Proyecto+profesional+Juro+-+Velásquez-CASO DE EXITO COBIT5

March 10, 2018 | Author: Carmen Ysabel Leon Ramirez | Category: Planning, Cobit, Engineering, Leadership, Leadership & Mentoring
Share Embed Donate


Short Description

Descripción: PETI...

Description

Implementación de un modelo de gestión estratégico de TI para la empresa IT-Expert

Item type

info:eu-repo/semantics/bachelorThesis

Authors

Juro Pereira, Peter; Velásquez Vara, Carlos Andrés

Publisher

Universidad Peruana de Ciencias Aplicadas (UPC)

Rights

info:eu-repo/semantics/openAccess

Downloaded

8-mar-2018 01:31:36

Link to item

http://hdl.handle.net/10757/582052

Facultad de Ingeniería Escuela de Ingeniería de Sistemas y Computación Carrera de Ingeniería de Sistemas de Información

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATÉGICO DE TI PARA LA EMPRESA ITEXPERT Memoria del Proyecto Profesional para la obtención del Título Profesional de Ingeniero de Sistemas de Información

Autores U201011057, Peter Juro Pereira U201011417, Carlos Andrés Velásquez Vara

Asesor Escobar Urueña, Marcela

Lima, Octubre 2015

RESUMEN EJECUTIVO

Actualmente el manejo adecuado de la información en las empresas es fundamental para realizar de manera correcta la toma de decisiones y sobresalir en un ambiente empresarial cada vez más competitivo. En este sentido, la gestión de TI desde un nivel estratégico es vital en toda organización. Sin embargo, no todas las organizaciones realizan una eficiente gestión de TI, sobre todo aquellas que no están consolidadas: Las pymes, estas presentan ciertos problemas vinculados a la gestión de TI como: Falta de alineamiento entre los objetivos de TI y los estratégicos, una pobre gestión de proyectos, inversiones que no generan beneficio alguno, falta de control y seguimiento, y gestión de servicios inadecuada.

El presente documento muestra el trabajo realizado en el proyecto “Implementación de un modelo de gestión estratégica de TI para la empresa IT-Expert”, cuyo resultado permitirá a la empresa IT-Expert utilizar la información y la tecnología de la manera más eficiente y así ayudar a alcanzar los objetivos estratégicos, mediante la implementación de un modelo de gestión de TI basado en COBIT 5. La metodología de implementación se encuentra en la guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue obtenido del primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo de evaluación de procesos utilizado es PAM (Process Assessment Model) propuesto por el mismo marco de referencia.

Para este proyecto, se realizó en primera instancia una evaluación de la capacidad actual de los procesos y se definió también el nivel de capacidad objetivo de los mismos. Después de un análisis de brechas, se propusieron las mejoras necesarias para alcanzar el nivel de capacidad objetivo. Estas se priorizaron mediante una evaluación basada en la dificultad de implementación (tiempo, conocimiento necesario) y los beneficios que producirían. Se implementaron las mejoras relacionadas al proceso "Gestionar el marco de gestión de TI". Finalmente, se realizó una segunda evaluación para validar si efectivamente se había II

alcanzado el nivel de capacidad objetivo. De esta manera, se logró que IT-Expert tuviera mecanismos y autoridades para la gestión de la información y el uso de TI que pudieran apoyar a los objetivos de gobierno.

III

ABSTRACT

Nowadays the proper managing of information inside companies is crucial for properly perform decision-making and take advantage on business in an increasingly competitive environment. In that sense, from the view of strategic level, IT management is vital in any organization or company. However, not all organizations perform efficient IT management, especially those that are not consolidated: SMEs or small companies; these small companies suffer certain problems related to IT management such as the following: Lack of alignment between IT and strategic objectives; Poor project management: investments that do not generate a substantial profit; Lack of control and monitoring, and inadequate services management.

This document shows the job done in the project named as "Implementation of a strategic management model for enterprise IT IT-Expert”, and the corresponding results will allow the IT-Expert company expertise the use of information technologies more efficiently and it will achieve the strategic objectives through the implementation of a management model based IT COBIT 5. The implementation methodology is in the ISACA guide "COBIT 5 Implementation". The process model used as reference was obtained from the first domain IT management COBIT 5 framework and the process assessment model considered for this project is PAM (Process Assessment Model) proposed by the same framework document.

For this project, firstly, it was done an evaluation of the current scope of the processes and also the level of objective capacity was defined. After a gap analysis, it was proposed necessary improvements to achieve the level of objective capacity. These were prioritized through an evaluation based on the implementation difficulty (time, required knowledge) and the benefits that would result of it. It was made process improvements related to "Manage the IT management framework ". Finally, a second evaluation was performed to validate if they had actually reached the target level of capacity. By all the above, it was possible that IT-Expert Company have mechanisms and authorities for information management and that they could make use of IT to support government objectives. IV

TABLA DE CONTENIDOS

RESUMEN EJECUTIVO .................................................................................................................................... II ABSTRACT..................................................................................................................................................... IV TABLA DE CONTENIDOS ................................................................................................................................. V LISTA DE ILUSTRACIONES.............................................................................................................................. IX INTRODUCCIÓN ............................................................................................................................................. 1 DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3 OBJETO DE ESTUDIO ........................................................................................................................................ 4 DOMINIO DEL PROBLEMA .......................................................................................................................... 4 PLANTEAMIENTO DEL PROBLEMA .............................................................................................................. 4 OBJETIVO DEL PROYECTO ................................................................................................................................ 5 INDICADORES DE ÉXITO .............................................................................................................................. 5 PLANIFICACION DEL PROYECTO .................................................................................................................. 6 MARCO TEORICO ......................................................................................................................................... 18 CONCEPTO ..................................................................................................................................................... 19 ENFOQUES DE TRABAJO ................................................................................................................................ 20 Primera fase .............................................................................................................................................. 20 Segunda fase............................................................................................................................................. 20 ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES ................................................... 20 COBIT 5 ..................................................................................................................................................... 20 Primer dominio de gestión de Cobit 5 ....................................................................................................... 22 Modelo de evaluación de procesos PAMP ................................................................................................ 25 ESTADO DEL ARTE........................................................................................................................................ 28 ESTADO DEL ARTE .......................................................................................................................................... 29 Revisión de la literatura ............................................................................................................................ 29 Modelos de gestión y gobierno de TI ........................................................................................................ 35 IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45 FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN ........................ 46 PUNTOS DÉBILES ....................................................................................................................................... 46 EVENTOS DESENCADENANTES .................................................................................................................. 47 IDENTIFICACIÓN DE PARTES INTERESADAS .............................................................................................. 47 FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL....................................................... 50

V

CASCADA DE METAS ................................................................................................................................. 50 Mapeo Entre necesidades de las partes interesadas y las metas de la empresa .................................................. 50 Mapeo entre las necesidades de la empresa y las metas relacionadas con TI ...................................................... 58 Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 ............................................. 69

EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE REVISIÓN).................................................................................................................................................. 77 Evaluaciones del dominio de gestión .................................................................................................................... 77 Criterios de evaluación .......................................................................................................................................... 78 Calificación de la capacidad actual de los procesos seleccionados ....................................................................... 81 Resumen de calificación de la capacidad actual de los procesos seleccionados ................................................. 110

FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO ........................................... 113 NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS ............................................................................. 113 LISTA DE OPORTUNIDADES DE MEJORA ................................................................................................. 114 CUADRO INTEGRADO DE MEJORA .......................................................................................................... 118 PLAN DE MEJORAMIENTO DE ALTO NIVEL ............................................................................................. 121 FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS ................................................................... 123 Priorizar las iniciativas potenciales ......................................................................................................... 123 DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI .......................................................... 132 Roles .................................................................................................................................................................... 133 Stakeholders ........................................................................................................................................................ 134 Entradas del proceso ........................................................................................................................................... 135 Salidas de proceso ............................................................................................................................................... 136 Caracterización .................................................................................................................................................... 137 Diagrama de proceso........................................................................................................................................... 143

DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL ............................................. 144 Descripción del proceso ...................................................................................................................................... 144 Roles .................................................................................................................................................................... 144 STAKEHOLDERS ................................................................................................................................................... 145 Entradas del proceso ........................................................................................................................................... 145 Salidas del proceso .............................................................................................................................................. 145 Caracterización .................................................................................................................................................... 146 Diagrama del proceso .......................................................................................................................................... 147

DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO .............................................................................. 148 Descripción del proceso ...................................................................................................................................... 149 Roles .................................................................................................................................................................... 149 STAKEHOLDERS ................................................................................................................................................... 150 Entradas del proceso ........................................................................................................................................... 151 Salidas del proceso .............................................................................................................................................. 153 Caracterización .................................................................................................................................................... 154 Diagrama del proceso .......................................................................................................................................... 158

DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS HUMANOS......................................................... 158 Descripción del proceso ...................................................................................................................................... 159

VI

Roles .................................................................................................................................................................... 159 STAKEHOLDERS ................................................................................................................................................... 159 Entradas del proceso ........................................................................................................................................... 160 Salidas del proceso .............................................................................................................................................. 160 Caracterización .................................................................................................................................................... 160 Diagrama del proceso .......................................................................................................................................... 161

FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN ............................... 163 Productos de Trabajo de la Implementación .......................................................................................... 163 MODELO DE PROCESOS .......................................................................................................................... 165 DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................... 166 DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI .......................................................... 168 DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA ORGANIZATIVA ....................................................... 179 DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS CATALIZADORES ............................................... 189 DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI ............... 201 DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ............................ 207 DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS .................................. 213 DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..... 220

POLÍTICAS ................................................................................................................................................ 225 ESTRUCTURA ORGANIZATIVA ................................................................................................................. 227 ARQUITECTO DE TI .............................................................................................................................................. 227 GESTOR DE RIESGOS ............................................................................................................................................ 228 GESTOR DE LA SEGURIDAD.................................................................................................................................. 228

ROLES ...................................................................................................................................................... 229 ARQUITECTO DE TI .............................................................................................................................................. 229 GESTOR DE RIESGOS ............................................................................................................................................ 229 GESTOR DE LA SEGURIDAD.................................................................................................................................. 229

MÉTRICAS ............................................................................................................................................... 230 INDICADORES ...................................................................................................................................................... 230 NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES ............................................................................. 230 NIVEL DE AVANCE REAL DEL PROYECTO ............................................................................................................. 231 NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO ....................................................................................... 231

FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR? DESARROLLAR EL PLAN DE IMPLEMENTACIÓN .......................... 233 Tablero De Indicadores ........................................................................................................................... 233 Formulario Reuniones Del Proyecto ........................................................................................................ 234 Formulario Avance Del Proyecto ............................................................................................................. 235 Reporte De Informe De Avance Y Reuniones De It-Expert ...................................................................... 236 Avance del proyecto................................................................................................................................ 236 Reuniones por proyecto .......................................................................................................................... 237 Informe de EDT ....................................................................................................................................... 237 Informe de reuniones .............................................................................................................................. 238 Resumen de avances comparativo ......................................................................................................... 239

VII

Resumen de reuniones comparativo ....................................................................................................... 240 FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO? MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA IMPLEMENTACIÓN ...................................................................................................................................... 242 Evaluación ............................................................................................................................................... 242 Lecciones Aprendidas .............................................................................................................................. 245 Mejoras Futuras ...................................................................................................................................... 246 GESTIÓN DEL PROYECTO ........................................................................................................................... 248 PRODUCTO FINAL ........................................................................................................................................ 249 GESTIÓN DEL TIEMPO .................................................................................................................................. 250 GESTIÓN DE LOS RECURSOS HUMANOS ...................................................................................................... 256 GESTIÓN DE LAS COMUNICACIONES ........................................................................................................... 258 GESTIÓN DE LOS RIESGOS ............................................................................................................................ 259 LECCIONES APRENDIDAS ............................................................................................................................. 262 CONCLUSIONES ......................................................................................................................................... 263 RECOMENDACIONES ................................................................................................................................. 265 GLOSARIO .................................................................................................................................................. 266 SIGLARIO ................................................................................................................................................... 268 BIBLIOGRAFÍA ............................................................................................................................................ 269 ANEXOS ..................................................................................................................................................... 270 ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270 ANEXO 2: EDT DEL PROYECTO 1ERA ETAPA......................................................................................................... 300 ANEXO 4: LISTA DE REVISIONES ......................................................................................................................... 328 ANEXO 5: MAPA DE PROCESOS ......................................................................................................................... 392 ANEXO 6: ACTAS DE REUNIÓN 2DA ETAPA .......................................................................................................... 395 ANEXO 7: EDT DEL PROYECTO 2DA ETAPA .......................................................................................................... 418 ANEXO 8: ACTAS DE ACEPTACIÓN DE LOS ENTREGABLES DE LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN ESTRATÉGICA . 432 ANEXO 9: ACTA DE ACEPTACIÓN DE LA GESTIÓN DEL PROYECTO .............................................................................. 433 ANEXO 10: CONSTANCIA DE SERVICIO DE VALIDACIÓN Y VERIFICACIÓN QS................................................................ 434 ANEXO 11: CERTIFICADO DE APROBACIÓN .......................................................................................................... 438 ANEXO 12: PAPER CIENTÍFICO .......................................................................................................................... 439 ANEXO 13: POSTER Y BRIEF .............................................................................................................................. 454

VIII

LISTA DE ILUSTRACIONES

ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9 ILUSTRACION 2: PRINCIPIOS DE COBIT 5 ...................................................................................................................... 20 ILUSTRACIÓN 3: CASCADA DE METAS ........................................................................................................................... 21 ILUSTRACIÓN 4: PROCESOS DEL PRIMER DOMINIO ESTRATÉGICO DE COBIT 5 (APO) ............................................................. 22 ILUSTRACIÓN 5: NIVEL DE CAPACIDAD ......................................................................................................................... 25 ILUSTRACIÓN 6: ESCALA DE CALIFICACIÓN .................................................................................................................... 27 ILUSTRACIÓN 7: SEGMENTOS DEL MARCO DE CALDER-MOIR ............................................................................................ 30 ILUSTRACIÓN 8: MODELO DE GOBIERNO DE LAS TI DE LA NORMA ISO 38500 .................................................................... 31 ILUSTRACIÓN 9: MODELO DE LEAVITT ......................................................................................................................... 32 ILUSTRACIÓN 10: ESTRUCTURA CMMI ....................................................................................................................... 33 ILUSTRACIÓN 11: MODELO DE GOBIERNO DE TI PARA LA INDUSTRIA EDITORIAL .................................................................. 35 ILUSTRACIÓN 12: MAGERIT Y EL MARCO DE GESTIÓN DE RIESGOS ISO 31000 (DIRECCIÓN GENERAL DE MODERNIZACIÓN ADMINISTRATIVA, PROCEDIMIENTOS E IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA, 2012) ................................... 38 ILUSTRACIÓN 13: MOTIVOS POR LOS QUE SE DECIDE IMPLANTAR UN SISTEMA DEL GOBIERNO DE LAS TI EN UNA UNIVERSIDAD ...... 39 ILUSTRACIÓN 14: GUÍA DE BUEN GOBIERNO DE LAS TI PARA EL PRINCIPIO DE RESPONSABILIDAD ............................................. 40 ILUSTRACIÓN 15: TIPOS DE INDICADORES INCLUIDOS EN EL GTI4U ................................................................................... 41 ILUSTRACIÓN 16: MODELO INTEGRADO DE PROCESOS DE GOBERNANZA Y GESTIÓN DE TI ..................................................... 42 ILUSTRACIÓN 17: NIVEL DE CAPACIDAD DE LOS PROCESOS DE LA EMPRESA IT-EXPERT ......................................................... 113 ILUSTRACIÓN 18: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI – (PROPUESTA) ........................................................... 143 ILUSTRACIÓN 19: PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL – (PROPUESTA) .................................................. 147 ILUSTRACIÓN 20: PROCESO GESTIONAR PORTAFOLIO – (PROPUESTA) ............................................................................. 158 ILUSTRACIÓN 21: PROCESO GESTIONAR LOS RECURSOS HUMANOS – (PROPUESTA) ........................................................... 161 ILUSTRACIÓN 22: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI ................................................................................. 178 ILUSTRACIÓN 23: PROCESO DEFINIR LA ESTRUCTURA ORGANIZATIVA .............................................................................. 188 ILUSTRACIÓN 24: PROCESO MANTENER LOS ELEMENTOS CATALIZADORES........................................................................ 200 ILUSTRACIÓN 25: PROCESO DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI............................................. 206 ILUSTRACIÓN 26: PROCESO COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ....................................................... 212 ILUSTRACIÓN 27: PROCESO GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS ............................................................ 219 ILUSTRACIÓN 28: PROCESO MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..................................... 224 ILUSTRACIÓN 29: ORGANIGRAMA DE IT-EXPERT 2014 IMPLEMENTADO.......................................................................... 227 ILUSTRACIÓN 30: FORMULARIO DE REUNIONES DEL PROYECTO ....................................................................................... 234 ILUSTRACIÓN 31: FORMULARIO DE AVANCE DEL PROYECTO ........................................................................................... 236 ILUSTRACIÓN 32: AVANCE POR PROYECTO ................................................................................................................. 236 ILUSTRACIÓN 33: REUNIONES POR PROYECTO ............................................................................................................. 237

IX

ILUSTRACIÓN 34: INFORME EDT .............................................................................................................................. 237 ILUSTRACIÓN 35: INFORME DE REUNIONES................................................................................................................. 238 ILUSTRACIÓN 36: RESUMEN DE AVANCES SEMÁFOROS.................................................................................................. 239 ILUSTRACIÓN 37: RESUMEN DE AVANCES GRÁFICOS ..................................................................................................... 240 ILUSTRACIÓN 38: RESUMEN DE REUNIONES ................................................................................................................ 240

X

LISTA DE TABLAS

TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4 TABLA 2: PLAN DE GESTIÓN DE TIEMPO (FASES E HITOS DEL PROYECTO) ............................................................................... 6 TABLA 3: ACTIVIDADES SEMANAL / ENTREGABLES............................................................................................................ 7 TABLA 4: ROLES ...................................................................................................................................................... 10 TABLA 5: PLAN DE COMUNICACIONES ......................................................................................................................... 12 TABLA 6: TABLA DE RIESGOS ..................................................................................................................................... 16 TABLA 7: RESPONSABILIDADES E INTERESES DE LAS PARTES INTERESADAS ........................................................................... 47 TABLA 8: MAPEO ENTRE NECESIDADES DE LAS PARTES INTERESADAS Y LAS METAS DE LA EMPRESA .......................................... 52 TABLA 9: MAPEO ENTRE LAS METAS DE LA EMPRESA Y LAS METAS RELACIONADAS CON TI ...................................................... 59 TABLA 10: MAPEO ENTRE LAS METAS RELACIONADAS CON TI Y LOS PROCESOS DEL MODELO DE COBIT 5 ................................ 70 TABLA 11: CALIFICACIÓN DE LA CAPACIDAD ACTUAL DE LOS PROCESOS SELECCIONADOS ...................................................... 111 TABLA 12: LISTA DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .............................................................. 115 TABLA 13: MAPEO PROCESOS APO - OPORTUNIDADES DE MEJORA DE LA EMPRESA IT-EXPERT........................................... 116 TABLA 14: PRIORIZACIÓN DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .................................................... 118 TABLA 15: CUADRO INTEGRADO DE MEJORA PARA LA EMPRESA IT-EXPERT ....................................................................... 120 TABLA 16: HOJA DE RUTA DEL PROYECTO IMGETI ...................................................................................................... 121 TABLA 17: MAPEO DE COBIT5 VS HERRAMIENTAS ..................................................................................................... 124 TABLA 18: PRODUCTOS DE TRABAJO DEL PROYECTO IMGETI ........................................................................................ 163 TABLA 19: HABILITADORES DE COBIT5 .................................................................................................................... 164 TABLA 20: PRODUCTOS DE TRABAJO Y HABILITADORES ................................................................................................. 164 TABLA 21: MODELO COBIT Y PROCESOS IMPLEMENTADOS .......................................................................................... 165 TABLA 22: EVALUACIÓN DE PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................................. 242 TABLA 23: GESTIÓN DE RIESGOS .............................................................................................................................. 259 TABLA 24: CONDICIONES DEFINIDAS PARA ESCALAS DE IMPACTO DE UN RIESGO SOBRE LOS PRINCIPALES OBJETIVOS DEL PROYECTO ................................................................................................................................................................ 260 TABLA 25: MAPEO ENTRE LOS PROCESOS ACTUALES DE IT-EXPERT Y MODELO DE PROCESOS DE COBIT 5 DEL PRIMER DOMINIO DE GESTIÓN .................................................................................................................................................... 393

XI

XII

XIII

INTRODUCCIÓN

El presente documento representa la memoria del proyecto “Implementación de un modelo de gestión estratégico de TI para la empresa IT-Expert”. Este proyecto tiene como fin la propuesta de un modelo de gestión para la empresa virtual IT-Expert basado en el primer dominio de gestión del marco de referencia COBIT 5, así como, su posterior implementación en la empresa.

La estructura del documento está compuesta por cinco capítulos, los cuales serán explicados brevemente a continuación. El primer capítulo abarca la descripción del proyecto; es decir, se plantea el problema y la solución propuesta, se definen los objetivos del proyecto; así como, el alcance e indicadores de éxito del mismo. Asimismo, se presentan todos los entregables relacionados a la planificación del proyecto.

El segundo capítulo presenta el marco teórico necesario para la comprensión del desarrollo del proyecto e interpretación de los resultados del mismo. Se define el enfoque de trabajo a seguir, y se realiza un análisis de los marcos de referencia y/o estándares internacionales referenciados en el proyecto.

El tercer capítulo abarca el Estado del Arte del tema del proyecto, en este se resume la investigación de otros trabajos realizados sobre problemas similares. De los cuales, se extraen aportes que sirven de ayuda para elegir el mejor modelo de gestión basado en marcos de referencia y/o estándares internacionales que más se adapte a la situación de la empresa IT-Expert.

1

El cuarto capítulo se centra en la ejecución del proyecto IMGETI: Implementación de un modelo de gestión estratégica basado en COBIT 5. Para la empresa IT-Expert solo nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El proyecto está dividido en dos partes. La primera parte está conformado por las fases de implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de nivel de capacidad a los procesos, se define el nivel objetivo de los procesos, y se definen las oportunidades de mejora para finalmente priorizarlas en base a sus niveles de dificultad y beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases involucran la creación de un del plan de implementación de las soluciones escogidas en la fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el control de los procesos de la empresa IT-Expert que adjuntarán a un cuadro de control y finalmente se realiza la segunda evaluación de capacidad para validar el éxito alcanzado. Además se menciona las conclusiones y recomendaciones para la mejora continua de la empresa.

Por último, el quinto capítulo muestra como se ha trabajado la gestión del proyecto. Se listan los planes de gestión del tiempo, de los recursos humanos, de las comunicaciones, y de riesgos. Adicionalmente, se mencionan las lecciones aprendidas durante el desarrollo del proyecto.

2

DESCRIPCIÓN DEL PROYECTO

En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de Información para la empresa virtual IT-Expert de la Universidad Peruana de Ciencias Aplicadas, en este caso se basa la justificación del proyecto IMGETI. Se definen los objetivos del proyecto, así como, el alcance e indicadores de éxito del mismo Asimismo, se describe la gestión del proyecto para el logro de los objetivos teniendo en cuenta los indicadores de éxito del proyecto.

3

OBJETO DE ESTUDIO IT-Expert es una empresa virtual que brinda servicios de TI a las empresas virtuales de la Universidad Peruana de Ciencias Aplicadas, esta empresa requiere de una gestión de TI que le permita conseguir sus objetivos estratégicos. El proyecto IMGETI propone un modelo de gestión de TI basándose en un marco de referencia que le permita tener las metas de TI alineadas a los objetivos estratégicos de la empresa.

DOMINIO DEL PROBLEMA Tabla 1: Dominio del problema Problema

Causas

La trazabilidad entre las necesidades No existe un modelo de gobierno y gestión de de la alta dirección con los objetivos TI en IT-Expert que permita alinear los de TI no es apreciable Falta

de

integración

objetivos de TI a los objetivos empresariales entre

los No existe una adecuada administración de la

proyectos desarrollados en IT-Expert

portafolio de proyectos que permita integrar los proyectos existentes para cumplir con los objetivos de la empresa

Fuente: Elaboración propia

PLANTEAMIENTO DEL PROBLEMA Una solución al problema identificado es la implementación de una modelo de gestión estratégica que nos permita alinear tanto los objetivos estratégicos de la empresa con los objetivos de TI. Un modelo que permita cubrir las necesidades de los Stakeholders mediante la tecnología de información. Un modelo que permita tener los procesos con aceptación externa, que sean medibles, auditable, y estén definidos con las mejores prácticas. Además, que permita tomar decisiones acertadas y en el momento oportuno. Gestionar adecuadamente el marco de gestión de TI

4

Una correcta gestión de la arquitectura empresarial que incorpore actividades que relacionen los objetivos de la parte estratégica con los objetivos de TI Un manejo adecuado de los portafolios de proyectos Uso eficiente de los recursos de la empresa para el soporte del portafolio de proyectos

OBJETIVO DEL PROYECTO Objetivo General OG: Implementar un modelo de gestión de TI para la alineación, planificación y organización de los procesos de la empresa IT-Expert bajo el marco de referencia COBIT 5 Objetivos Específicos OE1: Analizar la situación actual en la que se encuentra la empresa IT-Expert con relación al primer dominio de gestión de TI según COBIT 5 OE2: Diseñar una arquitectura de procesos que cumpla con las recomendaciones del primer dominio de la gestión de TI según COBIT 5 OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert

INDICADORES DE ÉXITO IE1 – Acta de aceptación de la evaluación de capacidad de los procesos de IT-Expert aprobado por el cliente IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto aprobado por el gerente de IT-Expert IE4 – Acta de aceptación de la gestión del proyecto aprobada por el gerente de IT-Expert

5

PLANIFICACION DEL PROYECTO Alcance El presente proyecto tendrá como resultado final la implementación de un modelo de gestión de TI para la empresa virtual IT-Expert, para lo cual es necesario, en primer lugar, un análisis de capacidad de la situación actual de la empresa. Posteriormente, se desarrollará una arquitectura de procesos candidata de los procesos relacionados al alineamiento, planificación y organización de TI. Asimismo, se evaluaran los proyectos existentes en la cartera para seleccionar aquellos que ayuden a cumplir los requerimientos de COBIT e integrarlos a la arquitectura de procesos propuesta. Finalmente, se dará paso de la implementación de la arquitectura propuesta. Solo se tomará en cuenta los procesos del primer dominio de Gestión de TI del marco de trabajo COBIT 5.

