiento de negocio Necesidad de definir la propiedad
de la información y del sistema
Gerencia
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Directrices para el control y
seguridad de datos
Políticas y reglas de negocio para
realizar el control y mantener
segura la información. futuros
proyectos
Gerencia
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1,3,0 … Inicio Necesidad de
definir la
propiedad de
información
del sistema
Inicio de
proceso
Gerente
alumno
1,3,1 Necesidad de
definir la
Proveer
políticas y
Políticas y
directrices
Proveer
políticas y
Gerente
203
ID Entrada Actividad Salida Descripción Responsable
propiedad de
información
del sistema
directrices propuestas directrices para
asegurar la
adecuación y
consistencia de
la clasificación
de la
información
(datos) en toda
la empresa.
alumno
1,3,2 Políticas y
directrices
propuestas
Definir,
mantener y
proporcionar
Seguridad de
información
garantizada
Definir,
mantener y
proporcionar
herramientas
adecuadas,
técnicas y
directrices para
garantizar la
seguridad y
control
efectivo sobre
la información
y los sistemas
en
colaboración
con el
propietario
(Base de datos,
Libros Excel,
Soluciones,
etc...).
Gerente
alumno
1,3,3 Seguridad de
información
Crear y
mantener
Soporte al
mantenimiento
Crear y
mantener un
Gerente
alumno
204
ID Entrada Actividad Salida Descripción Responsable
garantizada información de la
información
inventario de
la información
(sistemas y
datos) que
incluya un
listado de los
propietarios,
custodios y
clasificaciones.
Incluir los
sistemas
subcontratados
y aquellos
cuya propiedad
debe
permanecer
dentro de la
empresa.
1,3,4 Soporte al
mantenimiento
de la
información
Definir e
implementar
procedimientos
Políticas para
el control y
seguridad de
datos
Definir e
implementar
procedimientos
para asegurar
la integridad y
consistencia de
toda la
información
almacenada en
formato
electrónico,
tales como
bases de datos,
almacenes de
datos (data
Gerente
alumno
205
ID Entrada Actividad Salida Descripción Responsable
warehouses) y
archivos de
datos.
1,3,5 Políticas para
el control y
seguridad de
datos
Fin … Fin de proceso Gerente
alumno
3.2 Políticas
operativas
Definir la
arquitectura de
referencia
Modelo de
arquitectura de
procesos
Actividades
internas del
proceso
Definir la
arquitectura de
referencia
Gerente
alumno
206
DIAGRAMA DEL PROCESO
Ilustración 25: Proceso Definir la Propiedad de la Información y del Sistema de TI
207
DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA
DIRECCIÓN DE GESTIÓN
DECLARATIVA
Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las
partes interesadas y usuarios pertinentes a lo largo de toda la empresa.
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Comunicar continuamente los objetivos de
TI.
Gerencia
Gestor de riesgos Aplicar las medidas necesarias para
mantener un control de riesgos,
garantizando un adecuado control en los
procesos.
Riesgo de operaciones
Gestor de la
seguridad
Aplicar los objetivos de TI a la seguridad
de información en la empresa.
Seguridad de información
Gobierno Encargado de realizar la Evaluación,
Orientación y Supervisión del sistema de
gobierno.
Dirección ejecutiva
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
208
Comité Comunican todo lo relevante al gobierno corporativo.
Gerente general Apoyar los objetivos de TI a la empresa.
Gerente profesor Comunicar la sensibilidad de los objetivos al comité. Dar soporte al
proceso de comunicación.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Comunicación de gobierno
corporativo
Información con los diferentes
requerimientos de parte del
Gobierno y comité de las
empresas.
Gobierno - Comité
Principios, Comunicados y
Políticas
Principios, comunicados y
políticas de la dirección de la
empresa por el Gobierno y comité
de las empresas.
Gobierno - Comité
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Comunicación de objetivos de TI Documento con los objetivos de
TI en la empresa. Carpeta
compartida de proyectos y finaliza
el proceso creando un documento
de incidencias para futuros
proyectos
Riesgo de operaciones
209
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1.4.0 … Inicio Comunicación
de gobierno
corporativo
Inicio de proceso Gerente alumno
1.4.1 Comunicación
de gobierno
corporativo
Comunicar
objetivos
Objetivos
comunicados
Comunicar
continuamente los
objetivos y la
dirección de TI.
Gerente alumno
1.4.2 Objetivos
comunicados
Asegurar
comunicación
Comunicación
asegurada
Asegurar que las
comunicaciones
reciban apoyo de
la dirección
ejecutiva, tanto de
palabra como
mediante
acciones,
empleando todos
los canales
disponibles.
Analista de
riesgos
1.4.3 Comunicación
asegurada
Comunicar Principios,
Comunicados
y Políticas
Iniciar
comunicación
Analista de
seguridad
1.4.4 Principios,
Comunicados
y Políticas
Garantizar
información
Información
garantizada
Garantizar que la
información
comunicada
engloba una clara
articulación de la
misión, los
objetivos de
servicio, la
seguridad, los
controles
Analista de
seguridad
210
ID Entrada Actividad Salida Descripción Responsable
internos, la
calidad, el código
ético/de conducta,
las políticas y
procedimientos,
los roles y las
responsabilidades,
etc.
1.4.5 Información
garantizada
Detallar
información
información
detallada
Comunicar la
información con
el nivel de detalle
adecuado para
cada respectiva
audiencia dentro
de la empresa.
Analista de
seguridad
1.4.6 información
detallada
Finalizar
Comunicación
Comunicación
finalizada
Información
comunicada clara,
con los objetivos
de servicio,
seguridad y
controles
internos, etc.
Correctamente
descritos.
Analista de
seguridad
1.4.7 Comunicación
finalizada
Soportar
comunicación
Comunicación
de objetivos
de TI
Proporcionar
recursos
suficientes y
cualificados para
dar soporte al
proceso
comunicativo.
Analista de
riesgos
1.4.8 Comunicación
de objetivos
Fin … Fin de proceso Analista de
211
ID Entrada Actividad Salida Descripción Responsable
de TI riesgos
A.2 Mejora
continua del
sistema de
gobierno
Orientar el
sistema de
gobierno.
Objetivos del
gobierno
Actividades
internas del
proceso Orientar
el sistema de
gobierno.
Gobierno(Comité
educativo)
212
DIAGRAMA DEL PROCESO
Ilustración 26: Proceso Comunicar los Objetivos y la Dirección de Gestión
213
DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE
LOS PROCESOS
DECLARATIVA
Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar
que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de
gestión y de control. Considerar las directrices de la implementación de procesos de
COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de
automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y
otras partes interesadas. Actualizar los procesos y considerar el impacto en los
catalizadores del proceso.
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Evaluar, analizar e identificar los procesos
críticos del negocio basándose en el
rendimiento y cumplimiento de los riesgos
relacionados.
Gerencia
Arquitecto de TI Implementar la redefinición de procesos.
Rediseño de procesos priorizando las
iniciativas para la mejora del proceso.
Operaciones
Gerente de servicios Considerar las maneras de mejorar la
eficiencia mediante la priorización de
acciones para realizar la mejora continua.
Gerencia
Gestor de la
seguridad
Aplicar las medidas de mejora para la
seguridad de información.
Seguridad de información
Gobierno Encargado de realizar la Evaluación,
Orientación y Supervisión del sistema de
Dirección ejecutiva
214
gobierno.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Promover la mejora continua en todos los procesos considerando las
directrices de la implementación de los procesos de COBIT5.
Gerente profesor Encargado de supervisar la reacción de las funciones de los empleados
con respecto al proceso de mejora continua.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Políticas y procedimientos Políticas y procedimientos para
identificar los procesos críticos.
Gerencia
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Evaluación de capacidad de
procesos
Evaluación mediante las
herramientas de Cobit5 para
obtener el nivel de capacidad de la
empresa.
Gerencia
215
Objetivos y métricas de
rendimiento
Objetivos y métricas de
rendimiento para el seguimiento
de la mejora de procesos
Operaciones
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1,5,0 … Inicio Efectividad y
funcionamiento
del gobierno
Inicio de
procesos
Gestor de
arquitectura de
TI
1,5,1 Efectividad y
funcionamiento
del gobierno
Identificar
procesos
críticos
Procesos
críticos
identificados
Identificar los
procesos
críticos de
negocio
basándose en el
rendimiento,
cumplimiento y
los riesgos
relacionados.
Gestor de
arquitectura de
TI
1,5,2 Procesos
críticos
identificados
Procesos
priorizar
Iniciar
procesos
Inicio de
proceso
Evaluar,
Analizar,
Identificar y
Priorizar.
Gerente de
servicios
1,5,3 Iniciar
procesos
Evaluar Evaluación de
capacidad de
procesos
Evaluar la
capacidad del
proceso e
identificar
objetivos de
Gerente de
servicios
216
ID Entrada Actividad Salida Descripción Responsable
mejora.
1,5,4 Iniciar
procesos
Analizar Análisis
realizado
Analizar las
diferencias en
la capacidad y
control del
proceso.
Gerente de
servicios
1,5,5 Iniciar
procesos
Identificar Opciones de
mejora
identificados
Identificar las
opciones de
mejora y
rediseño de
procesos.
Gerente de
servicios
1,5,6 Iniciar
procesos
Priorizar Objetivos y
métricas de
rendimiento
Priorizar
iniciativas para
la mejora de
procesos
basadas en el
potencial coste-
beneficio.
Gestor de
arquitectura de
TI
1,5,7 Evaluación de
capacidad de
procesos /
Análisis
realizado /
Opciones de
mejora
identificados /
Objetivos y
métricas de
rendimiento
Converger
procesos
Procesos
finalizados
Finalización de
procesos
Evaluar,
Analizar,
Identificar y
Priorizar.
Gerente de
servicios
1,5,8 Procesos
finalizados
Implementar
mejoras
Mejoras
implementadas
Implementar
las mejoras
acordadas,
Gerente alumno
217
ID Entrada Actividad Salida Descripción Responsable
funcionando
como una
práctica normal
del negocio y
establecer
objetivos y
métricas de
rendimiento
que permitan el
seguimiento de
las mejoras del
proceso.
1,5,9 Mejoras
implementadas
Considerar
maneras de
mejorar
Maneras de
mejorar la
eficiencia y
eficacia
consideradas
Considerar las
maneras de
mejorar la
eficiencia y
eficacia (p. ej.,
mediante
formación,
documentación,
estandarización
y
automatización
de procesos).
Gerente alumno
1,5,10 Maneras de
mejorar la
eficiencia y
eficacia
consideradas
Aplicar
prácticas de
mejora
Prácticas de
mejora
aplicadas
Aplicar
prácticas de
gestión de
calidad para la
actualización
de procesos.
Analista de
seguridad
1,5,11 Prácticas de
mejora
aplicadas
Evaluar
procesos
Procesos
correctos /
Procesos
Evaluar
procesos
Gerente alumno
218
ID Entrada Actividad Salida Descripción Responsable
desactualizados
1,5,12 Procesos
desactualizados
Retirar
procesos
Fin del proceso Se retiran los
procesos que
están
desactualizados
con la
implementación
de proyectos
innovadores
Gerente alumno
1,5,13 Fin del proceso Fin … Fin del proceso Gerente alumno
B.2 Objetivos y
métricas de
rendimiento
Establecer
los objetivos
de
cumplimiento
y
rendimiento.
Objetivos de
cumplimiento
alineados a la
mejora
continua de los
procesos
Actividades
internas del
proceso
Establecer los
objetivos de
cumplimiento y
rendimiento.
Gerente alumno
B.3 Evaluación de
capacidad de
procesos
Recopilar y
procesar los
datos de
cumplimiento
y
rendimiento.
Procesos
internos del
dominio
Supervisar,
Evaluar y
Valorar
Rendimiento y
Conformidad
Actividades
internas del
proceso
Recopilar y
procesar los
datos de
cumplimiento y
rendimiento.
Gerente alumno
A.3 Mejora
continua del
sistema de
gobierno
Supervisar el
sistema de
gobierno.
Efectividad y
funcionamiento
del gobierno
Actividades
internas del
proceso
Supervisar el
sistema de
gobierno.
Gobierno(Comité
educativo)
219
DIAGRAMA DEL PROCESO
Ilustración 27: Proceso Gestionar la Mejora Continua de los Procesos
220
DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON
LAS POLÍTICAS Y PROCEDIMIENTOS
DECLARATIVA
Poner en marcha procedimientos para mantener el cumplimiento y medición del
funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer
cumplir las consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las
tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de
control.
ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Rol Descripción Área funcional
Gerente alumno Realizar seguimiento de las actividades,
control, monitoreo y cumplimiento de las
políticas.
Gerencia
Arquitecto de TI Rediseñar los procesos para cumplir con las
políticas y procedimientos.
Gerencia
Gerente de servicios Adoptar las acciones necesarias para realizar
el soporte de servicios adoptando las
políticas y procedimientos propuestos.
Gerencia
Gestor de la
seguridad
Adoptar las acciones necesarias para realizar
los procesos relacionados a la seguridad de
información adoptando las políticas y
procedimientos propuestos.
Seguridad de información
Gobierno Encargado de realizar la Evaluación,
Orientación y Supervisión del sistema de
gobierno.
Dirección ejecutiva
221
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Proponer políticas y procedimientos relacionados a los objetivos de TI.
Gerente profesor Encargado de supervisar el cumplimiento de las políticas y
procedimientos de TI.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Políticas y procedimientos Políticas y procedimientos para
realizar el seguimiento y
cumplimiento de las obligaciones
de todos los empleados.
Gerencia
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Salida Descripción Encargado de Elaboración
Acciones de remediación para el
no cumplimiento
Acciones apropiadas para la
remediación del no cumplimiento,
esto incluye cambio de
requerimientos y comunicación
con el gobierno para definir
nuevos proyectos en el siguiente
periodo.
Gerencia
222
CARACTERIZACIÓN
ID Entrada Actividad Salida Descripción Responsable
1,6,0 … Inicio Políticas y
procedimientos
Inicio de
proceso
Gerente
alumno
1,6,1 Políticas y
procedimientos
Realizar
seguimiento
Seguimiento
iniciado
Hacer un
seguimiento del
cumplimiento
con políticas y
procedimientos.
Gerente
alumno
1,6,2 Seguimiento
iniciado
Validar
cumplimiento
Cumplimiento
valido /
Cumplimiento
invalido
Se realizan las
actividades
necesarias para
validar el
cumplimiento
de las políticas y
procedimientos
en la empresa.
Gerente de
servicios
1,6,3 Cumplimiento
invalido
Analizar
incumplimientos
Acciones de
remediación
para el no
cumplimiento
Analizar los
incumplimientos
y adoptar las
acciones
apropiadas
(puede incluir el
cambio de
requerimientos).
Gerente
alumno
1,6,4 Acciones de
remediación
para el no
cumplimiento /
Cumplimiento
Valido
Integrar
rendimiento y
cumplimiento
Rendimiento y
cumplimiento
integrado
Integrar
rendimiento y
cumplimiento
dentro de los
objetivos
individuales del
personal.
Analista de
seguridad
223
1,6,5 Rendimiento y
cumplimiento
integrado
Evaluar
desempeño de
catalizadores
Desempeño de
catalizadores
evaluados
Evaluar
periódicamente
el desempeño de
los catalizadores
del marco de
referencia y
adoptar las
acciones
necesarias.
Gestor de
arquitectura
de TI
1,6,6 Desempeño de
catalizadores
evaluados
Adoptar
acciones
necesarias
Acciones
necesarias
adoptadas
Adoptar las
acciones
apropiadas.
Gerente
alumno
1,6,7 Acciones
necesarias
adoptadas
Analizar
tendencias y
cumplimiento
Tendencias y
Cumplimiento
analizado y
validado
Analizar las
tendencias en el
funcionamiento
y cumplimiento.
Analista de
seguridad
1,6,8 Tendencias y
Cumplimiento
analizado y
validado
Fin … Fin de proceso Gerente
alumno
B.5 Acciones de
remediación
para el no
cumplimiento
Asegurar la
implantación de
medidas
correctivas.
Implementación
de medidas
correctivas
alineadas a las
políticas de la
empresa.
Actividades
internas del
proceso
Asegurar la
implantación de
medidas
correctivas.
Gerente
alumno
224
DIAGRAMA DEL PROCESO
Ilustración 28: Proceso Mantener el Cumplimiento con las Políticas y Procedimientos
225
POLÍTICAS
Las políticas establecidas por el proyecto IMGETI para la sección de Políticas de TI son:
Es responsabilidad del asistente de gerencia:
A. Revisar el ROF, MOF, Políticas, modelo de procesos, y la memoria de la empresa
al menos una vez por ciclo.
B. Actualizar el ROF, MOF y la memoria de la empresa.
C. Retirar los procesos desactualizados del modelo de procesos.
D. Agregar los nuevos procesos al modelo del modelo de procesos.
E. Notificar al personal de la empresa las políticas de misma al inicio de cada ciclo y
cada vez que se realiza algún cambio.
F. Realizar el seguimiento del cumplimiento de las políticas.
G. Crear cuentas de correo electrónico en el servicio Gmail para cada nuevo proyecto
al inicio de ciclo con el formato “CodigoProyecto_Añ[email protected]”. Por
ejemplo: “[email protected]”.
H. Notificar el correo creado y su contraseña. Además, del acceso a las carpetas
compartidas de IT-Expert y los Formularios para el registro de actividades y
reuniones mediante un mensaje a su correo universitario.
I. Es responsabilidad del Gerente general de la empresa IT-Expert.
J. Autorizar los cambios del ROF, MOF, Modelo de procesos, políticas y memoria de
la empresa.
K. Es responsabilidad del Jefe de proyecto:
L. Cambiar la contraseña del correo asignado a su proyecto.
M. Registrar semanalmente las actividades realizadas durante la semana en el
formulario de avance del proyecto.
226
N. Registrar semanalmente las reuniones celebradas durante la semana en el
formulario de reuniones.
227
ESTRUCTURA ORGANIZATIVA
La estructura organizacional implementada por el proyecto IMGETI es el siguiente:
Ilustración 29: Organigrama de IT-Expert 2014 Implementado
Fuente: Elaboración propia
ARQUITECTO DE TI
Descripción
Encargado de administrar la arquitectura empresarial para proponer soluciones
conciliadoras a las necesidades de los interesados.
Perfil
Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías EUP,
TOGAF.
Funciones
Recolectar y comprender los requisitos
Proponer modelos que respondan a los requisitos.
Validar y refinar el modelo propuesto.
Realizar mantenimiento de los modelos.
Persona Asignada
228
Alumno de Taller de Desempeño Profesional II
GESTOR DE RIESGOS
Descripción
Encargado de realizar las evoluciones de riegos de TI, así como proponer los cambios
necearías para mitigar los riesgos identificados.
Perfil
Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías PMBOK,
ITIL, COBIT.
Funciones
Identificar, cuantificar y priorizar los riesgos de TI
Realizar evoluciones de riesgos regularmente.
Proponer cambios para minimizar los riesgos.
Sigue una metodología para las evaluaci8mes con el fin de que estas sean objetivas y
repetibles.
Persona Asignada
Alumno de Taller de Desempeño Profesional II
GESTOR DE LA SEGURIDAD
Descripción
Tiene como misión planificar, coordinar y mantener la seguridad de la información de la
empresa. Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías
COBIT, ISO 27001.
Funciones
229
Planificar, coordinar y mantener la seguridad de la información en IT-Expert
Educar a los usuarios sobre seguridad de la información.
Realizar análisis de vulnerabilidades en los dispositivos de red de la empresa.
Reunir evidencias para la investigación de incidentes de seguridad.
Persona Asignada
Alumno de Taller de Desempeño Profesional II
ROLES
ARQUITECTO DE TI
Tiene la misión de asegurar la integridad de la arquitectura, en términos de abordar
adecuadamente todas las preocupaciones pertinentes de sus grupos de interés, relacionando
de todos los diferentes puntos de vista entre ellos. Lo que busca es la conciliación de
manera satisfactoria las preocupaciones conflictivas de diferentes grupos de interés,
mostrando las compensaciones y consideraciones tomadas.
GESTOR DE RIESGOS
Se encarga del proceso de identificación, cuantificación y priorización de los riesgos
comparándolos con el criterio para su aceptación dentro del marco de los objetivos
relevantes para la empresa. Realiza evaluaciones del riesgo periódicamente y siguiendo
una metodología para realizar los cambios en los requerimientos del sistema y en la
situación de los riesgos; por ejemplo: activos, amenazas, vulnerabilidades, impactos,
valoración del riesgo y cuantos cambios significativos ocurran.
GESTOR DE LA SEGURIDAD
Tiene como misión planificar, coordinar y mantener la seguridad de la información de la
empresa. Deben educar a los usuarios sobre la seguridad de la información, instalar
software de seguridad, supervisar las redes para detectar los puntos vulnerables de
seguridad, responder a los ataques cibernéticos, y en algunos casos, reunir datos y pruebas
que se utilizarán en la persecución de la delincuencia cibernética.
230
MÉTRICAS
Se establecen métricas que ayuden a la gerencia de la empresa IT-Expert a un control
adecuado de los procesos, en este caso al proceso implementado.
INDICADORES
Se establecieron los siguientes indicadores:
Reuniones realizadas con las autoridades
Nivel de avance del proyecto
Nivel de actividades realizadas en el proyecto
NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES
Definición: Mide el porcentaje de reuniones realizadas con las autoridades de la empresa
IT-Expert y con el Cliente del proyecto.
Expresión matemática:
Objetivos: Se debe alcanzar un 80% de reuniones con las autoridades de IT-Expert sobre
el número de semanas para lograr un alineamiento correcto a los requerimientos del cliente
y a las políticas de la empresa.
Consideraciones de gestión:
Verde Amarillo Rojo
X>=80% 60%<=X<80% X<60%
Periodicidad e intensión: Semanal
Fuentes de información: Reporte del formulario Google Drive “Reuniones del proyecto”
231
NIVEL DE AVANCE REAL DEL PROYECTO
Definición: Mide el Porcentaje de la brecha entre el número de actividades planificadas y
las actividades realizadas sobre el número de actividades planificas del proyecto.
Expresión matemática
Objetivos: La brecha de actividades realizadas con actividades planificadas debe ser
menor al 10%.
Consideraciones de gestión:
Verde Amarillo Rojo
X<=10% 10%<=X<25% X>=25%
Periodicidad e intensión: Semanal
Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”
NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO
Definición: Mide el porcentaje de avance de los proyectos a la fecha.
Expresión matemática
Objetivos: Las actividades realizadas deben ser mayores o iguales al 90% de las
actividades planificadas para no ocasionar retrasos en el proyecto.
Consideraciones de gestión
Verde Amarillo Rojo
X>=90% 85%<=X<90% X<85%
Periodicidad e intensión: Semanal
Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”
232
Para la implementación de cualquier proyecto es necesario una constante comunicación
con la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la
implementación envuelve la actualización y creación de información y documentación para
la empresa. Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5
para que funcionen como elementos que impulsan el cumplimiento de los objetivos de TI
en la empresa. La implementación del modelo de procesos propuesto por COBIT 5 debe
estar alineado al negocio de la empresa, esto conlleva a la aplicación y adaptación de los
subprocesos propuestos por el modelo de procesos de COBIT 5.