Plan de Gestión del Tiempo Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto) Fecha

Hito del proyecto

Project

Estimada

Charter

aprobado por el comité

Grupo de entregables aprobados Estado

del

arte

aprobado

aprobado

Prioridad

Project Charter

Alta

EDT

Alta

Cascada de metas

Alta

Modelo de capacidad

Alta

Estado del arte

Alta

Memoria parcial

Alta

Estado del arte final

Alta

Semana 06

Semana 14

Semana 15

Exposición de fin de ciclo

Entregables incluidos

2014-01 Semana 16

6

Fecha

Hito del proyecto

Estimada

Entregables incluidos

Prioridad

Definición de procesos

Alta

Definición de procesos

Alta

Paper científico

Alta

Memoria Final

Alta

Paper Científico final

Alta

Entregables certificados por QA

Semana 7

primer paquete Entregables certificados por QA Semana 14 segundo paquete Paper

científico

aprobado

Semana 15

Exposición de fin de ciclo aprobado

2014-01 Semana 16

Fuente: Elaboración propia

Los entregables son aquellos que están en cursiva

Tabla 3: Actividades semanal / Entregables Semana

Actividades / Entregables Investigar marco de referencia de COBIT 5

Semana 3

Desarrollar Project Charter Desarrollar Cronograma Desarrollar documento Registro de Interesados

Semana 4

Desarrollar documento Gestión de Personal Desarrollar documento Gestión de Riesgo

7

Semana

Actividades / Entregables Desarrollar diccionario EDT Desarrollar documento Plan Gestión de Alcance Desarrollar documento Plan Gestión de Calidad Desarrollar documento Gestión de Comunicaciones

Semana 5 Desarrollar documento Matriz de Comunicaciones Desarrollar Índice de Memoria Desarrollar presentación para el comité Semana 6 Identificar guías de COBIT Realizar presentación ante el comité Semana 7

Investigar Guías de consulta de COBIT Buscar fuentes para el estado del arte Iniciar Fase 1 de implementación

Semana 9 Definir Cascada de metas Semana 10

Presentar informes de fuentes del estado del arte Iniciar Fase 2 de implementación Definir problemas y oportunidades

Semana 11 Desarrollar Checklist Redactar parte inicial del estado del arte Modelo de capacidad Semana 12 Redactar parte intermedia del estado del arte

8

Semana

Actividades / Entregables

Semana 13

Iniciar Fase 3 de implementación Realizar plan de implementación

Semana 14 Redactar parte final del estado del arte Desarrollar presentación final para el comité Semana 15 Presentar estado del arte Semana 16

Realizar presentación final ante el comité Fuente: Elaboración propia

Los horarios de desarrollo del proyecto son los martes y jueves de 4pm a 7pm y en un horario acordado con los jefes de proyectos el desarrollo del proyecto se realizara los lunes, miércoles, viernes y sábados. Los horarios de reuniones con el Cliente profesor serán los miércoles de 5pm a 6pm. Las reuniones con el Gerente profesor se realizaran los martes en el horario de clases del curso de taller de proyecto. Las reuniones tanto con el cliente y el gerente serán los jueves en el horario de clases. Las reuniones con el alumno de apoyo se realizaran en los horarios de clase de Taller de Proyecto 1 y se realizaran los acuerdos mediante el correo de la UPC [email protected].

Plan de Gestión de Recursos Humanos El equipo del proyecto está organizado según el siguiente organigrama, en él estamos mostrando claramente las líneas de reporte de cada miembro del equipo.

Ilustración 1: Diagrama de equipo 9

COMITÉ GENERAL

GERENTE PROFESOR (Gerente de IT-Expert)

CLIENTE PROFESOR

GERENTE ALUMNO

JEFES DE PROYECTO

ALUMNO RECURSO

ANALISTA QA

Fuente: Elaboración propia

Tabla 4: Roles Rol

Miembro

Jefe de Proyecto

Velásquez

Responsabilidades Vara, Supervisar y controlar

Carlos Andrés

la ejecución de las actividades para que se cumplan

todos

los

objetivos del proyecto. Jefe de Proyecto

Juro Pereira, Peter

Supervisar y controlar la ejecución de las actividades para que se cumplan

todos

los

objetivos del proyecto. Gerente Profesor

Rivas Galloso, Paul Brindar

apoyo

y

asesoría

durante

el 10

Rol

Miembro

Responsabilidades

Harry

desarrollo

del

proyecto. Cliente Profesor

Rosas Acevedo, Vania Brindar la información necesaria e Indicar los requerimientos necesarios

para

cumplir con el objetivo principal del proyecto y la aprobación de los entregables

del

proyecto. Gerente Alumno

Karen Panduro

Controlar y supervisar el avance eficaz de los proyectos y mantener informado

a

los

alumnos de Taller de Proyectos informados de las actividades de la empresa IT-Expert. Analista QA

Alumno Analista

Verificar y Validar la calidad entregables

de

los del

proyecto. Alumno Recurso

Erick Merino

Brindar apoyo en las actividades referentes del proyecto

11

Rol

Miembro

Comité General

Rosario

Responsabilidades Villalta, Evaluar

Jimmy Armas, Carlos bajo Raymundo

el

los

proyecto estándares

establecidos

por

la

Carrera de Ingeniería de

Sistemas

Universidad

de

la

Peruana

de Ciencias Aplicadas. Fuente: Elaboración propia

Plan de Comunicaciones Detalle del plan de comunicación con información requerida, descripción, encargado, destino, canal y periodo de entrega:

Tabla 5: Plan de Comunicaciones Información requerida

Descripción

El

acta

Encargado

Para su entrega a los Stakeholders

Canal

Periodo

Reunión

Semanal

de

reunión contiene Acta

los

de requerimientos

Reunión

del

cliente

Cliente

para

Profesor

desarrollo del proyecto

el

Peter

Juro

Pereira Carlos

– Cliente Profesor

Velásquez Vara

IMGETI, mediante:

12

Información requerida

Descripción

Encargado

-Temas

Para su entrega a los Stakeholders

Canal

Periodo

a

tratar sobre el proyecto

y

avances -Acuerdos en con el cliente -Tareas de la semana

Es

un

documento similar

al

Cronograma

Peter

Juro

de Actividades Pereira EDT



en el que se Carlos listan

las Velásquez

actividades

Gerente Alumno – Gerente Profesor

Sincronización Documentos

Semanal

compartidos

Vara

que se tienen planeadas y su cumplimiento. Mensaje mediante Asignación

cual

se

de

dejan

Actividades

asignadas

el Peter Juro le Pereira – Carlos Velásquez

Alumno Recurso

Correo Calendar

Semanal

actividades de Vara apoyo al Alumno

13

Información requerida

Descripción

Encargado

Para su entrega a los Stakeholders

Canal

Periodo

Reunión

- Semanal

Recurso

El

acta

de

reunión contiene

los

las consultas y aclaraciones en

temas

relacionados al

proyecto

IMGETI, Acta

de

mediante:

Peter Pereira

Reunión Gerente Profesor

Juro

Carlos

– Gerente Profesor

a Velásquez tratar sobre el Vara -Temas

proyecto

y

avances - Acuerdos en con el cliente -Tareas de la semana

14

Información requerida

Descripción

El

acta

reunión

Encargado

Para su entrega a los Stakeholders

Canal

Periodo

Reunión

- Semanal

de los

acuerdos entre Gerente profesor

y

Cliente profesor para llevar

un

control adecuado del desarrollo del proyecto IMGETI tanto Acta

de para el Cliente Peter Juro Reunión Pereira – profesor como Gerente Cliente Profesor para el Carlos Profesor Cliente

y

Velásquez

Gerente

Vara

Profesor, mediante: -Temas

a

tratar sobre el proyecto

y

avances -Acuerdos en con el cliente -Tareas de la semana

Fuente: Elaboración propia

15

Plan de Gestión de Riesgos Entre los posibles riesgos que pueden peligrar el proyecto son los siguientes: Tabla 6: Tabla de Riesgos # 1

Riesgo

Probabilidad Impacto

Disponibilidad horaria

Probable

Alto

del

Estrategia de mitigación Comunicación constante con el cliente.

Así

profesor

reprogramación

cliente.

reuniones

como, de

para

la

nuevas subsanar

reuniones canceladas. 2

Incumplimient o

Improbable

Medio

Mantener

una

comunicación

de

constante con nuestro recurso

actividades por

alumno. Acordar la posibilidad

parte

del

de solicitar la ayuda de otro

recurso alumno

recurso alumno si el asignado no

asignado

puede

cumplir

con

sus

actividades ya sea por motivos de salud o personales. 3

Cambio

de Improbable

Gerencia

en

Alto

Tomar en consideración los objetivos

IT-Expert

Implementar

a

largo la

plazo.

gestión

del

cambio para abordar los posibles cambios de los objetivos de la empresa. 4

Subestimación

Probable

Medio

Dejar una holgura de tiempo

del tiempo de

para las actividades relacionadas

desarrollo

al desarrollo de entregables en el

de

los artefactos

cronograma. Fuente: Elaboración propia

16

17

MARCO TEORICO

El segundo capítulo trata acerca del marco teórico que sirve como conocimiento base para el entendimiento de los conceptos que son usados durante el desarrollo del proyecto. Estos hacen referencia al marco que se está utilizando en este proyecto COBIT5. También contiene el enfoque de trabajo a seguir en el proyecto.

18

CONCEPTO Para poder comprender más a fondo el proyecto IMGETI (Implementación de un Modelo de Gestión Estratégica de TI para la Empresa IT-Expert), tenemos que entender varios factores relacionados con el tema del proyecto. El marco teórico permitirá tener una vista general de propósito de IMGETI, en un comienzo se analizaran conceptos generales relacionados con el tema del proyecto, también se mostrara la importancia del proyecto para la empresa ITExpert y finalmente se profundizara en el marco de referencia más adecuado para cumplir los objetivos del proyecto. Un modelo de gestión estratégica es un conjunto de reglas o referencias que ayudan a gestionar y administrar adecuadamente una empresa con un enfoque estratégico. El modelo propone uno o más planes de gestión que ayuden a cumplir los objetivos que se tienen y las decisiones que se tomen por parte del gobierno de la empresa. La información es uno de los recursos con más valor en la empresa, pues es el conocimiento útil que se utilizará para cumplir los objetivos de las partes interesadas. Manejar la información precisa y de forma adecuada que ayudará a tomar las decisiones acertadas ante los retos que se presenten en el día a día de una empresa. Además, en la actualidad se cuenta con el conjunto de conocimientos técnicos y científicos que ayudan a manejar la información de forma eficiente, ahorrando recursos y facilitando el uso de la información, estos conocimientos en conjunto son la Tecnología de Información (TI). Por lo tanto, podemos concluir que un modelo de gestión estratégico de TI es el alineamiento de las estrategias de TI con las estrategias de la empresa, en este caso la empresa IT-Expert. La empresa IT-Expert, cuya misión es “aplicar los estándares de calidad internaciones a los procesos involucrados en la prestación de servicios y desarrollo de proyectos de TI”, no presenta integración en los proyectos que están vinculadas con el objetivo principal de IT-Expert. Esto es debido a que no se alinean a un modelo de gestión y no existe una integración de la información entre los proyectos. Implementando un plan de gestión estratégica de TI se promueve el crecimiento sostenible en la gestión de TI pues mantendrían alineados los objetivos de la empresa con lo de TI lo que brinda una un conjunto de referencias en la gestión de los procesos más importantes. Asimismo se gestionaría eficientemente los servicios que se brinden, pues se tiene un control de completo de estos servicios.

19

Bajo esta necesidad la herramienta se mencionara la herramienta idónea para implementar el proyecto COBIT 5 y para gestionarlo PMBOK.

ENFOQUES DE TRABAJO Primera fase Se utilizará el FrameWork COBIT versión 5 Se utilizara PMBOK como guía de referencia para la dirección de proyectos para la adecuada gestión del proyecto.

Segunda fase Se utilizará la metodología EUP para el desarrollo de la arquitectura de procesos. La notación para modelar los procesos de negocio elegido es BPMN.

ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES COBIT 5 COBIT 5 proporciona un marco de referencia para ayudar a las organizaciones a alcanzar sus objetivos a partir de un buen gobierno y una gestión de TI. En pocas palabras, ayuda a las empresas a crear valor optimo manteniendo un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgos y el uso de los recursos. Ilustración 2: Principios de Cobit 5

20

Fuente: ISACA 2014

En la ilustración se muestran los 5 principios en los que se basa COBIT 5. Cada organización opera en un contexto diferente que este determinado por factores externos (el mercado, la industria, la geopolítica, etc.) y factores internos (la cultura, la organización, el apetito de riesgo, etc.), esto requiere una medida de gobierno y gestión de sistemas. Las necesidades de los Stakeholders tienen que ser transformadas en una estrategia a ejecutarse en la organización. Ilustración 3: Cascada de metas

21

Fuente: ISACA 2014

COBIT 5 propone las metas en cascada como el mecanismo para traducir las necesidades de los interesados (Stakeholders) en las metas específicas del negocio, acciones concretas y personalizadas, los objetivos relacionados con II y los objetivos de los facilitadores. Esta traducci6n permite establecer objetivos específicos en todos los niveles y en todas las áreas de la empresa en apoyo a los objetivos generales y requisitos de los Stakeholders y por lo tanto apoya efectivamente la alineación entre las necesidades empresariales y soluciones de TI y servicios. En la figura 15 se ilustran las metas en cascada de COBIT.

Primer dominio de gestión de Cobit 5 El dominio APO de COBIT 5 explica los procesos necesarios para la planificación y organización eficaces de los recursos TI internos y externos, incluyendo la planificación estratégica, planificación de la tecnología y la arquitectura, planificación organizativa, planificación de la innovación, gestión de la cartera, gestión de la inversión, gestión del riesgo, gestión de las relaciones y gestión de la calidad. Ilustración 4: Procesos del primer dominio estratégico de Cobit 5 (APO)

Fuente: ISACA 2014

Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.

22

Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos. Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción. Gestionar la Innovación: Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa. Gestionar Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.

23

Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Gestionar las Relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves. Gestionar los Acuerdos de Servicio: Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento. Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados. Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia. Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.

24

Modelo de evaluación de procesos PAMP El PAM de COBIT 5 es compatible con la norma ISO/IEC 15504 1 y se puede utilizar como base para la realización de una evaluación de la capacidad de cada uno de los procesos de COBIT 5. El modelo está basado en la evidencia para permitir una forma fiable, consistente y repetible para evaluar las capacidades de los procesos de TI. Proporciona indicadores para orientar la interpretación del propósito del proceso y los resultados esperados tal como se define en COBIT 5 y los atributos de proceso definidos en la norma ISO/IEC 15504-2. El PAM proporciona una vista en dos dimensiones: Dimensión del proceso: El Modelo de Referencia de Procesos (PRM) de COBIT 5 está compuesto de 37 procesos que describen el ciclo de vida para el Gobierno y la Gestión de las TI de la Empresa. Dimensión de la capacidad: La dimensión de capacidad proporciona una medida de la capacidad de un proceso para cumplir con los objetivos de negocio actuales o futuros de una empresa para el proceso. La capacidad del proceso es expresada en términos de Atributos de Proceso (PA) agrupados en niveles de capacidad. El nivel de capacidad de un proceso es determinado con base a la consecución de los PA específicos de acuerdo con la norma ISO/IEC 15504-2. Ilustración 5: Nivel de capacidad

1

La ISO/IEC 15504, es una norma internacional para establecer y mejorar la capacidad y

madurez de los procesos de las organizaciones en la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios. Cfr. ISO 2014 25

Fuente: ISACA 2014

Los niveles de capacidad definidos son los siguientes: Nivel 0 Incompleto: El proceso no está implementado o no alcanza su propósito. A este nivel, hay muy poca o ninguna evidencia de algún logro sistemático del propósito del proceso. Nivel 1 Ejecutado: El proceso implementado alcanza su propósito. Nivel 2: Gestionado: El proceso ejecutado está implementado de forma gestionada y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente. Nivel 3 Establecido: El proceso gestionado ahora está implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso. Nivel 4 Predecible: El proceso establecido ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso. Nivel 5 Optimizado: El proceso predecible es mejorado de forma continua para cumplir con las metas empresariales presentes y futuras. El PAM también establece una escala de calificación para evaluar cada atributo de proceso, la cual se muestra a continuación. 26

Ilustración 6: Escala de calificación

Fuente: ISACA 2014

N (No Alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso de evaluación. P (Parcialmente Alcanzado): Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo pueden ser impredecibles. L (Ampliamente Alcanzado): Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso evaluado. F (Completamente Alcanzado): Existe evidencia de un completo y sistemático enfoque y un logro completo del atributo definido en el proceso evaluado. No existen debilidades significativas relacionadas con el atributo en el proceso evaluado.

27

ESTADO DEL ARTE

El contenido del capítulo tres tiene la información que se obtuvo a partir de la investigación de artículos científicos que abordaron diferentes proyectos del tópico modelo. Se extrae el aporte de cinco artículos científicos sobre el modelo de gestión de TI para la gestión de una universidad, una empresa petrolera, el uso de portafolios de proyectos, industria editorial y administración electrónica. Asimismo, se muestran las técnicas usadas y el manejo de los distintos recursos para la investigación realizada en los diferentes proyectos como: Modelos basados en estándares, Marcos de referencias, Modelos de Gestión Rediseñados, Estándares, entre otros.

28

ESTADO DEL ARTE Revisión de la literatura El Gobierno de TI define la estructura de relaciones y procesos para dirigir y controlar la empresa hacia el logro de sus objetivos estratégicos agregando valor al mismo tiempo que se logra un balance entre el riesgo, el retorno de la inversión en TI, y la efectividad de sus procesos. El gobierno o gobernanza de TI como también se conoce, motivado a cumplir los objetivos de TI (alineados con el negocio y con el gobierno corporativo), ejerce un control permanente sobre los procesos de TI, clasificados en las siguientes categorías: Evaluar, dirigir y monitorear, Alinear, planear y organizar, Construir, adquirir e implementar, Entregar, servir y dar soporte, monitorear, evaluar y valorar, de acuerdo con el marco de referencia COBIT 5. COBIT 5 es un marco de referencia de Gobierno de TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio. Además, permite el desarrollo de una política clara y una buena práctica para el control de TI en las organizaciones. El marco acentúa el cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor asociado al área de TI, habilita la alineación y simplifica la puesta en práctica del marco de referencia 2. Otro marco de referencia que aborda esta temática es el modelo de gobierno de IT CalderMoir, el cual suministra lineamientos para la Arquitectura Empresarial. Asimismo, proporciona un enfoque holístico para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información. Los estándares y el cumplimiento de estos, aseguran que las tecnologías de información de la organización apoyan y facilitan el logro de sus estrategias y objetivos. Más que un marco es una colección de los diferentes marcos de gobierno como COBIT, BSC3, COSO4, ITIL5 entre otros. Calder-Moir orquesta los

2

Cfr. Saavedra Torres 2012:25

3

El Cuadro de Mando Integral traduce la estrategia y la misión de una organización en un

amplio conjunto de medidas de actuación, que proporcionan la estructura necesaria para un sistema de gestión y medición estratégica. Cfr. Bertolino y otros 2002:4 29

marcos guiando los procesos de extremo a extremo6. En el siguiente gráfico, se muestran los segmentos del marco Calder-moir. Ilustración 7: Segmentos del marco de Calder-moir

Fuente: Saavedra-Torres, Adaptado IT Governance ©2006-2008 S T W Moir

Otro modelo que se encuentra en la literatura es el aplicado en el proyecto del Diseño de un modelo de gestión de seguridad de la información del sistema ERP de EP PETROECUADOR que se basa en adaptar COBIT 5 según las metas corporativas del sistema mencionado. En este estudio se aplica la metodología MAGERIT7, la cual es utilizada para la gestión de riesgo dentro del modelo. MAGERIT se basa en el estándar ISO

4

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una

iniciativa conjunta de las cinco organizaciones del sector privado que figuran a la izquierda y se dedica a proporcionar el liderazgo de pensamiento a través de la elaboración de marcos y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del fraude. Cfr. COSO:2014 5

Biblioteca de la Infraestructura de Tecnología de la Información (ITIL), que está formada

por una serie de “Mejores Prácticas” procedentes de todo tipo de suministradores de servicios de TI. Cfr. ITIL:2014 6

Cfr. Saavedra y Torres 2012:33

7

MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. 30

3100008, por lo que es totalmente compatible con COBIT 5. Además, su uso es de acceso libre y toda la documentación está disponible en varios idiomas (español, inglés e italiano). Además, este modelo también implementa las buenas prácticas descritas en la ISO/IEC27002. Este estándar establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Adicionalmente, contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información (La política de seguridad, Organización de la seguridad de la información, Gestión de activos, La seguridad de los recursos humanos, Física y la seguridad del medio ambiente, Las comunicaciones y la gestión de las operaciones, Control de acceso, Adquisición de sistemas de información, desarrollo y mantenimiento, Gestión de incidentes de seguridad de la información, Gestión de la continuidad del negocio, Cumplimiento)9. Entre los estándares más usados actualmente que tienen como objeto de estudio el gobierno de TI, el que más destaca es la ISO 38500. Esta incluye un conjunto de definiciones relacionadas con el Gobierno de las TI que sirven como vocabulario común para todos aquellos que conozcan e implementen este estándar. Además, propone un marco de referencia para el gobierno de las TI basado en los siguientes seis principios: Responsabilidad, estrategia, adquisición,

Desempeño, Cumplimiento y Componente

Humano; y el siguiente modelo de gobierno de TI. Ilustración 8: Modelo de Gobierno de las TI de la norma ISO 38500

8

Principios y lineamientos, proporciona principios, el marco y un proceso para la gestión

del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño, actividad o sector. El uso de ISO 31000 puede ayudar a las organizaciones a aumentar la probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y efectivamente asignan y utilizan los recursos para el tratamiento de riesgos. Cfr. ISO 2014 9

Cfr. ISO 2014 31

Fuente: Fernández 2011

En el desarrollo de Modelo de Procesos Integrado de Gobernanza y Gestión de TI propuesto por Carrillo y Rubio, hace referencia al modelo de Leavitt. Este modelo presenta cuatro elementos de un sistema de negocio como la claves para abordar de forma correcta la gestión y optimización de TI en las empresas10. Ilustración 9: Modelo de Leavitt

Fuente: Carrillo y Rubio 2012

Igualmente, se menciona CMMI (CapabilityMaturityModelIntegration) como un método para medir el grado de madurez de las organizaciones. El objetivo de CMMI es establecer 10

Cfr. Carrillo y Rubio 2012:29,30 32

una guía que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informáticos. En CMMI se diferencian actualmente tres modelos que comparten un núcleo común. Además, CMMI define áreas de proceso que se agrupan en cuatro categorías, tres comunes a todos los modelos y una diferente para cada modelo: Gestión de procesos (común), Gestión de proyectos (común), Soporte (común) e Ingeniería (sólo en DEV). En la siguiente figura se presenta la estructura de CMMI que incluye los tres modelos y áreas de proceso mencionados anteriormente, así como los procesos que los conforman11. Ilustración 10: Estructura CMMI

Fuente: Carrillo y Rubio 2012

Cabe mencionar que en la búsqueda de evidencia de que un activo estratégico y proporciona un valor añadido a los negocios de la empresa, se establecen actividades de gobierno que incluyen mecanismos que buscan la alineación de TI con los objetivos en el contexto de la actividad empresarial. Uno de los mecanismos habituales para mejorar la alineación entre la junta (gobernadores de TI), las unidades de negocio (proyectos de TI solicitantes) y el personal de TI (IT adquirentes o desarrolladores) es a través de un proceso de aprobación de la Cartera de Proyectos transparente. Entre otros beneficios, este proceso debería permitir a las empresas a comunicar esta alineación entre los objetivos y proyectos de forma eficaz, la creación de un mayor valor de los activos de TI. Estos mecanismos muestran cómo estas 11

Cfr. Carrillo y Rubio 2012:36,37 33

estructuras se relacionan en el gobierno de TI y ofrecer una oportunidad para mejorar la comunicación entre los gobernadores (miembros del consejo) y el resto de los partícipes de la empresa12. Saavedra y Torres (2012) proponen un Modelo Genérico de Gobierno y Gestión de TI, que ayude a las organizaciones del sector editorial a definir los procesos de TI en los que debe focalizar sus esfuerzos. Para esto, como punto de partida se toma la matriz de necesidades de los interesados (Stakeholders) y la técnica de la cascada de COBIT 5, encuestas para determinar la brecha entre el estado actual y el deseado, y herramientas estadísticas para filtrar y priorizar. Mera (2014) diseña un modelo de gestión de seguridad de la información para el sistema ERP, basado en el marco de trabajo COBIT 5 y la norma ISO/IEC 27002, que optimiza los procesos empresariales implementados y obtiene el mayor beneficio de la plataforma tecnológica adquirida. La caracterización del modelo se realizó identificando la información crítica del sistema y sus amenazas mediante la metodología de análisis de riesgo MAGERIT. Fernández (2011) propone el diseñado y valida un marco de referencia de Gobierno de las TI para Universidades (GTI4U). Este marco se basa y respeta por completo al modelo de gobierno TI propuesto por la norma ISO 38500. Pero a la vez, proporciona una serie de herramientas para que sea fácilmente implementado en un entorno universitario. Debido a que la Tecnología de información es un factor que estratégico en el gobierno de las empresas, Carillo y Rubio (2012) afirman que Por esta razón, las empresas se tienen que hacerse de una estructura de gestión de la información que les permita el alineamiento de TI con la estrategia de negocio, el logro de beneficios, reducción de costes, el control de riesgos y en general la mejora de las operaciones de TI. En este escenario, se introduce el concepto de Gobernanza de TI, responsable de integrar e institucionalizar las buenas prácticas para garantizar que la TI en las empresas soporte los objetivos del negocio y aproveche al máximo su información, maximice los beneficios, capitalice las oportunidades y gane ventajas competitivas. Barceló et al (2012) demuestra que los tres mecanismos de gobernanza de TI: alineación, comunicación y estructuras, cuando se utilizan correctamente, son medios insustituibles para 12

Cfr. Barceló y otros 2012:71 34

producir el valor que el consejo espera de TI. También representamos parte de nuestro marco de gobierno de TI que utiliza estos tres mecanismos, con especial referencia a la alineación del negocio / TI.

Modelos de gestión y gobierno de TI

Modelo de Gobierno de TI como apoyo al proceso de transformación digital en empresas de la industria editorial. Uno de los aportes más importantes de esta propuesta es la definición de la brecha estratégica de la industria editorial, que permite establecer las prioridades en las cuales el sector debe concentrar todos sus esfuerzos para afrontar el proceso de transformación digital que vive en la actualidad. Las encuestas realizadas matizan esta propuesta con las necesidades propias del sector en su situación estratégica actual y con el estado estratégico deseado, que para los encuestados, es el escenario ideal para asumir de forma exitosa el proceso de transformación. Como resultado de esta combinación se obtiene un listado de objetivos estratégicos del negocio que son el insumo inicial para el inicio de la técnica de la cascada propuesta por COBIT 5, y que al final conduce a la obtención de los procesos de TI priorizados y filtrados. Ilustración 11: Modelo de Gobierno de TI para la industria Editorial

35

Fuente: Saavedra y Torres 2012

En la gráfica se ilustra cómo se aborda un problema resultado de la situación que afronta actualmente un sector de la economía mundial, utilizando la técnica de la cascada de COBIT 5, que parte del conocimiento de la planeación estratégica corporativa o El “Balanced Score Card” del negocio. Al no obtener con facilidad información estratégica del sector, se realizan las encuestas de estado actual y estado deseado, que después de tabular y procesar sus respuestas, dan como resultado la brecha estratégica de la industria, representada en los objetivos estratégicos genéricos, insumo necesario para obtener las metas de TI y los procesos de TI. Estos últimos son insumo para el componente de Gestión de TI del proyecto M3GTI. La metodología propuesta para la obtención de los Procesos de TI, se basa en la técnica de la cascada de COBIT 5 y apoyada en la estadística para priorizar y filtrar los elementos en cada paso del proceso. En esta sección se muestran los resultados obtenidos después de aplicar la propuesta de este trabajo.

36

Para relacionar las metas de TI con los procesos definidos de COBIT utiliza el método de despliegue de función de calidad QDF13.

Modelo de gestión de seguridad de la información del sistema ERP de EP PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5 La caracterización de este modelo se realizó mediante una investigación descriptiva del estado del arte de la S-I en EP PETROECUADOR, utilizando técnicas documentales que permitieron recopilar y analizar temas relacionados con la normativa de procesos, informes de hacking ético, consultorías, estructura organizacional y análisis de riesgo del sistema ERP; para definir una línea base sobre la cual es establezca un modelo de gestión de S-I completo y personalizado. La priorización y simplificación del modelo basado en COBIT 5 e ISO/IEC 27002, se realizó utilizando las metas corporativas que la empresa planteó con la implementación del sistema ERP como proyecto estratégico, de esta manera se logró que las metas de TI soporten las metas corporativas y los intereses de las partes interesadas, evitando elaborar marcos desenfocados o demasiado extensos. Los resultados obtenidos en esta investigación revelan, un marco de gestión incompleto, nivel de riesgo alto de la plataforma tecnológica de EP PETROECUADOR, así como riesgos importantes relacionados sobre todo con amenazas internas. En el ámbito de la propuesta del modelo de gestión se verificó la necesidad del involucramiento de la alta gerencia en todas las iniciativas empresariales relacionadas con la S-I, así como se determinó la importancia de un modelo de gestión de S-I, como complemento clave de un proyecto estratégico, que contemple no solo aspectos técnicos sino también estructurales, de cultura organizacional, comportamiento y habilidades del personal involucrado14.

13

QFD es una metodología de gestión de la calidad que sirve especialmente para identificar

y priorizar las necesidades de los clientes. La metodología propone una técnica en la que transfiere lo “que desean los clientes” a los “como se pueden satisfacer”, valorando el grado de correlación entre los deseos del cliente (QUE) y las acciones para satisfacerlos (COMO). Cfr. Saavedra y Torres 2012:39 14

Cfr. Mera 2012:2 37

Se usaron sistemas ERP para la solución en la integración de las diferentes áreas y automatización de los proceso de la empresa. Además, este sistema facilito la recolección y poner la información actualizada del estado y actividades de los departamentos de una empresa a disposición de los usuarios del sistema15. Para esto se usa la en conjunto el marco de referencia COBIT 5, ISO/IEC 27002 y la metodología MAGERIT. Para el modelo de gestión de seguridad de la información fue caracterizado utilizando los 7 catalizadores y la cascada de metas definidos en el marco COBIT 5. Este enfoque permite simplificar el marco principal utilizando las metas corporativas del sistema ERP de EP PETROECUADOR como punto de partida; para luego traducir estas metas a metas de TI, las cuales, en el mismo sentido, se soportan en las metas de cada uno de los catalizadores16. En conjunto con cada catalizador se usó la ISO 20072, concentrándose principalmente en los siguientes dominios: Política de seguridad Gestión de comunicaciones y operaciones Adquisición, desarrollo y mantenimiento de sistemas de información Posteriormente se usó la metodología MAGERIT para el análisis de riesgos, a continuación se muestra el marco de gestión de riesgos en la ilustración.

Ilustración 12: MAGERIT y el marco de gestión de riesgos ISO 31000 (Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, 2012)

15

Cfr. Mera 2012:3

16

Cfr. Mera 2012:7 38

Fuente: Mera 2012

Modelo de Gobierno de las TI GTI4U para Universidades basado en la ISO 38500 El modelo GTI4U que Fernández diseño está compuesto por tres niveles: El primer nivel incluye todos los elementos de la norma ISO 38500: modelo de gobierno TI, principios, buenas prácticas y diccionario de términos. El segundo está compuesto por un Modelo de Madurez (MM) para cada principio, que se utilizará para establecer en qué nivel de madurez de gobierno de las TI se encuentra cada universidad. El tercero incluye a los indicadores que van servir para medir hasta qué punto se satisfacen los criterios presentados en la norma17. Ilustración 13: Motivos por los que se decide implantar un sistema del gobierno de las TI en una universidad

17

Cfr. Fernández 2011:148 39

Fuente: Fernández 2011

Primer Nivel: En cuanto a la guía ISO 38500 se utilizan las guías de buen gobierno de la TI. Las recomendaciones se describen de alto nivel y sólo son un punto de partida para los responsables de las TI que deben completar estas guías al implementarse, identificando cuales son las acciones específicas necesarias para alcanzar los principios, teniendo en cuenta la naturaleza especial de cada organización y realizando un análisis exhaustivo de las oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto. Esta norma, ISO 38500, muestra una guía para el buen gobierno con cada uno de sus principios. Esta guía se define en base a las acciones de gobierno que se recomiendan por la norma ISO 38500. Se presenta, manera de ejemplo, la guía que se propone por Fernández para el principio de responsabilidad18. Ilustración 14: Guía de buen gobierno de las TI para el principio de Responsabilidad

Fuente: Fernández 2011

18

Cfr. Fernández 2011:150 40

Segundo Nivel: Se busca un modelo de madurez que cubra las necesidades del negocio. Y se utilizan los modelos de madurez más importantes relacionados con las TI, en estos está incluido COBIT por el IT Governance Institute (ITGI)19. Este modelo de madurez (MM) establece los niveles de madures del modelo, y es útil para establecer un nivel actual y uno deseado mediante la autoevaluación, cada nivel describe los requisitos relacionados con las tres acciones de gobierno (Evaluar, Dirigir y Monitorizar). Ilustración 15: Tipos de indicadores incluidos en el GTI4U

Fuente: Fernández 2011

Tercer Nivel: El tercer nivel Fernández afirma que el GTI4U está compuesto por un conjunto de indicadores que tienen por objetivo medir si se están llevando a cabo satisfactoriamente las buenas prácticas recomendadas para el gobierno de las TI. Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será evaluado a partir de un conjunto de indicadores Agrupados en tres tipos diferentes (Figura 10.6):

19

GEIT es un Instituto de gobernanza de tecnología de información eficaz que ayuda a asegurar que TI soporte las metas

del negocio, optimice la inversión del negocio en TI, y gestiona adecuadamente los riesgos y oportunidades relacionados con IT. Cfr. ITGI:2014

41

Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo de situar automáticamente a la organización en el nivel que le corresponde dentro del Modelo de Madurez de Gobierno TI de cada principio. Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas que deben estar presentes en la organización para mejorar su madurez de gobierno de las TI. Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son evidencias, pero expresadas con valores absolutos, de cuál es el estado de madurez de algunos aspectos del gobierno de las TI de la organización. Modelo de Procesos Integrado de Gobernanza y Gestión de TI El modelo propuesto de Procesos de Gobernanza y Gestión de la Tecnología de Información por Carillo y Rubio está estructurado en tres niveles y en 9 áreas como se observa en la siguiente figura: Ilustración 16: Modelo Integrado de Procesos de Gobernanza y Gestión de TI

42

Fuente: Carrillo y Rubio 2012

Este modelo es implantado tiene en cuenta los siguientes aspectos: Primero las restricciones impuestas por el negocio en cuanto a principios y políticas de la organización, la estructura organizativa, los recursos y la cultura de la empresa. Segundo al analizar en qué estado se encuentra la organización y a dónde quiere llegar, es decir tener clara su misión, su visión, sus objetivos, conocer y entender qué problemas enfrenta su organización en la gestión de la tecnología de información (sería bueno que los listara) e identificar que oportunidades le ofrece este modelo para mejorar sus procesos, y hacer un rediseño de los mismos (o en caso de que no estén definidos una guía para establecerlos). Tercero, es un problema de organización corporativa que va a afectar a todo el negocio, por lo cual, el máximo órgano de gobierno debe estar totalmente involucrado en la supervisión de la nueva estrategia y comunicar lo que se pretende con el modelo para lograr la colaboración y participación de todo el personal de la compañía afectado. Por ser este un modelo orientado a procesos, que reúne los procesos clave de gobernanza y gestión de TI tomando estándares internacionales.

Negocios / Proyectos de TI de alineación a través del proceso de aprobación del portafolio de proyectos de TI como Instrumento de Gobierno En el marco de gobierno de TI propuesto por Barceló se basa en el estándar ISO / IEC 38500. Esta norma general, se compone de dos capas, la gobernanza y la gestión, respectivamente. Esto se ha ampliado con dos capas adicionales, estrategia corporativa y operación de la línea. Cada capa en el marco representa acciones esenciales realizadas por sus principales grupos de interés. La transición entre las capas se realiza a través de diferentes instrumentos que representan la gobernanza de la TI. En particular, el proceso de aprobación de la Cartera de Proyectos es uno de los instrumentos más importantes. El proceso es un ciclo virtuoso, que comienza y termina con el tablero. Se inicia cuando el consejo busca el valor de las nuevas aplicaciones de TI, y termina cuando se aprueba una cartera de proyectos al año. Como instrumento de gobernanza de TI, el proceso de aprobación de la Cartera de Proyectos es uno de los mejores mecanismos de alineación entre 43

las unidades de negocio y el personal de TI, ya que formaliza este proceso transparente para todas las partes interesadas e incluso el público en general20. En primer lugar, la Junta debe establecer la dirección del gobierno de TI (por un período superior a un año) establecer los objetivos estratégicos. El CIO establece los objetivos tácticos. Los resultados de estos objetivos (estratégicos y tácticos) son los planes de TI y políticas. La selección final de los proyectos de la cartera debe estar alineada con estos planes y políticas. Luego, las unidades de negocio y el personal de TI colaboran juntos para presentar propuestas de proyectos a la oficina de CIO. Estas propuestas son promovidas por los patrocinadores y luego son evaluados por el CIO. La instancia última de la construcción de la cartera de proyectos es la aprobación formal de la junta, cerrando el ciclo del proceso. Por lo tanto, los objetivos estratégicos y las tácticas, las propuestas de proyectos provenientes de unidades de negocio (departamentos y oficinas) y las decisiones finales se publican de forma explícita en el marco de gobierno de TI21.

20

Barceló 2012: 71

21

Barceló 2012: 72 44

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT

Este capítulo se centra en la ejecución del proyecto IMGETI. Para el caso de IT-Expert, solo nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El proyecto está dividido en dos partes. La primera parte está conformado por las fases de implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de nivel de capacidad a los procesos, se define el nivel al que se quiere llegar, y se definen las oportunidades de mejora para luego priorizarlas en base a sus niveles de dificultad y beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases involucran la creación de un del plan de implementación de las soluciones escogidas en la fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el control de los procesos de la empresa IT-Expert agrupados en un cuadro de control; finalmente, se realiza la segunda evaluación de capacidad para validar el éxito alcanzado. Además se menciona algunas conclusiones y recomendaciones para la mejora continua de la empresa.

45

FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN El objetivo de esta fase es reconocer y aceptar la necesidad de una iniciativa de mejora por parte de la gerencia de la empresa, así como, obtener el compromiso de las demás partes interesadas. Por eso, como primera actividad, se ha realizado la identificación de los puntos débiles y eventos desencadenantes, los cuales servirán como motivadores del cambio22 que serán presentados ante la gerencia para lograr su total apoyo y compromiso, así como las partes interesadas sus roles y responsabilidades en la empresa para considerar la efectividad de estos en la creación de valor para la empresa.

PUNTOS DÉBILES

Cambio en la gerencia duplicación o superposición entre las iniciativas o despilfarro de recursos Existen muchos proyectos de TI que han sido desarrollados, pero que no han sido puestos en marcha en la empresa. Además, se han encontrado casos de proyectos que son aprobados para formar parte de la cartera de proyectos, a pesar de que estos ya hayan sido realizados de manera parcial o total anteriormente, lo que provoca la pérdida de recursos utilizados durante el desarrollo del proyecto hasta la detección del problema. Esto es debido a la falta de una visión holística de todos los proyectos de TI, y la inexistencia de procesos y la estructura para la capacidad de decisión alrededor del portafolio.

El equipo humano presenta un nivel de competencias insuficiente para el desarrollo de sus responsabilidades Se ha encontrado también un problema con el nivel de competencias del equipo humano. Cada ciclo se realiza una rotación del personal y cada ciclo se enfrenta el mismo problema 22

“Un motivador de cambio es un evento interno o externo, condición o aspecto clave que

sirve como estímulo para el cambio.” Cfr. COBIT 2012:20 46

de que los nuevos miembros desconocen algunas de las normas o estándares bajo los cuales IT-Expert maneja sus actividades, a pesar de que existan algunas políticas que ya abordan este problema. Esto podría deberse a la falta de control del cumplimiento de las políticas que debería ser realizada por la gestión de recursos humanos.

EVENTOS DESENCADENANTES

Cambio en la Gerencia Actualmente la empresa está pasando por un proceso de cambio de gerente. Como parte de este proceso, se están realizando revisiones de los procesos actuales de la empresa, repositorios de documentos, portafolio de proyectos y registros existentes de los recursos físicos e intangibles.

Deseo de mejorar Existe un plan de mejora de procesos que inicia en la determinación y análisis del proceso a mejorar para luego proponer posibles mejoras así como las acciones necesarias para la implementación de las mismas.

IDENTIFICACIÓN DE PARTES INTERESADAS

A demás de concientizar a la gerencia, es necesario lograr un compromiso con las demás partes interesadas. Para esto, se han definido e identificado las responsabilidades e intereses de las partes interesadas con relación al programa de mejora, el cual se desarrolla en el presente proyecto. Tabla 7: Responsabilidades e Intereses de las partes interesadas

47

Partes Interesadas

Responsabilidades

Interés

en

los

Resultados

del

Programa de implementación Gerente

Profesor, Establecer los objetivos para el programa de Se encuentran interesados en obtener

Gerente Alumno

mejora y asegurar su alineación con la el máximo beneficio en el negocio de la estrategia y de metas de la empresa. implantación del programa. Quieren Aprobar los resultados del programa, y garantizar que todas las cuestiones asegurar que los beneficios previstos son relevantes requeridas se consideran, alcanzados.

que las tareas requeridas se llevan a cabo y que los resultados esperados se entregan correctamente.

Responsables de procesos de Dar información clave para la evaluación del Esto grupo está interesado en TI

desempeño y para establecer los objetivos garantizar que las iniciativas de de mejoras. Proporcionar información sobre mejora resulten en un mejor gobierno las buenas prácticas pertinentes que deben de TI sobre todas y cada una de las ser

incorporados

y

proporcionar áreas, y que las opiniones sobre el

asesoramiento.

negocio necesarias para ello son obtenidas de la mejor forma posible.

Profesor Cliente

Asesorar en la planificación y desarrollo del Está interesado en que los resultados programa. Evaluar los entregables que se previstos se alcancen mediante la hayan definido en el programa.

Equipo de implantación

ejecución correcta del programa.

Dirigir, diseñar, controlar y gestionar el El equipo quiere asegurarse de que programa, desde la identificación de todos los resultados previstos se objetivos y requerimientos hasta las obtienen y se maximizan. eventuales evaluaciones del programa respecto a los objetivos del programa.

Clientes

Los clientes podrían verse afectados por el grado en que se cumplen los objetivos del programa. El cliente tiene una participación indirecta en los resultados

del

programa

de 48

Partes Interesadas

Responsabilidades

Interés

en

los

Resultados

del

Programa de implementación implantación.

Fuente: Elaboración propia

49

FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL El objetivo de esta fase es asegurar que el equipo del programa conoce y entiende los objetivos de la empresa. Identificar los procesos críticos u otros catalizadores que se abordarán en el plan de mejora y determinar la capacidad actual de los procesos seleccionados mediante una evaluación. Como parte de esta segunda fase se debe definir el alcance mediante la identificación de los objetivos de negocio de la empresa relacionados a los objetivos de TI, con estos objetivos de TI se podrá establecer la correspondencia a los procesos propuestos por COBIT 5, de esta forma se proporciona un mapeo genérico de los objetivos de negocio con los relacionados con TI y sus procesos para ayudar con la selección de procesos importantes para la empresa y la alineación de los objetivos de TI a los objetivos de negocio. Dados los objetivos de la empresa y de TI seleccionados, se identifican los procesos críticos que se necesitan para asegurar resultados exitosos. La gerencia necesita saber dónde están las capacidades actuales y dónde pueden existir ineficiencias. Esto se logra mediante una evaluación de capacidad del estado de los procesos seleccionados. Para entender mejor cada artefacto en esta fase, se tendrá la siguiente estructura dividida en: Descripción: Define y describe en no más de un párrafo al artefacto del modelo que se está implementado. Propósito: Muestra la función que tiene el artefacto en el modelo que se está implementado. Alcance: Nos indica el alcance del artefacto dentro del proyecto IMGETI.

CASCADA DE METAS

Mapeo Entre necesidades de las partes interesadas y las metas de la empresa Descripción: Es un cuadro que posee dos dimensiones: Necesidades de las partes interesadas y Las metas de la empresa. Esto nos ayuda a identificar las necesidades de las

50

partes interesadas en forma de preguntas con las metas de la empresa en la parte superior. Los cuadros azules muestran la relación que hay entre ambas cabeceras. Propósito: Tener una visión de la relación entre las necesidades de las partes interesadas y los objetivos empresariales. Alcance: Solo se toma en cuenta las necesidades de las partes interesadas definidas en el punto anterior.

51

¿Cómo consigo valor del uso de TI? ¿Están los

usuarios finales satisfechos con la calidad del

servicio de TI?

¿Cómo gestiono el rendimiento de TI?

¿Cómo puedo explotar mejor las nuevas tecnologías

para nuevas oportunidades de negocio? negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

Tabla 8: Mapeo Entre necesidades de las partes interesadas y las metas de la empresa

¿Cómo

¿Estoy construyo

gestionando y estructuro

bien los mejor

contratos mi

departamento de TI?

¿Cuánto dependo de los proveedores externos?

de

externalización de TI? ¿Cómo obtengo aseguramiento

sobre los proveedores externos?

¿Cuáles son los requisitos (de control) para la

información?

53

negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

¿Considero todos los riesgos relativos a TI?

¿Estoy realizando una operación de TI eficiente y

robusta?

¿Cómo controlo el coste de TI? ¿Cómo utilizo los

recursos de TI de la manera más efectiva y eficiente?

¿Tengo suficiente personal para TI? ¿Cómo puedo

desarrollar y mantener sus habilidades y cómo

gestiono su rendimiento?

54

negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

¿Cómo consigo confianza sobre TI?

¿Está bien asegurada la información que se está

procesando?

¿Cómo puedo mejorar la capacidad de respuesta del

negocio mediante un entorno de TI más flexible?

¿Fracasan los proyectos de TI en proporcionar lo que

habían prometido? Si es así, ¿por qué? ¿Está siendo

TI un obstáculo para ejecutar la estrategia de

55

negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

negocio?

¿Cómo es de crítica la TI para para la sostenibilidad

de la empresa? ¿Qué pasaría si la TI no estuviera

disponible?

¿Qué procesos de negocio críticos dependen de TI y

cuáles son los requerimientos de los procesos de

negocio?

¿Qué parte del esfuerzo de TI se dedica a apagar

56

negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

fuegos en lugar de facilitar las mejoras del negocio?

Fuente: Elaboración propia

57

negocio

Promover una cultura de innovación en el

personal

Fomentar la motivación y el entrenamiento del

del personal en niveles óptimos

Mantener la productividad de la operación y

negocio

Mejorar continuamente los procesos de

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

del servicio

Garantizar la calidad y eficiencia en la entrega

servicios del negocio

Asegurar la continuidad y disponibilidad de los

cliente

Promover una cultura de servicio orientada al

Mapeo entre las necesidades de la empresa y las metas relacionadas con TI Descripción: Cuadro de dos dimensiones que muestra la relación entre Metas de la empresa y Las metas relacionadas con TI. Aquí podemos visualizar los objetivos de TI en la cabecera izquierda y los objetivos de la empresa en la cabecera superior. Además, cada relación esta diferenciada entre P (Primaria) o S (Secundaria), esto nos ayuda a priorizar los objetivos de la empresa con mayor relación con los objetivos de TI. Propósito: Sirve como evidencia para demostrar que las metas relacionadas con TI están alineadas a las metas de la empresa. Alcance: Se consideran todas las metas presentes en mapeo anterior.

58

ra

Financie Metas Corporativas - Fila

Meta relacionada con las TI - Columna

Alineamiento de TI y la estrategia de negocio P S

Cliente

P P S

Interno

P S

Promover una cultura de innovación en el negocio

Fomentar la motivación y el entrenamiento del personal

óptimos

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Tabla 9: Mapeo entre las metas de la empresa y las metas relacionadas con TI

Aprendizaje y Crecimiento S

59

Compromiso de la dirección ejecutiva para

del negocio de las leyes y regulaciones

P S

S

externas óptimos

Promover una cultura de innovación en el negocio

Cumplimiento y Soporte de la TI al cumplimiento Fomentar la motivación y el entrenamiento del personal

P

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

S P

60

Riesgos de negocio relacionados con las TI

gestionados

Realización de beneficios del portafolio de S P

S

P

S

Promover una cultura de innovación en el negocio

Fomentar la motivación y el entrenamiento del personal

óptimos

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

tomar decisiones relacionadas con TI

S

S

61

Cliente Entrega de servicios de TI de acuerdo a los P S

Transparencia de los costes, beneficios y

riesgos de las TI

P S

P

Mantener la productividad de la operación y del personal en niveles

Promover una cultura de innovación en el negocio

S

Fomentar la motivación y el entrenamiento del personal

Inversiones y Servicios relacionados con las TI óptimos

S

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

P S S

62

Interno Agilidad de las TI S

Controlar los riesgos del negocio Mejorar continuamente los procesos de negocio

P P P S S

S

óptimos Fomentar la motivación y el entrenamiento del personal Promover una cultura de innovación en el negocio

S

Mantener la productividad de la operación y del personal en niveles

Mantener productos y servicios de calidad

y soluciones tecnológicas Generar valor para las partes interesadas

requisitos del negocio Garantizar la calidad y eficiencia en la entrega del servicio

Uso adecuado de aplicaciones, información

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

P S S

S S

63

Seguridad de

infraestructuras la

de procesamiento y

Optimización de activos, recursos y P P

P

P S P

Promover una cultura de innovación en el negocio

Fomentar la motivación y el entrenamiento del personal

óptimos

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

información,

P

aplicaciones

S

64

negocio integrando aplicaciones Controlar los riesgos del negocio Mejorar continuamente los procesos de negocio

P S P S P

óptimos Fomentar la motivación y el entrenamiento del personal Promover una cultura de innovación en el negocio

Mantener la productividad de la operación y del personal en niveles

Mantener productos y servicios de calidad

Capacitación y soporte de procesos de Generar valor para las partes interesadas

capacidades de las TI Garantizar la calidad y eficiencia en la entrega del servicio

y P

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

P P S

tecnología en procesos de negocio

65

beneficios a tiempo, dentro del presupuesto y

satisfaciendo los requisitos y normas de

Disponibilidad de información útil y relevante S

S S

Promover una cultura de innovación en el negocio

Fomentar la motivación y el entrenamiento del personal

óptimos

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

Entrega de Programas que proporcionen

S

calidad

S

66

Crecimiento

Aprendizaje y

Personal del negocio y de las TI competente

y motivado S

Cumplimiento de TI con las políticas internas

P

Mantener la productividad de la operación y del personal en niveles

Promover una cultura de innovación en el negocio

S

Fomentar la motivación y el entrenamiento del personal

para la toma de decisiones óptimos

P

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

P P P

67

Conocimiento, experiencia e iniciativas para

la innovación de negocio P P

Promover una cultura de innovación en el negocio

óptimos Fomentar la motivación y el entrenamiento del personal

P

Mantener la productividad de la operación y del personal en niveles

Mejorar continuamente los procesos de negocio

Controlar los riesgos del negocio

Mantener productos y servicios de calidad

Generar valor para las partes interesadas

Garantizar la calidad y eficiencia en la entrega del servicio

Asegurar la continuidad y disponibilidad de los servicios del negocio

Promover una cultura de servicio orientada al cliente

Metas Corporativas - Fila

S P

Fuente: Elaboración propia

68

Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 Descripción: Cuadro de dos dimensiones que muestra las relacionadas entre las metas relacionadas con TI y los procesos del modelo de COBIT 5. En este caso podemos diferencias las metas relacionadas con TI en la cabecera superior de los procesos de COBIT que se encuentran en la cabecera izquierda. En esta relación también se tiene en cuenta la prioridad P (Primaria) o S (Secundaria). Propósito: Identificar los procesos que ayuden a cumplir las metas relacionadas con TI. Alcance: Solo se consideran los procesos del primer dominio de gestión de COBIT 5.