233
FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR?
DESARROLLAR EL PLAN DE IMPLEMENTACIÓN
En esta fase se debe supervisar las mejoras a través de métricas. En el proyecto IMGETI,
una vez implementado el plan o programa de implementación con mayor logro y
cumplimiento de objetivos de TI en la empresa se deben establecer indicadores para el
proceso implementado así como un medio por el cual pueden ser controlados por la
gerencia y reportados al comité, para IT-Expert esto se empleara un Tablero de indicadores
que se desarrolló como parte de la implementación de métricas. Los beneficios deben
monitorearse y medirse estableciendo metas para cada métrica en el programa
implementado.
Tablero De Indicadores
Definición:
El tablero de indicadores es un documento digital alojado en los servicios de Google Drive.
Este documento esta enlazado con dos formularios que permiten registrar la información
de los proyectos y de esta forma alimentarse de data a tiempo real. Presenta índices y
graficas que ayudan a monitorear y controlar el estado actual de los proyectos.
Objetivo:
Los objetivos del desarrollo del tablero de control son los siguientes
Medir el índice del proceso implementado enfocándose en las sesiones de formación, las
actividades realizadas en los proyectos y la brecha del avance real con el planificado
Disminuir el tiempo del desarrollo de los reportes presentados al comité
Diseñar un reporte alojado en la nube con sincronización a tiempo real que puede ser
accesible 24/7 directamente a la parte del gobierno de IT-Expert
Alcance:
234
El tablero de indicadores se desarrolló teniendo en cuenta el reporte que se elabora
bimestralmente por gerencia para extenderse al comité. Y tiene como alcance reducir la
elaboración del reporte mediante el uso de formularios del servicio de Google Drive.
El reporte que arroja el tablero de indicadores es a tiempo real 24/7 pues se aloja en el
servicio de la nube de Google Drive.
Los formularios que alimentan la data para generar el reporte de indicadores debes ser
registrado semanalmente por los jefes de cada proyecto. Se implementaron políticas para
este procedimiento.
Formulario Reuniones Del Proyecto
El formulario de reuniones de los proyectos tiene como datos de ingreso:
Numero de Semana
Fecha de registro
Código del proyecto
Autoridad con quien se celebra la reunión
Acuerdos a los que se llegue en dicha reunión
Esta información es fundamental para realizar el reporte que controlara las reuniones
realizadas por el proyecto.
Ilustración 30: Formulario de reuniones del proyecto
235
Fuente: Elaboración propia
Formulario Avance Del Proyecto
El formulario de avance de los proyectos tiene como datos de ingreso:
Numero de Semana
Código del proyecto
Avance real del proyecto en dos decimales con coma decimal
Actividades de avance planificado
Actividades de avance real
Observaciones en las actividades
Esta información es fundamental para realizar el reporte que controlara el avance de las
actividades realizadas por el proyecto.
236
Ilustración 31: Formulario de avance del proyecto
Fuente: Elaboración propia
Reporte De Informe De Avance Y Reuniones De It-Expert
El reporte presenta la información solicitada en el reporte que se envía al comité
bimestralmente y además los indicadores del proceso.
Avance del proyecto
El grafico del avance nos permite monitorear de forma visual el avance real del proyecto
con respecto al avance planificado.
Ilustración 32: Avance por proyecto
237
Fuente: Elaboración propia
Reuniones por proyecto
Este grafico de barras muestra la cantidad de reuniones celebradas por cada proyecto con
diferentes autoridades establecidas por la empresa IT-Expert y el Cliente del proyecto.
Ilustración 33: Reuniones por proyecto
Fuente: Elaboración propia
Informe de EDT
El informe EDT presenta el desarrollo de las actividades con respecto a lo planeado. Esta
información es la evidencia de una adecuada gestión del proyecto y brinda un informe más
detallado del desarrollo de las actividades.
Ilustración 34: Informe EDT
238
Fuente: Elaboración propia
Informe de reuniones
El informe de las reuniones celebradas por los jefes del proyecto nos muestra los acuerdos
a los que se llegaron con el cliente del proyecto y las diferentes autoridades establecidas en
la empresa IT-Expert.
Ilustración 35: Informe de reuniones
239
Fuente: Elaboración propia
Resumen de avances comparativo
El resumen de avances muestra el indicador mediante semáforo de cómo se encuentra la
brecha entre el avance planificado y real de todos los proyectos. Estos índices fueron
definidos en las métricas de los Productos de trabajos.
Ilustración 36: Resumen de avances semáforos
240
Fuente: Elaboración propia
Ilustración 37: Resumen de avances gráficos
Fuente: Elaboración propia
Resumen de reuniones comparativo
Este índice indica el número de reuniones comparativo entre todos los proyectos. Esto
puede mostrar un ratio o promedio normal de las reuniones que se deben realizar con las
autoridades de la empresa y el cliente del proyecto.
Ilustración 38: Resumen de reuniones
241
Fuente: Elaboración propia
Al establecer las métricas de rendimiento se debe verificar el cumplimiento de los
objetivos de cada indicador y que esté de acuerdo con los requerimientos del negocio
establecidos por la gerencia. El cuadro de indicadores cumple con la supervisión de las
mejoras implementadas pues sus métricas de rendimiento que ayudaran a controlar el
rendimiento del proceso y a tomar medidas de mitigación. Es indispensable contar con un
plan de riesgos y de acciones a realizar como contingencia y mitigación para regularizar
los índices arrojados por el cuadro de indicadores.
242
FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO?
MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA
IMPLEMENTACIÓN
En esta fase se realiza revisa la efectividad del éxito global del proyecto mediante una
evaluación de nivel de capacidad. También se identifican las mejoras o las lecciones que se
obtienen de toda la implementación para finalmente presentar las mejoras futuras que
ayudarían a mejorar a la empresa. Estas mejoras son los tres procesos propuestos que no
fueron implementados, pero son aplicables en la empresa IT-Expert.
Evaluación
APO01 Gestionar el Marco de Gestión de TI
Luego de analizar las listas de revisiones por segunda vez se puede obtener este cuadro que
nos indica que la empresa IT-Expert en el proceso APO01 tiene un total de 86.80% de
capacidad en el nivel 1.
Tabla 22: Evaluación de proceso Gestionar el marco de gestión de TI
Evaluación APO01
APO01 Gestionar el Marco de Gestión de TI 86.80
Descripción del Proceso
Aclarar y mantener el gobierno de la misión y la visión
corporativa de TI. Implementar y mantener mecanismos
y autoridades para la gestión de la
243
Información y el uso de TI en la empresa para apoyar los
objetivos de gobierno en consonancia con las políticas y
los principios rectores.
Declaración del Propósito del
Proceso
Proporcionar un enfoque de gestión consistente que
permita cumplir los requisitos de gobierno corporativo e
incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y
reproducibles y habilidades y competencias.
Meta del Proceso (Os) (1-4) 100.00%
APO01-O1 Se ha definido y se mantiene un conjunto eficaz de
políticas. 3
APO01-O2
Todos tienen conocimiento de las políticas y de cómo
deberían 3
Implementarse.
Prácticas Base (BPs) % 81.83%
APO01-BP1 Definir la estructura organizativa. 88.5
APO01-BP2 Establecer roles y responsabilidades 85.7
APO01-BP3 Mantener los elementos catalizadores del sistema de
gestión 90.5
APO01-BP4 Comunicar los objetivos y la dirección de gestión 50.0
APO01-BP5 Optimizar la ubicación de la función de TI. 100.0
APO01-BP6 Definir la propiedad de la información (datos) y del
sistema. 85.0
APO01-BP7 Gestionar la mejora continua de los procesos 75.0
244
APO01-BP8 Mantener el cumplimiento con las políticas y
procedimientos 80.0
Producto de Trabajo (WPs) S/N 78.57%
APO01-WP1 Políticas relativas a TI si
APO01-WP2 Acciones de remediación por no cumplimiento No
APO01-WP3 Evaluación de las opciones para la organización de TI Si
APO01-WP4 Definir la función operacional de las funciones de TI Si
APO01-WP5 Definición de estructura y funciones organizativas Si
APO01-WP6 Directrices operativas de la organización Si
APO01-WP7 Reglas básicas de comunicación Si
APO01-WP8 Definición de roles y responsabilidades relativos a TI Si
APO01-WP9 Definición de prácticas de supervisión Si
APO01-WP10 Evaluaciones de la capacidad de los procesos Si
APO01-WP11 Oportunidades de mejoras de proceso Si
APO01-WP12 Objetivos y métricas de rendimiento para el seguimiento
de la mejora de procesos Si
APO01-WP13 Comunicación de objetivos de TI No
APO01-WP14 Directrices para la clasificación de datos No
Fuente: Elaboración propia
En la última fase, se revisó la efectividad de la implementación mediante una segunda
evaluación de la capacidad de nivel uno para el proceso implementado, cuyo resultado se
muestra a continuación.
245
Tabla 4. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de
TI
Evaluación de capacidad de nivel 1
del proceso Gestionar el marco de gestión de TI
Cumplimiento del objetivos 100%
Ejecución de prácticas base 81.83%
Uso de productos de trabajo 78.57%
Resultado de evaluación 86.80% = F-completamente alcanzado
Fuente: Elaboración propia
Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de
P-parcialmente alcanzado a F-completamente alcanzado. Por lo que, se valida que la
implementación del proceso fue satisfactoria.
Lecciones Aprendidas
Es indispensable contar con la implementación del dominio de Gobierno de TI, este
domino es el primer paso para alinear los objetivos del negocio con los objetivos de TI. La
información que se obtiene de los resultados del cuadro de indicadores sin duda es
fundamental para realizar una toma de decisiones correcta.
En caso algún proyecto se retrase se pueden tomar las medidas necesarias para agilizar las
actividades de cada uno.
Si no hay un adecuado control por parte de las autoridades y el cliente del proyecto se
pueden tomar las acciones correctivas para regular este índice.
Pero toda acción y decisión parte de un conocimiento brindado por la información que
arrojan los cuadros de control que son documentos alojados en la nube, que es una
herramienta de tecnología de información. De esta forma se adecua las TI para brindar
apoyo y soportar las decisiones a la parte corporativa de la empresa.
246
Mejoras Futuras
Implementación del dominio EDM (Evaluar, Dirigir y Monitorear) en la empresa IT-
Expert.
Implementar los procesos restantes que aplican al dominio APO (Alinear, Planificar y
Organizar):
Gestionar Arquitectura Empresarial
Gestionar Portafolios de Proyectos
Gestionar Recursos Humanos
247
248
GESTIÓN DEL PROYECTO
El quinto capítulo recopila los distintos planes asociados a la gestión del proyecto según la
metodología PMBOK. Se describe el producto final y se mencionan las lecciones
aprendidas durante el desarrollo del proyecto. En este capítulo encontraremos las
referencias hechas en las primeras páginas del presente documento.
249
PRODUCTO FINAL
La implementación de un modelo estratégico de TI para la empresa IT-Expert mediante
COBIT 5, esto provee resultado cualitativos en diferentes aspectos:
Redefinición de procesos, basados en los dominios de COBIT, para poder adaptarse a los
nuevos grados de madurez, se estructuran los procesos en base a los nuevos tiempos de
cada servicio, definidos con estructuras internacionalmente aceptadas, auditables, medibles
y que integran las mejores prácticas.
Redefinición de roles, responsabilidades y funciones: con intención de asegurar los nuevos
roles, se estructuran, con nuevos indicadores en las nuevas y claridad en los roles y
responsabilidades.
Fortalecimiento en la alineación entre la planificación estratégica de negocios y
planificación estratégica de TI.
Análisis de Riesgos. Un punto fundamental es la inclusión de la Gestión de los Riesgos de
TI. Para llevar adelante este plan se mejoró la metodología y la gestión de los riesgos se
basó en forma inicial a RISK IT. Un punto importante es que en el ciclo anual de Gestión
de Riesgos de TI, se utilizan los principales puntos de control enmarcados en COBIT para
cada proceso de TI y el análisis de Riesgos parte de dicha guía para asegurar el
alineamiento a dicho Marco entre otros factores importantes.
GESTIÓN DEL TIEMPO
Ilustración 39: Cronograma
251
252
253
254
255
Elaboración Propia
256
GESTIÓN DE LOS RECURSOS HUMANOS
Jefe de Proyecto: Supervisar y controlar la ejecución de las actividades para que se
cumplan todos los objetivos del proyecto. El jefe de proyecto cumple la labor de gestionar el
proyecto de forma eficaz, eficiente y de alta calidad.
Comité: Evaluar el proyecto bajo los estándares establecidos por la Carrera de Ingeniería de
Sistemas de la Universidad Peruana de Ciencias Aplicadas. El comité cumple la labor de
gestionar el proyecto de forma eficaz, eficiente y de alta calidad. El comité brindara una
evaluación manteniendo los estándares en la gestión de proyectos de un Ingeniero de
Sistemas, esto permite mejorar en los diferentes aspectos del rol del Ingeniero de Sistemas.
Cliente Profesor: Brindar la información necesaria e Indicar los requerimientos necesarios
para cumplir con el objetivo principal del proyecto y la aprobación de los entregables del
proyecto. El gerente de IT-Expert brindara la información necesaria para poder definir los
requerimientos y plantear a su vez los objetivos del proyecto.
Gerente Profesor: Brindar apoyo y asesoría durante el desarrollo del proyecto. Por su parte
el Gerente profesor brindará el apoyo y soluciones a las dudas e interrogantes planteadas por
los Jefes de Proyecto para el desarrollo del mismo.
Gerente Alumno: Controlar y supervisar el avance eficaz de los proyectos y mantener
informado a los alumnos de Taller de Proyectos informados de las actividades de la empresa
IT-Expert. Además, la gerente alumno mantendrá un control que ayudara a gestionar mejor
el proyecto y brindara información de actividades de la empresa, de esta forma se tendrá
conocimiento de las fechas de diversas evaluaciones.
257
Analista QA: Verificar y Validar la calidad de los entregable del proyecto. Asimismo,
mediante observaciones se podrán corregir las fallas, defectos y errores que se cometan en la
gestión del proyecto. Asimismo, ayudara en la mejora continua de los Jefes de Proyecto.
Para Quality Services no se fue necesario aun disponer del servicio de un analista, por lo que
no se maneja una gestión del recurso.
Para el alumno de apoyo se Maneja en el Outlook Calendar las reuniones, citas y acuerdos
con el alumno apoyo. Además se maneja una carpeta compartida en la que se administraran
los archivos que se manejen entra los jefes de proyecto y el alumno de apoyo.
258
GESTIÓN DE LAS COMUNICACIONES
Se realizaron comunicaciones con los profesores Cliente y Gerente de tipo reunión
(semanalmente) y por correo electrónico (periódicamente).
Los inconvenientes que surgieron fueron en días feriados, se tuvo que recuperar realizando
dos reuniones seguidas las semanas posteriores a la semana de los días feriados.
Se realizó comunicación de tipo Sincronización de documentos compartidos con los
Profesores Cliente, Gerente y Alumno Gerente para la evidencia de las actividades
realizadas.
El inconveniente que surgió fue un retraso en la semana 12 en el proyecto, que se actualizo
la semana 13, debido a la acumulación de actividades.
Se realizó comunicación con el alumno de apoyo por correo electrónico para la asignación
de sus actividades.
Inconveniente es que solo existe un alumno de apoyo para las actividades, esto se solucionó
luego que este se liberó mediante el cumplimiento de sus actividades con otros proyectos y
posteriormente se le delego a nuestro proyecto.
259
GESTIÓN DE LOS RIESGOS
Tabla 23: Gestión de Riesgos
# Riesgo Probabilidad Impacto Estrategia de mitigación
1 Disponibilidad
horaria del
profesor
cliente.
Probable Alto Comunicación constante con el
cliente. Así como, la
reprogramación de nuevas
reuniones para subsanar
reuniones canceladas.
2 Incumplimient
o de
actividades por
parte del
recurso alumno
asignado
Improbable Medio Mantener una comunicación
constante con nuestro recurso
alumno. Acordar la posibilidad
de solicitar la ayuda de otro
recurso alumno si el asignado no
puede cumplir con sus
actividades ya sea por motivos
de salud o personales.
3 Cambio de
Gerencia en
IT-Expert
Improbable Alto Tomar en consideración los
objetivos a largo plazo.
Implementar la gestión del
cambio para abordar los posibles
cambios de los objetivos de la
empresa.
4 Subestimación
del tiempo de
desarrollo de
los artefactos
Probable Medio Dejar una holgura de tiempo
para las actividades relacionadas
al desarrollo de entregables en el
cronograma.
Elaboración Propia
260
Actividades de seguimiento y control
Definir de medidas de mitigación y contingencia.
Implementar controles para los riegos con criticidad alta.
Los jefes del proyecto tiene el deber de supervisar de manera continua los riesgos
identificados
Actuar de manera inmediata ante la materialización de un riesgo siguiendo los planes de
contingencia
Procedimiento
Identificación de los riesgos del proyecto
Registro de riesgos
Priorización de los riesgos
Evaluación del riesgo
Definición de las acciones que permitan neutralizar o mitigar el riesgo
Para los riesgos de severidad media a alta a los que no se haya añadido un paquete de trabajo
en la EDT, se definirá un plan de contingencia.
Se realizará el seguimiento y control de los riesgos de manera continua.
Tabla 24: Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales
Objetivos del Proyecto
Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales
Objetivos del Proyecto
261
Escala de Impacto
Objetivo del
Proyecto Bajo Moderado Alto
Tiempo Aumento del tiempo
<3%
Aumento del tiempo
del 3-6%
Aumento del tiempo
>6%
Alcance
Disminución del
alcance es apenas
apreciable
Áreas de alcance
principales afectadas
El producto terminado del
proyecto es inservible o
inaceptable para el cliente
Calidad
Degradación de la
calidad es apenas
perceptible
La reducción de la
calidad requiere la
aprobación del cliente
El producto terminado del
proyecto es inservible o
inaceptable para el cliente
Elaboración Propia
262
LECCIONES APRENDIDAS
Es muy importante desde un inicio del proyecto definir un buen plan de gestión de
comunicaciones, que contemple a todas las partes interesadas.
Todos los entregables de gestión del proyecto deben ser enviados a QS para su revisión.
263
CONCLUSIONES
En la primera evaluación, los procesos que componen el modelo obtuvieron una calificación
de P-Parcialmente alcanzado. Por lo que, su nivel de capacidad es 0 – Incompleto, esto
indica que IT-Expert no presenta nivel adecuado en la integración entre los objetivos
empresariales y los objetivos de TI.
Al realizar la segunda evaluación de capacidad del modelo de gestión estratégico de TI
propuesto, se obtuvo una calificación F-Completamente alcanzado, es decir se alcanzó el
nivel 1 de capacidad. Por lo tanto, se valida que la implementación fue exitosa e indica que
se establece el primer paso para una mejora continua en los diferente procesos establecidos,
los mismos que ayudan a mantener una empresa que integre sus objetivos estratégicos y sus
objetivos de TI.
Los resultados del plan de implementación con más valor y aceptación para la empresa IT-
Expert es el relacionado al proceso “Gestionar el marco de gestión de TI”, pues contiene los
productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI.
Para la implementación de cualquier proyecto es necesario una constante comunicación con
la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la
implementación envuelve la actualización y creación de información y documentación para
la empresa.
Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5 para que
funcionen como elementos que impulsan el cumplimiento de los objetivos de TI en la
empresa.
La implementación del modelo de procesos propuesto está alineado al negocio de la
empresa, esto conlleva a la aplicación y adaptación de los subprocesos propuestos por el
modelo de procesos del marco de referencia usado para este proyecto. Esto con el fin de
mantener una arquitectura de procesos bajo las buenas prácticas de un marco integrador.
Actualmente, existen muchos marcos de referencias y conjuntos de buenas prácticas
relacionadas a la TI, pero se ha encontrado que si son utilizados de manera colectiva se
tornan muy confusos y difíciles de integrar, incluso pueden llegar a obstruirse entre ellos.
264
COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de
trabajo, estándares o normas internacionales más usadas en la actualidad. Por lo que, la
implementación de futuros proyectos basadas en estas serán totalmente compatibles con el
modelo propuesto.
Existe una dependencia entre el cumplimiento de las necesidades de la alta dirección y los
objetivos de TI. El uso objetivo de soluciones de TI ayudan a mantener un control en el
cumplimiento de las necesidades del gobierno empresarial, tanto a nivel de los gerentes de
cada empresa como de los jefes de cada proyecto. Hecho que se hace evidente en los
controles y evaluaciones hacia la adecuada y eficiente gestión de los proyectos profesionales
en sus diferentes etapas.
El apoyo de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para
el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de
manera rápida porque se tenía mapeado a todos los responsables y partes interesadas.
265
RECOMENDACIONES
Se recomienda realizar evaluaciones de capacidad posteriores a la implementación del
proyecto con fin de mejorar el nivel de capacidad de los procesos de la empresa IT-Expert.
Así conforme al marco de referencia usado en este proyecto seguiremos con la mejora
continua en los diferentes procesos y habilitadores de objetivos.
Es necesario diseñar un modelo de gobierno de TI para la empresa IT-Expert con el fin de
crear y mejorar objetivos empresariales que fortalezcan la identidad y establezcan
eficientemente el perfil de la empresa.
Existe una necesidad de establecer una relación fuerte entre el Gobierno y la Gestión en IT-
Expert, con el fin de añadir valor a la empresa mediante la Gestión de planes de acción con
proyectos que se lleven a cabo para el cumplimiento de los objetivos establecidos por el
Gobierno, así se tendrá un control y equilibrio entre los riesgos y el retorno sobre TI y
también los procesos en concordancia con el modelo de propuesto.
Se recomienda implementar los principales procesos del dominio "Evaluar, Orientar y
Supervisar" y el dominio "Supervisar, Evaluar y Valorar" ya que los procesos de estos
dominios completan el ciclo de mejora continua del modelo estratégico APO (Alinear,
Planificar y Organizar) del cual se adaptó e implemento el proceso "Gestionar el marco de
gestión de TI". Los dominios "Evaluar, Orientar y Supervisar" y “Supervisar, Evaluar y
Valorar” están orientados al Gobierno y Control, ambos dominios son fundamentales en la
mejora continua de la empresa.
Se recomienda establecer una integración entre las diferentes empresa de la escuela de
ingeniería, de esta forma se pueden establecer proveedores, clientes, procesos,
documentación, políticas, roles, etc. Esto ayudara a crear un ambiente más real entre las
empresas virtuales.
266
GLOSARIO
Atributo (de capacidad) de un proceso: Una característica medible de una capacidad de
proceso aplicable a cualquier proceso.
Buena práctica: Una actividad o proceso probado que se ha puesto en práctica con éxito por
múltiples empresas y se ha demostrado que produce resultados fiables.
Capacidad de un proceso: Una caracterización de la capacidad de un proceso para alcanzar
las metas del negocio sean actuales o proyectadas.