69

y

ar

Organiz

ar

Planific

Alinear, Procesos de COBIT 5 - Columna Financiera

APO01 Gestionar el Marco de P S S Cliente Interno

S S P S S

Conocimiento, experiencia e iniciativas para la innovación de negocio

Personal del negocio y de las TI competente y motivado

tecnología en procesos de negocio

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Uso adecuado de aplicaciones, información y soluciones tecnológicas

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Riesgos de negocio relacionados con las TI gestionados

con TI

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Meta relacionada con las TI - Fila Alineamiento de TI y la estrategia de negocio

Tabla 10: Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5

Aprendizaje y

Crecimiento S

70

Riesgos de negocio relacionados con las TI gestionados Entrega de servicios de TI de acuerdo a los requisitos del negocio Uso adecuado de aplicaciones, información y soluciones tecnológicas

APO02 Gestionar la Estrategia P S S P S

APO03 Gestionar S

la P S

Conocimiento, experiencia e iniciativas para la innovación de negocio

P S S S

P P

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Personal del negocio y de las TI competente y motivado

Gestión de TI tecnología en procesos de negocio

S

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Alineamiento de TI y la estrategia de negocio con TI

Meta relacionada con las TI - Fila

S

Arquitectura

71

APO04 Gestionar la Innovación S

APO05 Gestionar Portafolio P S S

S

S P

S S

tecnología en procesos de negocio

Conocimiento, experiencia e iniciativas para la innovación de negocio

Empresarial

Personal del negocio y de las TI competente y motivado

S

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Uso adecuado de aplicaciones, información y soluciones tecnológicas

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Riesgos de negocio relacionados con las TI gestionados

con TI

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Alineamiento de TI y la estrategia de negocio

Meta relacionada con las TI - Fila

S P

S

72

APO06

APO07 S S S S S

S S S S S

tecnología en procesos de negocio

Conocimiento, experiencia e iniciativas para la innovación de negocio

S

Personal del negocio y de las TI competente y motivado

P

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Uso adecuado de aplicaciones, información y soluciones tecnológicas

Humanos

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Gestionar los Recursos

Riesgos de negocio relacionados con las TI gestionados

y los Costes con TI

Gestionar el Presupuesto Alineamiento de TI y la estrategia de negocio

Meta relacionada con las TI - Fila

P P

73

APO08

APO09 Gestionar

de Servicio las

Relaciones

Gestionar los Acuerdos

Entrega de servicios de TI de acuerdo a los requisitos del negocio

S S P

S P S

Personal del negocio y de las TI competente y motivado

P S

Conocimiento, experiencia e iniciativas para la innovación de negocio

tecnología en procesos de negocio

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Uso adecuado de aplicaciones, información y soluciones tecnológicas

Riesgos de negocio relacionados con las TI gestionados

S con TI

P

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Alineamiento de TI y la estrategia de negocio

Meta relacionada con las TI - Fila

S

74

APO10

APO11 Gestionar

Gestionar la Calidad con TI P S S

S P S

Optimización de activos, recursos y capacidades de las TI

S S

P S

Conocimiento, experiencia e iniciativas para la innovación de negocio

Personal del negocio y de las TI competente y motivado

tecnología en procesos de negocio

Capacitación y soporte de procesos de negocio integrando aplicaciones y

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

Uso adecuado de aplicaciones, información y soluciones tecnológicas

S

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Proveedores

Riesgos de negocio relacionados con las TI gestionados

los Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Alineamiento de TI y la estrategia de negocio

Meta relacionada con las TI - Fila

S

S

75

Entrega de servicios de TI de acuerdo a los requisitos del negocio Uso adecuado de aplicaciones, información y soluciones tecnológicas

APO12 Gestionar el Riesgo P S S P

APO13 Gestionar la Seguridad P S S P

Personal del negocio y de las TI competente y motivado Conocimiento, experiencia e iniciativas para la innovación de negocio

tecnología en procesos de negocio

Capacitación y soporte de procesos de negocio integrando aplicaciones y

Optimización de activos, recursos y capacidades de las TI

aplicaciones

Seguridad de la información, infraestructuras de procesamiento y

con TI

Compromiso de la dirección ejecutiva para tomar decisiones relacionadas

Alineamiento de TI y la estrategia de negocio

Riesgos de negocio relacionados con las TI gestionados

Meta relacionada con las TI - Fila

S S

Fuente: Elaboración propia

76

EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE REVISIÓN)

Evaluaciones del dominio de gestión Descripción: Resultado de la evaluación de capacidad de todos los proceso del dominio APO. Esta evaluación se realiza para obtener el nivel actual de la empresa. Propósito: Identificar el nivel de capacidad de cada proceso de dominio APO. Alcance: Se consideraron solo los procesos del dominio APO que estén alineados a los objetivos de TI. Asimismo, la evaluación se basó en las listas de revisión adjuntas en el Anexo 2. Para realizar la fase dos se debe analizar el estado actual o nivel de capacidad de los procesos de la empresa en el dominio Alinear, Planear y Organizar. Los Procesos APO comprenden de 13 procesos. Sin embargo, para el análisis de la empresa IT-Expert no se considerara el proceso “APO06Gestionar el Presupuesto y los Costes”, debido a que esta no se alinea a los objetivos de TI de la empresa. Los siguientes cuadros describen los resultados de la evaluación de los procesos APO en la empresa IT-Expert en los siguientes procesos: APO01

Gestionar el Marco de Gestión de TI

APO02

Gestionar la Estrategia

APO03

Gestionar la Arquitectura Empresarial

APO04

Gestionar la Innovación

APO05

Gestionar Portafolio

APO07

Gestionar los Recursos Humanos

APO08

Gestionar las Relaciones

APO09

Gestionar los Acuerdos de Servicio

APO10

Gestionar los Proveedores

APO11

Gestionar la Calidad

APO12

Gestionar el Riesgo

APO13

Gestionar la Seguridad

Hay que tener en cuenta que en cada cuadro tenemos los tres criterios de evaluación con valores porcentuales. Estos valores porcentuales están con color de fondo amarillo y que luego se promedian para obtener el nivel de capacidad de cada proceso en el nivel 1. Para analizar e identificar el valor porcentual tenemos evaluar el proceso mediante listas de revisión que se encuentran en el anexo 2 del presente documento. Criterios de evaluación Meta del Proceso (Os): Estos son los objetivos que se cumplen en cada meta de cada proceso en los dominios de COBIT 5. Para la evaluación se tendrá un nivel de cumplimiento de cada meta del 1 al 4, siendo la escala de la siguiente forma: Nivel Descripción

1

2

3

4

Cumple

en

su

minoría Cumple parcialmente Cumple

en

su

mayoría Cumple totalmente.

Fórmula para obtener el valor porcentual de la Meta proceso del Proceso se usa la siguiente formula, Nivel de Meta (NM):

78

Ejemplo: Para el dominio APO01 el NM1 es 2 y el NM2 es 3

[ ]

[ ]

Prácticas Base (BPs): Estas son las actividades a realizarse en el proceso, estas actividades están dentro de las mejores prácticas en el GEIT. Cada actividad del proceso contiene tareas, para medir el cumplimiento de las actividades con relación a las tareas de cada actividad se evalúa por porcentaje de tareas logradas en cada actividad entre el (0% - 100%). Fórmula para obtener el valor porcentual de las prácticas base se tiene en cuenta el resultado de las listas de revisión mediante el resultado del cumplimiento de las tareas de cada práctica base en la empresa IT-Expert. Luego de obtener los valores de cada práctica base se promedian para obtener el valor porcentual promedio de las prácticas base del proceso, Cumplimiento de práctica base (CPB):

Ejemplo: Para el dominio APO01 el CPB1 es 30%, el CPB2 es 22%, el CPB3 es 13% y el CPB4 es 24%

79

Producto de Trabajo (WPs): El producto de trabajo es el entregable de cada proceso en el dominio APO. Para la evaluación de esta parte se contabilizaran los entregables existentes y los que no existen, (SI - NO). Teniendo en cuenta si se contempla la creación de este producto de trabajo o entregable se contara con un SI y si no se contempla se contara como un NO, Producto Contemplado (PC):

Por medio de estos tres indicadores podremos obtener el grado o alcance en el nivel de capacidad uno23, Cumplimiento (Os) Cumplimiento (BPs) Cumplimiento (WPs).

23

El nivel 1 del Nivel de capacidad es el que sigue del nivel más bajo (nivel 0), el nivel

1 es tomado como base en el proyecto, pues el nivel cero es teniendo en cuenta que no se tiene nada de la empresa IT-Expert que cumpla con los mínimos niveles en las buenas prácticas que se da en empresas que implementan por 1era vez un modelo de gestión. 80

Calificación de la capacidad actual de los procesos seleccionados

APO01 Gestionar el Marco de Gestión de TI Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO01 tiene un total de 46.6% de capacidad en el nivel 1.

Evaluación APO01 APO01

Gestionar el Marco de Gestión de TI

46.6

81

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la Descripción del Proceso Información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Proporcionar un enfoque de gestión consistente que Declaración del Propósito del Proceso

permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias.

Meta del Proceso (Os)

APO01-O1

(1-4) Se ha definido y se mantiene un conjunto eficaz de políticas.

50

3

Todos tienen conocimiento de las políticas y de cómo APO01-O2

deberían

1

Implementarse. Prácticas Base (BPs)

%

APO01-BP1

Definir la estructura organizativa.

50

APO01-BP2

Establecer roles y responsabilidades

85.7

APO01-BP3

Mantener los elementos catalizadores del sistema de gestión

46

22.2

APO01-BP4

Comunicar los objetivos y la dirección de gestión

0

APO01-BP5

Optimizar la ubicación de la función de TI.

100

APO01-BP6

Definir la propiedad de la información (datos) y del 50

82

sistema. APO01-BP7

APO01-BP8

Gestionar la mejora continua de los procesos Mantener el cumplimiento con las políticas y procedimientos

Producto de Trabajo (WPs)

40

20 S/N

APO01-WP1

Políticas relativas a TI

no

APO01-WP2

Acciones de remediación por no cumplimiento

no

APO01-WP3

Evaluación de las opciones para la organización de TI

si

APO01-WP4

Definir la función operacional de las funciones de TI

si

APO01-WP5

Definición de estructura y funciones organizativas

si

APO01-WP6

Directrices operativas de la organización

si

APO01-WP7

Reglas básicas de comunicación

si

APO01-WP8

Definición de roles y responsabilidades relativos a TI

si

APO01-WP9

Definición de prácticas de supervisión

no

APO01-WP10

Evaluaciones de la capacidad de los procesos

no

APO01-WP11

Oportunidades de mejoras de proceso

no

APO01-WP12

Objetivos y métricas de rendimiento para el seguimiento de la mejora de procesos

42.9

no

APO01-WP13

Comunicación de objetivos de TI

no

APO01-WP14

Directrices para la clasificación de datos

no

Fuente: Elaboración propia

83

APO02 Gestionar la Estrategia Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO02 tiene un total de 26.2% de capacidad en el nivel 1. Y pertenece a uno de los procesos que deben ser implementados con más urgencia en la empresa, debido a que se debe tener una gestión y control en la empresa de forma más eficiente y completa.

Evaluación APO02 APO02

Gestionar la Estrategia

26.2

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener Descripción del Proceso

mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno

Declaración del Propósito del corporativo e incluya procesos de gestión, Proceso

estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias.

Meta del Proceso (Os)

(1-4)

30.0

84

APO02-O1

APO02-O2

Todos los aspectos de la estrategia de TI están alineados con la estrategia del negocio. La estrategia de TI es coste-efectiva, apropiada, realista, factible, enfocada al negocio y equilibrada.

2

1

Se pueden derivar objetivos a corto plazo claros, APO02-O3

concretos, y trazables de iniciativas a largo plazo específicas, y se pueden traducir, por tanto, en

1

planes operativos. APO02-O4 APO02-O5

TI es un generador de valor para el negocio. Existe conciencia de la estrategia de TI y una clara asignación de responsabilidades para su entrega.

Prácticas Base (BPs) APO02.01 APO02.02

1 1 %

Comprender la dirección de la empresa. Evaluar el entorno, capacidades y rendimiento actuales.

66.7 25.0

APO02.03

Definir el objetivo de las capacidades de TI.

0.0

APO02.04

Realizar un análisis de diferencias.

0.0

APO02.05

Definir el plan estratégico y la hoja de ruta.

0.0

APO02.06

Comunicar la estrategia y la dirección de TI.

0.0

Producto de Trabajo (WPs)

S/N

APO02-WP1

Fuentes y prioridades para cambios

no

APO02-WP2

Línea de referencia de capacidades actuales

no

APO02-WP3

Diferencias y riesgos relacionados con las capacidades actuales

15.3

33.3

no

85

APO02-WP4

Análisis FODA de capacidades

si

APO02-WP5

Objetivos de TI a alto nivel

si

APO02-WP6

Requerimientos del negocio y capacidades de TI

no

APO02-WP7

Propuesta de cambio en la arquitectura del negocio

no

APO02-WP8

APO02-WP9

Diferencias y cambios requeridos para alcanzar la meta de capacidad Declaración del valor beneficio para el entorno deseado

no

no

APO02-WP10

Definición de iniciativas estratégicas

si

APO02-WP11

Evaluación de riesgo

si

APO02-WP12

Hoja de ruta estratégica

no

APO02-WP13

Plan de comunicación

si

APO02-WP14

Paquete de comunicación

si

Fuente: Elaboración propia

APO03Gestionar la Arquitectura Empresarial Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO03 tiene un total de 14.6% de capacidad en el nivel 1. Y es el segundo proceso que tiene los más bajos niveles en la evaluación del nivel de capacidad. Es importante el proceso para la empresa IT-Expert debido a los diferentes cambios que hay en la arquitectura de la empresa, de ahí la importancia de la implementación de un proceso que gestione la arquitectura empresarial y todos sus cambios.

86

Evaluación APO03 APO03

Gestionar la Arquitectura Empresarial

14.6

Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de Descripción

del

Proceso

partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes

para

los

procesos

de

construcción.

Declaración

del

Propósito

del

Proceso

Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así como los principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible y eficiente de los objetivos operativos y estratégicos.

Meta del Proceso (Os) APO03-O1

(1-4)

25.0

La arquitectura y los estándares son eficaces apoyando a la 1

87

empresa. Todos tienen conocimiento de las políticas y de cómo deberían APO03-O2

implementarse. Existen dominios apropiados y actualizados y/o arquitecturas

APO03-O3

federadas que proveen información fiable de la arquitectura.

1

1

Se utiliza un marco de arquitectura de empresa y una metodología común, así como un repositorio de arquitectura integrado, con el fin 1 APO03-O4

de permitir la reutilización de eficiencias dentro de la empresa.

Prácticas Base (BPs)

%

APO03-BP1

Desarrollar la visión de la arquitectura de empresa.

0.0

APO03-BP2

Definir la arquitectura de referencia.

11.1

APO03-BP3

Seleccionar las oportunidades y las soluciones.

0.0

APO03-BP4

Definir la implantación de la arquitectura.

0.0

APO03-BP5

Proveer los servicios de arquitectura empresarial.

0.0

Producto de Trabajo (WPs)

S/N

APO03-WP1

Alcance de la arquitectura definido

si

APO03-WP2

Principios de arquitectura

no

APO03-WP3

Caso de negocio y propuesta de valor del concepto de arquitectura

no

APO03-WP4

Descripciones de dominio de partida y definición de la arquitectura

si

APO03-WP5

Modelo de arquitectura de procesos

no

APO03-WP6

Modelo de la arquitectura de la información

no

APO03-WP7

Estrategia de Implementación a alto nivel y estrategia de migración

no

2.2

16.7

88

APO03-WP8

Arquitecturas de transición

no

APO03-WP9

Necesidades de recursos

no

APO03-WP10

Descripciones de las fases de implementación

no

APO03-WP11

Requisitos de gobierno de la arquitectura

no

APO03-WP12

Orientación para el desarrollo de soluciones

no

Fuente: Elaboración propia

APO04Gestionar la Innovación Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO04 tiene un total de 12.7% de capacidad en el nivel 1. Este proceso tiene el resultado más bajo debido a que no existe un proceso que contemple la gestión de la innovación. Este proceso será parte del portafolio de procesos a definirse para la empresa IT-Expert.

Evaluación APO04 APO04

Gestionar la Innovación

12.7

89

Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las Descripción Proceso

del oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.

Declaración

del Lograr ventaja competitiva, innovación empresarial y eficacia y

Propósito

del eficiencia operativa mejorada mediante la explotación de los

Proceso

desarrollos tecnológicos para la explotación de la información.

Meta del Proceso (Os)

(1-4)

25.0

El valor de empresa es creado mediante la cualificación y puesta en APO04-O1

escena de los avances e innovaciones tecnológicas más apropiadas, 1 los métodos y las soluciones TI utilizadas. Los objetivos de la empresa se cumplen por la mejora de los

APO04-O2

beneficios de la calidad y/o la reducción de costes como resultado 1 de la identificación e implementación de soluciones innovadoras. La innovación se permite y se promueve y forma parte de la cultura

APO04-O3

de

1

la empresa. Prácticas Base (BPs)

%

APO04-BP1

Crear un entorno favorable para la innovación.

20.0

APO04-BP2

Mantener un entendimiento del entorno de la empresa.

33.3

APO04-BP3

Supervisar y explorar el entorno tecnológico.

25.0

13.1

90

APO04-BP4

Evaluar el potencial de las tecnologías emergentes y las ideas innovadoras.

0.0

APO04-BP5

Recomendar iniciativas apropiadas adicionales.

0.0

APO04-BP6

Supervisar la implementación y el uso de la innovación.

0.0

Producto de Trabajo (WPs)

APO04-WP1

S/N

Oportunidades de innovación vinculadas a los motivadores del negocio

no

APO04-WP2

Análisis de investigación de las posibilidades de innovación

no

APO04-WP3

Evaluación de las ideas de innovación

no

APO04-WP4

Alcance de la prueba de concepto y descripción de los casos de negocio

0.0

no

APO04-WP5

Comprobar los resultados de las iniciativas de pruebas de concepto. no

APO04-WP6

Resultados y recomendaciones de las pruebas de concepto

no

APO04-WP7

Análisis de las iniciativas rechazadas

no

APO04-WP8

Plan de Innovación

no

APO04-WP9

Programa de reconocimiento y recompensa

no

APO04-WP10

Valoración del uso de enfoques innovadores

no

APO04-WP11

Evaluación de los beneficios de la innovación

no

APO04-WP12

Planes de innovación ajustados

no

Fuente: Elaboración propia

APO05Gestionar Portafolio

91

Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO05 tiene un total de 46.6% de capacidad en el nivel 1. Este proceso gestiona los portafolios de activos, se debe implementar el proceso con un alineamiento a los objetivos de la empresa.

Evaluación APO05 APO05

Gestionar Portafolio

29.2

Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y Descripción Proceso

del

equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.

Declaración

del Optimizar el rendimiento del portafolio global de programas en

Propósito

del respuesta al rendimiento de programas y servicios y a las

Proceso

cambiantes prioridades y demandas corporativas.

Meta del Proceso (Os) APO05-O1

(1-4)

25.0

Se ha definido una mezcla apropiada de inversión alineada con la 1

92

estrategia corporativa. APO05-O2

APO05-O3

APO05-O4

APO05-O5

APO05-O6

Fuentes de fondos de inversión identificados y están disponibles. Casos de negocio de programa evaluados y priorizados antes de que se asignen los fondos. Existe una vista precisa y comprensiva del rendimiento de las inversiones del portafolio. Los cambios en el programa de inversiones se reflejan en los portafolios relevantes de servicios, activos y recursos de TI. Los beneficios han sido generados debido a los beneficios de la monitorización.

1

1

1

1

1

Prácticas Base (BPs)

%

APO05-BP1

Establecer la mezcla del objetivo de inversión.

0.0

APO05-BP2

Determinar la disponibilidad y las fuentes de fondos.

APO05-BP3

Evaluar y seleccionar los programas a financiar.

APO05-BP4

Supervisar, optimizar e informar sobre el rendimiento del portafolio de inversiones.

APO05-BP5

Mantener los portafolios.

APO05-BP6

Gestionar la consecución de beneficios.

50.0 0.0

66.7

Producto de Trabajo (WPs)

S/N

APO05-WP1

-

APO05-WP2 APO05-WP3

Mezcla de inversión definida Identificar recursos y capacidades necesarias para soportar la estrategia Observaciones a la estrategia y a las metas

29.2

33.3

no no

93

APO05-WP4

Opciones de financiación

-

APO05-WP5

Expectativas de retorno de inversión

-

APO05-WP6

Casos de negocio de programa

si

APO05-WP7

Evaluaciones de los casos de negocio

no

APO05-WP8

Programas seleccionados con hitos del retorno de inversión (ROI)

-

APO05-WP9

Informes de rendimiento del portafolio de inversiones

-

APO05-WP10

Portafolios de programas, servicios y activos actualizados

si

APO05-WP11

Resultados de los beneficios y comunicaciones relacionadas

-

APO05-WP12

Acciones correctivas para mejorar la producción de beneficio

no

Fuente: Elaboración propia

APO07 Gestionar los Recursos Humanos Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO07 tiene un total de 23.3% de capacidad en el nivel 1. Teniendo en cuenta los objetivos de la empresa virtual IT-Expert, se debe implementar de manera urgente el proceso Gestionar los recursos humanos.

Evaluación APO07

94

APO07

Gestionar los Recursos Humanos

23.3

Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto Descripción del Proceso

incluye

la

comunicación

de

las

funciones

y

responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Declaración del Propósito del Optimizar las capacidades de recursos humanos para Proceso

cumplir los objetivos de la empresa.

Meta del Proceso (Os)

APO07-O1

APO07-O2

(1-4) La estructura organizacional y las relaciones de TI son flexibles y dan respuesta ágil. Los recursos humanos son gestionados eficaz y eficientemente.

Prácticas Base (BPs)

1

1

%

APO07-BP1

Mantener la dotación de personal suficiente y adecuado.

60.0

APO07-BP2

Identificar personal clave de TI.

50.0

APO07-BP3

Mantener las habilidades y competencias del personal.

14.3

APO07-BP4

Evaluar el desempeño laboral de los empleados.

28.6

APO07-BP5 APO07-BP6 Producto de Trabajo (WPs)

Planificar y realizar un seguimiento del uso de recursos humanos de TI y del negocio. Gestionar el personal contratado.

25.0

44.9

66.7 50.0 S/N

25.0

95

APO07-WP1

Evaluaciones de requisitos de personal

no

APO07-WP2

Planes de desarrollo de carrera y de competencias

no

APO07-WP3

Planes de aprovisionamiento de personal

no

APO07-WP4

Matriz de habilidades y competencias

no

APO07-WP5

Planes de desarrollo de habilidades

no

APO07-WP6

Revisión de informes

si

APO07-WP7

Metas personales

no

APO07-WP8

Evaluaciones de desempeño

si

APO07-WP9

Planes de mejora

no

APO07-WP10

Inventario de recursos humanos del negocio y de TI

no

APO07-WP11

Análisis de deficiencias en la obtención de recursos

no

APO07-WP12

Registros de utilización de recursos

si

APO07-WP13

Políticas de contratación de personal

-

APO07-WP14

Acuerdos contractuales

-

APO07-WP15

Revisiones de acuerdos contractuales

-

Fuente: Elaboración propia

APO08 Gestionar las Relaciones Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO08 tiene un total de 29.4% de capacidad en el nivel 1. Este Proceso será definido en la empresa, pues no se contempla en la arquitectura empresarial de IT-Expert.

96

Evaluación APO08 APO08

Gestionar las Relaciones

29.4

Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro Descripción del Proceso

de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.

Declaración del Propósito del Proceso

Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.

Meta del Proceso (Os)

(1-4)

25.0

Las estrategias, planes y requisitos de negocio están APO08-O1

bien

entendidos, 1

documentados y aprobados.

APO08-O2

APO08-O3

Existencia de buenas relaciones entre la empresa y las TI.

1

Las partes interesadas del negocio son conscientes 1 de las oportunidades

97

posibilitadas por la TI. Prácticas Base (BPs) APO08-BP1 APO08-BP2

% Entender las expectativas del negocio. Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio.

14.3 20.0

APO08-BP3

Gestionar las relaciones con el negocio.

40.0

APO08-BP4

Coordinar y comunicar.

75.0

APO08-BP5

Proveer datos de entrada para la mejora continua de los servicios.

Producto de Trabajo (WPs)

29.9

0.0 S/N

APO08-WP1

Expectativas de negocio aclaradas y acordadas

no

APO08-WP2

Acuerdo en los siguientes pasos y planes de acción

no

APO08-WP3

Decisiones claves acordadas

no

APO08-WP4

Estado de las quejas y del escalado

si

APO08-WP5

Plan de comunicación

si

APO08-WP6

Paquetes de comunicación

si

APO08-WP7

Respuestas de los clientes

no

APO08-WP8

Análisis de satisfacción

no

APO08-WP9

Definición de proyectos de mejora potencial

no

33.3

Fuente: Elaboración propia

APO09 Gestionar los Acuerdos de Servicio

98

Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO09 tiene un total de 56.3% de capacidad en el nivel 1. Este nivel es el más alto del proceso y representa un nivel con objetivos y metas altamente alcanzados.

Evaluación APO09 APO09

Gestionar los Acuerdos de Servicio

56.3

Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la Descripción del Proceso

empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.

Declaración del Propósito del Proceso

Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.

Meta del Proceso (Os)

APO09-O1

APO09-O2

APO09-O3

(1-4) La empresa puede usar de modo efectivo los servicios TI tal como se han definido en el catálogo. Los acuerdos de servicio reflejan las capacidades y necesidades de la TI

25.0

1

1

Los servicios TI rinden como está estipulado en los 1

99

acuerdos de servicio. Prácticas Base (BPs)

%

APO09-BP1

Identificar servicios TI.

33.3

APO09-BP2

Catalogar servicios basados en TI.

66.7

APO09-BP3

Definir y preparar acuerdos de servicio.

80.0

APO09-BP4

Supervisar e informar de los niveles de servicio.

40.0

APO09-BP5

Revisar acuerdos de servicio y contratos.

100.0

Producto de Trabajo (WPs)

APO09-WP1

S/N Carencias identificadas de los servicios TI de cara al negocio

64.0

80.0

no

APO09-WP2

Definición de servicios estándar

si

APO09-WP3

Definición de servicios

si

APO09-WP4

Portafolio de servicios de actualizado

si

APO09-WP5

Catálogos de servicio

si

APO09-WP6

Acuerdos de nivel de servicio

si

APO09-WP7

Acuerdos de nivel operativos (OLAs).

si

APO09-WP8

Informes de rendimiento del nivel de servicio

si

APO09-WP9

Planes de acción de mejora y remedio

no

APO09-WP10

SLAs actualizados

si

Fuente: Elaboración propia

APO10 Gestionar los Proveedores 100

Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO10 tiene un total de 41.2% de capacidad en el nivel 1.