Catalizador: Factores externos e internos que inician y afectan cómo la empresa o el
individuo actúan o cambian.
Estructura organizativa: Un catalizador del gobierno y de la gestión. Incluye la empresa y
sus estructuras, jerarquías y dependencias.
Gestión: Incluye el uso juicioso de medios (recursos, personas procesos, prácticas, etc.) para
conseguir un fin identificado. Es un medio o instrumento mediante el cual el grupo que
gobierna consigue un resultado u objetivo. La gestión es responsable de la ejecución dentro
de la dirección establecida por el grupo que gobierna. La gestión se refiere a las actividades
operacionales de planificación, construcción, organización y control que alinean con la
dirección que establece el grupo que gobierna y la información sobre dichas actividades.
Gobierno25
: El marco, principios y políticas, estructuras, procesos y prácticas, información,
habilidades, cultura, ética y comportamiento que establecen la dirección y verifican que
cumplimiento y rendimiento de una empresa están alineados con el propósito general y los
objetivos definidos. El gobierno define quién tiene la responsabilidad última de que las
cosas se hagan, la responsabilidad y la capacidad de decisión (entre otros elementos).
25
El gobierno asegura que las necesidades, condiciones y opciones de las partes interesadas
son evaluadas para determinar los objetivos de empresa acordados y equilibrados que han de
ser alcanzados; establecer la dirección mediante la priorización y toma de decisiones; y
supervisando el rendimiento y el cumplimiento respecto a la dirección y objetivos
acordados. Cfr. COBIT 5 2012.
267
Gobierno de TI empresarial: Un enfoque de gobierno que garantiza que las tecnologías de
información y las relacionadas soportan y habilitan la estrategia de la empresa y la
consecución de las metas corporativas. También incluye el gobierno funcional de TI, por
ejemplo, garantizando que las capacidades de TI son provistas de forma eficiente y efectiva.
Marco de referencia: Es el conjunto de conceptos y criterios dentro de un estándar. Es
necesario para desarrollo de actividades debido a que sirve como una referencia para
enfrentarse a diversos problemas en un ambiente definido.
Modelo: Un modo de describir un conjunto de componentes y de como esos componentes se
relacionan entre ellos para describir el funcionamiento principal de un objeto, sistema o
concepto.
Objetivo: Declaración de un resultado deseado.
Objetivo de negocio: La traducción de la misión de la empresa desde una expresión de
intenciones a unas metas de rendimiento y resultados.
Objetivo de TI: Una declaración describiendo el resultado deseado de las TI empresariales
como soporte a los objetivos de la empresa. Un resultado puede ser un elemento, un cambio
significativo de estado o una mejora de capacidades significativa.
Práctica de gobierno/gestión: Para cada proceso COBIT, las prácticas de gobierno y
gestión proveen un conjunto completo de requerimientos de alto nivel para el gobierno y la
gestión efectiva y práctica de TI de una empresa. Se trata de declaraciones de acción de los
cuerpos de gobierno y gestión.
268
SIGLARIO
IMGETI: Implementación de un modelo de gestión estratégica de TI
EUP: Enterprise Unified Process
BPMN: Business Process Modeling Notation
ISACA: Information Systems Audit and Control Association
COBIT: Control Objectives for Information Systems and related Technology
ISO: International Organization for Standardization
GEIT: Gobierno corporativo de tecnologías de información.
269
BIBLIOGRAFÍA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012a)
COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.
Rolling Meadows: ISACA consulta: de abril de 2014
www.isaca.org COBIT Documents COBIT5-Framework-Spanish.pdf )
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012b)
COBIT 5 Procesos Catalizadores. Rolling Meadows: ISACA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012c)
COBIT 5 Implementation. Rolling Meadows: ISACA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012d)
Process Assessment Model (PAM): Using COBIT 5. Rolling Meadows: ISACA
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) (2014) Página
web oficial de ITIL que contiene información acerca del marco de trabajo (consulta: 9 de
junio de 2014) (www.itil-officialsite.com)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2014) Página
web oficial de la ISO que contiene información acerca de los estándares internacionales
(consulta: 9 de junio de 2014) (www.iso.org)
270
ANEXOS
ANEXO 1: Actas de Reunión 1era Etapa
Proyecto: PIEGV – Definicion de la Metodologia de la Gestión de Incidencias para las empresas virtuales
Fecha: 28/03/2014 N°: 001
Acta de Reunión N°001
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
PIEGV – Definicion de la Metodologia de la Gestión de
Incidencias para las empresas virtuales
28/03/2014 5:00 pm 6:00 pm
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Sección 2. Agenda
Nro. Tema
01 Descripción del proyecto.
02 Alcance del proyecto
03 Requerimientos del proyecto
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.
02 Se vió el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio, principalmente la Gestión de Incidencias y la Gestión de Eventos.
03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que soporte todos los procesos en la etapa de operación del servicio.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 La Gestión de Accesos queda fuera del alcance.
02 Las reuniones con el cliente se desarrollarán semanalmente los miércoles a partir del 02/04/2014 a las 5pm.
271
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014
02 Investigar la Gestión de incidencias, Gestión de Eventos,
Gestión de Problema, Gestión de requerimiento y Peticiones
Jefes de proyecto 02/04/2014
03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014
04 Investigar PinkVERIFY Jefes de proyecto 02/04/2014
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
272
Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
Fecha: N°: 02
Acta de Reunión N° 2
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
5:00 pm 6:00 pm
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Definir el alcance del proyecto
02 Acordar complementar el uso de diferentes metodologías
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Seguridad de Informacion
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Se eliminó el proyecto
02 Se acordó buscar una nueva propuesta de Cliente
273
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Tareas de proyecto anterior eliminadas, nuevo proyecto
“IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta
información nos la dieron
Jefes de proyecto 02/04/2014
02 Escoger un tema de seguridad de la información que pueda a
aplicarse a IT-Expert.
Jefes de proyecto 02/04/2014
03 Proponer un cliente Jefes de proyecto 02/04/2014
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
274
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 3
Acta de Reunión N° 3
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica en los servicios de TI para IT-ExpertGESTI 09/04/2014
05:00 p.m. 06:00 p.m.
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió Asistió
Juro Pereira, Peter Jefe de Proyecto Si Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si Si
Rosas Acevedo, Vania Cliente. Si Si
Sección 2. Agenda
Nro. Tema
01 Nuevo proyecto por definir
02 Establecer alcance de proyecto
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Definir estrategia de crecimiento en la innovación.
02 Definir cuáles son los objetivos y proyecciones de los negocios.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Nuevo proyecto en marcha.
02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios de ti para IT-Expert"
275
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Investigación Cobit 5 03/04/2014
02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014
03 Project Charter v 1.0 Objetivos, problemática y alcance del proyecto
03/04/2014
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
276
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 4
Acta de Reunión N° 4
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
16/04/2014
05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert
02 Revisión de Project Charter v1.0
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Revisión los procesos del primer dominio de gestión según Cobit 5 (Alinear, planificar y organizar)
02 Revisión de la problemática , objetivos del proyecto, así como, sus indicadores de éxito.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso
02 Cambiar el objetivo especifico No 3 y su indicador de éxito.
277
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5
02 Realizar los demás entregables para la exposición ante el
profesor gerente de IT-Expert
Carlos Velásquez,
Peter Juro
Semana 5
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
278
Proyecto: Implementación de un modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 5
Acta de Reunión N° 5
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
23/04/2014
05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Revisión de project charter v1.1
02 Revisión de cronograma v1.1
03 Revision de artefactos solicitados
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Asesoría de Project Charter.
02 Asesoría de Cronograma.
03 Feedback de artefactos de entrega.
04 Asesoría presentación al comité
05 Entregables relacionados a la gestión del proyecto
08 Recomendaciones de la presentación
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Modificación del cronograma, nueva división de fases.
279
02 Modificación del project charter(marco teórico, resumen ejecutivo, objetivos)
03 Desarrollar los artefactos en base al PMBOK la guía.
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5
02 Realizar nuevas modificacione a los entregables. Carlos Velásquez,
Peter Juro
Semana 5
03 Preparar una presentacion para el comité con un maximo de una
grafica por artefacto.
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
280
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 6
Acta de Reunión N° 6
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
30/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Revisión de la presentación
02 Guías de COBIT 5 necesarias
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Revisión de la estructura de la presentación
02 Definir las guías necesarias de la familia COBIT 5 para consulta durante el proyecto
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Mejora de estructura de la presentación (75% acerca del proyecto y 25% acerca de la gestión del proyecto)
02 Conseguir las guías COBIT 5: Enabling Processes y COBIT 5: Implementation
281
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Mejorar la presentación antes de la semana 7 según lo acordado Carlos Velásquez Semana 6
02 Traer las guías de COBIT 5 definidas en la reunión Carlos Velásquez,
Peter Juro
Semana 7
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
282
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 7
Acta de Reunión N° 7
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
07/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Revisión de cronograma
02 Revisión del EDT
03 Identificación de siguientes actividades
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se revisó el avance con respecto al cronograma y EDT del proyecto
02 Se vio conveniente una forma de realizar la identificación del Plan estratégico por medio de una reunión con el comité
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Identificación del plan estratégico a partir de una reunión con el comité
02 Obtener guías de COBIT 5 por el gerente de la empresa IT-Expert
03 Identificar objetivos a largo plazo de IT-Expert actualizados
283
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Reunión con el Gerente profesor Peter Juro Pereira 08/05/2014
02 Investigación de las Guías EnablingProcess e Implementation. Carlos Velásquez,
Peter Juro
Semana 9
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
284
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 8
Acta de Reunión N° 8
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
21/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto No
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Profesor Cliente Si
Sección 2. Agenda
Nro. Tema
01 Presentar los resultados de la reunión con el gerente de IT-Expert con relación a las metas de la empresa.
02 Presentar resumen de las guías COBIT implemetation y EnablingProcesses
03 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Revisión de lo obtenido en la reunión con el gerente de IT-Expert
02 Revisión de la metodología de implementación según COBIT 5: implementation
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 A pesar de que se tiene un plan estratégico en la memoria de la empresa virtual( que está desactualizada), es necesario conseguir las proyecciones de IT-Expert.
02 En la siguiente reunión se revisarán los casos de éxito.
285
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Reunirse con la Directora de la carrera y/o decano para obtener
las proyecciones de crecimiento de la empresa IT-Expert.
Peter Juro 28/05/2014
02 Revisar exhaustivamente la metodología y las fases de
implementación.
Carlos Velásquez 28/05/2014
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
286
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: 01/06/2014 N°: 9
Acta de Reunión N° 9
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
30/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Profesor Cliente Si
Sección 2. Agenda
Nro. Tema
01 Presentar resumen de las guías COBIT implemetation y EnablingProcesses
02 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)
03 Presentar informes de estado del arte
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se revisaron los informes de las fuentes del estado del arte
02 Se revisaron las memorias pasadas de proyectos involucrados con IT-Expert
Sección 4. Acuerdos
Nro. Acuerdo
Acuerdo
01 Definir los objetivos estratégicos de la empresa junto con el proyecto CD5
02 Las siguiente sesión se realizara la presentación del informe de las guías de la familia Cobit 5
287
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Definir casos de negocio de la empresa IT-Expert a nivel
Gerencia
Peter Juro Semana 11
02 Discutir con los integrantes del proyecto CD5 los objetivos
estrategicos
Carlos Velásquez Semana 11
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
288
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: 03/07/2014 N°: 10
Acta de Reunión N° 10
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
03/07/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Profesor Cliente Si
Sección 2. Agenda
Nro. Tema
01 Revisión de la fase 1
02 Revisión de la fase 2
03 Revisión de la memoria
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se revisaron los puntos débiles y eventos desencadenantes, y las responsabilidades de las partes interesadas
02 Se revisaron la cascada de metas, la evaluación de la capacidad de los procesos
Sección 4. Acuerdos
Nro. Acuerdo
Acuerdo
01 Es necesario utilizar una terminología estándar en toda la memoria
02 Explicar los puntos señalados por la profesora cliente en la memoria
289
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Realizar las correcciones correspondientes en los puntos
relacionados a la fase 1 y fase 2 en la memoria
Peter Juro Semana 15
02 Buscar los mismos tipos de correcciones en la fase 3 Carlos Velásquez Semana 15
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
290
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: 09/07/2014 N°: 11
Acta de Reunión N° 11
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
09/07/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Profesor Cliente Si
Sección 2. Agenda
Nro. Tema
01 Revisión del marco teórico
02 Revisión de la fase 3
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se revisaron las partes de la memoria restantes
02 Se puso más importancia a la fase 3 y al marco teórico
Sección 4. Acuerdos
Nro. Acuerdo
Acuerdo
01 Se deben corregir los puntos señalados en la memoria
02 Enviar la presentación del proyecto para una revisión
291
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Corregir el formato de las tablas Peter Juro Semana 16
02 Agregar párrafos que expliquen mejor los entregables mostrados
en la fase 3
Carlos Velásquez Semana 16
03 Enviar la presentación final del proyecto Peter Juro Semana 16
Nombre: Peter Juro Pereira Cargo: Jefe de Proyecto
Nombre: Carlos Velásquez Vara Cargo: Jefe de Proyecto
Nombre: Vania Rosas Acevedo
Cargo: Cliente
292
Proyecto: PIEGV – Definición de la Metodología de la Gestión de Incidencias para las empresas virtuales
Fecha: 28/03/2014 N°: 001
Acta de Reunión N°001
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
PIEGV – Definición de la Metodología de la Gestión de
Incidencias para las empresas virtuales
28/03/2014 5:00 pm 6:00 pm
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Paul Rivas Galloso Gerente Si
Sección 2. Agenda
Nro. Tema
01 Descripción del proyecto.
02 Alcance del proyecto
03 Requerimientos del proyecto
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.
02 Se vio el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio, principalmente la Gestión de Incidencias y la Gestión de Eventos.
03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que soporte todos los procesos en la etapa de operación del servicio.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 La Gestión de Accesos queda fuera del alcance.
02 Las reuniones con el cliente se desarrollarán semanalmente los martesa partir del 01/04/2014 a las 5pm.
03 Tratar de abarcar toda la fase de operación de ITIL v3.0
293
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014
02 Investigar la Gestión de incidencias, Gestión de Eventos,
Gestión de Problema, Gestión de requerimiento y Peticiones
Jefes de proyecto 02/04/2014
03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014
04 Investigar COBIT 5 en la parte estrategica Jefes de proyecto 02/04/2014
Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
Fecha: N°: 02
Acta de Reunión N° 2
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
5:00 pm 6:00 pm
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Paul Rivas Galloso Gerente Si
Sección 2. Agenda
Nro. Tema
01 Definir el alcance del proyecto
02 Acordar complementar el uso de diferentes metodologías
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Seguridad de Informacion
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Se eliminó el proyecto
02 Se acordó buscar una nueva propuesta de Cliente
294
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Tareas de proyecto anterior eliminadas, nuevo proyecto
“IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta
información nos la dieron
Jefes de proyecto 02/04/2014
02 Escoger un tema de seguridad de la información que pueda a
aplicarse a IT-Expert.
Jefes de proyecto 02/04/2014
03 Proponer un cliente Jefes de proyecto 02/04/2014
295
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 3
Acta de Reunión N° 3
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica en los servicios de TI para IT-ExpertGESTI 09/04/2014
05:00 p.m. 06:00 p.m.
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió Asistió
Juro Pereira, Peter Jefe de Proyecto Si Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si Si
Rosas Acevedo, Vania Cliente. Si Si
Paul Rivas Galloso Gerente Si Si
Sección 2. Agenda
Nro. Tema
01 Nuevo proyecto por definir
02 Establecer alcance de proyecto
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Definir estrategia de crecimiento en la innovación.
02 Definir cuáles son los objetivos y proyecciones de los negocios.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 Nuevo proyecto en marcha.
02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios de ti para IT-Expert"
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Investigación COBIT 5 03/04/2014
02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014
03 Project Charter v 1.0 Objetivos, problemática y alcance del proyecto
03/04/2014
296
Proyecto: Implementación de modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 4
Acta de Reunión N° 4
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
15/04/2014
04:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Paul Rivas Galloso Gerente Si
Sección 2. Agenda
Nro. Tema
01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert
02 Revisión de Project Charter v1.0
03 Riesgo de duplicación de proyectos.
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Revisión los procesos del primer dominio de gestión según COBIT 5 (Alinear, planificar y organizar)
02 Revisión de la problemática, objetivos del proyecto, así como, sus indicadores de éxito.
03 Se ve los procesos que tienen relación con la empresa IT-Expert
04 Se ve la relación que hay entre los procesos de la empresa con otras empresas.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso
02 Cambiar el objetivo específico No 3 y su indicador de éxito.
297
03 Se tomaran los 13 procesos para implementar en la empresa IT-Expert.
04 Se llega a un acuerdo con el otro grupo que se quedara con el 3er dominio de (Entregar, dar servicio y Soporte)
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5
02 Realizar los demás entregables para la exposición ante el
profesor gerente de IT-Expert
Carlos Velásquez,
Peter Juro
Semana 5
298
Proyecto: Implementación de un modelo de gestión estratégica en los servicios de TI para IT-Expert
Fecha: N°: 5
Acta de Reunión N° 5
Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
Implementación de modelo de gestión estratégica de TI para la empresa IT-Expert - IMGETI
22/04/2014 23/04/2014
05:00 p.m. 06:00 p.m.
Elaborado por:
Velásquez Vara, Carlos A.
Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Paul Rivas Galloso Gerente Si
Sección 2. Agenda
Nro. Tema
01 Revisión de ProjectCharter v1.1
02 Revisión de cronograma v1.1
03 Revisión de artefactos solicitados
Sección 3. Detalle de lo Tratado
Nro. Tema
Descripción
01 Asesoría de Project Charter.
02 Asesoría de Cronograma.
03 Feedback de artefactos de entrega.
04 Asesoría presentación al comité
05 Entregables relacionados a la gestión del proyecto
08 Recomendaciones de la presentación
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo
299
01 Modificación del cronograma, nueva división de fases.
02 Modificación del ProjectCharter(marco teórico, resumen ejecutivo, objetivos)
03 Desarrollar los artefactos en base al PMBOK la guía.
Sección 5. Tareas
Nro. Tarea
Descripción de la Tarea Responsable Fecha
01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5
02 Realizar nuevas modificacione a los entregables. Carlos Velásquez,
Peter Juro
Semana 5
03 Preparar una presentacion para el comité con un maximo de una
grafica por artefacto.
300
ANEXO 2: EDT del Proyecto 1era Etapa
301
Proyecto Siglas
IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Se plantea ITIL v3
como fuente principal
de información para la
investigación.
Nuevo Objetivo General,
Objetivos específicos,
Alcance.
Sin observaciones
2 Se acuerda realizar la
investigación solo en la
parte de Gestión de
Incidencias para el
proyecto.
Se investigó la fase de
operación en de ITIL v3
para el proyecto.
Sin observaciones
3 Se propuso la
investigación de
diferentes marcos como
Pink Verify, COBIT 5,
Se logró investigar
COBIT 5 Framework en
un comienzo e ITIL v3 en
Pink Verify se investigó sin mucha
profundidad.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 1
302
etc. la fase Operación.
303
Proyecto Siglas
IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Modificación de
Project Charter
Nuevo Objetivo General,
Objetivos específicos,
Alcance,
Se cambió el proyecto “DEFINICIÓN
DE LA METODOLOGÍA DE LA
GESTIÓN DE INCIDENCIAS PARA
LAS EMPRESAS VIRTUALES” por el
proyecto “IMPLEMENTACION DE
MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA
EMPRESA IT-EXPERT”
2 Modificación de
Cronograma
Modificación de
actividades en el
cronograma y sus
diferentes Hitos
Sin observaciones
3 Modificación de Nuevo objetivo general y Sin observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 2
304
Objetivo General objetivos específicos por
definir con el cliente
4 Nueva captura de
requerimientos
Reunión fijada para la
semana 3
Sin observaciones
5 Investigación de nuevo
marco de referencia
Reunión con el profesor
de apoyo para definir un
marco.
Se acordó que el nuevo proyecto tomaría
como marco de referencia COBIT 5 y
estaría orientado a la parte estratégica de
TI.
305
Proyecto Siglas
IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Investigación etapa
estratégica COBIT 5
Definición de procesos
que están relacionados
con la etapa estratégica
Sin observaciones.
2 Investigación de otros
marcos de referencia
TOGAF, ITIL, ISO 27001 Sin observaciones.
3 Proyect Charter v1.0 Se realizó el Proyect
Charter en un 40%.
Sin observaciones.
4 Definición de Objetivos Se definió el objetivo
principal y los objetivos
específicos
Sin observaciones.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 3
306
Proyecto Siglas
IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Project Charter v1.1 Se realizó el Project
Charter en un 100%.
Sin observaciones.
2 Documento Gestión de
Comunicaciones v1.0
Se realizó la primera
versión del documento
Sin observaciones.
3 Documento Gestión de
Personal v1.0
Se realizó la primera
versión del documento
Sin observaciones.
4 Documento Gestión de
Riesgo v1.0
Se realizó la primera
versión del documento
Sin observaciones.
5 Documento Matriz de
Comunicaciones v1.0
Se realizó la primera
versión del documento
Sin observaciones.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 4
307
6 Documento Plan
Gestión de Alcance
v1.0
Se realizó la primera
versión del documento
Sin observaciones.
7 Documento Plan
Gestión de Calidad v1.0
Se realizó la primera
versión del documento
Sin observaciones.
9 Documento Registro de
Interesados v1.0
Se realizó la primera
versión del documento
Sin observaciones.
10 Cronograma v1.0 Se realizó la primera
versión del documento
Sin observaciones.
11 Documento Diccionario
de EDT v1.0
Se realizó la primera
versión del documento
Sin observaciones.
12 Índice de Memoria v1.0 Se realizó la primera
versión del documento
Sin observaciones.
308
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Project Charter v1.2 Se realizó el Project
Charter en un 100%.
Se cambió el marco teórico el resumen
ejecutivo, los objetivos
2 Documento Gestión de
Comunicaciones v1.0
Se realizó la primera
versión del documento
Sin observaciones.
3 Documento Gestión de
Personal v1.0
Se realizó la primera
versión del documento
Sin observaciones.
4 Documento Gestión de
Riesgo v1.0
Se realizó la primera
versión del documento
Sin observaciones.
5 Documento Matriz de
Comunicaciones v1.0
Se realizó la primera
versión del documento
Sin observaciones.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 5
309
6 Documento Plan
Gestión de Alcance
v1.0
Se realizó la primera
versión del documento
Sin observaciones.
7 Documento Plan
Gestión de Calidad v1.0
Se realizó la primera
versión del documento
Sin observaciones.
9 Documento Registro de
Interesados v1.0
Se realizó la primera
versión del documento
Sin observaciones.
10 Cronograma v1.2 Se realizó la primera
versión del documento
Se define un nuevo modelo para el
cronograma
11 Documento Diccionario
de EDT v1.0
Se realizó la primera
versión del documento
Sin observaciones.