Evaluación APO10 APO10

Gestionar los Proveedores

41.2

Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de Descripción del Proceso

los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.

Declaración del Propósito del Minimizar el riesgo de proveedores que no rindan y Proceso

asegurar precios competitivos.

Meta del Proceso (Os) APO10-O1

APO10-O2 APO10-O3

(1-4) Los proveedores rinden según lo acordado. El riesgo de los proveedores se evalúa y trata adecuadamente. TI. Las relaciones con los proveedores son eficaces.

25.0

1

1 1

101

Prácticas Base (BPs)

APO10-BP1

% Identificar y evaluar las relaciones y contratos con proveedores.

50.0

APO10-BP2

Seleccionar proveedores.

50.0

APO10-BP3

Gestionar contratos y relaciones con proveedores.

42.9

APO10-BP4

Gestionar el riesgo en el suministro.

50.0

APO10-BP5

Supervisar el cumplimiento y el rendimiento del proveedor.

Producto de Trabajo (WPs)

50.0

S/N

APO10-WP1

Relevancia del contratista y criterios de evaluación

-

APO10-WP2

Catálogo de proveedores

si

APO10-WP3

Revisiones potenciales de los contratos con los proveedores Roles y responsabilidades de los proveedores

si

APO10-WP5

Procesos de revisión y comunicación

si

APO10-WP6

Resultados y sugerencias de mejora

no

APO10-WP7

Identificar el riesgo de entrega del proveedor

no

APO10-WP9

APO10-WP10

Identificar requisitos contractuales para minimizar riesgo Criterios de supervisión del cumplimiento de los proveedores Resultados de las revisiones de la supervisión del cumplimiento de os proveedores

50.0

no

APO10-WP4

APO10-WP8

48.6

-

-

-

102

APO10-WP11 APO10-WP12 APO10-WP13

Solicitudes de Información (RFIs) y peticiones de propuestas (RFPs) a proveedores Evaluaciones de RFIs y RFPs

-

Resultados decididos tras las evaluaciones de proveedores

-

Fuente: Elaboración propia

APO11 Gestionar la Calidad Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO011 tiene un total de 34.8.6% de capacidad en el nivel 1. Este nivel es alto de forma relativa, pero tiene un valor P-Parcialmente alcanzado lo que nos indica que debe ser realizada la oportunidad de mejora con urgencia, esta oportunidad de mejora será la definición del proceso que no existe en la empresa IT-Expert.

Evaluación APO11 APO11

Gestionar la Calidad

34.8

Definir y comunicar los requisitos de calidad en todos Descripción del Proceso

los

procesos,

relacionados

de

procedimientos la

y

resultados

organización,

incluyendo

controles, vigilancia constante y el uso de prácticas 103

probadas y estándares de mejora continua y esfuerzos de eficiencia. Asegurar la entrega consistente de soluciones y Declaración del Propósito del servicios que cumplan con los requisitos de la Proceso

organización y que satisfagan las necesidades de las partes interesadas.

Meta del Proceso (Os)

(1-4)

25.0

Las partes interesadas están satisfechas con la APO11-O1

calidad

de

los

servicios 1

y las soluciones. Los resultados de los proyectos y de los servicios APO11-O2

entregados

son 1

predecibles. APO11-O3

Los requisitos de calidad están implementados en todos los procesos.

Prácticas Base (BPs) APO11-BP1

APO11-BP2

1

% Establecer un sistema de gestión de la calidad (SGC). 12.5 Definir y gestionar los estándares, procesos y prácticas de calidad.

0.0

APO11-BP3

Enfocar la gestión de la calidad en los clientes.

APO11-BP4

Supervisar y hacer controles y revisiones de calidad. 71.4

APO11-BP5

APO11-BP6 Producto de Trabajo (WPs)

29.5

Integrar la gestión de la calidad en la implementación de soluciones y la entrega de servicios. Mantener una mejora continua

16.7

33.3

42.9 S/N

50.0

104

APO11-WP1

Roles, responsabilidades y capacidades de decisión del SGC.

no

APO11-WP2

Planes de gestión de la calidad

si

APO11-WP3

Resultados de la revisiones de eficacia del SGC

no

APO11-WP4

Estándares de gestión de la calidad

no

APO11-WP5

Requisitos de los clientes para la gestión de la calidad no

APO11-WP6

Criterios de aceptación

APO11-WP7 APO11-WP8

APO11-WP9

APO11-WP10 APO11-WP11

APO11-WP12

APO11-WP13

APO11-WP14

Revisión de los resultados de la calidad de los servicios, incluyendo la opinión de los clientes. Resultados de las revisiones y auditorias de calidad Metas y métricas del proceso de calidad de los servicios Resultados de la supervisión de la calidad de los servicios y las soluciones entregados Causas raíz de los fallos en la calidad de la entrega Comunicaciones sobre las mejores prácticas y la mejora continua Ejemplos de las mejores prácticas para ser compartidos. Resultados de revisiones de análisis comparativos de la calidad

si

si si

si

si no

no

no

si

Fuente: Elaboración propia

APO12 Gestionar el Riesgo

105

Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO012 tiene un total de 38.0% de capacidad en el nivel 1.Este resultado nos muestra que debemos implementar el proceso en la empresa.

Evaluación APO12 APO12

Gestionar el Riesgo

38.0

Identificar, evaluar y reducir los riesgos relacionados Descripción del Proceso

con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Integrar la gestión de riesgos empresariales

Declaración del Propósito del Proceso

relacionados con TI con la gestión de riesgos empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales relacionados con TI.

Meta del Proceso (Os)

APO12-O1 APO12-O2

(1-4) El riesgo relacionado con TI está identificado, analizado, gestionado y reportado. Existe un perfil de riesgo actual y completo.

25.0

1 1

106

APO12-O3

APO12-O4

Todas las acciones de gestión para los riesgos significativos están gestionadas y bajo control. Las acciones de gestión de riesgos están efectivamente implementadas.

Prácticas Base (BPs)

1

1 %

APO12-BP1

Recopilar datos.

42.9

APO12-BP2

Analizar el riesgo.

57.1

APO12-BP3

Mantener un perfil de riesgo.

57.1

APO12-BP4

Expresar el riesgo.

20.0

APO12-BP5 APO12-BP6

Definir un portafolio de acciones para la gestión de riesgos. Responder al riesgo.

Producto de Trabajo (WPs)

APO12-WP1

APO12-WP2

66.7 50.0 S/N

Datos en el entorno de operación relacionados con el riesgo Datos en eventos de riesgo y en factores contribuyentes

no

Elementos y factores de riesgo emergentes

no

APO12-WP4

Alcance de los esfuerzos de análisis de riesgos

si

APO12-WP5

Escenarios de riesgo de TI

si

APO12-WP6

Resultados de análisis de riesgos

si

Escenarios de riesgo documentados por línea de negocio y función

40.0

no

APO12-WP3

APO12-WP7

49.0

no

107

APO12-WP8

APO12-WP9

APO12-WP10

Perfil de riesgo agregado, incluyendo el estado de las acciones de gestión del riesgo Análisis de riesgos e informes del perfil de riesgos para las partes interesadas Revisión de resultados de evaluaciones de riesgos de terceras partes

si

no

no

APO12-WP11

Oportunidades para la aceptación de un riesgo mayor no

APO12-WP12

Propuestas de proyecto para reducir el riesgo

APO12-WP13

Planes de respuesta para incidentes relacionados con el riesgo

si si

APO12-WP14

Comunicaciones del impacto del riesgo

no

APO12-WP15

Causas raíz relacionadas con el riesgo

no

Fuente: Elaboración propia

APO13Gestionar la Seguridad Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO13 tiene un total de 27.1% de capacidad en el nivel 1. Un nivel muy bajo para este proceso, esto requiere una definición del proceso ya que no se encuentra dentro de los procesos de la empresa IT-Expert.

108

Evaluación APO13 APO13

Descripción del Proceso

Declaración del Propósito del Proceso

Gestionar la Seguridad

27.1

Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.

Meta del Proceso (Os)

(1-4)

25.0

Está en marcha un sistema que considera y trata APO13-O1

efectivamente

los

requerimientos de seguridad de la información de la

1

empresa. Se ha establecido, aceptado y comunicado por toda la APO13-O2

empresa

un

plan 1

de seguridad. Las soluciones de seguridad de la información están APO13-O3

implementadas

y 1

operadas de forma consistente en toda la empresa. Prácticas Base (BPs) APO13-BP1 APO13-BP2

APO13-BP3 Producto de Trabajo (WPs)

% Establecer y mantener un SGSI. Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información. Supervisar y revisar el SGSI.

22.9

0.0 28.6

40.0 S/N

33.3

109

APO13-WP1

Política de SGSI

si

APO13-WP2

Declaración de alcance del SGSI

no

Plan de tratamiento de riesgos de seguridad de la

APO13-WP3

información

si

APO13-WP4

Casos de negocio de seguridad de información

no

APO13-WP5

Informes de auditoría del SGSI

no

APO13-WP6

Recomendaciones para mejorar el SGSI

no

Fuente: Elaboración propia

Resumen de calificación de la capacidad actual de los procesos seleccionados Descripción: Resumen de la calificación de la capacidad actual de los procesos seleccionados. Este cuadro reúne el alcance en valores cuantitativo el alcance en el nivel 1 de los procesos en el domino APO. Cada valor de alcance está representado por letras que a su vez son la representación de cada rango porcentual del alcance alcanzado por proceso. Propósito: Mostrar de manera resumida el nivel de capacidad de cada proceso, así como, la escala obtenida. Esto nos brinda una visión general del alcance de cada proceso en el nivel uno. Nivel

Valor

Descripción

N

0%-15%

No Alcanzado

P

15%-50%

Parcialmente Alcanzado

L

50%-85%

Ampliamente Alcanzado

F

85%-100%

Completamente Alcanzado

110

Asimismo, nos indica los procesos en que la empresa obtiene un nivel muy bajo y alto, las partes en que debemos trabajar más y en las que estamos con un buen nivel de capacidad.

Alcance: Solo se consideraron los procesos seleccionados y el nivel 1 de capacidad N 0%-15%

F 85%-100%

L 50%-85%

P 15%-50%

Tabla 11: Calificación de la capacidad actual de los procesos seleccionados Calificación de la capacidad actual de los procesos seleccionados Nivel de Capacidad del Proceso ID

Nombre del Proceso

¿En

Proceso

alcance?

0

Nivel

Nivel

Nivel

Nivel

Nivel

1

2

3

4

5

APO01

Gestionar el Marco de Gestión de TI SI

P

APO02

Gestionar la Estrategia

SI

P

SI

N

Gestionar

Alinear, Planear y Organizar

el Nivel

la

Arquitectura

APO03

Empresarial

APO04

Gestionar la Innovación

SI

N

APO05

Gestionar Portafolio

SI

P

APO06

Gestionar el Presupuesto y los Costes

NO

APO07

Gestionar los Recursos Humanos

SI

P

APO08

Gestionar las Relaciones

SI

P

APO09

Gestionar los Acuerdos de Servicio

SI

L

APO10

Gestionar los Proveedores

SI

P

APO11

Gestionar la Calidad

SI

P

APO12

Gestionar el Riesgo

SI

P

111

APO13

Gestionar la Seguridad

SI

P

Fuente: Elaboración propio

Para esta fase se concluye que el valor actual de la empresa IT-Expert en el nivel 1 de los niveles de capacidad de COBIT enfocados en los procesos que el marco propone , en este caso el primer nivel de gestión APO, es muy bajo, pues en 9 de los 12 proceso que se están considerando tiene un nivel de capacidad de P-Parcialmente alcanzado, en los procesos 3 y 4 los niveles alcanzados son N-No alcanzado y solo un proceso, el proceso 9, tiene un nivel L-Altamente alcanzado. Esta información es la entrada para poder definir el nivel de capacidad deseado en todos los procesos APO y las oportunidades de mejora que deben realizarse mediante el plan de implementación para la empresa ITExpert.

112

FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO En esta fase se establecen los objetivos de mejora en base a un análisis de brechas entre el nivel de capacidad actual de los procesos y el deseado, el estado actual de la empresa se obtiene mediante una evaluación de nivel de capacidad mediante la herramienta PAM del marco de referencia COBIT 5. Algunas de las soluciones propuestas serán fácilmente aplicables, mientras que otras serán un reto. Es necesario priorizar las soluciones que son más fáciles de alcanzar y que aparentemente aportan mayores beneficios. Posteriormente se debe describir un plan de alto nivel con las potenciales soluciones.

NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS Descripción: Diagrama que indica el nivel de capacidad deseado en cada proceso. Propósito: Mostrar la brecha entre la nivel actual y el nivel deseado. Alcance: Solo se consideraron los procesos seleccionados. Como primera actividad de esta fase se ha definido cuál va a ser el nivel de capacidad que se quiere lograr alcanzar mediante este proyecto. Se ha tomado en cuenta los procesos evaluados en la fase anterior, es decir, los que tienen una relación del tipo primario con logro de las metas relacionadas a TI. En el gráfico a continuación, se puede observar el nivel de capacidad actual de los procesos dentro del alcance y el nivel deseado para cada uno de ellos. Ilustración 17: Nivel de capacidad de los procesos de la empresa IT-Expert

113

Fuente: Elaboración propia

NIVEL DESEADO NIVEL ACTUAL

Se puede apreciar que la mayoría de los procesos tienen una calificación P (Parcialmente Alcanzado) a excepción del proceso APO09 en el nivel de capacidad uno. Según el modelo de evaluación elegido (PAM), para alcanzar un nivel de capacidad dos es necesario primero tener una calificación L (Largamente Alcanzado) o F (Completamente Alcanzado) en el nivel de capacidad uno. Por ese motivo, se ha decidido que el nivel de capacidad deseado es el nivel uno, pero con una calificación aprobatoria necesaria para que en un futuro se pueda apuntar al nivel siguiente. Lo que se quiere alcanzar al finalizar este proyecto es que los procesos obtengan una calificación F en el nivel uno de capacidad.

LISTA DE OPORTUNIDADES DE MEJORA Descripción: Contiene la relación de oportunidades de mejoras obtenidas del análisis de brechas de los niveles de capacidad actuales y deseados. Propósito: La implementación de las oportunidades de mejora sirve para alcanzar el nivel de capacidad deseado.

114

Alcance: Propuestas de mejora para todos los procesos del dominio APO Para alcanzar la calificación definida en el punto anterior, se han identificado una serie de oportunidades de mejora, las cuales serán listadas en el siguiente cuadro.

Tabla 12: Lista de oportunidades de mejora para la empresa IT-EXPERT CODIGO

NOMBRE

DESCRIPCION

OP01

Rediseño del modelo de Se rediseñan los procesos ya implementados en la empresa, procesos

teniendo en cuenta las prácticas de gestión propuestas por COBIT 5. Así como otros marcos de referencias y estándares con los cuales se relaciona COBIT.

OP02

Modelado de procesos

Se modelaran los procesos que no se encuentren definidos como parte de la propuesta del modelo de gestión.

OP03

Definición de políticas

Se crearan las políticas necesarias para la supervisión y control del cumplimiento de los objetivos estratégicos y el alineamiento de estos objetivos con los objetivos de TI.

OP04

Creación de plantillas de Elaboración de plantillas de los entregables sugeridos por COBIT entregables

para cada proceso de gestión con el fin de facilitar la implementación del modelo propuesto.

OP05

Implementación

de

un Conjunto de procedimientos documentados necesarios para

sistema de gestión de implantar la Gestión de la Calidad, partiendo de una estructura calidad

organizativa y de unos recursos determinados. Basado en la ISO 9001

OP06

Implementación

de

un Conjunto de políticas sobre la gestión de la información, Basado

sistema de seguridad de la en la ISO 27001 información Fuente: Elaboración propia

115

Algunas de las mejoras afectan a varios procesos, mientras que otras solo ayudan a mejorar la calificación de ciertos procesos específicos. A continuación, se muestra el alcance con relación a los procesos de cada una de las oportunidades de mejoras identificadas. Tabla 13: Mapeo Procesos APO - Oportunidades de Mejora de la empresa IT-Expert Mapeo Procesos APO - Oportunidades de Mejora Oportunidades de mejora Procesos

OP01 OP02 OP03 OP04 OP05 OP06

APO01 APO02 APO03 APO04 APO05 APO07 APO08 APO09 APO10 APO11 APO12 APO13 Fuente: Elaboración propia

Ahora que se cuenta con las oportunidades de mejora identificadas, es

necesario

priorizarlas. Para esto, se definido utilizar un método de priorización basado en la 116

dificultad de la implantación y el impacto en la organización. De esta manera, se logrará identificar que oportunidades de mejora son las que son más fáciles de aplicar y mejores beneficios aportan.

Dificultad de la Implantación La dificultad en la implantación de una acción de mejora puede ser un factor clave a tener en cuenta, puesto que puede llegar a determinar la consecución, o no, del mismo. Se procederá a priorizarlas de menor a mayor grado de dificultad. Dificultad 1 MUCHA 2 BASTANTE 3 POCA 4 NINGUNA

Impacto en la Organización Se define como el resultado de la actuación a implantar, medido a través del grado de mejora conseguido (un cambio radical tiene un impacto mucho mayor que pequeños cambios continuos). Es importante también tener en cuenta el grado de despliegue al que afecta la medida. Si ésta afecta a varias titulaciones su impacto será mayor y la prioridad también deberá serlo. Impacto 1 NINGUNO 2 POCO 3 BASTANTE 4 MUCHO

Prioridad de la Mejora La prioridad será calcula mediante la suma del valores determinados de la dificultad de implantación y el impacto en la organización de la oportunidad de mejora.

PRIORIDAD = DIFICULTAD + IMPACTO

117

A continuación se muestra el resultado de aplicar este método de priorización, del cual se puede apreciar que las oportunidades de mejora con un nivel de prioridad alto son: “OP01-Rediseño del modelo de procesos de procesos” y “OP02-Modelado de procesos”.

Tabla 14: Priorización de oportunidades de mejora para la empresa IT-Expert Priorización de oportunidades de mejora Procesos

Dificultad Impacto Prioridad

OP01

4

4

8

OP02

3

4

7

OP03

1

3

4

OP04

2

3

5

OP05

1

3

4

OP06

1

3

4

Fuente: Elaboración propia

CUADRO INTEGRADO DE MEJORA Descripción: Cuadro de resumen que integra la calificación del nivel de capacidad actual de los procesos, el nivel deseado y las oportunidades de mejora identificadas en el punto anterior. Propósito: Mostrar de manera resumida los tres puntos anteriormente desarrollados. Alcance: solo se utilizaron como datos de entrada los tres puntos anteriormente desarrollados.

118

El siguiente cuadro muestra nos da una visión global de todo lo desarrollado en esta fase. Se puede apreciar la calificación del nivel de capacidad evaluado de cada proceso, así como, la calificación del nivel deseado. También, se aprecia las oportunidades de mejoras y su impacto sobre los procesos a mejorar, así como, su prioridad en base al color de cada una.

119

Tabla 15: Cuadro integrado de mejora para la empresa IT-Expert Cuadro integrado de mejora

Alinear, Planear y Organizar

ID Proceso

Nombre del Proceso

Oportunidades de mejora

Nivel 1

Nivel

Nivel

Nivel

Nivel

2

3

4

5

Nivel Deseado

APO01

Gestionar el Marco de Gestión de TI

OP01

OP03

OP04

P

Nivel 1 (F)

APO02

Gestionar la Estrategia

OP02

OP03

OP04

P

Nivel 1 (F)

APO03

Gestionar la Arquitectura Empresarial

OP01

OP03

OP04

N

Nivel 1 (F)

APO04

Gestionar la Innovación

OP01

OP03

OP04

N

Nivel 1 (F)

APO05

Gestionar Portafolio

OP01

OP03

OP04

P

Nivel 1 (F)

APO07

Gestionar los Recursos Humanos

OP02

OP04

P

Nivel 1 (F)

APO08

Gestionar las Relaciones

OP01

OP03

OP04

P

Nivel 1 (F)

APO09

Gestionar los Acuerdos de Servicio

OP01

OP03

OP04

L

Nivel 1 (F)

APO10

Gestionar los Proveedores

OP01

OP03

OP04

P

Nivel 1 (F)

APO11

Gestionar la Calidad

OP02

OP04

OP05

P

Nivel 1 (F)

APO12

Gestionar el Riesgo

OP02

OP04

P

Nivel 1 (F)

APO13

Gestionar la Seguridad

OP02

OP03

P

Nivel 1 (F)

OP04

OP06

Fuente: Elaboración propia

Leyenda OP

Número de la oportunidad de mejora asociado es de alto nivel

OP

Número de la oportunidad de mejora asociado es de medio nivel

OP

Número de la oportunidad de mejora asociado es de bajo nivel

120

PLAN DE MEJORAMIENTO DE ALTO NIVEL Descripción: Plan de alto nivel para la implementación de las mejoras identificadas en el análisis de brechas. Propósito: Sirve de guía para el desarrollo de un plan de implementación detallado de las mejoras e identificadas Alcance: Abarca la implementación de las oportunidades de mejora OP01 “Rediseño del modelo de procesos de procesos”, OP02 “Modelado de procesos” y OP4 “Creación de plantillas de entregables” Una vez priorizadas las oportunidades de mejoras, se realiza un plan de mejoramiento de alto el cual debe contener la hoja de ruta que indicará cuándo y cuánto tiempo tomará la implantación de cada oportunidad de mejora presentes en el alcance del plan. El alcance del plan de mejoramiento abarca las oportunidades de mejora: “OP01-Rediseño del modelo de procesos de procesos”, “OP02-Modelado de procesos” y “OP04Creación de plantillas de entregables “, las cuales se desarrollarán en el ciclo académico 2014-2 según la siguiente hoja de ruta. Tabla 16: Hoja de ruta del proyecto IMGETI Hoja de ruta Semana 1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

OP01 OP02 OP04 Fuente: Elaboración Propia

Las oportunidades de mejoras principales son el resultado de haber realizado una evaluación teniendo en cuenta la dificultad de la implementación de la oportunidad de 121

mejora y el impacto positivo que puede causar está a la empresa IT-Expert. En esta fase se crea un plan de mejoramiento de alto nivel que contiene las oportunidades de mejoras principales obtenidas, para luego definir planes o programas de mejoras específicos que luego de una evaluación serán puestos en marcha en la fase cinco. Cada plan o programa de mejora detallado está relacionado a los diferentes habilitadores del modelo COBIT5. En este sentido, el plan de mejora detallado que brinde mayor valor y facilite el cumplimento de los objetivos de la empresa será el elegido para la implementación.

122

FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS La fase cuatro del proyecto IMGETI se enfoca en la definición de los planes de mejora detallados o programas que se proponen para la empresa IT-Expert a partir de las soluciones de alto nivel. Además, en este proceso se define cuál de estos programas propuestos provee mayor valor a la empresa y que ayude al cumplimiento de los objetivos estratégicos, con la priorización de las iniciativas potenciales se deben desarrollar proyectos de grandes beneficios y fáciles de implementar. Además, con el fin de evitar la duplicación de esfuerzos se debe mantener reuniones con los Jefes de diferentes proyectos y la gerencia de IT-Expert.

Priorizar las iniciativas potenciales Para realizar la justificación del proyecto IMGETI se definen con la Gerencia de la empresa que procesos van a ser revisados sin cruzar información con los diferentes proyectos que se implementaran. La empresa cuenta con dos procesos, Gestión de Riesgo y Gestión de Servicios, existentes que serán redefinidos e implementados por un proyecto. Además, hay otros proyectos relacionados a la Seguridad de Información y Arquitectura empresarial de IT-Expert que usaran diferentes Marcos de referencias, Normas o Frameworks. Finalmente existe un proyecto que implementara el dominio de DSS (Entregar, dar Servicio y Soporte) de COBIT 5, para este último se tuvo en cuenta un grupo de actividades y reuniones que ayudan a tener los proyectos con el marco COBIT 5 alineados y comunicados. Para el resto de proyectos se realiza una matriz que describe la relación que hay entre COBIT5 y las diferentes herramientas utilizadas por estos proyectos. Ya que COBIT 5 es un marco de referencia que en su desarrollo consideró estándares y marcos de referencia24, se realizó un mapeo de herramientas para entender la relación e

24

“COBIT 5 se desarrolló teniendo en cuenta un número considerable de estándares y

marcos de referencia” Cfr. COBIT Un marco de negocio para el gobierno y la gestión de las TI de la empresa 2012:60 123

integración entre la parte estratégica de la empresa y los proyectos de implementación que no están basados en COBIT 5. Tabla 17: Mapeo de COBIT5 vs Herramientas COBIT 5

ISO/IEC 20000

APO01 Gestionar marco

ISO/IEC 27002

ITIL V3 2011

OTROS

el 3.1

6. Organización 25. 7 Pasos para

de Responsabilidad

de la Seguridad la

gestión de TI

de la dirección de 4.4

Mejora

de

la Procesos

Mejora Información

continua APO02 Gestionar estrategia

la 4.0 Planificación e

1 Creación de la Estrategia

implementación de la gestión del servicio 5.0 Planificación e implementación de

servicios

nuevos

o

modificados

124

COBIT 5

ISO/IEC 20000

APO03 Gestionar

la

ISO/IEC 27002

ITIL V3 2011

OTROS El

núcleo

arquitectura

TOGAF

es

empresarial

Método

de el de

Desarrollo de la Arquitectura (ADM Architecture Development Method

en

inglés) que está relacionado con las prácticas de desarrollo de una visión

de

la

arquitectura (ADM Fase A), con la definición de arquitecturas de

referencia

(ADM Fases B, C, D),

con

selección

la de

oportunidades y soluciones (ADM Fase E) y con la definición de la implementación de

la

arquitectura (ADM Fases F,

125

COBIT 5

ISO/IEC 20000

ISO/IEC 27002

ITIL V3 2011

OTROS G). Varios de los componentes de TOGAF

se

corresponden con las prácticas de COBIT 5 de provisión

de

servicios

de

arquitectura empresarial. Entre

ellas

se

incluyen

la

Gestión

de

Requerimientos ADM, Principios de

la

Arquitectura, Gestión

de

Partes Interesadas, Evaluación de la Preparación para la Transformación del

Negocio,

Gestión

de

Riesgos, Planificación Basada

en

Capacidad,

126

COBIT 5

ISO/IEC 20000

ISO/IEC 27002

ITIL V3 2011

OTROS Cumplimiento de Arquitectura

y

Contratación en Arquitectura.

APO04 Gestionar

la

innovación APO05 Gestionar portafolio

el 3.1

3. Gestión del Marco

Responsabilidad

Portafolio

de la Dirección

Servicios

de

de Habilidades para la

Era

de

la

4.0 Planificación

Información

e

(Skills

implementación

Framework

de la gestión del

the Information

servicio

Age, SFIA)

5.0 Planificar e 127

for

COBIT 5

ISO/IEC 20000

ISO/IEC 27002

ITIL V3 2011

OTROS

implementar servicios nuevos o modificados

APO06 Gestionar

el 1.4.

2.

presupuesto y Presupuestar los costes

contabilizar

y

Gestión

Financiera

los

servicios de TI APO07 Gestionar los

8. Seguridad de

SFIA - Referencia

recursos

los

de habilidades

humanos

Humanos

APO08 Gestionar las 7.2 Gestión de relaciones

las

relaciones

Recursos

2 Gestión de la Demanda

con el negocio APO09 Gestionar los 5.0 Planificar e acuerdos servicio

de implantar

2. Gestión de la Demanda

servicios nuevos

3. Gestión de la

o

Cartera

modificados

de

6.0 Gestión del

Servicios

nivel del servicio

5. Gestión del Catálogo

de

Servicios 6. Gestión del Nivel del Servicio 26. Informes del 128

COBIT 5

ISO/IEC 20000

ISO/IEC 27002

ITIL V3 2011

OTROS

Servicio

APO10 Gestionar los 7.3 Gestión de proveedores

proveedores

11. Gestión de Cuerpo proveedores

de

Conocimiento de Gestión

de

Proyectos (Project Management Body

of

Knowledge

-

PMBOK) Procesos

de

adquisiciones del PMBOK APO11 Gestionar calidad

la

ISO/IEC 9001:2008

129

COBIT 5

ISO/IEC 20000

APO12 Gestionar

el

riesgo

ISO/IEC 27002

ITIL V3 2011

OTROS

ISO/IEC

ISO/IEC

27002:2011

27001:2005 Sistemas gestión

de de

la

seguridad

de

información— Requerimientos, Sección

4

ISO/IEC 31000 6. Procesos para la Gestión

del

Riesgo APO13 Gestionar seguridad

la

ISO/IEC

Diseño

de ISO/IEC

27002:2011

Servicio,

4.7 27001:2005

Gestión

de

la Sistemas

Seguridad de la gestión Información.

de de

la

seguridad

de

información— Requerimientos, Sección NIST

4 (National

Institute Standards

of and

Technology) SP800-53 Controles

de

Seguridad Recomendados para Sistemas de Información 130

COBIT 5

ISO/IEC 20000

ISO/IEC 27002

ITIL V3 2011

OTROS Federales EE.UU.

Fuente: Elaboración propia

Mediante esta tabla de relación que hay entre el Marco de referencia COBIT5 y las demás herramientas Se podrá obtener la relación que existe entre las herramientas usadas por los diferentes proyectos de la empresa IT-Expert y el proyecto IMGETI basado en COBIT5 y así ver cómo se puede trabajar de forma integral con los demás proyectos. Luego de realizar una reunión con los demás proyectos y coordinar con la gerencia de IT-Expert y el Cliente Gerente se definieron los procesos que se propusieron en el proyecto IMGETI:

Oportunidades de Mejora Modelo de procesos Gestionar el marco gestión de TI Rediseño de modelo de procesos Gestionar la arquitectura empresarial 131

de

Gestionar Portafolio Gestionar los Recursos Humanos

Cada proceso representa un plan de mejora detallado, la selección de estos procesos fue el resultado de reuniones en las que se tomó en cuenta principalmente el valor que su implementación daría a la empresa. A continuación se presentarán las definiciones de procesos que se proponen a la empresa IT-Expert, las cuales han sido revisadas por la empresa de apoyo Quality Services. La definición de procesos del segundo nivel están anexadas en el documento, estos procesos presentan la las actividades correspondientes al modelo COBIT5.

Procesos propuestos para implementación

DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI Descripción Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Propósito Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno

corporativo

e

incluya

procesos

de

gestión,

estructuras,

roles

y

responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. Alcance Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar) 132

Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión del marco de gestión de TI. Definir la estructura organizativa. Establecer roles y responsabilidades. Mantener los elementos catalizadores del sistema de gestión. Comunicar los objetivos y la dirección de gestión. Optimizar la ubicación de la función de TI. Definir la propiedad de la información (datos) y del sistema. Gestionar la mejora continua de los procesos. Mantener el cumplimiento con las políticas y procedimientos.

Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol Gestor

Descripción de Implementar

arquitectura de TI

procesos.

Área funcional la

redefinición

Rediseño

de

de Operaciones

procesos

priorizando las iniciativas para la mejora del proceso y rediseñar los procesos para cumplir con las políticas y procedimientos. Analista de riesgos

Aplicar las medidas necesarias para Riesgo de operaciones mantener

un

control

de

riesgos,

133

Rol

Descripción

Área funcional

garantizar un adecuado control en los procesos. Analista seguridad

de Aplicar los objetivos de TI a la Seguridad de información seguridad

de

información

en

la

empresa, las medidas de mejora para la seguridad de información y adoptar las acciones necesarias para realizar los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos. Gerente alumno

Encargado de desarrollar diferentes Gerencia actividades

como

actividades

en

desarrollar la

las

definición,

alineación y el establecimiento de una estructura organizativa, definir los roles y las responsabilidades, integrar los principios de TI con los del negocio entre otras actividades. Gerente servicios

de Considerar las maneras de mejorar la Gerencia eficiencia mediante la priorización de acciones

para

continua

y

realizar

adoptar

la

las

mejora acciones

necesarias para realizar el soporte de servicios adoptando las políticas y procedimientos propuestos.

Stakeholders Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Comité

Toma de decisiones y gobierno de la empresa IT-Expert

134

Gerente general

Gerente de la empresa que requiere la información a nivel estratégica desplegada para su consulta.

Gerente profesor

Encargado de aprobación y consulta sobre los diferentes procesos en la empresa IT-Expert

Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entradas

Descripción

Encargado

de

Elaboración Modelo de arquitectura de Modelo de arquitectura de procesos para la definición Gobierno - Comité de procesos en la empresa IT-Expert.

procesos Niveles

de

autoridad Niveles de autoridad a cada usuario asignado a los Gobierno - Comité diferentes roles en la empresa IT-Expert.

asignados

Roles y responsabilidades Roles, Perfiles y Responsabilidades asignados a los Gerencia diferentes procesos en la empresa IT-Expert.

asignados Principios

de

gobierno Reglas de negocio con la cultura y principios por Gobierno - Comité

corporativo

parte del Gobierno y comité de las empresas.

Comunicación de gobierno Información con los diferentes requerimientos de Gobierno - Comité corporativo

parte del Gobierno y comité de las empresas.

Principios, Comunicados y Principios, comunicados y políticas de la dirección Gobierno - Comité Políticas

de la empresa por el Gobierno y comité de las empresas.

Estrategia del negocio

Estrategia de negocio de las empresa, contienen los Gobierno - Comité objetivos de negocio y requerimientos de las partes interesadas.

Políticas y procedimientos

Políticas y procedimientos para identificar los Gerencia procesos críticos.

135

Entradas

Descripción

Encargado

de

Elaboración Políticas

Políticas y procedimientos

y

procedimientos

para

realizar

el Gerencia

seguimiento y cumplimiento de las obligaciones de todos los empleados.

Salidas de proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.

Salidas

Descripción

Encargado

Definición de estructura y Definición de funciones en la empresa IT-Expert, Gerencia funciones organizativas

definición de la estructura de la empresa IT-Expert.

Directrices operativas de la Normas y directrices de las operaciones internas en la Gerencia organización.

organización Reglas

de Reglas de negocio en la comunicación con el Gerencia

básicas

Gobierno o comité de la empresa IT-Expert.

comunicación Definición

de

roles

y Documento en el que se encuentra la definición de Gerencia roles y responsabilidades de cada empleado en la

responsabilidades

empresa IT-Expert. Políticas relativas a TI

Reglas de negocio con la tecnología de información Gerencia dentro de la empresa.

Comunicación de objetivos Documento con los objetivos de TI en la empresa.

Riesgo

de TI

operaciones

Definir

la

función Definición de las actividades y funciones que se Gerencia

operacional de las funciones realizan a nivel operacional relacionadas a TI. de TI

136

de

Salidas

Descripción

Encargado

Evaluación de las opciones Opciones de la organización de TI para la empresa. Gerencia para la organización de TI

Incluye una evaluación de la estrategia empresarial.

Directrices para el control y Políticas y reglas de negocio para realizar el control Gerencia y mantener segura la información.

seguridad de datos

Evaluación de capacidad de Evaluación mediante las herramientas de Cobit5 para Gerencia obtener el nivel de capacidad de la empresa.

procesos

Objetivos y métricas de Objetivos y métricas de rendimiento para el Operaciones seguimiento de la mejora de procesos

rendimiento

Acciones de remediación Acciones apropiadas para la remediación del no Gerencia cumplimiento,

para el no cumplimiento

esto

incluye

cambio

de

requerimientos.

Caracterización ID

Entrada

Actividad

Salida

Descripción

Responsa ble

A.0



Inicio

Necesidad

de Necesidad

Marco

de Gestionar el Marco de alumno

Gestión de TI A.1

Modelo

de A.1.Definir

la Definición

arquitectura de estructura

estructura

procesos

funciones

organizativa.

organizativas Directrices

de Gerente

Gestión de TI de Establecer

una Gerente

y estructura

alumno

organizativa interna y / extensa que refleje las necesidades

del

operativas de la negocio organización Reglas

y

/ prioridades

de

básicas Implementar

las TI. las

de

estructuras de gestión

comunicación

requeridas

(p.

ej.,

comités) para permitir que

la

toma

de

137

ID

Entrada

Actividad

Salida

Descripción

Responsa ble

decisiones se lleve a cabo de la forma más eficaz

y

eficiente

posible.

A.2

Niveles

de Establecer roles Definición

autoridad

y

roles

de Establecer, acordar y Gerente y comunicar

roles

y alumno

asignados

/ responsabilidad

responsabilidad

responsabilidades del

Roles

y es

es

personal de TI, así

responsabilida

como de otras partes

des asignados

interesadas

con

responsabilidades en las TI corporativas, que

reflejen

claramente

las

necesidades generales del negocio y los objetivos de TI, así como la autoridad, las responsabilidades y la rendición de cuentas del personal relevante. A.3

Principios

de Mantener

los Políticas

los Gerente

elementos

alumno

gobierno

elementos

corporativo

catalizadores del

catalizadores

sistema

sistema de gestión y

gestión

relativas a TI

Mantener

de

del

del entorno de control de la TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo

operativo

de

138

ID

Entrada

Actividad

Salida

Descripción

Responsa ble

gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen una

comunicación

clara

de

expectativas/requisito s.

El

sistema

gestión

de

debería

fomentar

la

cooperación interdepartamental

y

el trabajo en equipo, promover

el

cumplimiento mejora

y

la

continua

y

tratar las desviaciones en

el

proceso

(incluidos los fallos). A.4

Comunicación de

Comunicar

los Comunicación

Comunicar

la Gerente

gobierno objetivos y la de objetivos de sensibilización y la alumno

corporativo

/ dirección

Principios,

gestión

de TI

/

comprensión de los Analista de objetivos

y

la riesgos

/

Comunicados

dirección de TI a las Analista de

y Políticas

partes interesadas y seguridad usuarios pertinentes a lo largo de toda la empresa.

139

ID

Entrada

Actividad

Salida

Descripción

Responsa ble

A.5

Estrategia del Optimizar negocio

la Definir

ubicación de la función función de TI

operacional

la Posicionar

la Gerente

capacidad de TI en la alumno de estructura

las funciones de organizativa

global

TI / valuación para reflejar en el de las opciones modelo de empresa la para

la importancia de TI en

organización de la TI

organización,

especialmente

su

criticidad

la

para

estrategia empresarial y

el

nivel

de

dependencia de TI. La línea de reporte del CIO

debe

ser

proporcional

a

la

importancia de las TI en la empresa. A.6

Necesidad de A.6.Definir

la Directrices para Definir y mantener las Gerente

definir

la propiedad de la el

propiedad

de información

la información del sistema y del sistema

control

y seguridad datos

y responsabilidades de alumno de la propiedad de la información (datos) y los

sistemas

de

información. Asegurar

que

propietarios

los toman

decisiones sobre la clasificación

de

la

información

y

los

sistemas

y

su

protección de acuerdo con esta clasificación.

140

ID

Entrada

Actividad

Salida

Descripción

Responsa ble

A.7

Políticas

y Gestionar

la Evaluación

procedimiento

mejora continua capacidad

s

de los procesos

de Evaluar, planificar y Gerente de ejecutar

la

mejora alumno

/

procesos

/ continua de procesos Gestor de

Objetivos

y y su madurez para arquitectur

métricas rendimiento

de asegurar

que

son a de TI /

capaces de entregarse Gerente de conforme

a

los servicios /

objetivos

de

la Analista de

empresa, de gobierno, seguridad de

gestión

control.

y

de

Considerar

las directrices de la implementación

de

procesos de COBIT, estándares emergentes, requerimientos

de

cumplimiento, oportunidades

de

automatización y la realimentación de los usuarios

de

los

procesos, el equipo del proceso y otras partes

interesadas.

Actualizar

los

procesos y considerar el impacto en los catalizadores

del

proceso.

141

ID

Entrada

Actividad

Salida

Descripción

Responsa ble

A.8

Políticas

y Mantener

el Acciones

procedimiento

cumplimiento

s

con las políticas para y

remediación el

cumplimiento

procedimientos

de Poner

en

marcha Gerente

procedimientos

para alumno

no mantener

/

el Gestor de

cumplimiento

y arquitectur

medición

del a de TI /

funcionamiento de las Gerente de políticas

y

otros servicios /

catalizadores

del Analista de

marco de referencia; seguridad hacer

cumplir

las

consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las tendencias

y

rendimiento considerarlos

el y

en

el

diseño futuro y la mejora del marco de control. A.9

Marco

de Fin



Fin del proceso

Gerente

gestión de TI

alumno

/

Gestionado

Gestor de arquitectur a de TI / Gerente de servicios / Analista de seguridad

142

Diagrama de proceso Ilustración 18: Proceso Gestionar el Marco Gestión de TI – (Propuesta)

DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL Descripción Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Propósito Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. Alcance Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar)

Descripción del proceso Declarativa Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol Gestor

Descripción de

la Es

el

encargado

integridad

Arquitectura

Área funcional

de

de

la

asegurar

arquitectura,

la Área de Tecnologías de la en Información

términos de abordar adecuadamente todos

los

intereses

interesadas mediante

de

las

partes

compensaciones

eficientes (Por ejemplo, seguridad vs rendimiento)

STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Gerente general de IT-Expert

Tiene interés en que la arquitectura empresarial este alineada con los objetivos de la empresa

Gestor de la Arquitectura

Tiene la responsabilidad del diseño arquitectónico y la documentación del modelo de referencia desde un perspectiva más alta hasta un nivel netamente técnico

Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Petición

Descripción de

Trabajo

Arquitectura

de Existe realizar

una un

Encargado de Elaboración necesidad cambio

de Encargado del área solicitante

en la

arquitectura empresarial actual.

Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. 145

Salida

Descripción

Publicación

de

documentos Es

post-implementación

Encargado de Elaboración

necesario,

después

de Gestor de la Arquitectura

implementar las soluciones que permitieron

alcanzar

la

arquitectura objetivo, publicar las guías de soporte y uso de la arquitectura actualizadas, así como, los reportes de los indicadores establecidos

Caracterización ENTRADA

ACTIVIDAD

SALIDA

0. Inicio

DESCRIPCIÓN

RESPONSABLE

Petición

de Existe una necesidad de

Trabajo

de realizar un cambio en la

Arquitectura

arquitectura empresarial

Encargado

del

área solicitante

Se desarrolla la visión de la arquitectura, Visión

de

la

cual

la

proporciona una primera 1. Desarrollar la Arquitectura Petición de visión de la descripción de alto nivel de Gestor de Trabajo de las arquitecturas de actual y Arquitectura arquitectura de Arquitectura objetivo, cubriendo los Principios de empresa dominios de negocio, arquitectura información, datos,

la

aplicaciones y tecnología Visión

de

Se define la arquitectura de

la

Definición

Arquitectura 2.

Definir

arquitectura referencia Principios arquitectura

de

de

la la arquitectura de

referencia, la cual describe la situación actual y el Gestor de objetivo de la arquitectura Arquitectura de manera más detallada para los dominios negocio, información,

datos,

146

la

aplicaciones y tecnología

Se analizan las diferencias entre las arquitecturas de 3.

Seleccionar

y objetivo, de referencia Gestor de tanto la implementació considerando oportunidades y Arquitectura perspectiva técnica como la n y migración las soluciones del negocio y agrupándolos

Definición de la las arquitectura

Plan

la

a ambos en paquetes de trabajo del proyecto 4.

Definir

Se

la

detalla

el

plan

de

Plan

de implantación de Requisitos de implementación y de Gestor de implementación la gobierno de la migración validando que se Arquitectura y migración arquitectura cuenten con los recursos arquitectura necesarios para su ejecución Abarca

Requisitos

las

guías

y

supervisión de los proyectos 5. Proveer los Publicación de a implementar, así como, la de servicios de documentos

gobierno de la arquitectura

postarquitectura

implementació

empresarial

n

Gestor

de

medición y comunicación Arquitectura de los valores aportados por la arquitectura

Publicación

de

documentos

6. Fin

post-

la

implementación

Diagrama del proceso Ilustración 19: Proceso Gestionar la Arquitectura Empresarial – (Propuesta) 147

la

DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO Descripción Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión en recursos y las restricciones de los mismos. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de estos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los proyectos seleccionados al portafolio de proyectos activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de proyectos, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de estos o al cambio en las prioridades de ITExpert. Propósito Optimizar el rendimiento del portafolio global de proyectos en respuesta al rendimiento de estos y el valor que brinden a la empresa y a las cambiantes prioridades y demandas corporativas. Alcance

148

Muestra los procesos necesarios para la gestión de portafolios de proyectos para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar) Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión de portafolios de proyectos. Establecer la mezcla del objetivo de inversión Determinar la disponibilidad y las fuentes de recursos Evaluar y seleccionar los programas a realizar Supervisar, optimizar e informar sobre el rendimiento del portafolio de proyectos Mantener los portafolios Gestionar la obtención de beneficios

Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol

Descripción

Área funcional

Realiza funciones de relación entre el proyecto y objetivos, realización del equilibro en la inversión y el proyecto para establecer Gerencia Gerente alumno

una estrategia donde se alinean los objetivos de los proyectos con el objetivo de la empresa Establece la disponibilidad de los recursos Gerencia para los proyectos y determina la implicación

149

del uso de esto en cada proyecto

Realiza las actividades para identificar la brecha entre el avance de los proyectos y como estos responden al uso de recursos en la empresa. Además, brinda un informe al comité del avance de los proyectos para luego

Gerencia

determinar hitos, asignar recursos, registrar en el portafolio de proyectos los proyectos activos y aceptados Encargado

de

realizar

actividades

para

supervisas los portafolios de proyectos y evaluar posibles cambios en caso surgiesen Gerencia estos, controlar avance de los proyectos y enviar para una revisión al comité Crear y mantener los proyectos de IT-Expert, delegar estos a responsables de servicios, Gerencia recursos humanos y Jefes de proyectos Usar

métricas

para

revisar

avance

de

proyectos, cumplimiento entre otros métodos de

evaluación

e

implementar

acciones

Gerencia

correctivas

STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción Encargado de evaluar el avance de los proyectos y como

Comité

estos sustentan sus objetivos al alineamiento del objetivo de la empresa IT-Expert

150

Evaluar el avance y cumplimiento de los proyectos con respecto a sus resultados El Gerente profesor se encarga de validar las inversiones de recursos para los proyectos tomando como referencia el alcance de estas Verifica e identifica las opciones de recursos para los proyectos Encargado de establecer los procedimientos para la evaluación de los proyectos luego del feedback del comité Gerente profesor

para que estos se lleven a cabo de forma eficiente Identificar la desviación del proyecto real y estimado para evaluar la brecha de incumplimiento y evaluar el proyecto bajo otras métricas de control Eliminar proyectos alcanzados o superados Considerar la orientación a expertos asesores o fuentes de información para el apoyo a los proyectos con necesidad de apoyo

Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.

Entrada

Descripción

Propuesta de proyecto

Propuesta del proyecto a realizar para la empresa IT-Expert

Encargado Elaboración

Gerencia

Principios

de

empresa

(objetivo, de IT-Expert, la Misión y la Visión Gerencia

misión visión)

de

la Principios con el objetivo estratégico

de la empresa

151

Entrada

Definición estratégico

objetivo de

IT-

Expert

de

Elaboración

Objetivo estratégico de IT-Expert para realizar la alineación con el objetivo del proyecto mediante el uso

Gerencia

de la TI

Observaciones

a

la Objetivos de los proyectos alineados

estrategia y a las metas y del proyecto

inversión

bien

integrados

al

objetivo Gerencia

estratégico de IT-Expert

Expectativas de retorno de

Encargado

Descripción

de

recursos

Información

de

resultados

del

proyecto para la empresa IT-Expert (Implementación

de

un Modelo,

Gerencia

Solución, Aplicativo, etc...) Criterios

Criterios de evaluación

para

evaluar

la

los

beneficios del proyecto, los riesgos del proyecto, el impacto del proyecto

Gerencia

en la empresa

Portafolio de proyectos

Portafolio de proyectos aprobados para desarrollar

Feedback revisión de Retorno con la evaluación de los portafolio de proyectos proyectos Conjunto Portafolio de proyectos

de

información (Avance,

proyectos

general

Objetivos,

de

Gerencia

Comité

con estos

Indicadores,

Gerencia

etc...)

Resultados supervisión

de

Resultados de la supervisión de los resultados

de

las

métricas Gerencia

establecidas en los proyectos

152

Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.

Salida

Encargado

Descripción

Observaciones

a

de

Elaboración

la Objetivos de los proyectos alineados y

estrategia y a las metas bien integrados al objetivo estratégico Gerencia del proyecto

de IT-Expert

Expectativas de retorno de

inversión

de

recursos

Información de resultados del proyecto para

la

empresa

(Implementación

de

IT-Expert un

Modelo,

Gerencia

Solución, Aplicativo, etc...)

Comunicado

de Portafolio de proyectos aprobados para

proyectos a realizar

desarrollar

Proyectos

Proyectos con retorno de inversión de

Comité

seleccionados con hitos recursos, con resultados positivos a Gerencia y retorno de inversión

mejorar la empresa IT-Expert Información con el cambio realizado en

Resultado

de

la el proyecto y el ajuste realizado sin que

revisión del cambio

afecte la integración con el objetivo

Gerencia

estratégico de la empresa IT-Expert Informe con avance real y planeado de Informe de rendimiento los proyectos con evidencia de las de portafolios

actividades

establecidas

en

el

Gerencia

cronograma Dashboard métricas de proyectos

de

portafolios Portafolio de proyectos actualizados

Tablero de control del avance de los proyectos a lo largo del ciclo

Gerencia

Conjunto de proyectos con información Gerencia general de estos (Avance, Objetivos,

153

Salida

Encargado

Descripción

de

Elaboración

Indicadores, etc..) actualizados

Acciones

correcticas Ejecución de medidas de mitigación al

implementadas

proyecto con resultados negativos

Gerencia

Caracterización ID

Entrada

Actividad

Salida

Descripción

Responsable

Inicio del proceso

Gerencia

Proyecto propuesta

/

Principios

de

la C.0



Inicio

empresa

(objetivo, misión visión) /

Definición

objetivo estratégico de IT-Expert

154

ID

Entrada

Actividad

Salida

Descripción

Responsable

Revisar

y

garantizar

la

claridad

de

estrategias

las y

servicios actuales corporativos y de TI.

Definir

adecuada de

propuesta

/

Principios

de

la C.1

inversión, en

costes,

los la

alineación con la

empresa Establecer la Observaciones

(objetivo,

mezcla

del a la estrategia

misión visión) objetivo /

mezcla

basada

Proyecto

una

Definición inversión

de y a las metas del proyecto

estrategia

y

medidas financieras,

tales Gerencia

como

coste,

retorno

objetivo

de

inversión esperado

estratégico de

a lo largo de todo

IT-Expert

el ciclo de vida económico, grado de riesgo y tipo de beneficio para los programas

del

portafolio. Ajustar las

estrategias

corporativas y de TI

cuando

sea

necesario. Determinar Observaciones Determinar la Expectativas C.2

fuentes potenciales

a la estrategia disponibilidad de retorno de y a las metas y las fuentes inversión del proyecto

de recursos

recursos

las

de

de

fondos, Gerencia

diferentes opciones

de

financiación y las

155

ID

Entrada

Actividad

Salida

Descripción

Responsable

implicaciones

de

las

de

fuentes

financiación sobre las

expectativas

del

retorno

de

inversión. Decidir

qué

proyectos candidatos deberían

ser

trasladados

al

portafolio

de

proyectos activos. Determinar si los proyectos Criterios

de

evaluación C.3

/

Comunicado de proyectos a realizar

Evaluar

y

seleccionar los proyectos a realizar

Proyectos

rechazados

seleccionados

deberían

con

hitos

retorno inversión

ser

y conservados de ser

para Gerencia

considerados

en el futuro, o provistos algún

con tipo

de

inversión

de

recursos determinar

para si

el

caso de negocio puede mejorado

ser o

descartado

156

ID

Entrada

Actividad

Salida

Informe

optimizar

C.4

revisión

de

portafolio

de

proyectos

e

informar sobre

el

rendimiento del portafolio de proyectos

portafolios

Portafolio

de Mantener los

proyectos

portafolios

/

Dashboard métricas

de

proyectos

de

portafolios Resultado

/ de

la revisión del cambio

C.5

de

rendimiento de

Supervisar, Feedback

Descripción

Portafolio

Responsable

Regularmente, supervisar

y

optimizar

el

rendimiento

del

portafolio

de

inversiones y de Gerencia los

programas

individuales a lo largo de todo el ciclo de vida de inversión. Mantener

los

portafolios

de

de programas

y

proyectos

proyectos

actualizados

inversión,

de Gerencia

servicios de TI y activos de TI. Supervisar

los

beneficios

de

proporcionar

C.6

Resultados de supervisión

Gestionar

la Acciones

obtención de correcticas beneficios

y

mantener servicios y capacidades TI Gerencia

implementadas apropiadas, basadas en el caso de

negocio

acordado actual. Acciones C.7

correcticas implementadas

Gestión Fin



portafolios

de Gerencia

realizado

157

Diagrama del proceso Ilustración 20: Proceso Gestionar Portafolio – (Propuesta)

DEFINICIÓN

DE

PROCESO

GESTIONAR

LOS

RECURSOS

HUMANOS Descripción Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Propósito Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.