12 Índice de Memoria v1.0 Se realizó la primera
versión del documento
Sin observaciones.
13 Actas de reunión con el
profesor
Se obtiene información en los audios
grabados
14 Actas de reunión con el
profesor y con el cliente
Se obtiene información en los audios
grabados
15 Se genera el índice de la
memoria del proyecto
Se crea la memoria del proyecto a partir
de los artefactos creados
310
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Presentación v1.0 Se realiza la presentación
al comité
Sin observaciones.
2 Definición de las guías
de COBIT a consultar
durante el proyecto.
1.Framework
2.Implementation
3.Enabling process
Se necesita comprar las guías 2 y 3.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 6
311
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Obtener Guías COBIT 1.Framework
2.Implementation
3.Enabling process
Se pudo conseguir las Guías por medio
de la profesora Jessica Echenique. El día
Sábado 10/05/2014
2 Investigación de
metodología y pasos a
seguir mediante las
Guías
1.Framework
2.Implementation
3.Enabling Process
Se realizara un estudio de las guías en lo
que resta de las semanas 7 y Semana 8
para lograr identificar los pasos a seguir
en los procesos de la implementación de
Modelo de gestión estratégica.
Definición de objetivos
de IT- Expert y Plan
estratégico.
Se obtiene información a
partir de Memorias
pasadas.
Mediante el uso de memorias de
proyectos pasados para la empresa IT-
Expert se identifican los objetivos y plan
estratégico.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 7
312
313
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Buscar fuentes de
información para el
estado del arte
Se encontraron las fuentes
que se usarán en la
elaboración del estado del
arte
Se realizó las búsquedas en los
repositorios recomendados por el asesor.
2 Revisión de los
objetivos de la empresa
IT-Expert
Se revisó los objetivos con
el profesor cliente
Los objetivos son muy técnicos. Es
necesario una reunión adicional para
obtener las proyecciones de la empresa
IT-Expert
3 Identificar los puntos
débiles
Se identificaron los puntos
débiles a partir de un
análisis con la gerente
alumno de la empresa IT-
Expert.
Sin observaciones.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA9
314
4 Identificación de
eventos disparadores
Se identificaron los
eventos disparadores de la
empresa que motivan a la
implementación de una
gestión de TI
Sin observaciones.
5 Identificar los
interesados y sus roles y
responsabilidades.
Se inicia la identificación
de las personas
interesadas y sus roles y
responsabilidades para el
proyecto.
Retraso, sin finalizar.
315
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Desarrollar
informes para el
estado del arte
Se desarrollaron 5
informes a partir de
documentos
científicos sobre la
implementación de
una metodología para
la gestión estratégica
Sin observaciones
2 Reunión y
presentación con el
profesor asesor
Se presentaron los
informes de la
investigación del
Los documentos científicos
deben ser parte de un Journal.
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA10
316
Mauricio para
revisión de los
informes del estado
del arte
estado del arte al
profesor para su
revisión.
3 Identificación e
interesados y sus
roles y sus
responsabilidades
Se finaliza la
identificación de los
roles, interesados y
responsabilidades.
Actividades de la semana
anterior.
4 Identificación de los
objetivos de TI con
los objetivos del
negocio
Se identificaron los
objetivos de ti
vinculados o
relacionados a los
objetivos del negocio
mediante el mapeo o
cascada de metas
Sin observaciones
317
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Definir método para
la ejecución de la
evaluación
Se evalúan mediante
las listas de revisiones
todos los procesos
propuestos por COBT
5 para IT-Expert.
Sin observaciones
2 Determinar y
analizar el nivel de
capacidad
Mediante la
información obtenida
por las listas de
revisiones se empieza
a armar el documento
Sin observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA11
318
para analizar el nivel
de capacidad.
319
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Determinar nivel de
capacidad
Se determina el nivel
de capacidad actual
de la empresa IT-
Expert.
Sin observaciones.
2 Identificar
potenciales
oportunidades de
mejora
A partir del nivel de
capacidad actual de la
empresa se identifican
las potenciales
oportunidades de
mejora de la empresa
Sin terminar
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA12
320
IT-Expert.
3 Investigación de
papers científicos
para el desarrollo
del estado del arte.
Investigación y
desarrollo del estado
del arte primera
versión mediante el
tópico modelo.
En proceso.
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA13
321
1 Identificar
potenciales
oportunidades de
mejora
Se logró identificar
los potenciales
oportunidades de
mejora (Definición de
proceso, redefinición
de procesos y
desarrollo de
plantillas de
entregables)
Finalizado.
2 Investigación de
papers científicos
para el desarrollo
del estado del arte.
Se investigan
documentos
científicos en journas.
En proceso
322
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Priorización de
oportunidades
Se priorizan las
oportunidades a
desarrollarse en el
proyecto.
Sin observaciones
2 Definición del plan
de implementación
Se define el plan de
implementación de
alto nivel y Hoja de
ruta.
Sin observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA14
323
3 Desarrollo del
estado del arte
Se desarrolla el esta
del arte y anexa a la
memoria
Finalizado
4 Entrega de la
memoria para
revisión del
Profesor gerente
Se entrega la memoria
para revisión del
profesor gerente.
Sin observaciones
324
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Corrección del
feedback del
profesor gerente
Se reciben
recomendaciones del
profesor gerente.
Sin observaciones
2 Presentación y
feedback de la
memoria finalizada
al cliente
Se entrega el
documento luego del
feedback del gerente
y su corrección.
Sin observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA15
325
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
IMGETI
Jefes de Proyecto
Peter Juro Pereira
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente VaniaRosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Correcciones del
Cliente Profesor
Se desarrollaron las
correcciones
necesarias a la
memoria.
Sin observaciones
2 Correcciones del
nuevo feedback del
gerente
Se realizan nuevas
correcciones al
documento por parte
del gerente la semana
15 al finalizar la
Sin observaciones
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA16
326
semana.
ANEXO 3: CRONOGRAMA DE ACTIVIDADES
327
328
ANEXO 4: Lista de Revisiones
APO01.01 Definir la estructura organizativa. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir el alcance, las funciones internas y
externas, los roles internos y externos, y las
capacidades y los derechos de decisión
requeridos, incluidas actividades de TI
realizadas por terceras partes.
Aplica si
6 6 50.0
2. Identificar las decisiones necesarias para
alcanzar los resultados corporativos y la
estrategia de TI y para la gestión y ejecución
de servicios de TI.
Aplica no
3. Establecer la implicación de las partes
interesadas críticas para la toma de decisiones
(quiénes rendirán cuentas, quiénes son
responsables, quiénes deben ser consultados y
quiénes informados).
Aplica si
4. Alinear la organización relativa a TI con los
modelos organizativos de arquitectura
corporativa.
Aplica si
5. Definir el enfoque, los roles y las
responsabilidades de cada función dentro de la
estructura organizativa relativa a TI.
Aplica si
6. Definir las estructuras y relaciones de
gestión para contribuir a las funciones y roles
de gestión y ejecución, en consonancia con la
dirección de gobierno establecida.
Aplica no
329
7. Establecer un Comité Estratégico de TI (o
equivalente) a nivel del Consejo de
Administración. Este comité debería
asegurarse de que el gobierno de TI, como
parte del gobierno corporativo, está
contemplado de forma adecuada, debe
aconsejar sobre la dirección estratégica y
revisar las inversiones principales, en
representación del consejo de administración
al completo.
Aplica no
8. Establecer un comité directivo de TI (o
equivalente) compuesto por la dirección
ejecutiva, de negocio y de TI para determinar
las prioridades de los programas de inversión
de TI de acuerdo con la estrategia y
prioridades de negocio de la empresa; realizar
un seguimiento del estado de los proyectos y
resolver los conflictos de recursos; y
supervisar los niveles de servicio y las mejoras
en el servicio.
Aplica no
9. Proporcionar directrices para cada
estructura de gestión (incluyendo órdenes,
objetivos, asistentes a reuniones, marco
temporal, seguimiento, supervisión y
vigilancia), así como las entradas requeridas y
las salidas esperadas en cuanto a las reuniones.
Aplica no
10. Definir reglas básicas de comunicación
mediante la identificación de las necesidades
comunicativas y la implementación de planes
basados en dichas necesidades, teniendo en
cuenta la comunicación de arriba hacia abajo,
Aplica si
330
de abajo hacia arriba y horizontal.
11. Establecer y mantener una estructura
óptima de enlace, comunicación y
coordinación entre el negocio y las funciones
de TI dentro de la empresa y con entidades no
pertenecientes a la empresa.
Aplica si
12. Verificar regularmente la adecuación y la
eficacia de la estructura organizativa. Aplica no
APO01.02 Establecer roles y responsabilidades ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer, acordar y comunicar roles y
responsabilidades relativos a TI para todo el
personal de la empresa, de acuerdo con las
necesidades y los objetivos del negocio.
Delimitar claramente las responsabilidades y
la rendición de cuentas, especialmente para la
aprobación y toma de decisiones.
Aplica si
1 6 85.7
2. Tener en cuenta los requisitos desde la
empresa y la continuidad del servicio de TI a
la hora de definir los roles, incluyendo el
respaldo por parte de la plantilla y los
requisitos de formación interdisciplinar.
Aplica si
3. Contribuir al proceso de continuidad del
servicio de TI manteniendo actualizada la
información de contacto y las descripciones de
roles de la empresa.
Aplica si
4. Incluir en las descripciones de roles y
responsabilidades, la adhesión a las políticas y
los procedimientos de gestión, al código ético
Aplica no
331
y a las prácticas profesionales.
5. Implementar prácticas de supervisión
adecuadas para garantizar que los roles y las
responsabilidades se pongan en práctica de
forma correcta, para evaluar si todo el
personal tiene suficiente autoridad y recursos
para llevar a cabo sus roles y
responsabilidades y para hacer una revisión
general del rendimiento. El nivel de
supervisión debería estar en consonancia con
la sensibilidad del puesto y el nivel de
responsabilidades asignadas.
Aplica si
6. Asegurar que la rendición de cuentas queda
definida a través de los roles y
responsabilidades.
Aplica si
7. Estructurar los roles y las responsabilidades
para reducir las posibilidades de que un solo
rol pueda comprometer un proceso crítico.
Aplica si
APO01.03
Mantener los elementos catalizadores del
sistema de gestión ¿Aplica? ¿Cumple?
NO SI Prom
1. Adquirir comprensión de la visión, la
dirección y la estrategia corporativas. Aplica si
7 2 22
2. Tener en cuenta el entorno interno de la
empresa, incluyendo la cultura y la filosofía de
gestión, la tolerancia al riesgo, la seguridad,
los valores éticos, el código de conducta, la
rendición de cuentas y los requisitos de
integridad en la gestión.
Aplica no
3. Inferir e integrar los principios de TI con los Aplica no
332
principios de negocio.
4. Alinear el entorno de control de TI con el
entorno de políticas de TI, con los marcos de
trabajo generales de gobierno de TI y procesos
de TI y los marcos de trabajo existentes a nivel
corporativo en cuanto a riesgo y control.
Evaluar las buenas prácticas o los requisitos
específicos del sector (p. ej., normativa
específica del sector) e integrarlos donde
corresponda.
Aplica si
5. Alinearse con todos los estándares y
códigos de práctica de gobierno y gestión
aplicables a nivel nacional e internacional y
evaluar buenas prácticas disponibles, como el
Marco de Trabajo Integrado para Control
Interno de COSO y el Marco de Trabajo
Integrado para Gestión Empresarial del Riesgo
de COSO.
Aplica no
6. Crear un conjunto de políticas para conducir
las expectativas de control de TI en temas
clave relevantes, como calidad, seguridad,
confidencialidad, controles internos, uso de
activos de TI, ética y derechos de propiedad
intelectual.
Aplica no
7. Evaluar y actualizar las políticas, como
mínimo una vez al año, para ajustarlas a los
cambiantes entornos operativos o de negocio.
Aplica no
8. Implantar y aplicar las políticas de TI a todo
el personal relevante, de forma que estén
incorporadas y sean parte integral de las
Aplica no
333
operaciones empresariales.
9. Asegurarse de que los procedimientos estén
en funcionamiento para realizar un
seguimiento del cumplimiento con las
políticas y definir las consecuencias de la no
conformidad.
Aplica no
APO01.04
Comunicar los objetivos y la dirección de
gestión. ¿Aplica? ¿Cumple?
NO SI Prom
1. Comunicar continuamente los objetivos y la
dirección de TI. Asegurar que las
comunicaciones reciban apoyo de la dirección
ejecutiva, tanto de palabra como mediante
acciones, empleando todos los canales
disponibles.
Aplica no
3 0 0
2. Garantizar que la información comunicada
engloba una clara articulación de la misión,
los objetivos de servicio, la seguridad, los
controles internos, la calidad, el código
ético/de conducta, las políticas y
procedimientos, los roles y las
responsabilidades, etc. Comunicar la
información con el nivel de detalle adecuado
para cada respectiva audiencia dentro de la
empresa.
Aplica no
3. Proporcionar recursos suficientes y
cualificados para dar soporte al proceso
comunicativo.
Aplica no
APO01.05 Optimizar la ubicación de la función de TI. ¿Aplica? ¿Cumple? NO SI Prom
334
1. Entender el contexto de la función de TI,
incluyendo una evaluación de la estrategia
empresarial y el modelo operativo
(centralizado, federado, descentralizado,
híbrido), importancia de TI, la situación y
opciones para la provisión.
Aplica si
0 3 100
2. Identificar, evaluar y priorizar las opciones
para la ubicación en la organización, los
modelos operativos y de aprovisionamiento.
Aplica si
3. Definir la ubicación de la función de TI y
obtener aprobación. Aplica si
APO01.06
Definir la propiedad de la información (datos)
y del sistema. ¿Aplica? ¿Cumple?
NO SI Prom
1. Proveer políticas y directrices para asegurar
la adecuación y consistencia de la
clasificación de la información (datos) en toda
la empresa.
Aplica no
2 2 50
2. Definir, mantener y proporcionar
herramientas adecuadas, técnicas y directrices
para garantizar la seguridad y control efectivo
sobre la información y los sistemas en
colaboración con el propietario.
Aplica si
3. Crear y mantener un inventario de la
información (sistemas y datos) que incluya un
listado de los propietarios, custodios y
clasificaciones. Incluir los sistemas
subcontratados y aquellos cuya propiedad
debe permanecer dentro de la empresa.
Aplica no
335
4. Definir e implementar procedimientos para
asegurar la integridad y consistencia de toda la
información almacenada en formato
electrónico, tales como bases de datos,
almacenes de datos (data warehouses) y
archivos de datos.
Aplica si
APO01.07 Gestionar la mejora continua de los procesos. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar los procesos críticos de negocio
basándose en el rendimiento, cumplimiento y
los riesgos relacionados. Evaluar la capacidad
del proceso e identificar objetivos de mejora.
Analizar las diferencias en la capacidad y
control del proceso. Identificar las opciones de
mejora y rediseño de procesos. Priorizar
iniciativas para la mejora de procesos basadas
en el potencial coste-beneficio.
Aplica si
3 2 40
2. Implementar las mejoras acordadas,
funcionando como una práctica normal del
negocio y establecer objetivos y métricas de
rendimiento que permitan el seguimiento de
las mejoras del proceso.
Aplica no
3. Considerar las maneras de mejorar la
eficiencia y eficacia (p. ej., mediante
formación, documentación, estandarización y
automatización de procesos).
Aplica si
4. Aplicar prácticas de gestión de calidad para
la actualización de procesos. Aplica no
5. Retirar procesos, componentes o
catalizadores desactualizados. Aplica no
336
APO01.08
Mantener el cumplimiento con las políticas y
procedimientos. ¿Aplica? ¿Cumple?
NO SI Prom
1. Hacer un seguimiento del cumplimiento con
políticas y procedimientos. Aplica si
4 1 20
2. Analizar los incumplimientos y adoptar las
acciones apropiadas (puede incluir el cambio
de requerimientos).
Aplica no
3. Integrar rendimiento y cumplimiento dentro
de los objetivos individuales del personal. Aplica no
4. Evaluar periódicamente el desempeño de
los catalizadores del marco de referencia y
adoptar las acciones necesarias.
Aplica no
5. Analizar las tendencias en el
funcionamiento y cumplimiento y adoptar las
acciones apropiadas.
Aplica no
APO02.01 Comprender la dirección de la empresa. ¿Aplica? ¿Cumple? NO SI Prom
1. Desarrollar y mantener un entendimiento
de las estrategias y objetivos del negocio, así
como del entorno y los retos operativos
actuales.
Aplica
si 2 4 66.7
2. Desarrollar y mantener un entendimiento
del entorno externo a la empresa. Aplica
si
3. Identificar las partes interesadas más
importantes y obtener comprensión de sus
requerimientos.
Aplica
no
4. Identificar y analizar las fuentes de los Aplica si
337
cambios en la empresa y en el entorno
externo.
5. Determinar prioridades para el cambio
estratégico. Aplica
si
6. Entender la actual arquitectura de empresa
y trabajar con el proceso de arquitectura de
empresa para determinar cualquier brecha
potencial en la arquitectura.
Aplica
no
APO02.02
Evaluar el entorno, capacidades y rendimiento
actuales. ¿Aplica?
¿Cumple? NO SI Prom
1. Desarrollar un punto de referencia del
negocio, entorno de TI, capacidades y
servicios actuales respecto al que las
necesidades futuras puedan ser comparadas.
Incluir el correspondiente detalle, a alto nivel,
de la arquitectura empresarial actual
(negocios, información, datos, aplicaciones y
dominios de tecnología), procesos de negocio,
procesos de TI y sus procedimientos,
estructura organizativa de TI, provisión de
servicios externos, gobierno de TI,
habilidades y competencias de TI en toda la
empresa.
Aplica
no 3 1 25.0
2. Identificar los actuales y potenciales
riesgos y tecnologías en declive. Aplica
no
3. Identificar diferencias entre el negocio
actual y las capacidades de TI, entre servicios
y estándares y mejores prácticas de referencia,
entre empresas competidoras y sus
capacidades de TI y entre un análisis
Aplica
no
338
comparativo de las mejoras prácticas y la
provisión de servicios emergentes de TI.
4. Identificar los problemas, fortalezas,
oportunidades y amenazas en el entorno
actual, las capacidades y servicios para
entender el desempeño actual. Identificar las
áreas a mejorar en términos de la contribución
de TI a los objetivos del negocio.
Aplica
si
APO02.03 Definir el objetivo de las capacidades de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Considerar la aprobación de tecnologías
emergentes e ideas innovadoras. Aplica
no 5 1 16.7
2. Identificar las amenazas por el rechazo a
las actuales y nuevas tecnologías adquiridas. Aplica
si
3. Definir los objetivos/metas de TI a alto
nivel y cómo contribuirán a los objetivos de
negocio empresariales.
Aplica
no
4. Definir el proceso de negocio requerido y
deseado, las capacidades y los servicios de TI;
describir los cambios a alto nivel en la
arquitectura empresarial (negocio,
información, datos, aplicaciones y dominios
tecnológicos), el negocio, los procesos y
procedimientos de TI, la estructura
organizativa de TI, proveedores de servicios
tecnológicos, gobierno de TI y las habilidades
y competencias.
Aplica
no
5. Alinear y acordar los cambios en la
arquitectura de empresa con el arquitecto
corporativo.
Aplica
no
339
6. Demostrar trazabilidad de la estrategia del
negocio y sus necesidades. Aplica
no
APO02.04 Realizar un análisis de diferencias. Aplica ¿Cumple? NO SI Prom
1. Identificar todas las diferencias y cambios
necesarios para realizar en el entorno deseado. Aplica
no 4 0 0.0
2. Considerar las implicaciones a alto nivel de
todas las diferencias. Considerar el valor de
los posibles cambios en el negocio y
capacidades de TI, servicios de TI y
arquitectura empresarial y las consecuencias
de no realizarlos.
Aplica
no
3. Evaluar el impacto de posibles cambios en
el negocio y en los modelos operativos de TI,
la capacidad de investigación y desarrollo de
tecnología y los programas de inversión de
TI.
Aplica
no
4. Mejorar la definición del entorno deseado y
preparar una declaración de valor con los
beneficios a percibir de ese entorno.
Aplica
no
APO02.05 Definir el plan estratégico y la hoja de ruta. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir las iniciativas necesarias para cerrar
las diferencias y migrar del entorno actual al
deseado, incluyendo el presupuesto de
inversión/operativo, fuentes de financiación y
estrategia de provisión.
Aplica
si 4 3 42.9
2. Identificar y abordar adecuadamente los
riesgos, costes e implicaciones de los cambios
organizativos, evolución tecnológica,
requisitos normativos, reingeniería de los
Aplica
si
340
procesos de negocio, dotación de personal,
oportunidades de internalización (insourcing)
y externalización (outsourcing), etc., en el
proceso de planificación.
3. Determinar dependencias, solapamientos,
sinergias e impactos entre las iniciativas y
priorizar las iniciativas.
Aplica
no
4. Identificar los requerimientos de recursos,
planificación y presupuestos de
inversión/operacional de cada iniciativa.
Aplica
si
5. Crear una hoja de ruta indicando la
planificación y las interdependencias de las
iniciativas.
Aplica
no
6. Traducir los objetivos en medidas de
resultado representadas por métricas (qué) y
objetivos (cuánto) que puedan ser
relacionados con los beneficios empresariales.
Aplica
no
7. Obtener formalmente soporte de las partes
interesadas y obtener aprobación del plan. Aplica
no
APO02.06 Comunicar la estrategia y la dirección de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Desarrollar y mantener una red de
aprobación, apoyo e impulso de la estrategia
de TI.
Aplica
si 1 3 75.0
2. Desarrollar un plan de comunicación que
cubra los mensajes necesarios, audiencias
objetivo, mecanismos/canales de
comunicación y horarios.
Aplica
si
3. Preparar un paquete de comunicaciones que
entregue el plan de manera eficaz utilizando
Aplica si
341
los medios de comunicación y tecnologías
disponibles.
4. Obtener realimentación y actualizar el plan
de comunicaciones y de entrega según sea
necesario.
Aplica
no
APO03-BP1
Desarrollar la visión de la arquitectura de
empresa. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar a las partes interesadas clave de la
empresa y sus objetivos/preocupaciones y
definir los requisitos clave de la empresa a ser
considerados, así como la visión de la
arquitectura a ser desarrollada para satisfacer
los distintos requisitos de las partes interesadas.
Aplica no 11 0 0.0
2. Identificar los objetivos y los impulsores
estratégicos de la empresa y definir las
limitaciones con las que habrá que tratar,
incluyendo las limitaciones en toda la empresa
y las específicas del proyecto (duración,
planificación, recursos, etc.).
Aplica no
3. Alinear los objetivos de la arquitectura con
las prioridades estratégicas del plan
empresarial.
Aplica no
4. Entender los deseos y las capacidades del
negocio y, a continuación, identificar las
opciones para realizar dichas capacidades.
Aplica no
5. Evaluar la disposición de la empresa para el
cambio. Aplica no
342
6. Definir qué está dentro y qué está fuera del
alcance de la arquitectura de partida y los
esfuerzos de arquitectura objetivo, entendiendo
que el punto de partida y el objetivo no
necesitan ser descritos con el mismo nivel de
detalle.
Aplica no
7. Confirmar y elaborar los principios de la
arquitectura, incluyéndose los principios de la
empresa. Asegurarse de que todas las
definiciones existentes están vigentes y aclarar
cualquier área de ambigüedad.
Aplica no
8. Entender los objetivos estratégicos actuales
de la empresa y trabajar conjuntamente con el
procesos de planificación estratégica para
asegurarse que las oportunidades de
arquitectura de TI empresarial se apoyan en el
desarrollo del plan estratégico.
Aplica no
9. Crear la visión de la arquitectura atendiendo
a las preocupaciones de las partes interesadas,
en los requisitos de capacidad del negocio, en
el alcance, en las limitaciones y principios:
visión de alto nivel de las arquitecturas de
partida y objetivo.
Aplica no
10. Definir las proposiciones de valor, los
objetivos y métricas de la arquitectura objetivo. Aplica no
11. Identificar los riesgos empresariales
asociados con el cambio de la nueva visión de
la arquitectura, evaluar el nivel de riesgo inicial
(por ejemplo, crítico, marginal o despreciable)
y desarrollar una estrategia de mitigación para
Aplica no
343
cada riesgo importante.
12. Desarrollar el caso de negocio del concepto
de arquitectura empresarial, bosquejar los
planes y el trabajo de arquitectura y asegurar
que están aprobados para iniciar el proyecto
que esté alineado e integrado con la estrategia
empresarial.
Aplica no
APO03-BP2 Definir la arquitectura de referencia. ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener un repositorio de la arquitectura
que contenga los estándares, los componentes
reutilizables, el modelado, las relaciones, las
dependencias y las vistas para permitir una
uniformidad en la organización y el
mantenimiento.
Aplica SI 8 1 11.1
2. Seleccionar los puntos de vista de referencia
del repositorio de arquitectura que permitirán al
arquitecto demostrar cómo están siendo
consideradas las preocupaciones de las partes
interesadas en la arquitectura.
Aplica no
3. Por cada punto de vista, seleccionar los
modelos necesarios para soportar cada uno de
ellos, utilizando las herramientas o métodos
seleccionados y los niveles apropiados de
descomposición.
Aplica no
4. Desarrollar descripciones de dominio de
arquitectura de partida, utilizando el alcance y
nivel de detalle necesarios para apoyar la
arquitectura objetivo y, hasta el punto que sea
posible, identificando los bloques relevantes
Aplica no
344
del repositorio de la arquitectura.
5. Mantener un modelo de arquitectura de
procesos como parte de las descripciones de
dominio de referencia y objetivo. Estandarizar
las descripciones y la documentación de los
procesos. Definir las funciones y
responsabilidades de los que deciden el
proceso, el propietario del proceso, los usuarios
del proceso, el equipo del proceso y cualquier
otra parte interesada que debieran estar
involucrados.
Aplica no
6. Mantener un modelo de arquitectura de
información como parte de las descripciones de
dominio de referencia y objetivo, que sea
consistente con la estrategia de la empresa y
que permita un uso óptimo de la información
para la toma de decisiones. Mantener un
diccionario de datos de la empresa que
promueva una interpretación común y un
esquema de clasificación que incluya detalles
sobre el propietario de los datos, definición de
los niveles de seguridad apropiados y los
requisitos de retención y destrucción de los
datos.
Aplica no
7. Verificar la consistencia interna y precisión
de los modelos de la arquitectura y realizar un
análisis de diferencias entre el punto de partida
y el objetivo. Priorizar las desviaciones y
definir los nuevos componentes o
modificaciones que se deben desarrollar en la
arquitectura objetivo. Resolver los impactos
Aplica no
345
potenciales, tales como las incompatibilidades,
inconsistencias o conflictos dentro de la
arquitectura prevista.
8. Realizar una revisión formal con las partes
interesadas para comprobar que la arquitectura
propuesta frente a la motivación original del
proyecto de arquitectura y la declaración de
arquitectura funcionan.
Aplica no
9. Finalizar las arquitectura de los dominios de
negocio, información, datos, aplicaciones y
tecnología y crear un documento de definición
de la arquitectura.
Aplica no
APO03-BP3 Seleccionar las oportunidades y las soluciones. ¿Aplica? ¿Cumple? NO SI Prom
1. Determinar y confirmar los atributos clave
del cambio, incluyendo la cultura empresarial y
cómo ésta impactará en la implementación de
la arquitectura de empresa, así como en las
capacidades de transición empresarial.
Aplica no 10 0 0.0
2. Identificar los motivadores de la empresa
que podrían limitar la secuencia de
implementación, incluyendo una revisión de los
planes estratégicos y de negocio de la empresa
y de las líneas de negocio y considerando la
madurez de la arquitectura de empresa actual.
Aplica no
3. Revisar y consolidar los resultados del
análisis de diferencias entre las arquitecturas de
partida y objetivo y evaluar sus implicaciones
respecto a las potenciales oportunidades y
soluciones, interdependencias y alineación con
Aplica no
346
los vigentes programas habilitados para TI.
4. Evaluar las necesidades, las carencias, las
soluciones y los factores para identificar un
conjunto mínimo de requisitos funcionales cuya
integración en el plan de trabajo daría lugar a
una implementación más eficiente y eficaz de
la arquitectura objetivo.
Aplica no
5. Conciliar los requisitos ya consolidados con
las posibles soluciones. Aplica no
6. Afinar las dependencias iniciales,
asegurándose que todas las restricciones sobre
los planes de implementación y migración
están identificadas y se han consolidado en el
informe de análisis de dependencias.
Aplica no
7. Confirmar el grado de preparación de la
empresa y el riesgo asociado a la
transformación empresarial.
Aplica no
8. Formular una implementación de alto nivel y
una estrategia de migración que servirán de
guía para la implementación de la arquitectura
objetivo y para la estructura de la arquitectura
de transición en línea con los objetivos
estratégicos y los plazos de la empresa.
Aplica no
9. Identificar y agrupar los principales paquetes
de trabajo en un conjunto de programas y
proyectos coherentes, respetando el enfoque y
la dirección de la estrategia empresarial en su
implementación.
Aplica no
347
10. Desarrollar una serie de arquitecturas de
transición cuando sea necesario un enfoque
incremental por el alcance del cambio
necesario para alcanzar la arquitectura de
información objetivo.
Aplica no
APO03-BP4 Definir la implantación de la arquitectura. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer lo que el plan de implementación
y migración deberían incluir como parte del
programa y plan de proyectos para asegurarse
que están alineados con los requisitos de los
decisores aplicables.
Aplica no 3 0 0.0
2. Confirmar las fases y los progresos de la
arquitectura de transición y actualizarlos en el
documento de definición de la arquitectura.
Aplica no
3. Definir los requisitos de gobierno de
implementación de la arquitectura. Aplica no
APO03-BP5
Proveer los servicios de arquitectura
empresarial. ¿Aplica? ¿Cumple? NO SI Prom
1. Confirmar el alcance y las prioridades y
proporcionar orientación para el desarrollo y
despliegue de soluciones.
No
aplica
4 0 0.0
2. Gestionar la cartera de servicios de
arquitectura de la empresa para asegurar el
alineamiento con los objetivos estratégicos y el
desarrollo de soluciones.
Aplica no
3. Gestionar los requisitos de la arquitectura
empresarial y dar soporte con los principios de
dicha arquitectura, modelos y componentes
básicos.
Aplica no
348
4. Identificar y alinear las prioridades de la
arquitectura empresarial a los motivadores del
valor. Definir y recoger los valores de las
medidas y las métricas utilizadas y comunicar
el valor de la arquitectura empresarial.
Aplica no
5. Establecer un foro tecnológico para facilitar
guías de uso de la arquitectura, soporte en los
proyectos y guía en la selección de la
tecnología. Medir el cumplimiento con estos
estándares y guías de referencia, incluyendo el
cumplimiento con requisitos externos y su
importancia para el negocio.
Aplica no
APO04-BP1 Crear un entorno favorable para la innovación. ¿Aplica? ¿Cumple? NO SI Prom
1. Crear un plan de innovación que incluya el
apetito por el riesgo, el presupuesto previsto
para invertir en la innovación y los objetivos de
la innovación.
Aplica no 4 1 20.0
2. Proveer de una infraestructura que pueda
permitir innovar, tales como herramientas de
colaboración para mejorar el trabajo entre
diferentes ubicaciones geográficas y divisiones
de la empresa.
Aplica si
3. Crear un entorno que fomente la innovación
manteniendo iniciativas de recursos humanos
relevantes, tales como el reconocimiento de la
innovación y programas de reconocimiento,
una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la
experimentación.
Aplica no
349
4. Mantener un programa que permita a los
empleados presentar ideas innovadoras y crear
una estructura adecuada de toma de decisiones
para evaluar y aplicar estas ideas.
Aplica no
5. Animar a innovar a los clientes, proveedores
y socios comerciales. Aplica no
APO04-BP2
Mantener un entendimiento del entorno de la
empresa. ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener una comprensión de los motores
del negocio y de la industria, de la estrategia
corporativa, operaciones corporativas y otras
incidencias de modo que los potenciales
valores añadidos tecnológicos o innovaciones
TI puedan ser identificadas.
Aplica no 2 1 33.3
2. Realizar reuniones periódicas con las
unidades de negocio, divisiones y/o otras
entidades interesadas para entender los
problemas actuales del negocio, cuellos de
botella de los procesos u otras limitaciones
donde las tecnologías emergentes o la
innovación TI puede crear oportunidades.
Aplica si
3. Entender los parámetros de inversiones
corporativas para la innovación y las nuevas
tecnologías, de modo que se desarrollen las
estrategias adecuadas.
Aplica no
APO04-BP3 Supervisar y explorar el entorno tecnológico. ¿Aplica? ¿Cumple? NO SI Prom
1. Comprender el interés de la empresa y su
potencial para adoptar nuevas innovaciones
tecnológicas canalizando los esfuerzos de
concienciación en las innovaciones
Aplica si 3 1 25.0
350
tecnológicas más oportunas.
2. Realizar estudios y analizar el entorno
exterior, incluyendo sitios web apropiados,
diarios y conferencias para identificar
tecnologías emergentes.
Aplica no
3. Consultar con terceras personas expertas
cuando se necesite confirmar los resultados de
la investigación o como fuente de información
en tecnologías emergentes.
Aplica no
4. Recopilar las ideas innovadoras del personal
de TI y analizarlas para su posible
implementación.
Aplica no
APO04-BP4
Evaluar el potencial de las tecnologías
emergentes y las ideas innovadoras. ¿Aplica? ¿Cumple? NO SI Prom
1. Evaluar las tecnologías identificadas,
considerando aspectos tales como tiempo para
alcanzar la madurez, riesgo inherente de la
nueva tecnología (incluyendo posibles
implicaciones legales), ajuste con la
arquitectura empresarial y potencial para
proporcionar valor añadido.
Aplica no 4 0 0.0
2. Identificar cualquier problema que pueda
necesitar ser resuelto o probado a través de una
iniciativa de prueba de concepto.
Aplica no
3. Alcance de la iniciativa de prueba de
concepto, incluyendo resultados deseados,
presupuesto necesario, plazos de tiempo y
responsabilidades.
Aplica no
351
4. Obtener autorización para realizar la prueba
de concepto. Aplica no
5. Realizar pruebas de concepto para evaluar
las tecnologías emergentes u otras ideas
innovadoras, identificar cualquier problema y
determinar si más implementaciones deberían
ser tenidas en cuenta, basándose en la
viabilidad y el potencial retorno de la inversión
(ROI).
No
aplica
APO04-BP5 Recomendar iniciativas apropiadas adicionales. ¿Aplica? ¿Cumple? NO SI Prom
1. Documentar los resultados de las pruebas de
concepto, incluyendo guía y recomendaciones
para programas de innovación y tendencias.
Aplica no 4 0 0.0
2. Comunicar las oportunidades de innovación
viables en la estrategia TI y en los procesos de
arquitectura empresarial.
Aplica no
3. Realizar un seguimiento de las pruebas de
concepto para medir el grado en que las
mismas han influenciado en las inversiones
reales.
Aplica no
4. Analizar y comunicar las razones por las que
se ha rechazado una prueba de concepto. Aplica no
APO04-BP6
Supervisar la implementación y el uso de la
innovación. ¿Aplica? ¿Cumple? NO SI Prom
1. Valorar la implementación de nuevas
tecnologías o innovaciones TI adoptadas como
parte de la estrategia TI y desarrollos de la
arquitectura empresarial y su realización
durante programas de gestión de iniciativas.
Aplica no 4 0 0.0
352
2. Capturar lecciones aprendidas y
oportunidades de mejora. Aplica no
3. Ajustar el plan de innovación, si fuese
necesario. Aplica no
4. Identificar y evaluar el posible valor
obtenido como fruto del uso de la innovación. Aplica no
APO05-BP1 Establecer la mezcla del objetivo de inversión. ¿Aplica? ¿Cumple? NO SI Prom
1. Validar que las inversiones TI y los servicios
TI actuales están alineados con la visión y los
principios corporativos, metas y objetivos
estratégicos, visión de la arquitectura
empresarial y prioridades.
Aplica no 5 0 0.0
2. Conseguir un entendimiento común entre TI
y otras funciones de negocio sobre las
potenciales oportunidades de TI para conducir
y sustentar la estrategia corporativa.
Aplica no
3. Crear una mezcla de inversión que logre el
balance adecuado entre distintas dimensiones,
incluyendo el equilibrio justo de retornos a
corto y largo plazo, beneficios financieros y no
financieros e inversiones de alto y bajo riesgo.
Aplica no
4. Identificar las categorías generales de
sistemas de información, aplicaciones, datos,
servicios de TI, infraestructura, activos de TI,
recursos, habilidades, prácticas, controles y
relaciones necesarias para sustentar la
estrategia corporativa.
Aplica no
353
5. Acordar una estrategia TI y unas metas,
considerando las interrelaciones existentes
entre la estrategia corporativa y los servicios
TI, activos y otros recursos. Identificar y
facilitar sinergias que puedan ser alcanzadas.
Aplica no
APO05-BP2
Determinar la disponibilidad y las fuentes de
fondos. ¿Aplica? ¿Cumple? NO SI Prom
1. Entender la disponibilidad y el compromiso
de los fondos actuales, el gasto actual aprobado
y la cantidad real gastada hasta la fecha.
No
aplica
0 0
2. Identificar las opciones para obtener
financiación adicional para las inversiones TI
internamente o de fuentes externas.
No
aplica
3. Determinar las implicaciones de la fuente de
financiación en las expectativas de retorno de
la inversión.
Aplica
APO05-BP3
Evaluar y seleccionar los programas a
financiar. ¿Aplica? ¿Cumple? NO SI Prom
1. Reconocer las oportunidades de inversión y
clasificarlas en línea con las categorías del
portafolio de inversiones. Especificar los
resultados empresariales esperados, todas las
iniciativas necesarias para alcanzar los
resultados esperados, costes, dependencias y
riesgos y como todo debe ser medido.
No
aplica
1 1 50.0
2. Realizar evaluaciones detalladas de todos los
caso de negocio de los programas, evaluando el
alineamiento estratégico, beneficios
corporativos, riesgo y disponibilidad de
Aplica no
354
recursos.
3. Evaluar el impacto en el portafolio general
de inversiones por añadir los programas
candidatos, incluyendo cualquier cambio que
pueda ser requerido por otros programas.
Aplica si
4. Decidir qué programas candidatos deberían
ser trasladados al portafolio de inversiones
activas. Determinar si los programas
rechazados deberían ser conservados para ser
considerados en el futuro, o provistos con
algún tipo de inversión para determinar si el
caso de negocio puede ser mejorado o
descartado.
No
aplica
5. Determinar los hitos necesarios para el ciclo
de vida económico de cada programa
seleccionado. Asignar y reservar totalmente los
fondos para cada hito. Mover el programa al
portafolio de inversiones activas.
No
aplica
6. Establecer procedimientos para comunicar el
coste, beneficios y aspectos relativos al riesgo
de esos portafolios a los procesos de
priorización de presupuesto, gestión del coste y
gestión del beneficio.
No
aplica
APO05-O4
Existe una vista precisa y comprensiva del
rendimiento de las inversiones del portafolio. ¿Aplica? ¿Cumple? NO SI Prom
1. Revisar regularmente el portafolio para
identificar y explotar sinergias, eliminar
programas duplicados e identificar y mitigar el
riesgo.
Aplica no 3 0 0.0
355
2. Cuando sucedan cambios, volver a evaluar y
a priorizar el portafolio para asegurar que está
alienado con la estrategia del negocio y que la
mezcla de inversión objetivo se mantiene, de
modo que el portafolio esté optimizando el
valor global. Esto puede requerir que los
programas cambien, se aplacen, se retiren o
bien que nuevos programas se inicien.
No
aplica
3. Ajustar los objetivos, previsiones,
presupuestos y, si fuese necesario, el grado de
monitorización empresariales para reflejar los
gastos en que se incurriría y los beneficios de
la empresa que se obtendrían gracias a los
programas del portafolio de inversiones
activas. Incorporar los gastos del programa en
el mecanismo de prorrateo de costes.
No
aplica
4. Proporcionar una vista precisa a las partes
interesadas sobre el rendimiento del portafolio
de inversiones.
No
aplica
5. Aportar informes ejecutivos para la revisión
por parte de la alta dirección de los progresos
de la empresa hacia las metas identificadas,
estableciendo qué debe seguir siendo gastado y
conseguido sobre qué franjas temporales.
No
aplica
6. Incluir en la supervisión periódica del
rendimiento información sobre en qué medida
los objetivos planificados han sido alcanzados,
el riesgo mitigado, las capacidades creadas, los
entregables obtenidos y las metas de
rendimiento, conseguidas.
Aplica no
356
7. Identificar desviaciones para:
• Control presupuestario entre el real y el
presupuesto
• Gestión del beneficio de:
– Real versus objetivos de inversión en
soluciones, probablemente expresados en
términos de ROI, NPV o tasa interna de retorno
(IRR)
– Tendencia actual del coste del portafolio de
servicios para la mejora de la productividad de
la entrega del servicio
No
aplica
8. Desarrollar métricas para medir la
contribución de TI a la empresa, y establecer
objetivos de rendimiento adecuados que
reflejen las metas de capacidad corporativas y
de TI. Utilizar asistencia de expertos externos y
de datos de análisis comparativos para
desarrollar métricas.
Aplica no
APO05-O5
Los cambios en el programa de inversiones se
reflejan en los portafolios relevantes de
servicios, activos y recursos de TI.
¿Aplica? ¿Cumple? NO SI Prom
1. Crear y mantener portafolios de programas
de inversiones TI, servicios TI y activos TI,
que constituyan la base del presupuesto actual
de TI y soporten los planes estratégicos y
tácticos de TI.
No
aplica
0 0
2. Trabajar con los responsables de entrega del
servicio para mantener los portafolios de
servicio y con los responsables de operaciones
y arquitectos para mantener el portafolio de
activos. Apoyar los planes tácticos y
No
aplica
357
estratégicos de TI.
3. Eliminar los programas del portafolio de
inversiones activas cuando los beneficios
corporativos deseados han sido alcanzados o
cuando está claro que los beneficios no serán
alcanzados dentro del criterio de valor
establecido para el programa.
No
aplica
APO05-O6
Los beneficios han sido generados debido a los
beneficios de la
monitorización.
¿Aplica? ¿Cumple? NO SI Prom
1. Utilizar las métricas acordadas y realizar
seguimiento sobre cómo los beneficios son
obtenidos, cómo evolucionan a lo largo del
ciclo de vida de programas y proyectos, cómo
son entregados desde los servicios TI y cómo
resultan al someterlos a un análisis
comparativo interno y de la industria.
Comunicar los resultados a las partes
interesadas.
Aplica si 1 2 66.7
2. Implementar acciones correctivas cuando los
beneficios alcanzados se desvían
significativamente de los esperados. Actualizar
los casos de negocio para las nuevas iniciativas
e implementar procesos de negocio y mejoras
del servicio según se requiera.
Aplica si
3. Considerar obtener orientación de expertos
externos, líderes de la industria y datos de
análisis comparativos para probar y mejorar las
métricas y los objetivos.
Aplica no
358
APO07-BP1
Mantener la dotación de personal suficiente y
adecuada. ¿Aplica? ¿Cumple? NO SI Prom
1. Evaluar las necesidades de personal de
forma regular o ante cambios importantes para
asegurar que:
• La función de TI cuenta con recursos
suficientes para apoyar de manera adecuada y
apropiada las metas y objetivos empresariales.
• La empresa cuenta con recursos suficientes
para apoyar de manera adecuada y apropiada
los procesos de negocio y los controles e
iniciativas TI.
Aplica si
2 3 60.0
2. Mantener los procesos de contratación y de
retención del personal de TI y del negocio en
línea con las políticas y procedimientos de
personal globales de la empresa.
Aplica Si
3. Incluir controles de antecedentes en el
proceso de contratación de TI para empleados,
contratistas y proveedores. El alcance y la
frecuencia de estos controles depende de la
sensibilidad y/o criticidad de la función.
Aplica no
4. Establecer mecanismos flexibles de
dotación de recursos para apoyar a las
necesidades cambiantes del negocio, tales
como el uso de transferencias, contratistas
externos y acuerdos de servicio con terceras
partes.
Aplica no
5. Asegurarse de que el entrenamiento
cruzado se lleva a cabo y que hay respaldo
Aplica si
359
para el personal clave para reducir la
dependencia de una sola persona.
APO07-BP2 Identificar personal clave de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Minimizar la dependencia en una sola
persona en la realización de una función
crítica de trabajo mediante la captura de
conocimiento (documentación), el
intercambio de conocimientos, la
planificación de la sucesión, el respaldo
(backup) del personal, el entrenamiento
cruzado e iniciativas de rotación de puestos.
Aplica si
1 1 50.0
2. Como medida de seguridad, proporcionar
directrices sobre un tiempo mínimo de
vacaciones anuales que deben tomar los
individuos clave.
No
aplica
3. Tomar acciones expeditivas con respecto a
cambios laborales, especialmente despidos.
No
aplica
4. Probar regularmente los planes de respaldo
(backup) del personal. Aplica no
APO07-BP3
Mantener las habilidades y competencias del
personal. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir las habilidades y competencias
necesarias y disponibles actualmente tanto de
recursos internos como externos para lograr
los objetivos de empresa, de TI y de procesos.
Aplica no
6 1 14.3
2. Proporcionar una planificación formal de la
carrera y desarrollo profesional para fomentar
el desarrollo de competencias, oportunidades
de progreso personal y una menor
Aplica no
360
dependencia de personas clave.
3. Proporcionar acceso a repositorios de
conocimiento para apoyar el desarrollo de
habilidades y competencias.
Aplica si
4. Identificar las diferencias entre las
habilidades necesarias y las disponibles y
desarrollar planes de acción para hacerles
frente de manera individual y colectiva, tales
como formación (técnica y en habilidades de
comportamiento), contratación, redistribución
y cambios en las estrategias de contratación.
Aplica no
5. Desarrollar y ejecutar programas de
formación basados en los requisitos
organizativos y de procesos, incluidos los
requisitos sobre conocimiento empresarial,
control interno, conducta ética y seguridad.
Aplica no
6. Llevar a cabo revisiones periódicas para
evaluar la evolución de las habilidades y
competencias de los recursos internos y
externos. Revisar la planificación de la
sucesión.
Aplica no
7. Revisar los materiales y programas de
formación de manera regular para asegurarse
su adecuación a los requisitos empresariales
cambiantes y su impacto en los
conocimientos, aptitudes y habilidades
necesarias
Aplica no
APO07-BP4
Evaluar el desempeño laboral de los
empleados. ¿Aplica? ¿Cumple? NO SI Prom
361
1. Considerar los objetivos funcionales/de
empresa como el contexto para establecer las
metas individuales.
Aplica si
5 2 28.6
2. Establecer los objetivos individuales
alineados con los objetivos de los procesos
relevantes, de modo que exista una clara
contribución a los objetivos de TI y
empresariales. Basar las metas en objetivos
SMART (específicos, medibles, realizables,
pertinentes y de duración determinada) que
reflejen las competencias básicas, los valores
empresariales y las habilidades necesarias
para la(s) función(es).
Aplica no
3. Recopilar los resultados de la evaluación de
desempeño de 360 grados. Aplica no
4. Implementar y comunicar un proceso
disciplinario. Aplica si
5. Proporcionar instrucciones específicas para
el uso y almacenamiento de información
personal en el proceso de evaluación, de
conformidad con la legislación laboral y sobre
datos personales aplicables
Aplica no
6. Proporcionar retroalimentación oportuna
sobre el desempeño frente a las metas del
individuo.
Aplica no
7. Implementar un proceso de
remuneración/reconocimiento que premie el
compromiso adecuado, el desarrollo de
competencias y el logro exitoso de los
objetivos de desempeño. Asegurar que el
No
aplica
362
proceso se aplica de forma coherente y en
consonancia con las políticas de la
organización.
8. Desarrollar planes de mejora del
desempeño basados en los resultados del
proceso de evaluación y los requisitos de
capacitación y desarrollo de competencias
identificados.
Aplica no
APO07-BP5
Planificar y realizar un seguimiento del uso de
recursos humanos de TI y del negocio. ¿Aplica? ¿Cumple? NO SI Prom
1. Crear y mantener un inventario de recursos
humanos de negocio y TI. Aplica no
1 2 66.7
2. Entender la demanda actual y futura de
recursos humanos para apoyar el logro de los
objetivos de TI y ofrecer servicios y
soluciones basados en la cartera de las
iniciativas actuales relacionadas con las TI, la
cartera de inversiones futuras y las
necesidades operativas del día a día.
Aplica si
3. Identificar las carencias y proporcionar
datos de entrada a planes de
aprovisionamiento, así como a los procesos de
contratación de la empresa y de TI. Crear y
revisar el plan de personal, haciendo
seguimiento del uso real.
No
aplica
4. Mantener información adecuada sobre el
tiempo dedicado a diferentes tareas, trabajos,
servicios o proyectos.
Aplica si
APO07-BP6 Gestionar el personal contratado. ¿Aplica? ¿Cumple? NO SI Prom
363
1. Implementar políticas y procedimientos que
describan cuándo, cómo y qué tipo de trabajo
puede ser realizado o incrementado por
consultores y/o contratistas, de acuerdo con la
política de contratación de TI de la
organización y el marco de control de TI.
Aplica si
2 2 50.0
2. Obtener un acuerdo formal por parte de los
contratistas en el inicio del contrato en cuanto
a que están obligados a cumplir con el marco
de control de TI de la empresa, tal como
políticas de control de seguridad, control de
acceso físico y lógico, uso de las
instalaciones, requisitos de confidencialidad
de la información y los acuerdos de
confidencialidad.
Aplica si
3. Advertir a los contratistas de que la
gerencia se reserva el derecho de supervisar e
inspeccionar todo uso de los recursos de TI,
incluyendo correo electrónico,
comunicaciones de voz y todos los programas
y archivos de datos.
Aplica No
4. Proporcionar a los contratistas una
definición clara de sus funciones y
responsabilidades como parte de sus
contratos, incluidos requisitos explícitos para
documentar su trabajo en base a normas y
formatos previamente acordados.
Aplica No
5. Revisar el trabajo de los contratistas y basar
la aprobación de los pagos en los resultados.
No
aplica
6. Definir todo el trabajo a realizar por
terceras partes en contratos formales y sin No
364
ambigüedades. aplica
7. Llevar a cabo revisiones periódicas para
asegurarse de que el personal contratado ha
firmado y aceptado todos los acuerdos
necesarios.
No
aplica
8. Llevar a cabo revisiones periódicas para
asegurarse de que las funciones de los
contratistas y sus derechos de acceso son
adecuados y en línea con los acuerdos.
No
aplica
APO08-BP1 Entender las expectativas del negocio. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar a las partes interesadas del negocio, sus
intereses y sus áreas de responsabilidad. Aplica si
6 1 14.3
2. Revisar la orientación de la empresa, asuntos,
objetivos estratégicos actuales y alineamiento con la
arquitectura empresarial.
Aplica no
3. Mantener una atención sobre los procesos de
negocio y actividades asociadas y entender los patrones
de demanda relacionados con el volumen y uso de
servicios.
Aplica no
4. Esclarecer las expectativas del negocio para los
servicios y soluciones basados en TI y asegurar que los
requisitos son definidos con criterios y métricas
aceptados por el negocio.
Aplica no
5. Confirmar el acuerdo sobre las expectativas del
negocio, los criterios de aceptación y las métricas para
las partes relevantes de la infraestructura TI por todas
las partes interesadas.
Aplica no
365
6. Gestionar las expectativas asegurando que las
unidades de negocio entienden las prioridades,
dependencias, restricciones financieras y la necesidad
de planificar peticiones.
Aplica no
7. Entender el entorno de negocio actual, limitaciones o
flujos de procesos, expansión o contracción geográfica
y motivaciones de la industria/regulación.
Aplica no
APO08-BP2
Identificar oportunidades, riesgos y limitaciones de TI
para mejorar el negocio. ¿Aplica? ¿Cumple? NO SI Prom
1. Entender las tendencias tecnológicas y las nuevas
tecnologías y cómo pueden aplicarse de modo
innovador para mejorar el rendimiento de los procesos
de negocio.
Aplica si
4 1 20.0
2. Tomar un papel proactivo en identificar y comunicar
a las partes interesadas clave las oportunidades, riesgos
y limitaciones. Esto incluye tecnologías, servicios y
modelos de negocios tanto actuales como emergentes.
Aplica no
3. Colaborar en acordar los siguientes pasos para las
principales nuevas iniciativas en colaboración con la
gestión de la cartera de servicios, incluyendo el
desarrollo de casos de negocio.
Aplica no
4. Asegurar que el negocio y la TI entienden y aprecian
los objetivos estratégicos y la visión de la arquitectura
empresarial.
Aplica no
5. Coordinar durante la planificación de nuevas
iniciativas TI para asegurar la integración y el
alineamiento con la arquitectura empresarial.
Aplica no
APO08-BP3 Gestionar las relaciones con el negocio. ¿Aplica? ¿Cumple? NO SI Prom
366
1. Asignar un responsable de la relación como punto
único de contacto por cada unidad de negocio
significativa. Asegurar que se ha identificado una
entendimiento del negocio, suficiente concienciación
tecnológica y un nivel apropiado de autoridad.
Aplica no
3 2 40.0
2. Gestionar la relación de un modo formal y
transparente que asegure un enfoque en conseguir,
como objetivo común y compartido, resultados
exitosos apoyando los objetivos estratégicos dentro de
las limitaciones del presupuesto y de la tolerancia de
riesgos.
Aplica no
3. Definir y comunicar un proceso de reclamaciones y
escalado de las mismas para resolver cualquier
incidencia en la relación.
Aplica no
4. Planificar interacciones específicas y calendarios
basados en objetivos acordados mutuamente y en un
lenguaje común (reuniones de revisión del servicio y
del rendimiento, revisión de nuevas estrategias o
planes, etc.).
Aplica si
5. Asegurar que las decisiones claves son acordadas y
aprobadas por las partes interesadas responsables y
relevantes.
Aplica si
APO08-BP4 Coordinar y comunicar. ¿Aplica? ¿Cumple? NO SI Prom
1. Coordinar y comunicar cambios y actividades de
transición tales como proyectos, planes de cambio,
planificaciones, políticas de lanzamiento, errores
conocidos y concienciación sobre formación.
Aplica si
1 3 75.0
2. Coordinar y comunicar actividades operativas, roles
y responsabilidades, incluyendo la definición de los
tipos de petición, escalado jerárquico, periodos de
Aplica si
367
interrupción significativos (planeados o no) y
contenido y frecuencia de los informes del servicio.
3. Tomar consideración de la reacción del negocio ante
eventos que puedan influenciar en la relación con el
mismo. Proporcionar soporte directo si fuera necesario.
Aplica no
4. Mantener un plan de comunicación extremo a
extremo que defina el contenido, frecuencia y
destinatarios de la información de la entrega del
servicio, incluyendo el estado del valor entregado y los
riesgos identificados.
Aplica si
APO08-BP5
Proveer datos de entrada para la mejora continua de los
servicios. ¿Aplica? ¿Cumple? NO SI Prom
1. Llevar a cabo análisis de satisfacción de clientes y
proveedores. Asegurar que se actúa sobre las
cuestiones detectadas y que se reportan los resultados y
estados.
Aplica no
3 0 0.0
2. Trabajar conjuntamente para identificar, comunicar e
implementar iniciativas de mejora. Aplica no
3. Trabajar con la gestión del servicio y los propietarios
de los procesos para asegurar que los servicios basados
en TI y la gestión de los procesos del servicio son
mejorados continuamente y las causas raíz de cualquier
incidente son identificadas y resueltas.
Aplica no
APO09-BP1 Identificar servicios TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Valorar los servicios TI actuales y los
niveles de servicio para identificar lagunas
entre los servicios existentes y los procesos de
Aplica si
4 2 33.3
368
negocio de los que son base. Identificar áreas
de mejora de los servicios existentes y de las
opciones de nivel del servicio.
2. Analizar, estudiar y estimar la futura
demanda y confirmar la capacidad de los
servicios TI existentes.
Aplica si
3. Analizar las actividades de los procesos de
negocio para identificar la necesidad de
servicios TI nuevos o rediseñados.
Aplica no
4. Comparar los requisitos identificados con
los componentes del servicio existentes en el
catálogo. Si es posible, agrupar los
componentes del servicio existentes (servicios
TI, opciones de nivel de servicio y paquetes
de servicios) en nuevos paquetes de servicio
para cumplir con los requisitos de negocio
identificados.
Aplica no
5. Siempre que sea posible, relacionar
demanda con paquetes de servicio y crear
servicios estandarizados para obtener una
eficiencia global.
Aplica no
6. Revisar el catálogo de servicios TI
regularmente con la gestión del catálogo y la
gestión de relaciones del negocio para
identificar servicios obsoletos. Acordar la
retirada de los mismos y proponer cambios.
Aplica no
APO09-BP2 Catalogar servicios basados en TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Publicar los servicios TI, paquetes de
servicios y opciones de nivel del servicio
activos de la cartera de servicios en los
Aplica si
1 2 66.7
369
catálogos relevantes.
2. Asegurar de forma continua que los
componentes de servicio en el portafolio y en
los catálogos de servicio relacionados están
completos y actualizados.
Aplica si
3. Informar al gestor de relaciones del negocio
de las actualizaciones en los catálogos de
servicios.
Aplica no
APO09-BP3 Definir y preparar acuerdos de servicio. ¿Aplica? ¿Cumple? NO SI Prom
1. Analizar los requisitos para acuerdos de
servicios nuevos o modificados recibidos
desde la gestión de las relaciones con el
negocio para asegurar que los requisitos
puedan ser emparejados con los niveles de
servicio. Considerar aspectos tales como
tiempos del servicio, disponibilidad,
rendimiento, capacidad, seguridad,
continuidad, cumplimiento normativo y
regulatorio, usabilidad y limitaciones de la
demanda.
Aplica si
1 4 80.0
2. Esbozar borradores de acuerdos de nivel de
servicio con el cliente basados en los
servicios, paquetes de servicios y opciones del
nivel de servicio en los catálogos de servicio
relevantes.
Aplica si
3. Determinar, acordar y documentar los
acuerdos operativos internos para cimentar los
acuerdos de servicio con clientes, siempre que
sea aplicable.
Aplica si
370
4. Mantener una relación estrecha con la
gestión de proveedores para asegurar que los
contratos comerciales apropiados con
proveedores de servicio externos cimentan los
acuerdos de servicio con los clientes, siempre
que sea aplicable.
Aplica no
5. Ultimar acuerdos de servicio al cliente con
la gestión de relaciones del negocio. Aplica si
APO09-BP4
Supervisar e informar de los niveles de
servicio. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer y mantener medidas para
supervisar y recolectar datos del nivel del
servicio.
Aplica si
3 2 40.0
2. Evaluar el rendimiento y proporcionar
informes regular y formalmente sobre el
rendimiento del acuerdo del servicio,
incluyendo desviaciones con respecto a los
valores acordados. Distribuir estos informes a
la gestión de las relaciones del negocio.
Aplica si
3. Hacer revisiones regulares para anticipar e
identificar tendencias en el rendimiento del
nivel de servicio.
Aplica no
4. Proporcionar información de gestión
apropiada para ayudar en la gestión del
rendimiento.
Aplica no
5. Acordar planes de acción y remedio para
los incidentes del rendimiento o tendencias
negativas del mismo.
Aplica no
APO09-BP5 Revisar acuerdos de servicio y contratos. ¿Aplica? ¿Cumple? NO SI Prom
371
1. Revisar los términos de los acuerdos de
servicio regularmente para asegurar que son
efectivos y actuales y que los cambios en los
requisitos, servicios TI, paquetes de servicios
u opciones de nivel de servicio se tienen en
cuenta cuando sea apropiado.
Aplica si
0 1 100.0
APO10-BP1
Identificar y evaluar las relaciones y contratos
con proveedores. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer y mantener criterios relativo al
tipo, relevancia y criticidad de los contratos y
proveedores, focalizándose en aquellos de
mayor importancia.
No
aplica
1 1 50.0
2. Establecer y mantener un criterio de
evaluación de contratos y proveedores que
permita una revisión general del rendimiento
de los proveedores de manera consistente.
No
aplica
3. Identificar, registrar y categorizar los
proveedores y contratos existentes de acuerdo
al criterio definido para mantener un registro
detallado de los proveedores que deben ser
gestionados cuidadosamente.
Aplica si
4. Evaluar y comparar periódicamente el
rendimiento de los proveedores actuales y
alternativos para identificar oportunidades de
mejora o la necesidad forzosa de reconsiderar
los contratos con los proveedores actuales.
Aplica no
APO10-BP2 Seleccionar proveedores. ¿Aplica? ¿Cumple? NO SI Prom
372
1. Revisar todas las RFIs y RFPs para
asegurar que:
• Definen claramente los requisitos.
• Incluyen un procedimiento para clarificar los
requisitos.
• Dan a los proveedores tiempo suficiente para
elaborar sus propuestas.
• Definen claramente los criterios y el proceso
de decisión.
No
aplica
1 1 50.0
2. Evaluar RFIs y RFPs de acuerdo al proceso
y criterios aprobados y mantener evidencia
documental de las evaluaciones. Verificar las
referencias de los proveedores candidatos.
No
aplica
3. Seleccionar el proveedor que mejor cumpla
la RFP. Documentar y comunicar la decisión
alcanzada y firmar el contrato.
No
aplica
4. En el caso específico de la adquisición de
software, incluir y hacer cumplir los derechos
y obligaciones de todas las partes en los
términos contractuales. Estos derechos y
obligaciones pueden incluir la propiedad y el
licenciamiento de la propiedad intelectual, el
mantenimiento, las garantías, los procesos de
arbitraje, las condiciones de actualización y la
aptitud para el propósito definido, incluyendo
seguridad, depósito de garantía y derechos de
acceso.
Aplica si
373
5. En el caso específico de la adquisición de
desarrollos, incluir y hacer cumplir los
derechos y obligaciones de todas las partes en
los términos contractuales. Estos derechos y
obligaciones pueden incluir la propiedad y el
licenciamiento de la propiedad intelectual;
aptitud para el propósito definido, incluyendo
metodologías, pruebas, procesos de gestión de
la calidad, incluyendo los criterios de
evaluación del rendimiento, formas de pago,
garantías, los procesos de arbitraje, gestión de
recursos humanos y cumplimiento con las
políticas corporativas.
No
aplica
6. Obtener asesoramiento legal sobre los
acuerdo de adquisición de desarrollos en
relación a la propiedad y el licenciamiento de
propiedad intelectual.
No
aplica
7. En el caso específico de la adquisición de
infraestructuras, instalaciones y servicios
relacionados, incluir y hacer cumplir los
derechos y obligaciones de todas las partes en
los términos contractuales. Estos derechos y
obligaciones pueden incluir niveles de
servicio, procedimientos de mantenimiento,
controles de acceso, seguridad, revisiones de
rendimiento, formas de pago y procesos de
arbitraje.
Aplica no
APO10-BP3
Gestionar contratos y relaciones con
proveedores. ¿Aplica? ¿Cumple? NO SI Prom
1. Asignar propietarios de la relaciones para
cada proveedor y hacerles responsables de la
Aplica no 4 3 42.9
374
calidad del servicio proporcionado.
2. Especificar un proceso de comunicación
formal y de revisión, que incluyan las
interacciones con el proveedor y la
planificación.
Aplica si
3. Acordar, gestionar, mantener y renovar los
contratos con los proveedores. Asegurar que
los contratos son conformes con las normas
corporativas y con los requisitos legales y
regulatorios.
Aplica si
4. Incluir en los contratos con los proveedores
de servicios clave disposiciones para revisar
los lugares de trabajo y las prácticas y
controles de la dirección o de terceras partes.
No
aplica
5. Evaluar la eficiencia de la relación con los
proveedores e identificar las mejoras
necesarias.
Aplica no
6. Definir, comunicar y acordar las maneras
de implementar las mejoras requeridas en las
relaciones.
Aplica no
7. Hacer uso de los procedimientos
establecidos para tratar los conflictos
contractuales haciendo uso primero, siempre
que sea posible, de relaciones y mecanismos
de comunicación eficaces que permitan
superar los problemas de servicio.
Aplica no
8. Definir y formalizar los roles y
responsabilidades de cada proveedor. Cuando
varios proveedores se combinan para
proporcionar un servicio, considerar asignar
Aplica Si
375
un rol de proveedor líder a uno de los
proveedores para que asuma la
responsabilidad global del contrato.
APO10-BP4 Gestionar el riesgo en el suministro. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar, supervisar y, cuando sea
apropiado, gestionar los riesgos relacionados
con la capacidad del proveedor de entregar el
servicio de forma eficiente, eficaz, segura,
fiable y continua.
Aplica no
1 1 50.0
2. A la hora de definir el contrato, para los
riesgos potenciales, incluir una descripción
clara de todos los requisitos de servicio,
incluyendo depósitos de garantía, proveedores
alternativos o acuerdos en suspenso para
mitigar el riesgo de un posible fallo del
proveedor; los aspectos de seguridad, la
propiedad intelectual y los requisitos legales y
regulatorios.
Aplica si
APO10-BP5
Supervisar el cumplimiento y el rendimiento
del proveedor. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir y documentar los criterios para
supervisar el rendimiento de los proveedores
alineado con los acuerdos de nivel de servicio
y asegurando que el proveedor informa según
estos criterios de forma regular y transparente.
Aplica si
1 1 50.0
2. Supervisar y revisar la entrega de servicios
para asegurar que el proveedor está
proporcionando una calidad del servicio
adecuada, cumpliendo los requisitos y las
condiciones de los contratos.
Aplica no
376
3. Revisar el rendimiento y el coste de los
proveedores para asegurar que son
competitivos y fiables, en comparación con
proveedores alternativos y condiciones de
mercado.
No
aplica
4. Solicitar revisiones independientes de las
prácticas internas y los controles, si se
considera necesario.
No
aplica
5. Registrar y evaluar los resultados de la
revisión periódica y discutirlos con el
proveedor para identificar las necesidades y
oportunidades de mejora.
No
aplica
6. Supervisar y evaluar la información externa
disponible sobre el proveedor.
No
aplica
APO11-BP1 Establecer un sistema de gestión de la calidad
(SGC). ¿Aplica? ¿Cumple? NO SI Prom
1. Asegurar que el marco de control de TI, el
negocio y los procesos de TI incluyen un
enfoque estándar, formal y continuo de
gestión de la calidad que está alineado con los
requerimientos empresariales. Dentro del
marco de control de TI y de los procesos de
negocio y de TI, identificar los requisitos y
criterios de calidad (por ejemplo, sobre la base
de los requerimientos legales y los requisitos
de los clientes).
Aplica no
7 1 12.5
2. Definir roles, tareas, capacidades de
decisión y responsabilidades para la gestión
de la calidad, dentro de la estructura
Aplica no
377
organizativa.
3. Definir planes de gestión de la calidad para
los procesos, proyectos u objetivos
importantes, que estén alineados con los
criterios y políticas del sistema de la calidad a
nivel corporativo. Registrar los datos
relacionados con la calidad.
Aplica si
4. Supervisar y medir la eficacia y la
aceptación de la gestión de la calidad, y
mejorarla cuando sea necesario.
Aplica no
5. Alinear la gestión de la calidad TI con la
gestión de la calidad a nivel corporativo
fomentando un enfoque de la calidad
estandarizado y continuo.
Aplica no
6. Obtener los inputs necesarios de las partes
interesadas internas y externas para la
definición de los requisitos y los criterios de
aceptación de la calidad.
Aplica no
7. Comunicar de manera eficaz el enfoque
(por ejemplo, mediante programas de
formación en calidad formales y regulares).
Aplica no
8. Revisar periódicamente la relevancia,
eficiencia y eficacia de los procesos
específicos de gestión de calidad. Supervisar
el cumplimiento de los objetivos de la calidad.
Aplica no
APO11-BP2 Definir y gestionar los estándares, procesos y
prácticas de calidad. ¿Aplica? ¿Cumple? NO SI Prom
378
1. Definir las normas, procedimientos y
prácticas de gestión de la calidad en
consonancia con los requisitos del marco de
control TI. Hacer uso de las mejores prácticas
de la industria como referencia para la mejora
y adaptación de los procesos de gestión de la
calidad de la empresa.
Aplica no
2 0 0.0
2. Considerar los costes y los beneficios de las
certificaciones de calidad. Aplica no
APO11-BP3 Enfocar la gestión de la calidad en los
clientes. ¿Aplica? ¿Cumple? NO SI Prom
1. Enfocar la gestión de la calidad en los
clientes, mediante la determinación los
requisitos de los clientes externos e internos y
asegurando su el alineamiento de las normas y
prácticas de TI. Definir y comunicar los roles
y responsabilidades relativos a la resolución
de conflictos entre clientes/usuarios y la
organización TI.
Aplica si
5 1 16.7
2. Gestionar las necesidades y las expectativas
del negocio para cada proceso de negocio,
servicio operativo y nuevas soluciones de TI y
mantener sus criterios de aceptación de la
calidad. Capturar los criterios de aceptación
de la calidad para su inclusión en los ANS.
Aplica no
3. Comunicar los requisitos y expectativas del
cliente por toda la organización de negocio y
de TI.
Aplica no
4. Obtener periódicamente los puntos de vista
del cliente sobre los procesos de negocio y la Aplica no
379
provisión de servicios y la entrega de
soluciones TI, para determinar el impacto
sobre las normas y prácticas de TI y garantizar
que se cumplen las expectativas de los
clientes y se actúa en consecuencia.
5. Supervisar y revisar regularmente que el
SGC está de acuerdo a los criterios de
aceptación de la calidad. Incluir los
comentarios de los clientes, usuarios y la
dirección. Responder a las discrepancias en
los resultados de las revisiones para lograr una
mejorar continua del SGC.
Aplica no
6. Capturar los criterios de aceptación de la
calidad para su inclusión en los ANS. Aplica no
APO11-BP4 Supervisar y hacer controles y revisiones de
calidad. ¿Aplica? ¿Cumple? NO SI Prom
1. Supervisar la calidad de los procesos y
servicios de forma permanente y sistemática
mediante la descripción, las métricas, los
análisis, la mejora/ingeniería y controles de
los procesos.
Aplica si
2 5 71.4
2. Preparar y llevar a cabo revisiones de
calidad. Aplica si
3. Informar de los resultados de las revisiones
y poner en marcha las mejoras necesarias. Aplica si
4. Supervisar la calidad de los procesos, así
como el valor proporcionado por la calidad.
Asegurar que la medición, supervisión y
registro de la información es utilizada por los
propietarios de los procesos para tomar las
Aplica si
380
acciones correctivas y preventivas necesarias.
5. Supervisar las métricas de calidad basadas
en objetivos alineadas con los objetivos
generales de calidad y cubriendo la calidad de
todos los servicios y los proyectos
individuales.
Aplica si
6. Asegurar que la dirección y los propietarios
de los procesos revisan periódicamente el
rendimiento de la gestión respecto a las
métricas de calidad definidas.
Aplica no
7. Analizar los resultados del rendimiento de
la gestión de la calidad global. Aplica no
APO11-BP5
Integrar la gestión de la calidad en la
implementación de soluciones y la entrega de
servicios.
¿Aplica? ¿Cumple? NO SI Prom
1. Integrar las prácticas de gestión de la
calidad en los procesos y prácticas de
desarrollo de soluciones.
Aplica no
2 1 33.3
2. Supervisar de manera continua los niveles
de servicio e incorporar prácticas de gestión
de la calidad en todos los procesos y prácticas
de prestación de servicios.
Aplica si
3. Identificar y documentar las causas raíz de
las no conformidades y comunicar los
resultados a la dirección de TI y otras partes
interesadas de manera oportuna para permitir
que se adopten las medidas correctivas
oportunas. Cuando sea necesario, realizar el
Aplica no
381
seguimiento de las revisiones.
APO11-BP6 Mantener una mejora continua ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener y comunicar regularmente la
necesidad y los beneficios de la mejora
continua.
Aplica si
4 3 42.9
2. Establecer una plataforma para compartir
las mejores prácticas y para capturar la
información sobre los defectos y errores que
permita aprender de ellos.
Aplica no
3. Identificar ejemplos recurrentes de los
defectos de calidad, determinar su causa raíz,
evaluar su impacto y resultado y acordar
acciones de mejora con todos los miembros de
los proyectos y los servicios.
Aplica si
4. Identificar ejemplos recurrentes de los
defectos de calidad, determinar su causa raíz,
evaluar su impacto y resultado y acordar
acciones de mejora con todos los miembros de
los proyectos y los servicios.
No
aplica
5. Promover una cultura de calidad y mejora
continua. Aplica no
6. Establecer un circuito de retroalimentación
entre la gestión de la calidad y la gestión de
problemas.
Aplica no
7. Proporcionar a los empleados la formación
necesaria en los métodos y herramientas de
mejora continua.
Aplica no
382
8. Realizar un análisis comparativo con los
resultados de las revisiones de calidad internas
frente a datos históricos, las directrices de la
industria, las normas y datos de tipo similar en
otras empresas.
Aplica si
APO12-BP1 Recopilar datos. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer y mantener un método para la
recogida, clasificación y análisis de datos
relacionados con riesgo de TI, dando cabida a
múltiples tipos de eventos, múltiples
categorías de riesgo de TI y múltiples factores
de riesgo.
Aplica si 4 3 42.9
2. Registrar datos relevantes sobre el entorno
de operación interno y externo de la empresa
que pudieran jugar un papel significativo en la
gestión del riesgo de TI.
Aplica no
3. Medir y analizar los datos históricos de
riesgo de TI y de pérdidas experimentadas
tomados de datos y tendencias externas
disponibles, empresas similares de la industria
– basados en eventos registrados, bases de
datos y acuerdos de la industria sobre
divulgación de eventos comunes.
Aplica no
4. Registrar datos sobre eventos de riesgo que
han causado o pueden causar impactos al
beneficio/valor facilitado por TI, a la entrega
de programas y proyectos de TI y/o a las
operaciones y entrega de servicio de TI.
Capturar datos relevantes sobre asuntos
Aplica si
383
relacionados, incidentes, problemas e
investigaciones.
5. Para clases o eventos similares, organizar
los datos recogidos y destacar factores
contribuyentes. Determinar los factores
contribuyentes comunes para eventos
múltiples.
Aplica no
6. Determinar las condiciones específicas que
existían o faltaban cuando ocurrieron los
eventos de riesgo y la forma en la cual las
condiciones afectaban la frecuencia del evento
y la magnitud de la pérdida.
Aplica no
7. Ejecutar análisis periódicos de eventos y de
factores de riesgo para identificar asuntos
nuevos o emergentes relacionados con el
riesgo y para obtener un entendimiento de los
asociados factores de riesgo internos y
externos.
Aplica si
APO12-BP2 Analizar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir la amplitud y profundidad
apropiadas para los esfuerzos en análisis de
riesgos, considerando todos los factores de
riesgo y la criticidad en el negocio de los
activos. Establecer el alcance del análisis de
riesgos después de llevar a cabo un análisis
coste-beneficio.
Aplica si 3 4 57.1
2. Construir y actualizar regularmente
escenarios de riesgo de TI, que incluyan
escenarios compuestos en cascada y/o tipos de
Aplica no
384
amenaza coincidentes y desarrollar
expectativas para actividades de control
específicas, capacidades para detectar y otras
medidas de respuesta.
3. Estimar la frecuencia y magnitud de
pérdida o ganancia asociada con escenarios de
riesgo de TI. Tener en cuenta todos los
factores de riesgo que apliquen, evaluar
controles operacionales conocidos y estimar
niveles de riesgo residual.
Aplica no
4. Comparar el riesgo residual con la
tolerancia al riesgo e identificar exposiciones
que puedan requerir una respuesta al riesgo.
Aplica si
5. Analizar el coste-beneficio de las opciones
de respuesta al riesgo potencial, tales como
evitar, reducir/mitigar, transferir/compartir y
aceptar y explotar/capturar. Proponer la
respuesta al riesgo óptima.
Aplica si
6. Especificar requerimientos de alto nivel
para los proyectos o programas que
implementarán las respuestas de riesgo
seleccionadas. Identificar requerimientos y
expectativas para los controles clave que son
apropiados para las respuestas de mitigación
de riesgos.
Aplica si
7. Validar los resultados de análisis de riesgos
antes de usarlos para la toma de decisiones,
confirmando que los análisis se alinean con
requerimientos de empresa y verificando que
las estimaciones fueron apropiadamente
calibradas y examinadas ante una posible
Aplica no
385
parcialidad.
APO12-BP3 Mantener un perfil de riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Inventariar los procesos de negocio,
incluyendo el personal de soporte,
aplicaciones, infraestructura, instalaciones,
registros manuales críticos, vendedores,
proveedores y externalizados y documentar la
dependencia de los procesos de gestión de
servicio TI y de los recursos de
infraestructuras TI.
Aplica no 3 4 57.1
2. Determinar y acordar qué servicios TI y
recursos de infraestructuras de TI son
esenciales para sostener la operación de
procesos de negocio. Analizar dependencias e
identificar eslabones débiles.
Aplica no
3. Agregar escenarios de riesgo actuales, por
categoría, línea de negocio y área funcional. Aplica si
4. De forma regular, capturar toda la
información sobre el perfil de riesgo y
consolidarla dentro de un perfil de riesgo
agregado.
Aplica si
5. Sobre la base de todos los datos del perfil
de riesgo, definir un conjunto de indicadores
de riesgo que permitan la identificación rápida
y la supervisión del riesgo actual y las
tendencias de riesgo.
Aplica no
6. Capturar información sobre eventos de
riesgos de TI que se han materializado, para
su inclusión en el perfil de riesgo de TI de la
Aplica si
386
empresa.
7. Capturar información sobre el estado del
plan de acción del riesgo, para la inclusión en
el perfil de riesgo de TI de la empresa.
Aplica si
APO12-BP4 Expresar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Informar de los resultados del análisis de
riesgos a todas las partes interesadas afectadas
en términos y formatos útiles para soportar las
decisiones de empresa. Cuando sea posible,
incluir probabilidades y rangos de pérdida o
ganancia junto con niveles de confianza que
permitan a la dirección equilibrar el retorno
del riesgo.
Aplica no 4 1 20.0
2. Proporcionar a los responsables de toma de
decisiones un entendimiento de los escenarios
peor y más probables, exposiciones de
diligencia debida y consideraciones sobre la
reputación, legales y regulatorias
significativas.
Aplica si
3. Informar el perfil de riesgo actual a todas
las partes interesadas, incluyendo la
efectividad del proceso de gestión de riesgos,
la efectividad de los controles, diferencias,
inconsistencias, redundancias, estado de la
remediación y sus impactos en el perfil de
riesgo.
Aplica no
4. Revisar los resultados de evaluaciones
objetivas de terceras partes, auditorías internas
y revisiones del aseguramiento de la calidad y
mapearlos con el perfil de riesgo. Revisar las
Aplica no
387
diferencias y exposiciones identificadas para
determinar la necesidad de análisis de riesgos
adicionales.
5. De forma periódica, para áreas con un
riesgo relativo y una paridad de capacidad del
riesgo, identificar oportunidades relacionadas
con TI que podrían permitir la aceptación de
un mayor riesgo y un crecimiento y retorno
mayores.
Aplica no
APO12-BP5
Definir un portafolio de acciones para la
gestión de riesgos. ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener un inventario de actividades de
control que estén en marcha para gestionar al
riesgo y que permitan que el riesgo que se
tome esté alineado con el apetito y tolerancia
al riesgo. Clasificar las actividades de control
y mapearlas con las declaraciones de riesgo
específicas de TI y agrupaciones de riesgo de
TI.
Aplica si 1 2 66.7
2. Determinar si cada entidad organizativa
supervisa el riesgo y acepta la responsabilidad
para operar dentro de sus niveles de tolerancia
individuales y de portafolio.
Aplica no
3. Definir un conjunto de propuestas de
proyecto equilibradas diseñadas para reducir
el riesgo y/o proyectos que permitan
oportunidades estratégicas empresariales,
considerando costes/beneficios, el efecto en el
perfil de riesgo actual y las regulaciones.
Aplica si
APO12-BP6 Responder al riesgo. ¿Aplica? ¿Cumple? NO SI Prom
388
1. Preparar, mantener y probar planes que
documenten los pasos específicos a tomar
cuando un evento de riesgo pueda causar un
incidente significativo operativo o evolucionar
en un incidente con un impacto de negocio
grave. Asegurar que los planes incluyan vías
de escalado a través de la empresa.
Aplica si 2 2 50.0
2. Categorizar los incidentes y comparar las
exposiciones reales con los umbrales de
tolerancia al riesgo. Comunicar los impactos
en el negocio a los responsables de toma de
decisiones como parte de la notificación y
actualizar el perfil de riesgo.
Aplica no
3. Aplicar el plan de respuesta apropiado para
minimizar el impacto cuando ocurren
incidentes de riesgo.
Aplica si
4. Examinar eventos adversos/pérdidas del
pasado y oportunidades perdidas y determinar
sus causas raíz. Comunicar la causa raíz,
requerimientos de respuesta adicionales para
el riesgo y mejoras de proceso a los
responsables de toma de decisiones
apropiados y asegurarse de que la causa, los
requerimientos de respuesta y la mejora del
proceso se incluyan en los procesos de
gobierno del riesgo.
Aplica no
APO13-BP1 Establecer y mantener un SGSI. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir el alcance y los límites del SGSI en
términos de las características de la empresa,
Aplica no 7 0 0
389
la organización, su localización, activos y
tecnología. Incluir detalles de y justificación
para, cualquier exclusión del alcance.
2. Definir un SGSI de acuerdo con la política
de empresa y alineada con la empresa, la
organización, su localización, activos y
tecnología.
Aplica no
3. Alinear el SGSI con el enfoque global de la
gestión de la seguridad en la empresa. Aplica no
4. Obtener autorización de la dirección para
implementar y operar o cambiar el SGSI. Aplica no
5. Preparar y mantener una declaración de
aplicabilidad que describa el alcance del
SGSI.
Aplica no
6. Definir y comunicar los roles y las
responsabilidades de la gestión de la seguridad
de la información.
Aplica no
7. Comunicar el enfoque de SGSI. Aplica no
APO13-BP2 Definir y gestionar un plan de tratamiento del
riesgo de la seguridad de la información. ¿Aplica? ¿Cumple? NO SI Prom
1. Formular y mantener un plan de tratamiento
de riesgos de seguridad de la información
alineado con los objetivos estratégicos y la
arquitectura de la empresa. Asegurar que el
plan identifica las prácticas de gestión y las
soluciones de seguridad apropiadas y óptimas,
con los recursos, las responsabilidades y las
prioridades asociadas para gestionar los riegos
identificados de seguridad de información.
Aplica no 5 2 28.6
390
2. Mantener un inventario de componentes de
la solución implementados para gestionar los
riesgos relacionados con la seguridad como
parte de la arquitectura de la empresa.
Aplica si
3. Desarrollar propuestas para implementar el
plan de tratamiento de riesgos de seguridad de
la información, sustentados en casos de
negocio adecuados que incluyan consideren la
financiación la asignación de roles y
responsabilidades.
Aplica no
4. Proporcionar información para el diseño y
desarrollo de prácticas de gestión y soluciones
seleccionadas en base al plan de tratamiento
de riesgos de seguridad de información.
Aplica si
5. Definir la forma de medición de la
efectividad de las prácticas de gestión
seleccionadas y especificar la forma de utilizar
estas mediciones para evaluar la efectividad y
producir resultados reproducibles y
comparables.
Aplica no
6. Recomendar programas de formación y
concienciación en seguridad de la
información.
Aplica no
7. Integrar la planificación, el diseño, la
implementación y la supervisión de los
procedimientos de seguridad de información y
otros controles que permitan la prevención y
detección temprana de eventos de seguridad,
así como la respuesta a incidentes de
seguridad.
Aplica no
391
APO13-BP3 Supervisar y revisar el SGSI. ¿Aplica? ¿Cumple? NO SI Prom
1. Realizar revisiones periódicas del SGSI,
incluyendo aspectos de políticas, objetivos y
prácticas de seguridad del SGSI. Considerar
los resultados de auditorías de seguridad,
incidentes, resultados de mediciones de
efectividad, sugerencias y retroalimentación
de todas las partes interesadas.
Aplica si 3 2 40.0
2. Realizar auditorías internas al SGSI a
intervalos planificados. Aplica no
3. Realizar revisiones periódicas del SGSI por
la Dirección para asegurar que el alcance
sigue siendo adecuado y que se han
identificado mejoras en el proceso del SGSI.
Aplica no
4. Proporcionar información para el
mantenimiento de los planes de seguridad para
que consideren las incidencias de las
actividades de supervisión y revisión
periódica.
Aplica si
5. Registrar las acciones y los eventos que
podrían tener un impacto en la efectividad o el
desempeño del SGSI.
Aplica no
392
ANEXO 5: Mapa de Procesos
Actuales procesos de la empresa IT-Expert.
Ilustración 40: Mapa de procesos
Fuente: Elaboración propia
Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del
Primer Dominio de Gestión 26
26
Este modelo no es parte del marco de referencia COBIT 5, pero es útil como apoyo en las
actividades que se realizaran en el transcurso del proyecto.
393
Descripción: Cuadro de doble entrada que muestra la relación entre los procesos
identificados en el mapeo anterior (Mapeo entre las metas relacionadas con TI y los
Procesos del modelo de COBIT 5) con los procesos actuales de la empresa IT-Expert.
Propósito: Tener una trazabilidad entre la situación actual de la empresa y el modelo de
procesos de COBIT 5.
Alcance: Solo se considera los procesos del primer dominio de gestión de COBIT 5.
Tabla 25: Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT
5 del Primer Dominio de Gestión
Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del
Primer Dominio de Gestión
Procesos Actuales de IT-Expert
ID
Proceso Nombre del Proceso
Pla
nte
am
ien
to E
stra
tég
ico
Ges
tió
n d
e R
ecu
rso
s
Ges
tió
n d
e C
ali
da
d
Ges
tió
n d
e R
iesg
os
TI
Ges
tió
n d
e C
am
bio
Ges
tió
n d
e C
on
ocim
ien
to
Ges
tió
n
de
Po
rta
foli
o
de
Proy
ecto
s
Ges
tió
n d
e S
erv
icio
s T
I
APO01 Gestionar el Marco de Gestión de TI
APO02 Gestionar la Estrategia
APO03
Gestionar la Arquitectura
Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar Portafolio
APO06 Gestionar el Presupuesto y los Costes
394
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las Relaciones
APO09 Gestionar los Acuerdos de Servicio
APO10 Gestionar los Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Fuente: Elaboración propia
395
ANEXO 6: Actas de Reunión 2da Etapa
Reuniones Profesor Gerente
396
397
398
399
400
401
402
403
404
405
Reuniones Profesor Cliente
406
407
408
409
410
411
412
413
Reuniones Alumno Gerente
414
415
416
417
418
ANEXO 7: EDT del Proyecto 2da Etapa
419
420
421
422
423
424
425
426
427
428
429
430
431
432
ANEXO 8: Actas de Aceptación de los Entregables de la
Implementación del Modelo de Gestión Estratégica
433
ANEXO 9: Acta de Aceptación de la Gestión del Proyecto
434
ANEXO 10: Constancia de Servicio de Validación y
Verificación QS
435
436
437
438
ANEXO 11: Certificado de Aprobación
439
ANEXO 12: Paper Científico
Implementación del Proceso “Gestionar el Marco de Gestión de TI del dominio APO”
de COBIT 5 para una pequeña empresa
Peter Juro, Carlos A. Velásquez, Vania Rosas
Universidad Peruana de Ciencias Aplicadas, Facultad de Ingeniería
Prolongación primavera 2390, Lima, Perú, Lima 33
[email protected], [email protected], [email protected]
Abstract
Nowadays, an appropriate information management in companies is crucial to succeed in a very competitive
business environment and doing a correct decision making. Therefore, TI management is critic from a strategy
level view. This paper shows the research about the implementation of the process named “Managing the
management TI frame” in a small company that offers information technology services. This implementation is
based on ISACA “COBIT 5 Implementation” methodology. The reference model process that is used was
obtained from the TI management first domain of the COBIT 5 reference frame and the process evaluation
model used was the PAM (Process Assessment Model) model from the same reference frame. For this
investigation job, firstly, a current-capacity evaluation of all process was done and also the level capacity goals
were done as well; after performing a gap analysis, required improvements to reach level capacity goal were
proposed, which were implemented in the company. Furthermore, it was determined to apply improvements
related to a process using an evaluation that is based on the implementation difficulty level (time, required
knowledge) and the benefits they would provide. Later, a second evaluation was performed to check if the
capacity goal was reached for the elected process; indeed, it was reached and it shows that is very feasible to
implement the models proposed from the reference frame.
Keywords: COBIT 5, APO, implementation, strategic management model of IT.
Resumen
440
Actualmente el manejo adecuado de información en las empresas es fundamental para sobresalir en un
ambiente competitivo a nivel empresarial y realizar una correcta toma de decisiones. En este sentido, la gestión
de TI desde un nivel estratégico es vital. Este artículo muestra el trabajo realizado en la implementación del
proceso “Gestionar el marco de gestión de TI” en una pequeña empresa de servicios de tecnología de
información. Esta implementación se realizó siguiendo la metodología de implementación propuesta por la
guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue obtenido del
primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo de evaluación de procesos
utilizado fue PAM (Process Assessment Model) del mismo marco de referencia. Para este trabajo, se realizó en
primera instancia una evaluación de la capacidad actual de los procesos y se definió también el nivel de
capacidad objetivo de los mismos. Después de un análisis de brechas, se propusieron las mejoras necesarias
para alcanzar el nivel de capacidad objetivo, las cuales se implementaron en la empresa. Se determinó aplicar
las mejoras relacionadas al proceso mediante una evaluación basada en la dificultad de implementación
(tiempo, conocimiento necesario) y los beneficios que producirían estas mejoras. Posteriormente, se realizó
una segunda evaluación para ver si efectivamente se había alcanzado el nivel de capacidad objetivo para el
proceso elegido, lo cual se logró y muestra lo factible que es implementar el modelo de todos los dominios del
marco de referencia.
Palabras clave: COBIT 5, APO, implementación, modelo de gestión estratégica de TI.
Área temática: Gobierno y gestión de TI
Introducción
La tecnología de información (TI) no es un tema nuevo, más bien todo lo contrario. Sin embargo, desde que la
automatización de la gestión de la misma ha sido posible, se ha convertido en una herramienta clave para las
empresas. Pasó de ser un elemento de la empresa que solo desempeñaba una función de soporte y de manera
aislada del negocio a ser un elemento que interactúa con toda la organización, pues administra el recurso más
valioso de la empresa, la información. Gracias a eso, actualmente los servicios de TI representan una parte
esencial de los procesos de negocio.
Pero no todas las organizaciones realizan una correcta gestión de TI, sobre todo aquellas que no están
consolidadas, las pymes, estas presentan ciertos problemas vinculados a la gestión de TI, ya que la tecnología
de la información por sí sola no asegura nada. Algunos de los problemas que enfrentan la mayoría de estas
441
organizaciones en la gestión de TI son: Falta de alineamiento entre los objetivos de TI y los estratégicos, una
pobre gestión de proyectos, inversiones que no generan beneficio alguno, falta de control y seguimiento, y
gestión de servicios inadecuada.
Por ello, es importante identificar alguna herramienta que ayude a corregir estos problemas. Actualmente,
existen muchos marcos de referencias y conjuntos de buenas prácticas relacionadas a la TI, pero se ha
encontrado que si son utilizados de manera colectiva se tornan muy confusos y difíciles de integrar, incluso
pueden llegar a obstruirse entre ellos.
ISACA, la Asociación de Auditoría y Control de Sistemas de Información, tomando en cuenta esto ha
desarrollado un marco de referencia integrador, el cual permite a las empresas entender la importancia
estratégica de TI e integra las mejores prácticas, estándares u otros marcos relacionados a TI bajo un solo
nombre, COBIT 5. Este marco propone el gobierno y gestión de la TI, como solución para dar apoyo a las
empresas en la planeación estratégica, y sobre todo en la toma de decisiones.
Este artículo tiene como objetivo presentar la implementación de un modelo de gestión estratégica basado en
COBIT 5 para un pyme dedicada a brindar servicios de TI. La metodología de implementación usada se
encuentra en la guía “COBIT 5: Implementation”, el modelo de evaluación de procesos usado se encuentra en
la guía “COBIT 5: Process Assessment Model” y el modelo de referencia de procesos en la guía “COBIT 5:
Enabling Processes”.
A continuación, se detallará la estructura del presente artículo. En la sección 2, se muestra la información de la
revisión de la literatura de modelos de gobierno y gestión de TI. La sección 3 contiene el modelo propuesto de
gestión estratégica de TI basado en el dominio APO del marco de referencia COBIT 5. En la sección 4, se
muestra la validación del modelo propuesto. Por último, las conclusiones son presentadas en la sección 5.
Revisión de modelos de gobierno y gestión de TI
En [2], se propone un modelo de gestión basado en COBIT 5 y la ISO 27002 orientado a la seguridad de la
información del ERP implementado en la empresa EP PETROECUADOR, en el cual se validó el
involucramiento de la alta gerencia en todas las iniciativas propuestas, para lo cual se tuvo que identificar los
procesos que más aportaban valor a los objetivos de la alta gerencia mediante la cascada de metas. El principal
aporte de esta investigación se ve reflejado en el uso de COBIT 5, no solamente como un marco de referencia
de procesos, sino más bien como un medio para potenciar un proyecto estratégico mediante el gobierno
442
corporativo de TI, basado en el análisis de riesgo, la protección y uso adecuado de uno de los activos más
importantes de una organización “La información”. El modelo propuesto ha considerado los siete
catalizadores: 1 - Política y principios, 2 - procesos, 3 - estructura organizativa, 4 – Servicios e infraestructura,
5 – información, 6 - Cultura, ética y comportamientos, 7 – Gente, habilidades y competencias, los cuales se
especificaron usando la norma inicialmente mencionada.
Por otro lado, en [13], se propone un modelo de gobierno y gestión de TI que alinee el área de TI con la
estrategia del negocio enfocado en la etapa de transformación digital de la industria editorial. La investigación
se basa en el modelo genérico de gobierno y gestión de TI M3GTI, el cual posee tres ejes principales:
Gobierno de TI, que permite alinear desde un vista de TI a las empresas de la industria editorial en su proceso
de transformación digital; Gestión de TI, que permite apoyar a las empresas en su proceso de transformación
digital; y por último, documentación y modelado, que presenta la documentación y modelado los procesos de
forma genérica basándose en el gobierno y gestión de TI. La propuesta se apoya en COBIT 5 como marco de
referencia, y utiliza la técnica de la cascada de metas para obtener los procesos relevantes para el sector. Uno
de los aportes más importantes es la definición de la brecha estratégica de la industria editorial, que permite
definir cuáles deben ser los puntos en que se debe concentrar mayor esfuerzo, y que combinado con la técnica
de la cascada, al final se pudo obtener los procesos de TI filtrados y priorizados, los cuales componen el
modelo propuesto.
Por otra parte, [15] propone un modelo de gobierno de TI para entidades bancarias de Colombia, que satisfaga
las necesidades legales y corporativas de este sector. Para realizar este modelo se tuvo que escoger una base de
referencia así como otros marcos que apoyen a las estrategias de gobierno. Se seleccionó la ISO 38500:2008,
ya que es una norma internacional que brinda un estándar para que la dirección de las organizaciones evalúe,
dirija y controle el uso de las tecnologías de la información. Los marcos de apoyo que complementa el marco
base y apoyan el gobierno de TI son: COBIT 4.1, CMMIDEV, ISO 27001, ISO 27002 e ISO 9001.
Para crear este modelo, primero ser tuvo que identificar los requerimientos de TI claves para el modelo de
gobierno de TI, los cuales se obtuvieron del Sistema de Control Interno para la gestión de tecnología, el cual
está orientado a cubrir los requerimientos de TI y a contribuir al logro de los objetivos institucionales, y que
por cumplir de ley las entidades bancarias deben tener. Después de determinar los requerimientos de TI, el
marco base y los marcos de apoyo, se procedió a definir el modelo, el cual consistió en agrupar los 19
requerimientos de TI identificados en los 6 principios de la Norma ISO 38500:2008. Posterior a esto, se
determinó cuales actividades de los marcos de apoyo ayudarían a cumplir con los objetivos de los 6 principios
de ISO 38500:2008 y finalmente se determinó una serie de indicadores de gestión que permitan evaluar el
cumplimiento de las metas propuestas.
443
Adicionalmente, este trabajo propone un método de autoevaluación del nivel de madurez del gobierno de TI
también basado en la ISO 385000:2008. Asimismo, añade a su propuesta una guía de implementación, la cual
se desarrolla de la siguiente manera: fase 1 – Obtener el compromiso de la alta dirección, fase 2 – Determinar
el estado actual, fase 3 – Establecer el estado futuro deseado, fase 4 – Identificar las brechas, fase 5 – Definir el
plan de implementación, fase 6 – Desarrollar el plan de implementación, y por último, la fase 7 – Monitorear y
controlar el desempeño de la implementación.
En un cuarto artículo, [1] se presenta un modelo para el gobierno de las TI para universidades como parte del
marco de referencia GTI4U, el cual que se basa y respeta por completo el modelo de gobierno de la ISO
38500, pero agrega un conjunto de herramientas que facilitan su implementación en entornos universitarios. El
modelo GTI4U está compuesto por los siguientes tres niveles.
El primer nivel incluye todos los elementos de la norma ISO 38500: 1 - modelo de gobierno TI, compuesto por
tres actividades: Evaluar, Dirigir y Monitorizar, 2 - principios, que expresan cuales son los comportamientos
que deben adoptarse a la hora de la toma de decisiones y son: Responsabilidad, estrategia, adquisición,
desempeño, cumplimiento y componente humano, y 3 - buenas prácticas y diccionario de términos. El segundo
está compuesto por un modelo de madurez (MM) para cada principio, que se utilizará para establecer en qué
nivel de madurez de gobierno de las TI se encuentra cada universidad. La escala de calificación posee seis
valores: 0 – Inexistente, 1 – Inicial, 2- Repetible, 3 – Definido, 4- Medible y 5 – Optimizado. Y el tercero está
compuesto por un conjunto de indicadores que van servir para medir hasta qué punto se satisfacen los criterios
presentados en la norma. Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será
evaluado a partir de un conjunto de indicadores agrupados en tres tipos diferentes: Las cuestiones de madurez
(CM), que son preguntas diseñadas con el objetivo de situar automáticamente a la organización en el nivel que
le corresponde dentro del Modelo de Madurez de Gobierno TI de cada principio, los indicadores de evidencia
de gobierno (IEG), que son buenas prácticas que deben estar presentes en la organización para mejorar su
madurez de gobierno de las TI, y por último, los indicadores cuantitativos de gobierno (ICG), que son
evidencias de cuál es el estado de madurez de algunos aspectos tecnológicos de la organización.
Finalmente, en [12] se presenta un Modelo Unificado e Integrado de Procesos para la Gobernanza y la Gestión
de TI que reúna las mejores prácticas de la industria, de tal manera que las organizaciones no tengan que
estudiar los diversos estándares existentes, sino que exista un modelo único que puedan tomar como base para
la personalización de su esquema de gobierno y gestión de TI, de acuerdo a las características propias de la
organización. Para el desarrollo del modelo, se revisaron los siguientes marcos de referencia: ISO 38500, el
modelo Calder Moir, COBIT 5, PMBOK, ISO 20000, ITIL, CMMI y el modelo APQC. A partir de los marcos
de trabajo o modelos de buenas prácticas mencionados, se definió un modelo unificado e Integrado de procesos
para la gobernanza y gestión de TI que recoge los procesos clave, de extremo a extremo en el ciclo de vida de
la información, siguiendo la siguiente metodología: Primero, se evaluaron las coincidencias y diferencias de
444
todos los procesos sugeridos para obtener la relación de procesos más completa. Segundo, se seleccionaron los
procesos más relevantes. Tercero, se agruparon los procesos en tres niveles: Estratégico, operativo y de
soporte. Y por último, se realizó la descripción de los procesos definidos en el mapa de procesos.
El modelo propuesto en el nivel estratégico, el cual engloba los procesos estratégicos clave para el
establecimiento y desarrollo de la estrategia para el buen gobierno de TI, posee tres áreas: 1 - Evaluación,
Dirección y Monitorización de TI, 2 - Planificación y Organización, y 3 - Gestión de la Demanda. En el nivel
operativo, en el cual se encuentran aquellos procesos ligados directamente con la realización del producto o
prestación del servicio, propone cuatro áreas: 4 - Gestión de Programas y Proyectos, 5 - Gestión de
Aplicaciones, 6 - Gestión de Servicios, y 7 - Gestión de Operación. Y en el nivel de soporte y monitorización,
en el cual se encuentran aquellos procesos horizontales que ayudan y se interrelacionan fuertemente con los
procesos de los grupos anteriores, se dividen en dos áreas: 8 - Procesos de soporte y 9 - Procesos de
Monitorización.
El modelo propuesto permite el alineamiento entre TI y el negocio, así como, una mayor interrelación entre los
procesos de manera que TI se integra en la organización y deja de operar como una entidad aislada. Sin
embargo, el modelo propuesto no detalla los procesos, es decir no indica sus entradas, salidas, y flujo de
actividades, lo cual sería una muy buena base para las empresas y facilitaría bastante la implantación del
modelo.
Aplicación del modelo de gestión estratégica de TI
La presente sección muestra trabajo realizado en la implementación del modelo del proceso Gestionar el marco
de gestión de TI propuesto por el marco de referencia COBIT 5. Para realizar esta implementación, se ha
seguido la metodología de implementación propuesta por ISACA en la guía COBIT 5: Implementation. Esta se
consta de siete fases: ¿Cuáles son los motivos? ¿Dónde estamos ahora? ¿Dónde queremos ir? ¿Qué es preciso
hacer? ¿Cómo conseguiremos llegar? ¿Hemos conseguido llegar? y ¿Cómo mantenemos vivo el impulso?
En la primera fase, es fundamental establecer en la organización la necesidad del cambio a nivel directivo, pues
sin un patrocinio ejecutivo es menos probable el éxito del proyecto. Con este fin, se identificaron los puntos
débiles y eventos desencadenantes del cambio, los cuales sirvieron como motivadores del cambio que fueron
comunicados a la dirección para crear conciencia y fortalecer su apoyo, y son mostrados en la tabla 1.
Asimismo, es importante también considerar las necesidades de las partes interesadas. Por eso, se identificaron
445
los intereses y expectativas de las mismas, así como, las responsabilidades y el nivel de apoyo relacionado al
proyecto.
Motivadores del cambio
Duplicación de tareas o responsabilidades
Desconocimiento de las políticas
Gestión del conocimiento ineficiente
Gestión de los documentos ineficiente
Tabla 1. Motivadores del cambio identificados
En la segunda fase, era necesario en primera instancia identificar cómo TI agrega valor a la empresa, es decir,
determinar la manera en que los objetivos de TI ayudan alcanzar los objetivos de la organización. Para esto, se
tuvo que realizar la cascada de metas, la cual muestra la trazabilidad entre los objetivos de negocio, los
objetivos de TI y los de procesos. Gracias a este mapeo, se pudo identificar los procesos clave mostrados la
tabla 2, los cuales se sometieron a una evaluación de procesos para determinar su capacidad.
Procesos Número de metas de TI
relacionados
APO01 Gestionar el Marco de Gestión de
TI
3
APO02 Gestionar la Estrategia 3
APO03 Gestionar la Arquitectura
Empresarial
3
APO04 Gestionar la Innovación 2
APO05 Gestionar Portafolio 1
APO07 Gestionar los Recursos Humanos 3
446
APO08 Gestionar las Relaciones 3
APO09 Gestionar los Acuerdos de Servicio 1
APO10 Gestionar los Proveedores 1
APO11 Gestionar la Calidad 2
APO12 Gestionar el Riesgo 2
APO13 Gestionar la Seguridad 2
Tabla 2. Procesos alineados a los objetivos de TI
Para la evaluación de los procesos, se utilizó el modelo de evaluación de procesos propuesto por ISACA
COBIT Process Model Assessment (PAM), ya que al estar basado en la ISO/IEC 15504 permite realizar una
evaluación confiable, coherente y repetible. Este modelo propone seis niveles de capacidad: 0-incompleto, 1-
ejecutado, 2-gestionado, 3-establecido, 4-predecible y 5-optimizado. Cada nivel se evalúa independientemente
y tiene una escala de cuatro calificaciones: N-no alcanzado, P-parcialmente alcanzado, L-ampliamente
alcanzado y F-completamente alcanzado. Para determinar la calificación, es necesario evaluar los atributos de
capacidad asociados a cada nivel mediante el uso de fuentes de evidencias ya sean de realización del proceso
(relacionada con el objetivo del proceso definido en el modelo de referencia de procesos) o de la capacidad del
proceso (relacionada con las practicas base propuestas en el modelo de evaluación).
En este punto, se decidió realizar una evaluación del nivel de capacidad uno a los procesos seleccionados
anteriormente. Por lo tanto, era necesario evaluar el atributo de capacidad asociado a este nivel: Desempeño
del proceso. La evaluación se basó en el cumplimiento del propósito del proceso, las prácticas base y los
productos de trabajo generados por el proceso. Después de realizar la evaluación, los resultados fueron los
mostrados en la tabla 3.
447
Procesos Calificación
APO01 Gestionar el Marco de Gestión de
TI
P
APO02 Gestionar la Estrategia P
APO03 Gestionar la Arquitectura
Empresarial
N
APO04 Gestionar la Innovación N
APO05 Gestionar Portafolio P
APO07 Gestionar los Recursos Humanos P
APO08 Gestionar las Relaciones P
APO09 Gestionar los Acuerdos de Servicio L
APO10 Gestionar los Proveedores P
APO11 Gestionar la Calidad P
APO12 Gestionar el Riesgo P
APO13 Gestionar la Seguridad P
Tabla 3. Resultado de evaluación de capacidad de nivel 1
Tal como se puede observar, la mayoría de los procesos obtuvieron una calificación P-parcialmente alcanzado
o inferior a excepción de uno. Por lo que, su nivel de capacidad sería 0-Incompleto, ya que para decir que un
proceso tiene un nivel de capacidad determinado, en este caso de nivel uno, debe obtener al menos una
calificación L-ampliamente alcanzado en la evaluación.
En la tercera fase, se determinó junto a la gerencia el nivel de capacidad deseado para los procesos evaluados,
el cual fue el nivel 1-ejecutado. Una que se tuvo definido el nivel de capacidad actual y el deseado, se realizó
un análisis de brechas con el fin de identificar las posibles mejoras que ayudasen a lograr alcanzar el nivel de
capacidad objetivo.
448
Las posibles mejoras se basaban en la adopción de algunas prácticas base que no se realizaban en la
organización, lo que involucraba el diseño o rediseño de los procesos, creación de roles, políticas y plantillas
de productos de trabajo.
En la fase cuatro, se realizó una evaluación para priorizar y seleccionar las mejoras propuestas. Dicha
evaluación se basó en la dificultad de la implementación (el tiempo estimado, la capacidad de conocimiento
necesaria) y los beneficios post-implementación.
En este caso, se escogieron las mejoras relacionadas al proceso Gestionar el marco de gestión de TI, pues las
prácticas base asociadas a este proceso no involucraban gran conocimiento técnico ni tampoco un periodo de
implementación largo y al ser un proceso que alimentaba a otros, su mejora iba a repercutir no solo en el
mismo sino también en otros procesos que utilizaban los productos de trabajo que este generase. Además,
muchos de los puntos débiles identificados al inicio de la implementación eran resueltos mediante la mejora de
dicho proceso.
En la fase cinco, se realizó la implementación del proceso, es decir, se realizaron las actividades necesarias
para establecer las prácticas claves del proceso en la empresa, así como, la ejecución de un plan del cambio
para mitigar posibles escenarios desfavorables a la implementación. En la siguiente tabla, se muestran las
prácticas claves del proceso.
449
Prácticas claves a implementar
Definir la estructura organizativa
Establecer roles y responsabilidades
Mantener los elementos catalizadores del sistema de gestión
Comunicar los objetivos y la dirección de gestión
Gestionar la mejora continua de los procesos
Mantener el cumplimiento con las políticas y procedimientos
Tabla 4. Prácticas clave a implementar
La implementación de estas prácticas involucró la creación de nuevos roles y responsabilidades propias del
proceso, las cuales se formalizaron mediante la actualización de los documentos MOF y ROF de la empresa.
Además, para minimizar la resistencia al cambio por parte del personal, se definieron plantillas de los
productos de trabajo generados por el proceso, ya que estas reducen los errores y el esfuerzo en la elaboración
de los productos de trabajo.
En la fase seis, se tuvo que supervisar el desempeño del proceso implementado mediante el uso de indicadores.
Para lo cual, se definió un objetivo para cada métrica, así como, las medidas iníciales para las mismas y cada
cierto periodo de tiempo, se recopiló la nueva información de las métricas para compararlas con los objetivos
definidos en un inicio. De esta manera, se pudo identificar algunas variaciones y tomar acciones correctivas en
el caso que los resultados no eran los esperados. Para realizar un control de las métricas de manera cómoda, se
crearon cuadros de control que mostraban el estado de los siguientes indicadores de la tabla 5.
Indicadores
Porcentaje de políticas documentadas y actualizadas
Porcentaje del personal que comprenden las políticas
Porcentaje de procesos documentados y actualizados
450
Número de incidentes por incumplimiento de políticas
Frecuencia de revisión y actualización de las políticas
Porcentaje de partes interesadas que comprenden las políticas
Frecuencia de evaluaciones de mejora continua
Tabla 5. Indicadores del proceso Gestionar el marco de gestión de TI
Validación
En la última fase, se revisó la efectividad de la implementación mediante una segunda evaluación de la
capacidad de nivel uno para el proceso implementado, cuyo resultado se muestra en la tabla 6.
Evaluación de capacidad de nivel 1
del proceso Gestionar el marco de gestión de TI
Cumplimiento del objetivos 100%
Ejecución de prácticas base 81.83%
Uso de productos de trabajo 78.57%
Resultado de evaluación 86.80% = F-completamente alcanzado
Tabla 6. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de TI
Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de P-parcialmente
alcanzado a F-completamente alcanzado. Por lo que, se puede decir que la implementación del proceso fue
satisfactoria.
Conclusiones
451
COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de trabajo, estándares o
normas internacionales más usadas en la actualidad. Por lo que, la implementación de futuros proyectos
basadas en estas serán totalmente compatibles con el proceso implementado.
Al realizar la segunda evaluación de capacidad del proceso Gestionar el marco de gestión de TI, se obtuvo una
calificación F-Completamente alcanzado, con lo que dicho proceso logra tener un nivel 1 de capacidad. Por lo
tanto, se puede decir que la implementación fue exitosa.
El apoyo y concientización de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para
el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de manera rápida porque
se tenía mapeado a todos los responsables y partes interesadas.
452
Referencias
[1] A. Fernández, Modelo de Gobierno de las TI para Universidades (GTI4U),
http://www.gti4u.es/pdf/capitulo10-gobierno-de-las-ti-para-universidades-gti4u.pdf, Mayo 2014.
A. Mera, Diseño del modelo de gestión de seguridad de la información del sistema ERP de EP Petroecuador de
acuerdo a norma ISO/IEC 27002 y COBIT 5, http://repositorio.espe.edu.ec/handle/21000/8073, Mayo 2014.
A. Rubio, Modelo de Procesos de Gobernanza y Gestión de TI –MPI-GTI, Universidad Politécnica de Madrid,
2012.
I.L. Muñoz, G. Ulloa, Gobierno de TI Estado del arte,
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf, Mayo 2014.
Information Systems Audit And Control Association (ISACA), COBIT5 Un Marco de Negocio para el
Gobierno y la Gestión de las TI dela Empresa, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, Process Enablers. Rolling Meadows:
ISACA, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, COBIT 5 for Information Security.
Rolling Meadows: ISACA, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, Implementation. Rolling Meadows:
ISACA, 2012.
Information Systems Audit and Control Association (ISACA), Process Assessment Model (PAM): Using
COBIT 5, 2012.
Information Technology Infrastructure Library (ITIL), Página web oficial de ITIL que contiene información
acerca del marco de trabajo, Mayo 2014
International Organization for Standardization (ISO), Página web oficial de la ISO que contiene información
acerca de los estándares internacionales, Mayo 2014
J. Carrillo, A.P. Rubio, Modelo de Procesos Integrado de Gobernanza y Gestión de TI, Revista Aemes, vol. 9,
No 1, 29-45.
J. Saavedra, A. Torres, Modelo de Gobierno de TI como apoyo al proceso de transformación digital en
empresas de la industria editorial, http://hdl.handle.net/10906/70808, Mayo 2014.
L.Y. Chavarro, N. Hoyos, Y. Muriel, Gobierno de ti en Pymes: caso empresas privadas de seguridad en
Bogotá, http://repository.ucatolica.edu.co:8080/jspui/handle/10983/1323, Mayo 2014.
453
M.H. Correa, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de Colombia,
http://bibliotecadigital.icesi.edu.co/biblioteca_digital/handle/10906/70666, Mayo 2014.
M.E. Correa, B.A. Parra, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de
Colombia, http://hdl.handle.net/10906/70666, Mayo 2014.
454
ANEXO 13: Poster y Brief
455
La gestión de la información es muy importante en la actualidad, en un ambiente de
competitividad empresarial es vital para realizar una correcta toma de decisiones mediante el
uso adecuado de la tecnología de información. El modelo a implementar proporciona un
marco integral que ayuda a IT-Expert a lograr sus objetivos y entregar valor mediante un
gobierno efectivo de TI. Asimismo, se logra una apropiada arquitectura que permite que la
tecnología de información se relacione con el gobierno empresarial y que se administre
alineando los objetivos de TI a los objetivos del negocio.
Para esto, el modelo a implementar estará basado en los principios de COBIT 5, el marco de
referencia integrado que está alineado con los últimos marcos y normas más relevantes y
usadas por las organizaciones actualmente.