Alcance Muestra la estructura del proceso "Gestionar los recursos humanos" diseñado para la empresa IT-Expert basado en el marco de referencia COBIT 5.

158

Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión de portafolios de recursos. Mantener la dotación de personal Mantener las habilidades y competencias Realizar seguimiento del uso de recursos Evaluar el desempeño

Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol

Descripción

Área funcional

Jefe de Recursos Encargado de elaborar y controlar el Área de Recursos Humanos Humanos

proceso de reclutamiento, selección, ingreso

e

inducción

del

personal.

Proyectar y coordinar programas de capacitación y entrenamiento para los empleados, a fin de cumplir con los planes de formación

STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

159

Gerente de proyectos

Tiene interés en el uso eficiente de los recursos humanos asignados a cada proyecto

Jefe de recursos humanos

Es un socio estratégico en lo que respecta al vínculo con el cliente interno y externo. Colabora para que cada empleado mejore sus capacidades con el fin de generar un mayor valor agregado en la organización

Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Necesidad

Descripción de

gestionar

el Existe

personal

Encargado de Elaboración

un

administrar

necesidad el

personal

de Jefe de Recursos Humanos de

manera óptima

Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida

Descripción

Encargado de Elaboración

Plan de mejora del desempeño

Plan basado en los resultados Jefe de Recursos Humanos del proceso de evaluación y los requisitos de capacitación y desarrollo de competencias

Caracterización ENTRADA

ACTIVIDAD

SALIDA

DESCRIPCIÓN

RESPONSABLE

160

ENTRADA

ACTIVIDAD

SALIDA

0. Inicio

DESCRIPCIÓN

Necesidad

de Existe

gestionar

el administrar el personal de

personal

Necesidad

de 1. Mantener la

gestionar

el dotación

personal

personal

habilidades

contratado

y

competencias

de

formación ejecutados

y

revisados

necesidad

de

manera óptima

Jefe de recursos humanos

Se evalúa la capacidad de Personal

los recursos humanos para Jefe de recursos

contratado

cumplir con los objetivos humanos empresariales

2. Mantener las

Personal

Programas

de

un

RESPONSABLE

Programas

de

formación ejecutados

y

revisados

Se gestiona las habilidades y competencias necesarias del personal.

Jefe de recursos humanos

Registrar el uso de los 3.

Realizar

seguimiento del uso de recursos

Informes

de

uso de recursos

recursos.

Identificar

carencias

y

las

proporcionar

datos de entrada a los planes

Jefe de recursos humanos

de aprovisionamiento Se realizan evaluaciones de

Informes de uso 4. de recursos

Evaluar

desempeño

el Plan de mejora del desempeño

rendimiento respecto a los objetivos

individuales

derivados de los objetivos

Jefe de recursos humanos

empresariales Plan de mejora del desempeño

5. Fin

Diagrama del proceso Ilustración 21: Proceso Gestionar los Recursos Humanos – (Propuesta)

161

Se proponen cuatro planes de implementación detallados que parten de los procesos que brindan mayor valor a la empresa IT-Expert, y que presentan mayor impacto en los resultados obtenidos y que no conllevan mucha dificultad en su implementación. De los cuatro planes de implementación detallados se identifica el más importante para su implementación en la empresa IT-Expert. Los resultados del plan de implementación con más valor y aceptación para la empresa IT-Expert es el relacionado al proceso “Gestionar el marco de gestión de TI”, pues contiene los productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI.

162

FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN

En la fase cinco del proceso de implementación se ejecutan los programas priorizados. Este programa plantea la implementación del proceso “Gestionar el marco de gestión de TI”. Se debe mantener monitoreado y documentado la implementación de las mejoras adoptando y adaptando las mejores prácticas enfocadas a IT-Expert y los cambios de las políticas y procesos. A continuación me muestra al detalle los productos de trabajo del plan o programa de implementación de este proceso modelo propuesto por el COBIT 5 y aplicado en la empresa IT-Expert.

Productos de Trabajo de la Implementación El entregable de la implementación está compuesto por cinco productos de trabajo, estos son: Políticas, Estructura organizativa, Modelo de procesos, Roles y Métricas. Estos productos formaran parte de la información de IT-Expert y serán registrados en los siguientes documentos de la empresa:

Tabla 18: Productos de trabajo del proyecto IMGETI IMGETI COD PRODUCTOS DE TRABAJO

DOCUMENTO

WP1 Políticas

Políticas de IT-Expert

WP2 Estructura Organización

MOF

WP3 Modelo de procesos

MEMORIA

WP4 Roles

ROF

163

WP5

Métricas

-

Tablero

indicadores

de

FORM, Excel y Graficas

Fuente: Elaboración Propia

Los habilitadores o elementos que permiten activar el impulso a lograr los objetivos de TI en la empresa propuestos por COBIT son:

Tabla 19: Habilitadores de COBIT5 COBIT 5 COD CATALIZADORES CAT1 1.Principios políticas y marco de referencia CAT2 2.Procesos CAT3 3.Estructura Organizativa CAT4 4.Cultura ética y comportamiento CAT5 5.Información CAT6 6.Servicios infraestructura y aplicaciones CAT7 7.Personas habilidades y competencias Fuente: Elaboración propia

Estos habilitadores presentan la siguiente correspondencia con los productos de trabajo que se entregan a IT-Expert.

Tabla 20: Productos de trabajo y Habilitadores 164

COBIT & IMGETI COD COBIT5 CAT1

COD IMGETI WP1

WP2

WP3

WP4

WP5

X

CAT2

X

CAT3

X

CAT4 CAT5 CAT6

X

CAT7

X Fuente: Elaboración propia

Como se ve en la tabla, los productos de trabajo están se vinculan con los catalizadores que COBIT propone. Esto significa que los elementos a implementar son habilitadores y que su definición y manejo en adelante ayudara a lograr los objetivos de TI que hay en la empresa IT-Expert. A continuación se definen los productos del trabajo de la implementación del proceso.

MODELO DE PROCESOS El modelo de procesos aplicado a la empresa IT-Expert toma como referencia el propuesto por COBIT. Debido a que es un modelo de referencia, no se tomara en cuenta los procesos que no estén vinculados al cumplimiento de los objetivos de IT-Expert.

Tabla 21: Modelo COBIT y Procesos Implementados

165

Modelo de proceso propuesto por COBIT5

Proceso Aterrizado e Implementado

COD

Actividades Implementadas en IT-Expert

Actividades Propuestos

APO1 A.1.Definir_la_estructura_organizativa.docx

A.1.Definir la estructura organizativa. A.2.Mantener los elementos catalizadores del sistema de

APO3 A.3Mantener_los_elementos_catalizadores_del_sistema_de_gestión gestión APO6 A.6.Definir_la_propiedad_de_la_información_y_del_sistema

A.3.Definir la propiedad de la información y del sistema

APO4 A.4Comunicar_los_objetivos_y_la_dirección_de_gestión

A.4.Comunicar los objetivos y la dirección de gestión

APO7 A.7.Gestionar_la_mejora_continua_de_los_procesos

A.5.Gestionar la mejora continua de los procesos A.6. Mantener el cumplimiento con las políticas y

APO8 A.8.Mantener_el_cumplimiento_con_las_políticas_y_procedimientos procedimientos APO2 A.2.Establecer_roles_y_responsabilidades.docx APO5 A.5.Optimizar_la_ubicación_de_la_función_de_TI Fuente: Elaboración propia

La implementación del modelo de procesos cuenta con la propuesta del modelo mediante el documento Definición de procesos y la ejecución de las actividades del proceso a lo largo del ciclo de implementación, la salida de cada sub proceso del proceso “Gestionar el marco de gestión de TI” implementado en IT-Expert se presentan a lo largo del presente documento. A continuación se presenta la definición del proceso implementado en la empresa IIT-Expert.

DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI DESCRIPCIÓN

Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.

166

PROPOSITO

Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. ALCANCE

Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar)

167

DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI DECLARATIVA

El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión del marco de gestión de TI. Definir la estructura organizativa Mantener los elementos catalizadores del sistema de gestión Definir la propiedad de la información y del sistema Comunicar los objetivos y la dirección de gestión Gestionar la mejora continua de los procesos Mantener el cumplimiento con las políticas y procedimientos ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Arquitecto de TI

Área funcional

Implementar la redefinición de procesos. Rediseño

de

procesos

priorizando

Operaciones

las

iniciativas para la mejora del proceso y rediseñar los procesos para cumplir con las políticas y procedimientos.

Gestor de riesgos

Aplicar

las

medidas

necesarias

para

Riesgo de operaciones

mantener un control de riesgos, garantizar un adecuado control en los procesos.

Gestor seguridad

de

la Aplicar los objetivos de TI a la seguridad de

Seguridad de información

información en la empresa, las medidas de mejora para la seguridad de información y adoptar las acciones necesarias para realizar

168

los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos. Encargado

Gerente alumno

de

desarrollar

diferentes

Gerencia

actividades como desarrollar las actividades en

la

definición,

establecimiento organizativa,

alineación

y

una

estructura

de definir

los

roles

y

el

las

responsabilidades, integrar los principios de TI

con

los

del

negocio

entre

otras

actividades.

Gerente

de Considerar las maneras de mejorar la Gerencia

servicios

eficiencia

mediante la priorización de

acciones para realizar la mejora continua y adoptar las acciones necesarias para realizar el soporte de servicios adoptando las políticas y procedimientos propuestos.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Comité

Toma de decisiones y gobierno de la empresa IT-Expert

Gerente general

Gerente de la empresa que requiere la información a nivel estratégica desplegada para su consulta.

Gerente profesor

Encargado de aprobación y consulta sobre los diferentes procesos en la empresa IT-Expert

ENTRADAS DEL PROCESO

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. 169

Artefacto

Descripción

Encargado de elaboración

Modelo de arquitectura de procesos Modelo de arquitectura de procesos para la definición de procesos en la Gobierno - Comité empresa IT-Expert. Reglas de negocio con la cultura y Políticas de gobierno corporativo

políticas por parte del Gobierno y Gobierno - Comité comité de las empresas.

Comunicación

de

gobierno

corporativo

Principios,

Información con los diferentes requerimientos

de

parte

del Gobierno - Comité

Gobierno y comité de las empresas.

Comunicados

y

Políticas

Principios, comunicados y políticas de la dirección de la empresa por el Gobierno - Comité Gobierno y comité de las empresas. Políticas y procedimientos para

Políticas y procedimientos

identificar los procesos críticos.

Gerencia

Políticas y procedimientos para realizar

Políticas y procedimientos

el

seguimiento

y

cumplimiento de las obligaciones

Gerencia

de todos los empleados.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Artefacto

Descripción

Encargado de elaboración

Definición de funciones en la Definición

de

estructura

funciones organizativas

y empresa IT-Expert, Definición de la estructura de la empresa IT-

Gerencia

Expert.

170

Normas Políticas operativas

y

directrices

de

internas

en

la Gerencia

negocio

en

la

operaciones

las

organización. Reglas Plan de comunicación

de

comunicación con el Gobierno o Gerencia comité de la empresa IT-Expert. Reglas

Políticas relativas a TI

de

negocio

con

la

tecnología de información dentro Gerencia de la empresa. Documento con los objetivos de TI

Comunicación de objetivos de TI

en la empresa. Evaluación

Evaluación

de

capacidad

mediante

de herramientas

procesos

de

Cobit5

Riesgo de operaciones

las para

obtener el nivel de capacidad de la

Gerencia

empresa.

Objetivos rendimiento

y

métricas

de

Objetivos

y

métricas

de

rendimiento para el seguimiento de Operaciones la mejora de procesos Acciones

apropiadas

para

la

Acciones de remediación para el no remediación del no cumplimiento, cumplimiento

esto

incluye

cambio

de

Gerencia

requerimientos.

171

CARACTERIZACIÓN ID

Entrada

Actividad

Salida

Descripción

1.0



Inicio

Requerimiento

Necesidad

de

Responsable de Gerente alumno

mejora Gestionar el Marco de

continua

del Gestión de TI

Marco

de

Gestión de TI 1.1

Modelo

de Definir

la Definición de Establecer

arquitectura

estructura

estructura

de procesos

organizativa.

funciones

una Gerente alumno

y estructura organizativa interna y

organizativas / extensa que refleje las Directrices operativas

necesidades de negocio

y

la organización prioridades / básicas

del

de

Reglas Implementar

las TI. las

de estructuras de gestión

comunicación

requeridas

(p.

ej.,

comités) para permitir que

la

toma

de

decisiones se lleve a cabo de la forma más eficaz

y

eficiente

posible. 1.2

Principios de Mantener los Políticas

Mantener

gobierno

elementos

elementos

corporativo

catalizadores

catalizadores

del sistema de

sistema de gestión y

gestión

del entorno de control

relativas a TI

los Gerente alumno

del

de la TI de la empresa y garantizar que están integrados alineados

y con

la

filosofía y el estilo operativo de gobierno

172

y de gestión de la empresa.

Estos

elementos catalizadores incluyen una

comunicación

clara

de

expectativas/requisito s.

El

sistema

gestión

de

debería

fomentar

la

cooperación interdepartamental y el trabajo en equipo, promover

el

cumplimiento mejora

y

la

continua

y

tratar las desviaciones en

el

proceso

(incluidos los fallos). 1.3

Necesidad de Definir definir

la Directrices

Definir y mantener Gerente alumno

la propiedad de para el control las responsabilidades

propiedad de la información y seguridad de de la propiedad de la la información y del sistema

datos

y del sistema

información (datos) y los

sistemas

de

información. Asegurar

que

propietarios

los

toman

decisiones sobre la clasificación

de

la

información

y

los

sistemas

y

su

protección de acuerdo con esta clasificación. 1.4

Comunicación de

Comunicar los Comunicación

Comunicar

la Gerente alumno

gobierno objetivos y la de objetivos de sensibilización y la /

corporativo / dirección

de

Analista

comprensión de los riesgos

de /

173

Principios,

gestión

TI

objetivos

y

la Analista

Comunicados

dirección de TI a las seguridad

y Políticas

partes interesadas y

de

usuarios pertinentes a lo largo de toda la empresa. 1.5

Políticas

y Gestionar

procedimiento

mejora

s

continua los procesos

la Evaluación de Evaluar, planificar y Gerente alumno capacidad de procesos Objetivos métricas rendimiento

de ejecutar

la

mejora /

Gestor

/ continua de procesos arquitectura

de de

y y su madurez para TI / Gerente de de asegurar

que

son servicios

/

capaces de entregarse Analista

de

conforme

a

los seguridad

objetivos

de

la

empresa, de gobierno, de

gestión

control.

y

de

Considerar

las directrices de la implementación

de

procesos de COBIT, estándares emergentes, requerimientos

de

cumplimiento, oportunidades

de

automatización y la realimentación de los usuarios

de

los

procesos, el equipo del proceso y otras partes

interesadas.

Actualizar

los

procesos y considerar el impacto en los catalizadores

del

proceso.

174

1.6

Políticas

y Mantener

el Acciones

procedimiento

cumplimiento

s

con

remediación

las para

políticas

de Poner

el

en

marcha Gerente alumno

procedimientos

para /

no mantener

y cumplimiento

Gestor

el arquitectura

cumplimiento

de de

y TI / Gerente de

procedimiento

medición

del servicios

/

s

funcionamiento de las Analista

de

políticas

y

otros seguridad

catalizadores

del

marco de referencia; hacer

cumplir

las

consecuencias del no cumplimiento o del desempeño inadecuado.

Seguir

las tendencias y el rendimiento

y

considerarlos en el diseño futuro y la mejora del marco de control. 1.7

Marco



de Fin

Fin del proceso

Gerente alumno

gestión de TI

/

Gestor

Gestionado

arquitectura

de de

TI / Gerente de servicios

/

Analista

de

seguridad 7.1

Definición de Mantener estructura

y dotación

funciones

personal

la Dotación del personal estructurado

organizativas 3.2

de Actividades internas Gerente alumno del proceso Mantener la

dotación

del

personal

Políticas

Definir

la Modelo

de Actividades internas Gerente alumno

operativas

arquitectura

arquitectura de del proceso Definir la

de referencia

procesos

arquitectura

de

175

referencia B.

Objetivos

2

métricas

y Establecer los Objetivos de objetivos

rendimiento

de Actividades internas Gerente alumno

de cumplimiento

del

proceso

cumplimiento

alineados a la Establecer

los

y rendimiento.

mejora

de

objetivos

continua de los cumplimiento procesos

y

rendimiento.

B.

Evaluación de Recopilar

3

capacidad de procesar

los internos

del del proceso Recopilar

procesos

de dominio

y procesar los datos

datos

y Procesos

cumplimiento

Supervisar,

y rendimiento.

Evaluar

Actividades internas Gerente alumno

de cumplimiento y y rendimiento.

Valorar Rendimiento y Conformidad B.

Acciones

5

remediación para

el

de Asegurar

implantación

no de

cumplimiento

la Implementació

n de medidas del proceso Asegurar

medidas correctivas

correctivas.

Actividades internas Gerente alumno

la

implantación

de

alineadas a las medidas correctivas. políticas de la empresa.

A.

Mejora

Evaluar

1

continua

del sistema

sistema

de gobierno

gobierno

el Principios de rectores

Actividades internas Gobierno(Comit de del proceso Evaluar el é educativo)

gobierno

sistema de gobierno

corporativo

A.

Mejora

Orientar

2

continua

del sistema

sistema

de gobierno.

el Objetivos

del Actividades internas Gobierno(Comit

de gobierno

del proceso Orientar é educativo) el

gobierno

sistema

de

gobierno.

A.

Mejora

Supervisar el Efectividad

3

continua

del sistema

sistema

de gobierno.

y Actividades internas Gobierno(Comit

de funcionamient o del gobierno

del

proceso é educativo)

Supervisar el sistema

176

gobierno

de gobierno.

177

DIAGRAMA DEL PROCESO

Ilustración 22: Proceso Gestionar el Marco Gestión de TI

178

DESCRIPCIÓN

DEL

PROCESO

1.1.DEFINIR

LA

ESTRUCTURA

ORGANIZATIVA DECLARATIVA

Establecer una estructura organizativa interna y extensa que refleje las necesidades del negocio y las prioridades de TI. Implementar las estructuras de gestión requeridas (p. ej., comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y eficiente posible. ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Desarrolla las actividades en la definición,

Gerencia

alineación

y el establecimiento de una

estructura organizativa que será aprobada por el Gerente de la empresa IT-Expert.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Gerente profesor

Encargado de establecer estructura organizativa. Gestionar la implementación de las estructuras de gestión.

ENTRADAS DEL PROCESO

179

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Modelo

Descripción de

arquitectura

de

procesos

Modelo

de

Encargado de Elaboración arquitectura

de

Gobierno - Comité

procesos para la definición de procesos en la empresa IT-Expert.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.

Salida Definición

de

estructura

funciones organizativas

y

Descripción

Encargado de Elaboración

Definición de funciones en la

Gerencia

empresa IT-Expert, Definición de la estructura de la empresa ITExpert.

Políticas operativas

Normas y directrices de las operaciones

internas

en

Gerencia

la

organización. Plan de comunicación

Plan de comunicación establecida

Gerencia

entre el Gobierno o comité de la empresa

IT-Expert

con

la

gerencia.

180

CARACTERIZACIÓN ID

1,1,0

Entrada

Actividad



Inicio

Salida

Descripción

Modelo

de

arquitectura

de

procesos

Responsable

Inicio

de Gerente

procesos

alumno

Definir

el

alcance,

las

funciones internas externas,

1,1,1

Modelo

de

arquitectura

de

procesos

Definición Definir estructura estructura organizacional

de y

funciones

y los

roles internos y externos, y las capacidades y los derechos

organizativas

de

Gerente alumno

decisión requeridos, incluidas actividades de TI realizadas

por

terceras partes.

1,1,2

Definición

de

estructura

y

funciones organizativas

Decisiones Establecer

para

resultados

Establecer

Gerente

corporativos

actividades

alumno

identificados

181

ID

Entrada

Actividad

Salida

Descripción Establecer

Responsable un

Comité Estratégico de TI (o equivalente) a nivel del Consejo de Administración. Este

comité

debería asegurarse de que el gobierno de Decisiones 1,1,3

resultados corporativos identificados

para

Establecer

un Implicancia

comité

Stakeholders

estratégico de TI

establecida

de

TI, como parte del

gobierno Gerente

corporativo, está alumno contemplado

de

forma adecuada, debe

aconsejar

sobre la dirección estratégica revisar

y las

inversiones principales,

en

representación del consejo de administración al completo.

182

ID

Entrada

Actividad

Salida

Descripción Establecer

Responsable un

comité directivo de

TI

(o

equivalente) compuesto por la dirección ejecutiva,

de

negocio y de TI para

determinar

las prioridades de los programas de Organización de Implicancia 1,1,4

de Establecer

un TI

relacionado

Stakeholders

comité directivo con modelos de

establecida

de TI

arquitectura corporativa

inversión de TI de acuerdo con la estrategia

y Gerente

prioridades

de alumno

negocio

la

de

empresa; realizar un

seguimiento

del estado de los proyectos

y

resolver

los

conflictos

de

recursos;

y

supervisar

los

niveles

de

servicio

y

las

mejoras

en

el

servicio.

Organización de TI 1,1,5

relacionado

con modelos de Converger arquitectura corporativa

Iniciar definición de

roles

y

responsabilidades Converger

Gerente

/

alumno

definición

Iniciar actividades de

estructuras

183

ID

Entrada

Actividad

Salida

Descripción

Identificar

Responsable

las

decisiones necesarias Iniciar definición Identificar 1,1,6

de

roles

y decisiones

responsabilidades estratégicas

Definición estructura

de alcanzar

para los

y resultados

Gerente

funciones

corporativos y la alumno

organizativas

estrategia de TI y para la gestión y ejecución

de

servicios de TI.

Definir los roles y

las

responsabilidades 1,1,7

Iniciar definición Definir roles y Roles de estructuras

y de cada función Gerente

responsabilidades responsabilidades dentro

de

la alumno

estructura organizativa relativa a TI.

184

ID

Entrada

Actividad

Salida

Descripción

Responsable

Establecer

la

implicación

de

las

partes

interesadas críticas para la toma 1,1,8

Roles

y Elaborar

matriz

responsabilidades RACI

Matriz RACI

de

decisiones

Gerente

(quiénes rendirán alumno cuentas, quiénes son responsables, quiénes deben ser consultados

y

quiénes informados).

Proporcionar políticas cada

para

estructura

de

gestión

(incluyendo órdenes, objetivos, marco Elaborar 1,1,9

Matriz RACI

las

políticas para las funciones

Políticas operativas

temporal,

Gerente

seguimiento, supervisión

y

vigilancia),

así

como

las

alumno

entradas requeridas y las salidas esperadas en cuanto a las reuniones.

185

ID

Entrada

Actividad

Salida

Descripción

Responsable

Identificar

las

decisiones necesarias

para

alcanzar

los

resultados corporativos y la estrategia de TI y para la gestión y ejecución

de

servicios de TI. Establecer

y

mantener

1,1,10

Políticas

Elaborar plan de Plan

Operativas

comunicación

comunicación

de

una

estructura óptima de

enlace,

comunicación

y

Gerente alumno

coordinación entre el negocio (Comité, Gerencia)

y las

funciones de TI (Gestor

de

operaciones) dentro

de

la

empresa y con entidades

no

pertenecientes a la empresa.

186

ID

Entrada

Actividad

Salida

Descripción

Responsable

Proporcionar políticas cada

para

estructura

de

gestión

(incluyendo órdenes, objetivos, marco

1,1,11

Plan

de

comunicación

Fin

Estructura

temporal,

organizativa

seguimiento,

definida

supervisión

y

vigilancia),

así

como

las

Gerente alumno

entradas requeridas y las salidas esperadas en cuanto a las reuniones.

Actividades

7.1

Definición

de

estructura

y

funciones organizativas

Mantener dotación personal

la Dotación del personal estructurado

de

internas

del

proceso

Gerente

Mantener

la alumno

dotación

del

personal

Actividades

3.2

Políticas operativas

Definir

la Modelo

de internas

del

arquitectura

de arquitectura

de proceso

Definir

referencia

procesos

la arquitectura de

Gerente alumno

referencia

187

DIAGRAMA DEL PROCESO

Ilustración 23: Proceso Definir la Estructura Organizativa

188

DESCRIPCIÓN

DEL

PROCESO

1.2.MANTENER

LOS

ELEMENTOS

CATALIZADORES DECLARATIVA

Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar la cooperación interdepartamental y el trabajo en equipo, promover el cumplimiento y la mejora continua y tratar las desviaciones en el proceso (incluidos los fallos). ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Integrar los principios de TI con los del

Gerencia

negocio, alinear

marco de trabajo,

procesos de TI, Evaluar buenas practicas, crear un conjunto de políticas con para el control interno de TI. Gobierno

Encargado de realizar la Evaluación,

Dirección ejecutiva

Orientación y Supervisión del sistema de gobierno.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación

189

Stakeholder

Descripción

Gerente general

Transmitir la visión, dirección y la estrategia corporativa a la empresa.

Asegurarse

que

los

procedimientos

estén

en

funcionamiento.

ENTRADAS DEL PROCESO Entrada Principios

de

gobierno

corporativo

Descripción

Encargado de Elaboración

Reglas de negocio con la cultura

Gobierno - Comité

y

principios

Gobierno

y

por

parte

comité

de

del las

empresas.

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida

Descripción

Políticas relativas a TI

Reglas de negocio

Encargado de Elaboración con las

Gerencia

tecnologías de información dentro de la empresa.

190

CARACTERIZACIÓN ID

Entrada

Actividad

Salida

1,2,0



Inicio

Necesidad mantener

Descripción de Inicio

Responsable de Gerente alumno

procesos

elementos catalizadores

1,2,1

Necesidad

de Adquirir

visión

mantener

comprensión y dirección

elementos

visión

catalizadores

y Adquirir

Gerente alumno

de comprensión de

estrategia

la

visión,

la

adquirida

dirección y la estrategia corporativas (Misión, Visión y Objetivos).

191

ID

Entrada

1,2,2

visión dirección

Actividad y Atender

Salida

códigos

adquirida

conducta

Responsable

la Cultura ética y Tener en cuenta Gerente alumno

de cultura ética y códigos

estrategia

Descripción

de conducta atendidos

de el

entorno

interno

de

la

empresa, incluyendo

la

cultura

la

y

filosofía

de

gestión,

la

tolerancia

al

riesgo,

la

seguridad,

los

valores éticos, el código

de

conducta,

la

rendición

de

cuentas requisitos

y

los de

integridad en la gestión.

192

ID

Entrada

1,2,3

Cultura ética y Inferir códigos

Actividad

de integrar

Salida

Descripción

e Principios TI

Responsable

de Inferir e integrar Gerente alumno

integrados los principios de

conducta

con principios TI

con

los

atendidos

de negocio

principios

de

negocio, motivando en la cultura empresarial definida por la empresa

IT-

Expert.

1,2,4

Principios TI

de Alinear

integrados

Necesidad

de Iniciar

alineamiento

Gerente alumno

alineamiento de

con principios

políticas

de negocio

1,2,5

Necesidad alineamiento

de Entorno control políticas

de Entorno

de Alinear

el Gerente alumno

y control de TI entorno alineado

con control

políticas de TI

de de

TI

con las políticas de TI, mantener el

riesgo

controlado.

193

ID

Entrada

1,2,6

Entorno

Actividad de Estándares

Salida Principios

Descripción de Evaluar

Responsable las Gerente alumno

control de TI

gobierno

buenas prácticas

alineado

corporativo

y

con

políticas de TI

estándares

para aplicación en IT-Expert (p. ej.,

normativa

específica ITIL

de para

servicios)

e

integrarlos donde corresponda.

194

ID

Entrada

Actividad

1,2,7

Principios

Políticas

rectores

de gobierno

Salida de Estándares

Descripción y Alinear

Responsable las Gerente alumno

códigos

de políticas

de

gobierno

prácticas

de gobierno

con

corporativo

gobierno

todas las buenas

alineados

prácticas estándares

y de

gestión

y

evaluar

las

buenas prácticas disponibles con marcos

de

control internacionales (COSO).

1,2,8

Estándares

y Obtener

Políticas

Políticas

códigos

de alineación

alineadas

alineadas

prácticas

de

Gerente alumno

gobierno alineados

195

ID

Entrada

Actividad

Salida

Descripción

Responsable

1,2,9

Políticas

Aplicar

Alineamiento

Aplicar

alineadas

alineamiento

aplicado

políticas

y

marcos

de

las Gerente alumno

referencia en la cultura

de

la

empresa

para

motivar

la

realización

de

los objetivos de la empresa.

196

ID

Entrada

Actividad

Salida

1,2,1

Alineamiento

Crear

un Políticas

Crear

un Gerente alumno

0

aplicado

conjunto

de relativas a TI

conjunto

de

políticas

para

conducir

las

políticas

Descripción

Responsable

expectativas de control de TI en temas

clave

relevantes, como calidad, seguridad, confidencialidad ,

controles

internos, uso de activos de TI, ética y derechos de

propiedad

intelectual.

1,2,1

Políticas

Evaluar

1

relativas a TI

políticas

las Políticas evaluadas actualizadas

Evaluar y actualizar

y Gerente alumno las

políticas, como mínimo una vez al

año,

para

ajustarlas a los cambiantes entornos operativos o de negocio.

197

ID

Entrada

Actividad

Salida

Descripción

1,2,1

Políticas

Implantar

Políticas

Implantar

2

evaluadas

implantadas

aplicar

actualizadas

y políticas

Responsable y Gerente alumno las

políticas de TI a todo el personal relevante,

de

forma que estén incorporadas sean

y

parte

integral de las operaciones empresariales.

198

ID

Entrada

Actividad

Salida

Descripción

1,2,1

Políticas

Asegurar

Funcionamient

Asegurarse

3

implantadas

funcionamient

o

o

procedimientos

procedimientos

asegurado

estén

de que

Responsable de Gerente alumno los

en

funcionamiento para realizar un seguimiento del cumplimiento con las políticas y

definir

las

consecuencias al no

llegar

cumplir

a los

indicadores

1,2,1

Funcionamient

4

o

Fin



Fin de procesos

Gerente alumno

Actividades

Gobierno(Comit

de

procedimientos asegurado A.1

Mejora

Evaluar

continua

del sistema

sistema

de gobierno

gobierno

el Principios de rectores

de internas

del é educativo)

gobierno

proceso Evaluar

corporativo

el

sistema

de

gobierno

199

DIAGRAMA DEL PROCESO

Ilustración 24: Proceso Mantener los Elementos Catalizadores

200

DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI DECLARATIVA

Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Asegurar que los propietarios toman decisiones sobre la clasificación de la información y los sistemas y su protección de acuerdo con esta clasificación. ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Proveer políticas y directrices, definir,

Gerencia

mantener

y

proporcionar

herramientas

adecuadas para garantizar la seguridad de información.

Definir

e

implementar

procedimientos para asegurar la integridad y consistencia en la información.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Comité

Definir la prioridad de la información y mantener las responsabilidades de la prioridad de la información.

ENTRADAS DEL PROCESO

201

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada

Descripción

Encargado de Elaboración

Requerimiento de negocio

Necesidad de definir la propiedad

Gerencia

de la información y del sistema

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida

Descripción

Encargado de Elaboración

Directrices para el control y

Políticas y reglas de negocio para

Gerencia

seguridad de datos

realizar el control y mantener segura la información. futuros proyectos

CARACTERIZACIÓN ID

Entrada

Actividad

Salida

Descripción

1,3,0



Inicio

Necesidad de Inicio definir

la proceso

propiedad

de

Responsable

de Gerente alumno

información del sistema 1,3,1

Necesidad de Proveer definir

la políticas

Políticas y directrices

y Proveer políticas

Gerente y

202

ID

Entrada

propiedad

Actividad

de directrices

Salida

Descripción

Responsable

propuestas

directrices para alumno

información

asegurar

la

del sistema

adecuación

y

consistencia de la clasificación de

la

información (datos) en toda la empresa. 1,3,2

Políticas

y Definir,

directrices

mantener

propuestas

proporcionar

Seguridad de Definir, y información garantizada

Gerente

mantener

y alumno

proporcionar herramientas adecuadas, técnicas

y

directrices para garantizar

la

seguridad

y

control efectivo sobre la información y los sistemas en colaboración con

el

propietario (Base de datos, Libros

Excel,

Soluciones, etc...). 1,3,3

Seguridad de Crear información

mantener

y Soporte

al Crear

mantenimiento mantener

y Gerente un alumno

203

ID

Entrada

Actividad

Salida

garantizada

información

de información

Descripción

la inventario

Responsable

de

la información (sistemas

y

datos)

que

incluya

un

listado de los propietarios, custodios

y

clasificaciones. Incluir

los

sistemas subcontratados y

aquellos

cuya propiedad debe permanecer dentro de la empresa. 1,3,4

Soporte

al Definir

mantenimiento implementar de información

e Políticas para Definir

e Gerente

el control y implementar

la procedimientos seguridad datos

alumno

de procedimientos para

asegurar

la integridad y consistencia de toda

la

información almacenada en formato electrónico, tales

como

bases de datos, almacenes datos

de (data

204

ID

Entrada

Actividad

Salida

Descripción

Responsable

warehouses) y archivos

de

datos. 1,3,5

Políticas para Fin



Fin de proceso

el control y seguridad

Gerente alumno

de

datos 3.2

Políticas

Definir

operativas

arquitectura de arquitectura de internas referencia

la Modelo

procesos

de Actividades

Gerente del alumno

proceso Definir

la

arquitectura de referencia

205

DIAGRAMA DEL PROCESO

Ilustración 25: Proceso Definir la Propiedad de la Información y del Sistema de TI

206

DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN DECLARATIVA

Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las partes interesadas y usuarios pertinentes a lo largo de toda la empresa. ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Comunicar continuamente los objetivos de

Gerencia

TI. Aplicar

Gestor de riesgos

mantener

las

medidas un

control

necesarias de

para

Riesgo de operaciones

riesgos,

garantizando un adecuado control en los procesos. Gestor

de

la

Aplicar los objetivos de TI a la seguridad

seguridad

de información en la empresa.

Gobierno

Encargado de realizar la Evaluación,

Seguridad de información

Dirección ejecutiva

Orientación y Supervisión del sistema de gobierno.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

207

Comité

Comunican todo lo relevante al gobierno corporativo.

Gerente general

Apoyar los objetivos de TI a la empresa.

Gerente profesor

Comunicar la sensibilidad de los objetivos al comité. Dar soporte al proceso de comunicación.

ENTRADAS DEL PROCESO

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Comunicación

de

gobierno

corporativo

Descripción

Encargado de Elaboración

Información con los diferentes

Gobierno - Comité

requerimientos Gobierno

de

parte

del

de

las

comunicados

y

y

comité

empresas. Principios,

Comunicados

Políticas

y

Principios, políticas

Gobierno - Comité

de la dirección de la

empresa por el Gobierno y comité de las empresas.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida

Descripción

Encargado de Elaboración

Comunicación de objetivos de TI

Documento con los objetivos de

Riesgo de operaciones

TI

en

la

empresa.

Carpeta

compartida de proyectos y finaliza el proceso creando un documento de

incidencias

para

futuros

proyectos

208

CARACTERIZACIÓN ID

Entrada

Actividad

Salida

1.4.0



Inicio

Comunicación Inicio de proceso de

Descripción

Responsable Gerente alumno

gobierno

corporativo 1.4.1

Comunicación Comunicar

Objetivos

Comunicar

de

comunicados

continuamente los

gobierno objetivos

corporativo

objetivos

Gerente alumno

y

la

dirección de TI. 1.4.2

Objetivos

Asegurar

Comunicación Asegurar que las Analista

comunicados

comunicación

asegurada

comunicaciones

de

riesgos

reciban apoyo de la

dirección

ejecutiva, tanto de palabra

como

mediante acciones, empleando todos los

canales

disponibles. 1.4.3

Comunicación Comunicar

Principios,

Iniciar

Analista

asegurada

Comunicados

comunicación

seguridad

de

y Políticas 1.4.4

Principios,

Garantizar

Información

Garantizar que la Analista

Comunicados

información

garantizada

información

y Políticas

de

seguridad

comunicada engloba una clara articulación de la misión,

los

objetivos

de

servicio,

la

seguridad,

los

controles

209

ID

Entrada

Actividad

Salida

Descripción

Responsable

internos,

la

calidad, el código ético/de conducta, las

políticas

y

procedimientos, los roles y las responsabilidades, etc. 1.4.5

Información

Detallar

información

Comunicar

la Analista

garantizada

información

detallada

información

con seguridad

de

el nivel de detalle adecuado cada

para

respectiva

audiencia dentro de la empresa. 1.4.6

información

Finalizar

Comunicación Información

detallada

Comunicación finalizada

Analista

de

comunicada clara, seguridad con los objetivos de

servicio,

seguridad

y

controles internos,

etc.

Correctamente descritos. 1.4.7

Comunicación Soportar

Comunicación Proporcionar

Analista

finalizada

de

riesgos

comunicación

de TI

objetivos recursos suficientes

de

y

cualificados para dar

soporte

al

proceso comunicativo. 1.4.8

Comunicación Fin de



Fin de proceso

Analista

de

objetivos

210

ID

Entrada

Actividad

Salida

Descripción

Responsable

de TI A.2

Mejora

riesgos Orientar

continua

del sistema

sistema

de gobierno.

gobierno

el Objetivos del Actividades de gobierno

internas

Gobierno(Comité del educativo)

proceso Orientar el

sistema

de

gobierno.

211

DIAGRAMA DEL PROCESO

Ilustración 26: Proceso Comunicar los Objetivos y la Dirección de Gestión

212

DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS DECLARATIVA

Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de gestión y de control. Considerar las directrices de la implementación de procesos de COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y otras partes interesadas. Actualizar los procesos y considerar el impacto en los catalizadores del proceso. ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Evaluar, analizar e identificar los procesos

Gerencia

críticos del negocio basándose en el rendimiento y cumplimiento de los riesgos relacionados. Implementar la redefinición de procesos.

Arquitecto de TI

Operaciones

Rediseño de procesos priorizando las iniciativas para la mejora del proceso. Gerente de servicios

Considerar las maneras de mejorar la

Gerencia

eficiencia mediante la priorización de acciones para realizar la mejora continua. Gestor

de

la

Aplicar las medidas de mejora para la

seguridad

seguridad de información.

Gobierno

Encargado de realizar la Evaluación,

Seguridad de información

Dirección ejecutiva

Orientación y Supervisión del sistema de

213

gobierno.

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Comité

Promover la mejora continua en todos los procesos considerando las directrices de la implementación de los procesos de COBIT5.

Gerente profesor

Encargado de supervisar la reacción de las funciones de los empleados con respecto al proceso de mejora continua.

ENTRADAS DEL PROCESO

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada

Descripción

Encargado de Elaboración

Políticas y procedimientos

Políticas y procedimientos para

Gerencia

identificar los procesos críticos.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida Evaluación procesos

Descripción de

capacidad

de

Evaluación herramientas

Encargado de Elaboración mediante de

Cobit5

las

Gerencia

para

obtener el nivel de capacidad de la empresa.

214

Objetivos

y

métricas

de

rendimiento

Objetivos

y

métricas

de

Operaciones

rendimiento para el seguimiento de la mejora de procesos

CARACTERIZACIÓN ID

Entrada

Actividad

Salida

1,5,0



Inicio

Efectividad

1,5,1

Efectividad

y Identificar

Descripción y Inicio

de Gestor

funcionamiento procesos

arquitectura

del gobierno

TI

Procesos

Identificar

funcionamiento procesos

críticos

procesos

del gobierno

identificados

críticos

críticos

Responsable

los Gestor arquitectura

de de

de de

de TI

negocio basándose en el rendimiento, cumplimiento y los

riesgos

relacionados. 1,5,2

Procesos

Procesos

Iniciar

Inicio

críticos

priorizar

procesos

proceso

identificados

de Gerente

de

servicios

Evaluar, Analizar, Identificar

y

Priorizar. 1,5,3

Iniciar procesos

Evaluar

Evaluación de Evaluar capacidad procesos

de capacidad proceso

la Gerente

de

del servicios e

identificar objetivos

de

215

ID

Entrada

Actividad

Salida

Descripción

Responsable

mejora. 1,5,4

Iniciar

Analizar

procesos

Análisis

Analizar

las Gerente

realizado

diferencias

en servicios

de

la capacidad y control

del

proceso. 1,5,5

Iniciar

Identificar

procesos

Opciones

de Identificar

mejora

opciones

identificados

mejora

las Gerente

de

de servicios y

rediseño

de

procesos. 1,5,6

Iniciar

Priorizar

procesos

Objetivos métricas

y Priorizar

Gestor

de iniciativas para arquitectura

rendimiento

la

de de

mejora de TI

procesos basadas en el potencial costebeneficio. 1,5,7

Evaluación de Converger

Procesos

Finalización de Gerente

capacidad

finalizados

procesos

procesos

de procesos /

de

servicios

Evaluar,

Análisis

Analizar,

realizado

/

Opciones

de

Identificar

y

Priorizar.

mejora identificados / Objetivos

y

métricas

de

rendimiento 1,5,8

Procesos

Implementar

Mejoras

Implementar

finalizados

mejoras

implementadas

las

Gerente alumno

mejoras

acordadas,

216

ID

Entrada

Actividad

Salida

Descripción

Responsable

funcionando como

una

práctica normal del negocio y establecer objetivos

y

métricas

de

rendimiento que permitan el seguimiento de las mejoras del proceso. 1,5,9

Mejoras

Considerar

implementadas

maneras mejorar

Maneras de mejorar eficiencia

de Considerar las Gerente alumno la maneras

de

y mejorar

la

eficacia

eficiencia

y

consideradas

eficacia (p. ej., mediante formación, documentación, estandarización y automatización de procesos).

1,5,10 Maneras

de Aplicar

mejorar

la prácticas

eficiencia

y mejora

Prácticas de mejora aplicadas

de Aplicar

Analista

prácticas

de seguridad

gestión

de

eficacia

calidad para la

consideradas

actualización

de

de procesos. 1,5,11 Prácticas mejora aplicadas

de Evaluar procesos

Procesos correctos

Evaluar

Gerente alumno

/ procesos

Procesos

217

ID

Entrada

Actividad

Salida

Descripción

Responsable

desactualizados 1,5,12 Procesos

Retirar

Fin del proceso

desactualizados procesos

Se retiran los Gerente alumno procesos

que

están desactualizados con

la

implementación de

proyectos

innovadores 1,5,13 Fin del proceso B.2

Objetivos métricas rendimiento



Fin

y Establecer

Objetivos

Fin del proceso de Actividades

de los objetivos cumplimiento de

internas

Gerente alumno Gerente alumno

del

alineados a la proceso

cumplimiento mejora

Establecer

y

continua de los objetivos

rendimiento.

procesos

los de

cumplimiento y rendimiento.

B.3

Evaluación de Recopilar capacidad procesos

de procesar datos

y Procesos

Actividades

los internos

del internas

de dominio

proceso

cumplimiento Supervisar,

Recopilar

Gerente alumno del

y

y

Evaluar

y procesar

los

rendimiento.

Valorar

datos

de

Rendimiento y cumplimiento y Conformidad A.3

Mejora

Supervisar el Efectividad

continua

del sistema

sistema

de gobierno.

gobierno

rendimiento. y Actividades

de funcionamiento internas del gobierno

Gobierno(Comité del educativo)

proceso Supervisar

el

sistema

de

gobierno.

218

DIAGRAMA DEL PROCESO

Ilustración 27: Proceso Gestionar la Mejora Continua de los Procesos

219

DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS DECLARATIVA

Poner en marcha procedimientos para mantener el cumplimiento y medición del funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer cumplir las consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de control. ROLES

Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.

Rol

Descripción

Área funcional

Gerente alumno

Realizar seguimiento de las actividades,

Gerencia

control, monitoreo y cumplimiento de las políticas. Rediseñar los procesos para cumplir con las

Arquitecto de TI

Gerencia

políticas y procedimientos. Adoptar las acciones necesarias para realizar

Gerente de servicios

Gerencia

el soporte de servicios adoptando las políticas y procedimientos propuestos. Gestor seguridad

de

la

Adoptar las acciones necesarias para realizar

Seguridad de información

los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos.

Gobierno

Encargado

de

realizar

la

Evaluación,

Dirección ejecutiva

Orientación y Supervisión del sistema de gobierno.

220

STAKEHOLDERS

Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder

Descripción

Comité

Proponer políticas y procedimientos relacionados a los objetivos de TI.

Gerente profesor

Encargado de supervisar el cumplimiento de las políticas y procedimientos de TI.

ENTRADAS DEL PROCESO

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada

Descripción

Encargado de Elaboración

Políticas y procedimientos

Políticas y procedimientos para

Gerencia

realizar

el

seguimiento

y

cumplimiento de las obligaciones de todos los empleados.

SALIDAS DEL PROCESO

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida

Descripción

Acciones de remediación para el

Acciones

no cumplimiento

remediación del no cumplimiento, esto

Encargado de Elaboración

apropiadas

incluye

para

cambio

la

Gerencia

de

requerimientos y comunicación con el gobierno para definir nuevos proyectos en el siguiente periodo.

221

CARACTERIZACIÓN ID

Entrada

1,6,0 …

1,6,1 Políticas

Actividad

Salida

Inicio

Políticas

y Realizar

procedimientos seguimiento

Descripción

Responsable

y Inicio

de Gerente

procedimientos

proceso

alumno

Seguimiento

Hacer

iniciado

seguimiento del alumno

un Gerente

cumplimiento con políticas y procedimientos. 1,6,2 Seguimiento iniciado

Validar

Cumplimiento

cumplimiento

valido

Se realizan las Gerente / actividades

de

servicios

Cumplimiento

necesarias para

invalido

validar

el

cumplimiento de las políticas y procedimientos en la empresa. 1,6,3 Cumplimiento invalido

Analizar

Acciones

de Analizar

incumplimientos remediación para

el

los Gerente

incumplimientos alumno no y

cumplimiento

adoptar

las

acciones apropiadas (puede incluir el cambio

de

requerimientos). 1,6,4 Acciones

de Integrar

remediación para

el

rendimiento no cumplimiento

Rendimiento y Integrar y cumplimiento integrado

Analista

rendimiento

de

y seguridad

cumplimiento

cumplimiento /

dentro

de

los

Cumplimiento

objetivos

Valido

individuales del personal.

222

1,6,5 Rendimiento y Evaluar cumplimiento

desempeño

integrado

catalizadores

Desempeño de Evaluar de catalizadores evaluados

Gestor

periódicamente

de

arquitectura

el desempeño de de TI los catalizadores del

marco

de

referencia adoptar

y las

acciones necesarias. 1,6,6 Desempeño de Adoptar

Acciones

Adoptar

las Gerente alumno

catalizadores

acciones

necesarias

acciones

evaluados

necesarias

adoptadas

apropiadas.

Analizar

Tendencias

1,6,7 Acciones necesarias

tendencias

adoptadas

cumplimiento

1,6,8 Tendencias

y Fin

y Cumplimiento analizado

y Analizar

las Analista

tendencias en el seguridad y funcionamiento

validado

y cumplimiento.



Fin de proceso

Gerente

Cumplimiento analizado

de

alumno

y

validado B.5

Acciones

de Asegurar

remediación para

el

la Implementación Actividades

implantación de de no medidas

cumplimiento

correctivas.

medidas internas

correctivas

Gerente del alumno

proceso

alineadas a las Asegurar

la

políticas de la implantación de empresa.

medidas correctivas.

223

DIAGRAMA DEL PROCESO

Ilustración 28: Proceso Mantener el Cumplimiento con las Políticas y Procedimientos

224

POLÍTICAS Las políticas establecidas por el proyecto IMGETI para la sección de Políticas de TI son: Es responsabilidad del asistente de gerencia: A. Revisar el ROF, MOF, Políticas, modelo de procesos, y la memoria de la empresa al menos una vez por ciclo. B. Actualizar el ROF, MOF y la memoria de la empresa. C. Retirar los procesos desactualizados del modelo de procesos. D. Agregar los nuevos procesos al modelo del modelo de procesos. E. Notificar al personal de la empresa las políticas de misma al inicio de cada ciclo y cada vez que se realiza algún cambio. F. Realizar el seguimiento del cumplimiento de las políticas. G. Crear cuentas de correo electrónico en el servicio Gmail para cada nuevo proyecto al inicio de ciclo con el formato “CodigoProyecto_Añ[email protected]”. Por ejemplo: “[email protected]”. H. Notificar el correo creado y su contraseña. Además, del acceso a las carpetas compartidas de IT-Expert y los Formularios para el registro de actividades y reuniones mediante un mensaje a su correo universitario. I. Es responsabilidad del Gerente general de la empresa IT-Expert. J. Autorizar los cambios del ROF, MOF, Modelo de procesos, políticas y memoria de la empresa. K. Es responsabilidad del Jefe de proyecto: L. Cambiar la contraseña del correo asignado a su proyecto. M. Registrar semanalmente las actividades realizadas durante la semana en el formulario de avance del proyecto.

225

N. Registrar semanalmente las reuniones celebradas durante la semana en el formulario de reuniones.

226

ESTRUCTURA ORGANIZATIVA La estructura organizacional implementada por el proyecto IMGETI es el siguiente: Ilustración 29: Organigrama de IT-Expert 2014 Implementado

Fuente: Elaboración propia

ARQUITECTO DE TI Descripción Encargado de administrar la arquitectura empresarial para proponer soluciones conciliadoras a las necesidades de los interesados. Perfil Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías EUP, TOGAF. Funciones Recolectar y comprender los requisitos Proponer modelos que respondan a los requisitos. Validar y refinar el modelo propuesto. Realizar mantenimiento de los modelos. Persona Asignada 227

Alumno de Taller de Desempeño Profesional II

GESTOR DE RIESGOS Descripción Encargado de realizar las evoluciones de riegos de TI, así como proponer los cambios necearías para mitigar los riesgos identificados. Perfil Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías PMBOK, ITIL, COBIT. Funciones Identificar, cuantificar y priorizar los riesgos de TI Realizar evoluciones de riesgos regularmente. Proponer cambios para minimizar los riesgos. Sigue una metodología para las evaluaci8mes con el fin de que estas sean objetivas y repetibles. Persona Asignada Alumno de Taller de Desempeño Profesional II

GESTOR DE LA SEGURIDAD Descripción Tiene como misión planificar, coordinar y mantener la seguridad de la información de la empresa. Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías COBIT, ISO 27001. Funciones

228

Planificar, coordinar y mantener la seguridad de la información en IT-Expert Educar a los usuarios sobre seguridad de la información. Realizar análisis de vulnerabilidades en los dispositivos de red de la empresa. Reunir evidencias para la investigación de incidentes de seguridad. Persona Asignada Alumno de Taller de Desempeño Profesional II

ROLES ARQUITECTO DE TI Tiene la misión de asegurar la integridad de la arquitectura, en términos de abordar adecuadamente todas las preocupaciones pertinentes de sus grupos de interés, relacionando de todos los diferentes puntos de vista entre ellos. Lo que busca es la conciliación de manera satisfactoria las preocupaciones conflictivas de diferentes grupos de interés, mostrando las compensaciones y consideraciones tomadas. GESTOR DE RIESGOS Se encarga del proceso de identificación, cuantificación y priorización de los riesgos comparándolos con el criterio para su aceptación dentro del marco de los objetivos relevantes para la empresa. Realiza evaluaciones del riesgo periódicamente y siguiendo una metodología para realizar los cambios en los requerimientos del sistema y en la situación de los riesgos; por ejemplo: activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuantos cambios significativos ocurran. GESTOR DE LA SEGURIDAD Tiene como misión planificar, coordinar y mantener la seguridad de la información de la empresa. Deben educar a los usuarios sobre la seguridad de la información, instalar software de seguridad, supervisar las redes para detectar los puntos vulnerables de seguridad, responder a los ataques cibernéticos, y en algunos casos, reunir datos y pruebas que se utilizarán en la persecución de la delincuencia cibernética.

229

MÉTRICAS Se establecen métricas que ayuden a la gerencia de la empresa IT-Expert a un control adecuado de los procesos, en este caso al proceso implementado. INDICADORES Se establecieron los siguientes indicadores: Reuniones realizadas con las autoridades Nivel de avance del proyecto Nivel de actividades realizadas en el proyecto NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES Definición: Mide el porcentaje de reuniones realizadas con las autoridades de la empresa IT-Expert y con el Cliente del proyecto. Expresión matemática:

Objetivos: Se debe alcanzar un 80% de reuniones con las autoridades de IT-Expert sobre el número de semanas para lograr un alineamiento correcto a los requerimientos del cliente y a las políticas de la empresa. Consideraciones de gestión: Verde

Amarillo

Rojo

X>=80%

60%
View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF