Implementación de un modelo de gestión estratégico de TI para la empresa IT-Expert
Item type
info:eu-repo/semantics/bachelorThesis
Authors
Juro Pereira, Peter; Velásquez Vara, Carlos Andrés
Publisher
Universidad Peruana de Ciencias Aplicadas (UPC)
Rights
info:eu-repo/semantics/openAccess
Downloaded
8-mar-2018 01:31:36
Link to item
http://hdl.handle.net/10757/582052
Facultad de Ingeniería Escuela de Ingeniería de Sistemas y Computación Carrera de Ingeniería de Sistemas de Información
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATÉGICO DE TI PARA LA EMPRESA ITEXPERT Memoria del Proyecto Profesional para la obtención del Título Profesional de Ingeniero de Sistemas de Información
Autores U201011057, Peter Juro Pereira U201011417, Carlos Andrés Velásquez Vara
Asesor Escobar Urueña, Marcela
Lima, Octubre 2015
RESUMEN EJECUTIVO
Actualmente el manejo adecuado de la información en las empresas es fundamental para realizar de manera correcta la toma de decisiones y sobresalir en un ambiente empresarial cada vez más competitivo. En este sentido, la gestión de TI desde un nivel estratégico es vital en toda organización. Sin embargo, no todas las organizaciones realizan una eficiente gestión de TI, sobre todo aquellas que no están consolidadas: Las pymes, estas presentan ciertos problemas vinculados a la gestión de TI como: Falta de alineamiento entre los objetivos de TI y los estratégicos, una pobre gestión de proyectos, inversiones que no generan beneficio alguno, falta de control y seguimiento, y gestión de servicios inadecuada.
El presente documento muestra el trabajo realizado en el proyecto “Implementación de un modelo de gestión estratégica de TI para la empresa IT-Expert”, cuyo resultado permitirá a la empresa IT-Expert utilizar la información y la tecnología de la manera más eficiente y así ayudar a alcanzar los objetivos estratégicos, mediante la implementación de un modelo de gestión de TI basado en COBIT 5. La metodología de implementación se encuentra en la guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue obtenido del primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo de evaluación de procesos utilizado es PAM (Process Assessment Model) propuesto por el mismo marco de referencia.
Para este proyecto, se realizó en primera instancia una evaluación de la capacidad actual de los procesos y se definió también el nivel de capacidad objetivo de los mismos. Después de un análisis de brechas, se propusieron las mejoras necesarias para alcanzar el nivel de capacidad objetivo. Estas se priorizaron mediante una evaluación basada en la dificultad de implementación (tiempo, conocimiento necesario) y los beneficios que producirían. Se implementaron las mejoras relacionadas al proceso "Gestionar el marco de gestión de TI". Finalmente, se realizó una segunda evaluación para validar si efectivamente se había II
alcanzado el nivel de capacidad objetivo. De esta manera, se logró que IT-Expert tuviera mecanismos y autoridades para la gestión de la información y el uso de TI que pudieran apoyar a los objetivos de gobierno.
III
ABSTRACT
Nowadays the proper managing of information inside companies is crucial for properly perform decision-making and take advantage on business in an increasingly competitive environment. In that sense, from the view of strategic level, IT management is vital in any organization or company. However, not all organizations perform efficient IT management, especially those that are not consolidated: SMEs or small companies; these small companies suffer certain problems related to IT management such as the following: Lack of alignment between IT and strategic objectives; Poor project management: investments that do not generate a substantial profit; Lack of control and monitoring, and inadequate services management.
This document shows the job done in the project named as "Implementation of a strategic management model for enterprise IT IT-Expert”, and the corresponding results will allow the IT-Expert company expertise the use of information technologies more efficiently and it will achieve the strategic objectives through the implementation of a management model based IT COBIT 5. The implementation methodology is in the ISACA guide "COBIT 5 Implementation". The process model used as reference was obtained from the first domain IT management COBIT 5 framework and the process assessment model considered for this project is PAM (Process Assessment Model) proposed by the same framework document.
For this project, firstly, it was done an evaluation of the current scope of the processes and also the level of objective capacity was defined. After a gap analysis, it was proposed necessary improvements to achieve the level of objective capacity. These were prioritized through an evaluation based on the implementation difficulty (time, required knowledge) and the benefits that would result of it. It was made process improvements related to "Manage the IT management framework ". Finally, a second evaluation was performed to validate if they had actually reached the target level of capacity. By all the above, it was possible that IT-Expert Company have mechanisms and authorities for information management and that they could make use of IT to support government objectives. IV
TABLA DE CONTENIDOS
RESUMEN EJECUTIVO .................................................................................................................................... II ABSTRACT..................................................................................................................................................... IV TABLA DE CONTENIDOS ................................................................................................................................. V LISTA DE ILUSTRACIONES.............................................................................................................................. IX INTRODUCCIÓN ............................................................................................................................................. 1 DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3 OBJETO DE ESTUDIO ........................................................................................................................................ 4 DOMINIO DEL PROBLEMA .......................................................................................................................... 4 PLANTEAMIENTO DEL PROBLEMA .............................................................................................................. 4 OBJETIVO DEL PROYECTO ................................................................................................................................ 5 INDICADORES DE ÉXITO .............................................................................................................................. 5 PLANIFICACION DEL PROYECTO .................................................................................................................. 6 MARCO TEORICO ......................................................................................................................................... 18 CONCEPTO ..................................................................................................................................................... 19 ENFOQUES DE TRABAJO ................................................................................................................................ 20 Primera fase .............................................................................................................................................. 20 Segunda fase............................................................................................................................................. 20 ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES ................................................... 20 COBIT 5 ..................................................................................................................................................... 20 Primer dominio de gestión de Cobit 5 ....................................................................................................... 22 Modelo de evaluación de procesos PAMP ................................................................................................ 25 ESTADO DEL ARTE........................................................................................................................................ 28 ESTADO DEL ARTE .......................................................................................................................................... 29 Revisión de la literatura ............................................................................................................................ 29 Modelos de gestión y gobierno de TI ........................................................................................................ 35 IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45 FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN ........................ 46 PUNTOS DÉBILES ....................................................................................................................................... 46 EVENTOS DESENCADENANTES .................................................................................................................. 47 IDENTIFICACIÓN DE PARTES INTERESADAS .............................................................................................. 47 FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL....................................................... 50
V
CASCADA DE METAS ................................................................................................................................. 50 Mapeo Entre necesidades de las partes interesadas y las metas de la empresa .................................................. 50 Mapeo entre las necesidades de la empresa y las metas relacionadas con TI ...................................................... 58 Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 ............................................. 69
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE REVISIÓN).................................................................................................................................................. 77 Evaluaciones del dominio de gestión .................................................................................................................... 77 Criterios de evaluación .......................................................................................................................................... 78 Calificación de la capacidad actual de los procesos seleccionados ....................................................................... 81 Resumen de calificación de la capacidad actual de los procesos seleccionados ................................................. 110
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO ........................................... 113 NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS ............................................................................. 113 LISTA DE OPORTUNIDADES DE MEJORA ................................................................................................. 114 CUADRO INTEGRADO DE MEJORA .......................................................................................................... 118 PLAN DE MEJORAMIENTO DE ALTO NIVEL ............................................................................................. 121 FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS ................................................................... 123 Priorizar las iniciativas potenciales ......................................................................................................... 123 DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI .......................................................... 132 Roles .................................................................................................................................................................... 133 Stakeholders ........................................................................................................................................................ 134 Entradas del proceso ........................................................................................................................................... 135 Salidas de proceso ............................................................................................................................................... 136 Caracterización .................................................................................................................................................... 137 Diagrama de proceso........................................................................................................................................... 143
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL ............................................. 144 Descripción del proceso ...................................................................................................................................... 144 Roles .................................................................................................................................................................... 144 STAKEHOLDERS ................................................................................................................................................... 145 Entradas del proceso ........................................................................................................................................... 145 Salidas del proceso .............................................................................................................................................. 145 Caracterización .................................................................................................................................................... 146 Diagrama del proceso .......................................................................................................................................... 147
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO .............................................................................. 148 Descripción del proceso ...................................................................................................................................... 149 Roles .................................................................................................................................................................... 149 STAKEHOLDERS ................................................................................................................................................... 150 Entradas del proceso ........................................................................................................................................... 151 Salidas del proceso .............................................................................................................................................. 153 Caracterización .................................................................................................................................................... 154 Diagrama del proceso .......................................................................................................................................... 158
DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS HUMANOS......................................................... 158 Descripción del proceso ...................................................................................................................................... 159
VI
Roles .................................................................................................................................................................... 159 STAKEHOLDERS ................................................................................................................................................... 159 Entradas del proceso ........................................................................................................................................... 160 Salidas del proceso .............................................................................................................................................. 160 Caracterización .................................................................................................................................................... 160 Diagrama del proceso .......................................................................................................................................... 161
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN ............................... 163 Productos de Trabajo de la Implementación .......................................................................................... 163 MODELO DE PROCESOS .......................................................................................................................... 165 DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................... 166 DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI .......................................................... 168 DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA ORGANIZATIVA ....................................................... 179 DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS CATALIZADORES ............................................... 189 DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI ............... 201 DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ............................ 207 DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS .................................. 213 DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..... 220
POLÍTICAS ................................................................................................................................................ 225 ESTRUCTURA ORGANIZATIVA ................................................................................................................. 227 ARQUITECTO DE TI .............................................................................................................................................. 227 GESTOR DE RIESGOS ............................................................................................................................................ 228 GESTOR DE LA SEGURIDAD.................................................................................................................................. 228
ROLES ...................................................................................................................................................... 229 ARQUITECTO DE TI .............................................................................................................................................. 229 GESTOR DE RIESGOS ............................................................................................................................................ 229 GESTOR DE LA SEGURIDAD.................................................................................................................................. 229
MÉTRICAS ............................................................................................................................................... 230 INDICADORES ...................................................................................................................................................... 230 NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES ............................................................................. 230 NIVEL DE AVANCE REAL DEL PROYECTO ............................................................................................................. 231 NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO ....................................................................................... 231
FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR? DESARROLLAR EL PLAN DE IMPLEMENTACIÓN .......................... 233 Tablero De Indicadores ........................................................................................................................... 233 Formulario Reuniones Del Proyecto ........................................................................................................ 234 Formulario Avance Del Proyecto ............................................................................................................. 235 Reporte De Informe De Avance Y Reuniones De It-Expert ...................................................................... 236 Avance del proyecto................................................................................................................................ 236 Reuniones por proyecto .......................................................................................................................... 237 Informe de EDT ....................................................................................................................................... 237 Informe de reuniones .............................................................................................................................. 238 Resumen de avances comparativo ......................................................................................................... 239
VII
Resumen de reuniones comparativo ....................................................................................................... 240 FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO? MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA IMPLEMENTACIÓN ...................................................................................................................................... 242 Evaluación ............................................................................................................................................... 242 Lecciones Aprendidas .............................................................................................................................. 245 Mejoras Futuras ...................................................................................................................................... 246 GESTIÓN DEL PROYECTO ........................................................................................................................... 248 PRODUCTO FINAL ........................................................................................................................................ 249 GESTIÓN DEL TIEMPO .................................................................................................................................. 250 GESTIÓN DE LOS RECURSOS HUMANOS ...................................................................................................... 256 GESTIÓN DE LAS COMUNICACIONES ........................................................................................................... 258 GESTIÓN DE LOS RIESGOS ............................................................................................................................ 259 LECCIONES APRENDIDAS ............................................................................................................................. 262 CONCLUSIONES ......................................................................................................................................... 263 RECOMENDACIONES ................................................................................................................................. 265 GLOSARIO .................................................................................................................................................. 266 SIGLARIO ................................................................................................................................................... 268 BIBLIOGRAFÍA ............................................................................................................................................ 269 ANEXOS ..................................................................................................................................................... 270 ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270 ANEXO 2: EDT DEL PROYECTO 1ERA ETAPA......................................................................................................... 300 ANEXO 4: LISTA DE REVISIONES ......................................................................................................................... 328 ANEXO 5: MAPA DE PROCESOS ......................................................................................................................... 392 ANEXO 6: ACTAS DE REUNIÓN 2DA ETAPA .......................................................................................................... 395 ANEXO 7: EDT DEL PROYECTO 2DA ETAPA .......................................................................................................... 418 ANEXO 8: ACTAS DE ACEPTACIÓN DE LOS ENTREGABLES DE LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN ESTRATÉGICA . 432 ANEXO 9: ACTA DE ACEPTACIÓN DE LA GESTIÓN DEL PROYECTO .............................................................................. 433 ANEXO 10: CONSTANCIA DE SERVICIO DE VALIDACIÓN Y VERIFICACIÓN QS................................................................ 434 ANEXO 11: CERTIFICADO DE APROBACIÓN .......................................................................................................... 438 ANEXO 12: PAPER CIENTÍFICO .......................................................................................................................... 439 ANEXO 13: POSTER Y BRIEF .............................................................................................................................. 454
VIII
LISTA DE ILUSTRACIONES
ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9 ILUSTRACION 2: PRINCIPIOS DE COBIT 5 ...................................................................................................................... 20 ILUSTRACIÓN 3: CASCADA DE METAS ........................................................................................................................... 21 ILUSTRACIÓN 4: PROCESOS DEL PRIMER DOMINIO ESTRATÉGICO DE COBIT 5 (APO) ............................................................. 22 ILUSTRACIÓN 5: NIVEL DE CAPACIDAD ......................................................................................................................... 25 ILUSTRACIÓN 6: ESCALA DE CALIFICACIÓN .................................................................................................................... 27 ILUSTRACIÓN 7: SEGMENTOS DEL MARCO DE CALDER-MOIR ............................................................................................ 30 ILUSTRACIÓN 8: MODELO DE GOBIERNO DE LAS TI DE LA NORMA ISO 38500 .................................................................... 31 ILUSTRACIÓN 9: MODELO DE LEAVITT ......................................................................................................................... 32 ILUSTRACIÓN 10: ESTRUCTURA CMMI ....................................................................................................................... 33 ILUSTRACIÓN 11: MODELO DE GOBIERNO DE TI PARA LA INDUSTRIA EDITORIAL .................................................................. 35 ILUSTRACIÓN 12: MAGERIT Y EL MARCO DE GESTIÓN DE RIESGOS ISO 31000 (DIRECCIÓN GENERAL DE MODERNIZACIÓN ADMINISTRATIVA, PROCEDIMIENTOS E IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA, 2012) ................................... 38 ILUSTRACIÓN 13: MOTIVOS POR LOS QUE SE DECIDE IMPLANTAR UN SISTEMA DEL GOBIERNO DE LAS TI EN UNA UNIVERSIDAD ...... 39 ILUSTRACIÓN 14: GUÍA DE BUEN GOBIERNO DE LAS TI PARA EL PRINCIPIO DE RESPONSABILIDAD ............................................. 40 ILUSTRACIÓN 15: TIPOS DE INDICADORES INCLUIDOS EN EL GTI4U ................................................................................... 41 ILUSTRACIÓN 16: MODELO INTEGRADO DE PROCESOS DE GOBERNANZA Y GESTIÓN DE TI ..................................................... 42 ILUSTRACIÓN 17: NIVEL DE CAPACIDAD DE LOS PROCESOS DE LA EMPRESA IT-EXPERT ......................................................... 113 ILUSTRACIÓN 18: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI – (PROPUESTA) ........................................................... 143 ILUSTRACIÓN 19: PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL – (PROPUESTA) .................................................. 147 ILUSTRACIÓN 20: PROCESO GESTIONAR PORTAFOLIO – (PROPUESTA) ............................................................................. 158 ILUSTRACIÓN 21: PROCESO GESTIONAR LOS RECURSOS HUMANOS – (PROPUESTA) ........................................................... 161 ILUSTRACIÓN 22: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI ................................................................................. 178 ILUSTRACIÓN 23: PROCESO DEFINIR LA ESTRUCTURA ORGANIZATIVA .............................................................................. 188 ILUSTRACIÓN 24: PROCESO MANTENER LOS ELEMENTOS CATALIZADORES........................................................................ 200 ILUSTRACIÓN 25: PROCESO DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI............................................. 206 ILUSTRACIÓN 26: PROCESO COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ....................................................... 212 ILUSTRACIÓN 27: PROCESO GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS ............................................................ 219 ILUSTRACIÓN 28: PROCESO MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..................................... 224 ILUSTRACIÓN 29: ORGANIGRAMA DE IT-EXPERT 2014 IMPLEMENTADO.......................................................................... 227 ILUSTRACIÓN 30: FORMULARIO DE REUNIONES DEL PROYECTO ....................................................................................... 234 ILUSTRACIÓN 31: FORMULARIO DE AVANCE DEL PROYECTO ........................................................................................... 236 ILUSTRACIÓN 32: AVANCE POR PROYECTO ................................................................................................................. 236 ILUSTRACIÓN 33: REUNIONES POR PROYECTO ............................................................................................................. 237
IX
ILUSTRACIÓN 34: INFORME EDT .............................................................................................................................. 237 ILUSTRACIÓN 35: INFORME DE REUNIONES................................................................................................................. 238 ILUSTRACIÓN 36: RESUMEN DE AVANCES SEMÁFOROS.................................................................................................. 239 ILUSTRACIÓN 37: RESUMEN DE AVANCES GRÁFICOS ..................................................................................................... 240 ILUSTRACIÓN 38: RESUMEN DE REUNIONES ................................................................................................................ 240
X
LISTA DE TABLAS
TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4 TABLA 2: PLAN DE GESTIÓN DE TIEMPO (FASES E HITOS DEL PROYECTO) ............................................................................... 6 TABLA 3: ACTIVIDADES SEMANAL / ENTREGABLES............................................................................................................ 7 TABLA 4: ROLES ...................................................................................................................................................... 10 TABLA 5: PLAN DE COMUNICACIONES ......................................................................................................................... 12 TABLA 6: TABLA DE RIESGOS ..................................................................................................................................... 16 TABLA 7: RESPONSABILIDADES E INTERESES DE LAS PARTES INTERESADAS ........................................................................... 47 TABLA 8: MAPEO ENTRE NECESIDADES DE LAS PARTES INTERESADAS Y LAS METAS DE LA EMPRESA .......................................... 52 TABLA 9: MAPEO ENTRE LAS METAS DE LA EMPRESA Y LAS METAS RELACIONADAS CON TI ...................................................... 59 TABLA 10: MAPEO ENTRE LAS METAS RELACIONADAS CON TI Y LOS PROCESOS DEL MODELO DE COBIT 5 ................................ 70 TABLA 11: CALIFICACIÓN DE LA CAPACIDAD ACTUAL DE LOS PROCESOS SELECCIONADOS ...................................................... 111 TABLA 12: LISTA DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .............................................................. 115 TABLA 13: MAPEO PROCESOS APO - OPORTUNIDADES DE MEJORA DE LA EMPRESA IT-EXPERT........................................... 116 TABLA 14: PRIORIZACIÓN DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .................................................... 118 TABLA 15: CUADRO INTEGRADO DE MEJORA PARA LA EMPRESA IT-EXPERT ....................................................................... 120 TABLA 16: HOJA DE RUTA DEL PROYECTO IMGETI ...................................................................................................... 121 TABLA 17: MAPEO DE COBIT5 VS HERRAMIENTAS ..................................................................................................... 124 TABLA 18: PRODUCTOS DE TRABAJO DEL PROYECTO IMGETI ........................................................................................ 163 TABLA 19: HABILITADORES DE COBIT5 .................................................................................................................... 164 TABLA 20: PRODUCTOS DE TRABAJO Y HABILITADORES ................................................................................................. 164 TABLA 21: MODELO COBIT Y PROCESOS IMPLEMENTADOS .......................................................................................... 165 TABLA 22: EVALUACIÓN DE PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................................. 242 TABLA 23: GESTIÓN DE RIESGOS .............................................................................................................................. 259 TABLA 24: CONDICIONES DEFINIDAS PARA ESCALAS DE IMPACTO DE UN RIESGO SOBRE LOS PRINCIPALES OBJETIVOS DEL PROYECTO ................................................................................................................................................................ 260 TABLA 25: MAPEO ENTRE LOS PROCESOS ACTUALES DE IT-EXPERT Y MODELO DE PROCESOS DE COBIT 5 DEL PRIMER DOMINIO DE GESTIÓN .................................................................................................................................................... 393
XI
XII
XIII
INTRODUCCIÓN
El presente documento representa la memoria del proyecto “Implementación de un modelo de gestión estratégico de TI para la empresa IT-Expert”. Este proyecto tiene como fin la propuesta de un modelo de gestión para la empresa virtual IT-Expert basado en el primer dominio de gestión del marco de referencia COBIT 5, así como, su posterior implementación en la empresa.
La estructura del documento está compuesta por cinco capítulos, los cuales serán explicados brevemente a continuación. El primer capítulo abarca la descripción del proyecto; es decir, se plantea el problema y la solución propuesta, se definen los objetivos del proyecto; así como, el alcance e indicadores de éxito del mismo. Asimismo, se presentan todos los entregables relacionados a la planificación del proyecto.
El segundo capítulo presenta el marco teórico necesario para la comprensión del desarrollo del proyecto e interpretación de los resultados del mismo. Se define el enfoque de trabajo a seguir, y se realiza un análisis de los marcos de referencia y/o estándares internacionales referenciados en el proyecto.
El tercer capítulo abarca el Estado del Arte del tema del proyecto, en este se resume la investigación de otros trabajos realizados sobre problemas similares. De los cuales, se extraen aportes que sirven de ayuda para elegir el mejor modelo de gestión basado en marcos de referencia y/o estándares internacionales que más se adapte a la situación de la empresa IT-Expert.
1
El cuarto capítulo se centra en la ejecución del proyecto IMGETI: Implementación de un modelo de gestión estratégica basado en COBIT 5. Para la empresa IT-Expert solo nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El proyecto está dividido en dos partes. La primera parte está conformado por las fases de implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de nivel de capacidad a los procesos, se define el nivel objetivo de los procesos, y se definen las oportunidades de mejora para finalmente priorizarlas en base a sus niveles de dificultad y beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases involucran la creación de un del plan de implementación de las soluciones escogidas en la fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el control de los procesos de la empresa IT-Expert que adjuntarán a un cuadro de control y finalmente se realiza la segunda evaluación de capacidad para validar el éxito alcanzado. Además se menciona las conclusiones y recomendaciones para la mejora continua de la empresa.
Por último, el quinto capítulo muestra como se ha trabajado la gestión del proyecto. Se listan los planes de gestión del tiempo, de los recursos humanos, de las comunicaciones, y de riesgos. Adicionalmente, se mencionan las lecciones aprendidas durante el desarrollo del proyecto.
2
DESCRIPCIÓN DEL PROYECTO
En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de Información para la empresa virtual IT-Expert de la Universidad Peruana de Ciencias Aplicadas, en este caso se basa la justificación del proyecto IMGETI. Se definen los objetivos del proyecto, así como, el alcance e indicadores de éxito del mismo Asimismo, se describe la gestión del proyecto para el logro de los objetivos teniendo en cuenta los indicadores de éxito del proyecto.
3
OBJETO DE ESTUDIO IT-Expert es una empresa virtual que brinda servicios de TI a las empresas virtuales de la Universidad Peruana de Ciencias Aplicadas, esta empresa requiere de una gestión de TI que le permita conseguir sus objetivos estratégicos. El proyecto IMGETI propone un modelo de gestión de TI basándose en un marco de referencia que le permita tener las metas de TI alineadas a los objetivos estratégicos de la empresa.
DOMINIO DEL PROBLEMA Tabla 1: Dominio del problema Problema
Causas
La trazabilidad entre las necesidades No existe un modelo de gobierno y gestión de de la alta dirección con los objetivos TI en IT-Expert que permita alinear los de TI no es apreciable Falta
de
integración
objetivos de TI a los objetivos empresariales entre
los No existe una adecuada administración de la
proyectos desarrollados en IT-Expert
portafolio de proyectos que permita integrar los proyectos existentes para cumplir con los objetivos de la empresa
Fuente: Elaboración propia
PLANTEAMIENTO DEL PROBLEMA Una solución al problema identificado es la implementación de una modelo de gestión estratégica que nos permita alinear tanto los objetivos estratégicos de la empresa con los objetivos de TI. Un modelo que permita cubrir las necesidades de los Stakeholders mediante la tecnología de información. Un modelo que permita tener los procesos con aceptación externa, que sean medibles, auditable, y estén definidos con las mejores prácticas. Además, que permita tomar decisiones acertadas y en el momento oportuno. Gestionar adecuadamente el marco de gestión de TI
4
Una correcta gestión de la arquitectura empresarial que incorpore actividades que relacionen los objetivos de la parte estratégica con los objetivos de TI Un manejo adecuado de los portafolios de proyectos Uso eficiente de los recursos de la empresa para el soporte del portafolio de proyectos
OBJETIVO DEL PROYECTO Objetivo General OG: Implementar un modelo de gestión de TI para la alineación, planificación y organización de los procesos de la empresa IT-Expert bajo el marco de referencia COBIT 5 Objetivos Específicos OE1: Analizar la situación actual en la que se encuentra la empresa IT-Expert con relación al primer dominio de gestión de TI según COBIT 5 OE2: Diseñar una arquitectura de procesos que cumpla con las recomendaciones del primer dominio de la gestión de TI según COBIT 5 OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert
INDICADORES DE ÉXITO IE1 – Acta de aceptación de la evaluación de capacidad de los procesos de IT-Expert aprobado por el cliente IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto aprobado por el gerente de IT-Expert IE4 – Acta de aceptación de la gestión del proyecto aprobada por el gerente de IT-Expert
5
PLANIFICACION DEL PROYECTO Alcance El presente proyecto tendrá como resultado final la implementación de un modelo de gestión de TI para la empresa virtual IT-Expert, para lo cual es necesario, en primer lugar, un análisis de capacidad de la situación actual de la empresa. Posteriormente, se desarrollará una arquitectura de procesos candidata de los procesos relacionados al alineamiento, planificación y organización de TI. Asimismo, se evaluaran los proyectos existentes en la cartera para seleccionar aquellos que ayuden a cumplir los requerimientos de COBIT e integrarlos a la arquitectura de procesos propuesta. Finalmente, se dará paso de la implementación de la arquitectura propuesta. Solo se tomará en cuenta los procesos del primer dominio de Gestión de TI del marco de trabajo COBIT 5.
Plan de Gestión del Tiempo Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto) Fecha
Hito del proyecto
Project
Estimada
Charter
aprobado por el comité
Grupo de entregables aprobados Estado
del
arte
aprobado
aprobado
Prioridad
Project Charter
Alta
EDT
Alta
Cascada de metas
Alta
Modelo de capacidad
Alta
Estado del arte
Alta
Memoria parcial
Alta
Estado del arte final
Alta
Semana 06
Semana 14
Semana 15
Exposición de fin de ciclo
Entregables incluidos
2014-01 Semana 16
6
Fecha
Hito del proyecto
Estimada
Entregables incluidos
Prioridad
Definición de procesos
Alta
Definición de procesos
Alta
Paper científico
Alta
Memoria Final
Alta
Paper Científico final
Alta
Entregables certificados por QA
Semana 7
primer paquete Entregables certificados por QA Semana 14 segundo paquete Paper
científico
aprobado
Semana 15
Exposición de fin de ciclo aprobado
2014-01 Semana 16
Fuente: Elaboración propia
Los entregables son aquellos que están en cursiva
Tabla 3: Actividades semanal / Entregables Semana
Actividades / Entregables Investigar marco de referencia de COBIT 5
Semana 3
Desarrollar Project Charter Desarrollar Cronograma Desarrollar documento Registro de Interesados
Semana 4
Desarrollar documento Gestión de Personal Desarrollar documento Gestión de Riesgo
7
Semana
Actividades / Entregables Desarrollar diccionario EDT Desarrollar documento Plan Gestión de Alcance Desarrollar documento Plan Gestión de Calidad Desarrollar documento Gestión de Comunicaciones
Semana 5 Desarrollar documento Matriz de Comunicaciones Desarrollar Índice de Memoria Desarrollar presentación para el comité Semana 6 Identificar guías de COBIT Realizar presentación ante el comité Semana 7
Investigar Guías de consulta de COBIT Buscar fuentes para el estado del arte Iniciar Fase 1 de implementación
Semana 9 Definir Cascada de metas Semana 10
Presentar informes de fuentes del estado del arte Iniciar Fase 2 de implementación Definir problemas y oportunidades
Semana 11 Desarrollar Checklist Redactar parte inicial del estado del arte Modelo de capacidad Semana 12 Redactar parte intermedia del estado del arte
8
Semana
Actividades / Entregables
Semana 13
Iniciar Fase 3 de implementación Realizar plan de implementación
Semana 14 Redactar parte final del estado del arte Desarrollar presentación final para el comité Semana 15 Presentar estado del arte Semana 16
Realizar presentación final ante el comité Fuente: Elaboración propia
Los horarios de desarrollo del proyecto son los martes y jueves de 4pm a 7pm y en un horario acordado con los jefes de proyectos el desarrollo del proyecto se realizara los lunes, miércoles, viernes y sábados. Los horarios de reuniones con el Cliente profesor serán los miércoles de 5pm a 6pm. Las reuniones con el Gerente profesor se realizaran los martes en el horario de clases del curso de taller de proyecto. Las reuniones tanto con el cliente y el gerente serán los jueves en el horario de clases. Las reuniones con el alumno de apoyo se realizaran en los horarios de clase de Taller de Proyecto 1 y se realizaran los acuerdos mediante el correo de la UPC
[email protected].
Plan de Gestión de Recursos Humanos El equipo del proyecto está organizado según el siguiente organigrama, en él estamos mostrando claramente las líneas de reporte de cada miembro del equipo.
Ilustración 1: Diagrama de equipo 9
COMITÉ GENERAL
GERENTE PROFESOR (Gerente de IT-Expert)
CLIENTE PROFESOR
GERENTE ALUMNO
JEFES DE PROYECTO
ALUMNO RECURSO
ANALISTA QA
Fuente: Elaboración propia
Tabla 4: Roles Rol
Miembro
Jefe de Proyecto
Velásquez
Responsabilidades Vara, Supervisar y controlar
Carlos Andrés
la ejecución de las actividades para que se cumplan
todos
los
objetivos del proyecto. Jefe de Proyecto
Juro Pereira, Peter
Supervisar y controlar la ejecución de las actividades para que se cumplan
todos
los
objetivos del proyecto. Gerente Profesor
Rivas Galloso, Paul Brindar
apoyo
y
asesoría
durante
el 10
Rol
Miembro
Responsabilidades
Harry
desarrollo
del
proyecto. Cliente Profesor
Rosas Acevedo, Vania Brindar la información necesaria e Indicar los requerimientos necesarios
para
cumplir con el objetivo principal del proyecto y la aprobación de los entregables
del
proyecto. Gerente Alumno
Karen Panduro
Controlar y supervisar el avance eficaz de los proyectos y mantener informado
a
los
alumnos de Taller de Proyectos informados de las actividades de la empresa IT-Expert. Analista QA
Alumno Analista
Verificar y Validar la calidad entregables
de
los del
proyecto. Alumno Recurso
Erick Merino
Brindar apoyo en las actividades referentes del proyecto
11
Rol
Miembro
Comité General
Rosario
Responsabilidades Villalta, Evaluar
Jimmy Armas, Carlos bajo Raymundo
el
los
proyecto estándares
establecidos
por
la
Carrera de Ingeniería de
Sistemas
Universidad
de
la
Peruana
de Ciencias Aplicadas. Fuente: Elaboración propia
Plan de Comunicaciones Detalle del plan de comunicación con información requerida, descripción, encargado, destino, canal y periodo de entrega:
Tabla 5: Plan de Comunicaciones Información requerida
Descripción
El
acta
Encargado
Para su entrega a los Stakeholders
Canal
Periodo
Reunión
Semanal
de
reunión contiene Acta
los
de requerimientos
Reunión
del
cliente
Cliente
para
Profesor
desarrollo del proyecto
el
Peter
Juro
Pereira Carlos
– Cliente Profesor
Velásquez Vara
IMGETI, mediante:
12
Información requerida
Descripción
Encargado
-Temas
Para su entrega a los Stakeholders
Canal
Periodo
a
tratar sobre el proyecto
y
avances -Acuerdos en con el cliente -Tareas de la semana
Es
un
documento similar
al
Cronograma
Peter
Juro
de Actividades Pereira EDT
–
en el que se Carlos listan
las Velásquez
actividades
Gerente Alumno – Gerente Profesor
Sincronización Documentos
Semanal
compartidos
Vara
que se tienen planeadas y su cumplimiento. Mensaje mediante Asignación
cual
se
de
dejan
Actividades
asignadas
el Peter Juro le Pereira – Carlos Velásquez
Alumno Recurso
Correo Calendar
Semanal
actividades de Vara apoyo al Alumno
13
Información requerida
Descripción
Encargado
Para su entrega a los Stakeholders
Canal
Periodo
Reunión
- Semanal
Recurso
El
acta
de
reunión contiene
los
las consultas y aclaraciones en
temas
relacionados al
proyecto
IMGETI, Acta
de
mediante:
Peter Pereira
Reunión Gerente Profesor
Juro
Carlos
– Gerente Profesor
a Velásquez tratar sobre el Vara -Temas
proyecto
y
avances - Acuerdos en con el cliente -Tareas de la semana
14
Información requerida
Descripción
El
acta
reunión
Encargado
Para su entrega a los Stakeholders
Canal
Periodo
Reunión
- Semanal
de los
acuerdos entre Gerente profesor
y
Cliente profesor para llevar
un
control adecuado del desarrollo del proyecto IMGETI tanto Acta
de para el Cliente Peter Juro Reunión Pereira – profesor como Gerente Cliente Profesor para el Carlos Profesor Cliente
y
Velásquez
Gerente
Vara
Profesor, mediante: -Temas
a
tratar sobre el proyecto
y
avances -Acuerdos en con el cliente -Tareas de la semana
Fuente: Elaboración propia
15
Plan de Gestión de Riesgos Entre los posibles riesgos que pueden peligrar el proyecto son los siguientes: Tabla 6: Tabla de Riesgos # 1
Riesgo
Probabilidad Impacto
Disponibilidad horaria
Probable
Alto
del
Estrategia de mitigación Comunicación constante con el cliente.
Así
profesor
reprogramación
cliente.
reuniones
como, de
para
la
nuevas subsanar
reuniones canceladas. 2
Incumplimient o
Improbable
Medio
Mantener
una
comunicación
de
constante con nuestro recurso
actividades por
alumno. Acordar la posibilidad
parte
del
de solicitar la ayuda de otro
recurso alumno
recurso alumno si el asignado no
asignado
puede
cumplir
con
sus
actividades ya sea por motivos de salud o personales. 3
Cambio
de Improbable
Gerencia
en
Alto
Tomar en consideración los objetivos
IT-Expert
Implementar
a
largo la
plazo.
gestión
del
cambio para abordar los posibles cambios de los objetivos de la empresa. 4
Subestimación
Probable
Medio
Dejar una holgura de tiempo
del tiempo de
para las actividades relacionadas
desarrollo
al desarrollo de entregables en el
de
los artefactos
cronograma. Fuente: Elaboración propia
16
17
MARCO TEORICO
El segundo capítulo trata acerca del marco teórico que sirve como conocimiento base para el entendimiento de los conceptos que son usados durante el desarrollo del proyecto. Estos hacen referencia al marco que se está utilizando en este proyecto COBIT5. También contiene el enfoque de trabajo a seguir en el proyecto.
18
CONCEPTO Para poder comprender más a fondo el proyecto IMGETI (Implementación de un Modelo de Gestión Estratégica de TI para la Empresa IT-Expert), tenemos que entender varios factores relacionados con el tema del proyecto. El marco teórico permitirá tener una vista general de propósito de IMGETI, en un comienzo se analizaran conceptos generales relacionados con el tema del proyecto, también se mostrara la importancia del proyecto para la empresa ITExpert y finalmente se profundizara en el marco de referencia más adecuado para cumplir los objetivos del proyecto. Un modelo de gestión estratégica es un conjunto de reglas o referencias que ayudan a gestionar y administrar adecuadamente una empresa con un enfoque estratégico. El modelo propone uno o más planes de gestión que ayuden a cumplir los objetivos que se tienen y las decisiones que se tomen por parte del gobierno de la empresa. La información es uno de los recursos con más valor en la empresa, pues es el conocimiento útil que se utilizará para cumplir los objetivos de las partes interesadas. Manejar la información precisa y de forma adecuada que ayudará a tomar las decisiones acertadas ante los retos que se presenten en el día a día de una empresa. Además, en la actualidad se cuenta con el conjunto de conocimientos técnicos y científicos que ayudan a manejar la información de forma eficiente, ahorrando recursos y facilitando el uso de la información, estos conocimientos en conjunto son la Tecnología de Información (TI). Por lo tanto, podemos concluir que un modelo de gestión estratégico de TI es el alineamiento de las estrategias de TI con las estrategias de la empresa, en este caso la empresa IT-Expert. La empresa IT-Expert, cuya misión es “aplicar los estándares de calidad internaciones a los procesos involucrados en la prestación de servicios y desarrollo de proyectos de TI”, no presenta integración en los proyectos que están vinculadas con el objetivo principal de IT-Expert. Esto es debido a que no se alinean a un modelo de gestión y no existe una integración de la información entre los proyectos. Implementando un plan de gestión estratégica de TI se promueve el crecimiento sostenible en la gestión de TI pues mantendrían alineados los objetivos de la empresa con lo de TI lo que brinda una un conjunto de referencias en la gestión de los procesos más importantes. Asimismo se gestionaría eficientemente los servicios que se brinden, pues se tiene un control de completo de estos servicios.
19
Bajo esta necesidad la herramienta se mencionara la herramienta idónea para implementar el proyecto COBIT 5 y para gestionarlo PMBOK.
ENFOQUES DE TRABAJO Primera fase Se utilizará el FrameWork COBIT versión 5 Se utilizara PMBOK como guía de referencia para la dirección de proyectos para la adecuada gestión del proyecto.
Segunda fase Se utilizará la metodología EUP para el desarrollo de la arquitectura de procesos. La notación para modelar los procesos de negocio elegido es BPMN.
ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES COBIT 5 COBIT 5 proporciona un marco de referencia para ayudar a las organizaciones a alcanzar sus objetivos a partir de un buen gobierno y una gestión de TI. En pocas palabras, ayuda a las empresas a crear valor optimo manteniendo un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgos y el uso de los recursos. Ilustración 2: Principios de Cobit 5
20
Fuente: ISACA 2014
En la ilustración se muestran los 5 principios en los que se basa COBIT 5. Cada organización opera en un contexto diferente que este determinado por factores externos (el mercado, la industria, la geopolítica, etc.) y factores internos (la cultura, la organización, el apetito de riesgo, etc.), esto requiere una medida de gobierno y gestión de sistemas. Las necesidades de los Stakeholders tienen que ser transformadas en una estrategia a ejecutarse en la organización. Ilustración 3: Cascada de metas
21
Fuente: ISACA 2014
COBIT 5 propone las metas en cascada como el mecanismo para traducir las necesidades de los interesados (Stakeholders) en las metas específicas del negocio, acciones concretas y personalizadas, los objetivos relacionados con II y los objetivos de los facilitadores. Esta traducci6n permite establecer objetivos específicos en todos los niveles y en todas las áreas de la empresa en apoyo a los objetivos generales y requisitos de los Stakeholders y por lo tanto apoya efectivamente la alineación entre las necesidades empresariales y soluciones de TI y servicios. En la figura 15 se ilustran las metas en cascada de COBIT.
Primer dominio de gestión de Cobit 5 El dominio APO de COBIT 5 explica los procesos necesarios para la planificación y organización eficaces de los recursos TI internos y externos, incluyendo la planificación estratégica, planificación de la tecnología y la arquitectura, planificación organizativa, planificación de la innovación, gestión de la cartera, gestión de la inversión, gestión del riesgo, gestión de las relaciones y gestión de la calidad. Ilustración 4: Procesos del primer dominio estratégico de Cobit 5 (APO)
Fuente: ISACA 2014
Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
22
Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos. Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción. Gestionar la Innovación: Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa. Gestionar Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.
23
Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Gestionar las Relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves. Gestionar los Acuerdos de Servicio: Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento. Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados. Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia. Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
24
Modelo de evaluación de procesos PAMP El PAM de COBIT 5 es compatible con la norma ISO/IEC 15504 1 y se puede utilizar como base para la realización de una evaluación de la capacidad de cada uno de los procesos de COBIT 5. El modelo está basado en la evidencia para permitir una forma fiable, consistente y repetible para evaluar las capacidades de los procesos de TI. Proporciona indicadores para orientar la interpretación del propósito del proceso y los resultados esperados tal como se define en COBIT 5 y los atributos de proceso definidos en la norma ISO/IEC 15504-2. El PAM proporciona una vista en dos dimensiones: Dimensión del proceso: El Modelo de Referencia de Procesos (PRM) de COBIT 5 está compuesto de 37 procesos que describen el ciclo de vida para el Gobierno y la Gestión de las TI de la Empresa. Dimensión de la capacidad: La dimensión de capacidad proporciona una medida de la capacidad de un proceso para cumplir con los objetivos de negocio actuales o futuros de una empresa para el proceso. La capacidad del proceso es expresada en términos de Atributos de Proceso (PA) agrupados en niveles de capacidad. El nivel de capacidad de un proceso es determinado con base a la consecución de los PA específicos de acuerdo con la norma ISO/IEC 15504-2. Ilustración 5: Nivel de capacidad
1
La ISO/IEC 15504, es una norma internacional para establecer y mejorar la capacidad y
madurez de los procesos de las organizaciones en la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios. Cfr. ISO 2014 25
Fuente: ISACA 2014
Los niveles de capacidad definidos son los siguientes: Nivel 0 Incompleto: El proceso no está implementado o no alcanza su propósito. A este nivel, hay muy poca o ninguna evidencia de algún logro sistemático del propósito del proceso. Nivel 1 Ejecutado: El proceso implementado alcanza su propósito. Nivel 2: Gestionado: El proceso ejecutado está implementado de forma gestionada y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente. Nivel 3 Establecido: El proceso gestionado ahora está implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso. Nivel 4 Predecible: El proceso establecido ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso. Nivel 5 Optimizado: El proceso predecible es mejorado de forma continua para cumplir con las metas empresariales presentes y futuras. El PAM también establece una escala de calificación para evaluar cada atributo de proceso, la cual se muestra a continuación. 26
Ilustración 6: Escala de calificación
Fuente: ISACA 2014
N (No Alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso de evaluación. P (Parcialmente Alcanzado): Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo pueden ser impredecibles. L (Ampliamente Alcanzado): Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso evaluado. F (Completamente Alcanzado): Existe evidencia de un completo y sistemático enfoque y un logro completo del atributo definido en el proceso evaluado. No existen debilidades significativas relacionadas con el atributo en el proceso evaluado.
27
ESTADO DEL ARTE
El contenido del capítulo tres tiene la información que se obtuvo a partir de la investigación de artículos científicos que abordaron diferentes proyectos del tópico modelo. Se extrae el aporte de cinco artículos científicos sobre el modelo de gestión de TI para la gestión de una universidad, una empresa petrolera, el uso de portafolios de proyectos, industria editorial y administración electrónica. Asimismo, se muestran las técnicas usadas y el manejo de los distintos recursos para la investigación realizada en los diferentes proyectos como: Modelos basados en estándares, Marcos de referencias, Modelos de Gestión Rediseñados, Estándares, entre otros.
28
ESTADO DEL ARTE Revisión de la literatura El Gobierno de TI define la estructura de relaciones y procesos para dirigir y controlar la empresa hacia el logro de sus objetivos estratégicos agregando valor al mismo tiempo que se logra un balance entre el riesgo, el retorno de la inversión en TI, y la efectividad de sus procesos. El gobierno o gobernanza de TI como también se conoce, motivado a cumplir los objetivos de TI (alineados con el negocio y con el gobierno corporativo), ejerce un control permanente sobre los procesos de TI, clasificados en las siguientes categorías: Evaluar, dirigir y monitorear, Alinear, planear y organizar, Construir, adquirir e implementar, Entregar, servir y dar soporte, monitorear, evaluar y valorar, de acuerdo con el marco de referencia COBIT 5. COBIT 5 es un marco de referencia de Gobierno de TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio. Además, permite el desarrollo de una política clara y una buena práctica para el control de TI en las organizaciones. El marco acentúa el cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor asociado al área de TI, habilita la alineación y simplifica la puesta en práctica del marco de referencia 2. Otro marco de referencia que aborda esta temática es el modelo de gobierno de IT CalderMoir, el cual suministra lineamientos para la Arquitectura Empresarial. Asimismo, proporciona un enfoque holístico para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información. Los estándares y el cumplimiento de estos, aseguran que las tecnologías de información de la organización apoyan y facilitan el logro de sus estrategias y objetivos. Más que un marco es una colección de los diferentes marcos de gobierno como COBIT, BSC3, COSO4, ITIL5 entre otros. Calder-Moir orquesta los
2
Cfr. Saavedra Torres 2012:25
3
El Cuadro de Mando Integral traduce la estrategia y la misión de una organización en un
amplio conjunto de medidas de actuación, que proporcionan la estructura necesaria para un sistema de gestión y medición estratégica. Cfr. Bertolino y otros 2002:4 29
marcos guiando los procesos de extremo a extremo6. En el siguiente gráfico, se muestran los segmentos del marco Calder-moir. Ilustración 7: Segmentos del marco de Calder-moir
Fuente: Saavedra-Torres, Adaptado IT Governance ©2006-2008 S T W Moir
Otro modelo que se encuentra en la literatura es el aplicado en el proyecto del Diseño de un modelo de gestión de seguridad de la información del sistema ERP de EP PETROECUADOR que se basa en adaptar COBIT 5 según las metas corporativas del sistema mencionado. En este estudio se aplica la metodología MAGERIT7, la cual es utilizada para la gestión de riesgo dentro del modelo. MAGERIT se basa en el estándar ISO
4
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una
iniciativa conjunta de las cinco organizaciones del sector privado que figuran a la izquierda y se dedica a proporcionar el liderazgo de pensamiento a través de la elaboración de marcos y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del fraude. Cfr. COSO:2014 5
Biblioteca de la Infraestructura de Tecnología de la Información (ITIL), que está formada
por una serie de “Mejores Prácticas” procedentes de todo tipo de suministradores de servicios de TI. Cfr. ITIL:2014 6
Cfr. Saavedra y Torres 2012:33
7
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. 30
3100008, por lo que es totalmente compatible con COBIT 5. Además, su uso es de acceso libre y toda la documentación está disponible en varios idiomas (español, inglés e italiano). Además, este modelo también implementa las buenas prácticas descritas en la ISO/IEC27002. Este estándar establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Adicionalmente, contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información (La política de seguridad, Organización de la seguridad de la información, Gestión de activos, La seguridad de los recursos humanos, Física y la seguridad del medio ambiente, Las comunicaciones y la gestión de las operaciones, Control de acceso, Adquisición de sistemas de información, desarrollo y mantenimiento, Gestión de incidentes de seguridad de la información, Gestión de la continuidad del negocio, Cumplimiento)9. Entre los estándares más usados actualmente que tienen como objeto de estudio el gobierno de TI, el que más destaca es la ISO 38500. Esta incluye un conjunto de definiciones relacionadas con el Gobierno de las TI que sirven como vocabulario común para todos aquellos que conozcan e implementen este estándar. Además, propone un marco de referencia para el gobierno de las TI basado en los siguientes seis principios: Responsabilidad, estrategia, adquisición,
Desempeño, Cumplimiento y Componente
Humano; y el siguiente modelo de gobierno de TI. Ilustración 8: Modelo de Gobierno de las TI de la norma ISO 38500
8
Principios y lineamientos, proporciona principios, el marco y un proceso para la gestión
del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño, actividad o sector. El uso de ISO 31000 puede ayudar a las organizaciones a aumentar la probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y efectivamente asignan y utilizan los recursos para el tratamiento de riesgos. Cfr. ISO 2014 9
Cfr. ISO 2014 31
Fuente: Fernández 2011
En el desarrollo de Modelo de Procesos Integrado de Gobernanza y Gestión de TI propuesto por Carrillo y Rubio, hace referencia al modelo de Leavitt. Este modelo presenta cuatro elementos de un sistema de negocio como la claves para abordar de forma correcta la gestión y optimización de TI en las empresas10. Ilustración 9: Modelo de Leavitt
Fuente: Carrillo y Rubio 2012
Igualmente, se menciona CMMI (CapabilityMaturityModelIntegration) como un método para medir el grado de madurez de las organizaciones. El objetivo de CMMI es establecer 10
Cfr. Carrillo y Rubio 2012:29,30 32
una guía que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informáticos. En CMMI se diferencian actualmente tres modelos que comparten un núcleo común. Además, CMMI define áreas de proceso que se agrupan en cuatro categorías, tres comunes a todos los modelos y una diferente para cada modelo: Gestión de procesos (común), Gestión de proyectos (común), Soporte (común) e Ingeniería (sólo en DEV). En la siguiente figura se presenta la estructura de CMMI que incluye los tres modelos y áreas de proceso mencionados anteriormente, así como los procesos que los conforman11. Ilustración 10: Estructura CMMI
Fuente: Carrillo y Rubio 2012
Cabe mencionar que en la búsqueda de evidencia de que un activo estratégico y proporciona un valor añadido a los negocios de la empresa, se establecen actividades de gobierno que incluyen mecanismos que buscan la alineación de TI con los objetivos en el contexto de la actividad empresarial. Uno de los mecanismos habituales para mejorar la alineación entre la junta (gobernadores de TI), las unidades de negocio (proyectos de TI solicitantes) y el personal de TI (IT adquirentes o desarrolladores) es a través de un proceso de aprobación de la Cartera de Proyectos transparente. Entre otros beneficios, este proceso debería permitir a las empresas a comunicar esta alineación entre los objetivos y proyectos de forma eficaz, la creación de un mayor valor de los activos de TI. Estos mecanismos muestran cómo estas 11
Cfr. Carrillo y Rubio 2012:36,37 33
estructuras se relacionan en el gobierno de TI y ofrecer una oportunidad para mejorar la comunicación entre los gobernadores (miembros del consejo) y el resto de los partícipes de la empresa12. Saavedra y Torres (2012) proponen un Modelo Genérico de Gobierno y Gestión de TI, que ayude a las organizaciones del sector editorial a definir los procesos de TI en los que debe focalizar sus esfuerzos. Para esto, como punto de partida se toma la matriz de necesidades de los interesados (Stakeholders) y la técnica de la cascada de COBIT 5, encuestas para determinar la brecha entre el estado actual y el deseado, y herramientas estadísticas para filtrar y priorizar. Mera (2014) diseña un modelo de gestión de seguridad de la información para el sistema ERP, basado en el marco de trabajo COBIT 5 y la norma ISO/IEC 27002, que optimiza los procesos empresariales implementados y obtiene el mayor beneficio de la plataforma tecnológica adquirida. La caracterización del modelo se realizó identificando la información crítica del sistema y sus amenazas mediante la metodología de análisis de riesgo MAGERIT. Fernández (2011) propone el diseñado y valida un marco de referencia de Gobierno de las TI para Universidades (GTI4U). Este marco se basa y respeta por completo al modelo de gobierno TI propuesto por la norma ISO 38500. Pero a la vez, proporciona una serie de herramientas para que sea fácilmente implementado en un entorno universitario. Debido a que la Tecnología de información es un factor que estratégico en el gobierno de las empresas, Carillo y Rubio (2012) afirman que Por esta razón, las empresas se tienen que hacerse de una estructura de gestión de la información que les permita el alineamiento de TI con la estrategia de negocio, el logro de beneficios, reducción de costes, el control de riesgos y en general la mejora de las operaciones de TI. En este escenario, se introduce el concepto de Gobernanza de TI, responsable de integrar e institucionalizar las buenas prácticas para garantizar que la TI en las empresas soporte los objetivos del negocio y aproveche al máximo su información, maximice los beneficios, capitalice las oportunidades y gane ventajas competitivas. Barceló et al (2012) demuestra que los tres mecanismos de gobernanza de TI: alineación, comunicación y estructuras, cuando se utilizan correctamente, son medios insustituibles para 12
Cfr. Barceló y otros 2012:71 34
producir el valor que el consejo espera de TI. También representamos parte de nuestro marco de gobierno de TI que utiliza estos tres mecanismos, con especial referencia a la alineación del negocio / TI.
Modelos de gestión y gobierno de TI
Modelo de Gobierno de TI como apoyo al proceso de transformación digital en empresas de la industria editorial. Uno de los aportes más importantes de esta propuesta es la definición de la brecha estratégica de la industria editorial, que permite establecer las prioridades en las cuales el sector debe concentrar todos sus esfuerzos para afrontar el proceso de transformación digital que vive en la actualidad. Las encuestas realizadas matizan esta propuesta con las necesidades propias del sector en su situación estratégica actual y con el estado estratégico deseado, que para los encuestados, es el escenario ideal para asumir de forma exitosa el proceso de transformación. Como resultado de esta combinación se obtiene un listado de objetivos estratégicos del negocio que son el insumo inicial para el inicio de la técnica de la cascada propuesta por COBIT 5, y que al final conduce a la obtención de los procesos de TI priorizados y filtrados. Ilustración 11: Modelo de Gobierno de TI para la industria Editorial
35
Fuente: Saavedra y Torres 2012
En la gráfica se ilustra cómo se aborda un problema resultado de la situación que afronta actualmente un sector de la economía mundial, utilizando la técnica de la cascada de COBIT 5, que parte del conocimiento de la planeación estratégica corporativa o El “Balanced Score Card” del negocio. Al no obtener con facilidad información estratégica del sector, se realizan las encuestas de estado actual y estado deseado, que después de tabular y procesar sus respuestas, dan como resultado la brecha estratégica de la industria, representada en los objetivos estratégicos genéricos, insumo necesario para obtener las metas de TI y los procesos de TI. Estos últimos son insumo para el componente de Gestión de TI del proyecto M3GTI. La metodología propuesta para la obtención de los Procesos de TI, se basa en la técnica de la cascada de COBIT 5 y apoyada en la estadística para priorizar y filtrar los elementos en cada paso del proceso. En esta sección se muestran los resultados obtenidos después de aplicar la propuesta de este trabajo.
36
Para relacionar las metas de TI con los procesos definidos de COBIT utiliza el método de despliegue de función de calidad QDF13.
Modelo de gestión de seguridad de la información del sistema ERP de EP PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5 La caracterización de este modelo se realizó mediante una investigación descriptiva del estado del arte de la S-I en EP PETROECUADOR, utilizando técnicas documentales que permitieron recopilar y analizar temas relacionados con la normativa de procesos, informes de hacking ético, consultorías, estructura organizacional y análisis de riesgo del sistema ERP; para definir una línea base sobre la cual es establezca un modelo de gestión de S-I completo y personalizado. La priorización y simplificación del modelo basado en COBIT 5 e ISO/IEC 27002, se realizó utilizando las metas corporativas que la empresa planteó con la implementación del sistema ERP como proyecto estratégico, de esta manera se logró que las metas de TI soporten las metas corporativas y los intereses de las partes interesadas, evitando elaborar marcos desenfocados o demasiado extensos. Los resultados obtenidos en esta investigación revelan, un marco de gestión incompleto, nivel de riesgo alto de la plataforma tecnológica de EP PETROECUADOR, así como riesgos importantes relacionados sobre todo con amenazas internas. En el ámbito de la propuesta del modelo de gestión se verificó la necesidad del involucramiento de la alta gerencia en todas las iniciativas empresariales relacionadas con la S-I, así como se determinó la importancia de un modelo de gestión de S-I, como complemento clave de un proyecto estratégico, que contemple no solo aspectos técnicos sino también estructurales, de cultura organizacional, comportamiento y habilidades del personal involucrado14.
13
QFD es una metodología de gestión de la calidad que sirve especialmente para identificar
y priorizar las necesidades de los clientes. La metodología propone una técnica en la que transfiere lo “que desean los clientes” a los “como se pueden satisfacer”, valorando el grado de correlación entre los deseos del cliente (QUE) y las acciones para satisfacerlos (COMO). Cfr. Saavedra y Torres 2012:39 14
Cfr. Mera 2012:2 37
Se usaron sistemas ERP para la solución en la integración de las diferentes áreas y automatización de los proceso de la empresa. Además, este sistema facilito la recolección y poner la información actualizada del estado y actividades de los departamentos de una empresa a disposición de los usuarios del sistema15. Para esto se usa la en conjunto el marco de referencia COBIT 5, ISO/IEC 27002 y la metodología MAGERIT. Para el modelo de gestión de seguridad de la información fue caracterizado utilizando los 7 catalizadores y la cascada de metas definidos en el marco COBIT 5. Este enfoque permite simplificar el marco principal utilizando las metas corporativas del sistema ERP de EP PETROECUADOR como punto de partida; para luego traducir estas metas a metas de TI, las cuales, en el mismo sentido, se soportan en las metas de cada uno de los catalizadores16. En conjunto con cada catalizador se usó la ISO 20072, concentrándose principalmente en los siguientes dominios: Política de seguridad Gestión de comunicaciones y operaciones Adquisición, desarrollo y mantenimiento de sistemas de información Posteriormente se usó la metodología MAGERIT para el análisis de riesgos, a continuación se muestra el marco de gestión de riesgos en la ilustración.
Ilustración 12: MAGERIT y el marco de gestión de riesgos ISO 31000 (Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, 2012)
15
Cfr. Mera 2012:3
16
Cfr. Mera 2012:7 38
Fuente: Mera 2012
Modelo de Gobierno de las TI GTI4U para Universidades basado en la ISO 38500 El modelo GTI4U que Fernández diseño está compuesto por tres niveles: El primer nivel incluye todos los elementos de la norma ISO 38500: modelo de gobierno TI, principios, buenas prácticas y diccionario de términos. El segundo está compuesto por un Modelo de Madurez (MM) para cada principio, que se utilizará para establecer en qué nivel de madurez de gobierno de las TI se encuentra cada universidad. El tercero incluye a los indicadores que van servir para medir hasta qué punto se satisfacen los criterios presentados en la norma17. Ilustración 13: Motivos por los que se decide implantar un sistema del gobierno de las TI en una universidad
17
Cfr. Fernández 2011:148 39
Fuente: Fernández 2011
Primer Nivel: En cuanto a la guía ISO 38500 se utilizan las guías de buen gobierno de la TI. Las recomendaciones se describen de alto nivel y sólo son un punto de partida para los responsables de las TI que deben completar estas guías al implementarse, identificando cuales son las acciones específicas necesarias para alcanzar los principios, teniendo en cuenta la naturaleza especial de cada organización y realizando un análisis exhaustivo de las oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto. Esta norma, ISO 38500, muestra una guía para el buen gobierno con cada uno de sus principios. Esta guía se define en base a las acciones de gobierno que se recomiendan por la norma ISO 38500. Se presenta, manera de ejemplo, la guía que se propone por Fernández para el principio de responsabilidad18. Ilustración 14: Guía de buen gobierno de las TI para el principio de Responsabilidad
Fuente: Fernández 2011
18
Cfr. Fernández 2011:150 40
Segundo Nivel: Se busca un modelo de madurez que cubra las necesidades del negocio. Y se utilizan los modelos de madurez más importantes relacionados con las TI, en estos está incluido COBIT por el IT Governance Institute (ITGI)19. Este modelo de madurez (MM) establece los niveles de madures del modelo, y es útil para establecer un nivel actual y uno deseado mediante la autoevaluación, cada nivel describe los requisitos relacionados con las tres acciones de gobierno (Evaluar, Dirigir y Monitorizar). Ilustración 15: Tipos de indicadores incluidos en el GTI4U
Fuente: Fernández 2011
Tercer Nivel: El tercer nivel Fernández afirma que el GTI4U está compuesto por un conjunto de indicadores que tienen por objetivo medir si se están llevando a cabo satisfactoriamente las buenas prácticas recomendadas para el gobierno de las TI. Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será evaluado a partir de un conjunto de indicadores Agrupados en tres tipos diferentes (Figura 10.6):
19
GEIT es un Instituto de gobernanza de tecnología de información eficaz que ayuda a asegurar que TI soporte las metas
del negocio, optimice la inversión del negocio en TI, y gestiona adecuadamente los riesgos y oportunidades relacionados con IT. Cfr. ITGI:2014
41
Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo de situar automáticamente a la organización en el nivel que le corresponde dentro del Modelo de Madurez de Gobierno TI de cada principio. Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas que deben estar presentes en la organización para mejorar su madurez de gobierno de las TI. Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son evidencias, pero expresadas con valores absolutos, de cuál es el estado de madurez de algunos aspectos del gobierno de las TI de la organización. Modelo de Procesos Integrado de Gobernanza y Gestión de TI El modelo propuesto de Procesos de Gobernanza y Gestión de la Tecnología de Información por Carillo y Rubio está estructurado en tres niveles y en 9 áreas como se observa en la siguiente figura: Ilustración 16: Modelo Integrado de Procesos de Gobernanza y Gestión de TI
42
Fuente: Carrillo y Rubio 2012
Este modelo es implantado tiene en cuenta los siguientes aspectos: Primero las restricciones impuestas por el negocio en cuanto a principios y políticas de la organización, la estructura organizativa, los recursos y la cultura de la empresa. Segundo al analizar en qué estado se encuentra la organización y a dónde quiere llegar, es decir tener clara su misión, su visión, sus objetivos, conocer y entender qué problemas enfrenta su organización en la gestión de la tecnología de información (sería bueno que los listara) e identificar que oportunidades le ofrece este modelo para mejorar sus procesos, y hacer un rediseño de los mismos (o en caso de que no estén definidos una guía para establecerlos). Tercero, es un problema de organización corporativa que va a afectar a todo el negocio, por lo cual, el máximo órgano de gobierno debe estar totalmente involucrado en la supervisión de la nueva estrategia y comunicar lo que se pretende con el modelo para lograr la colaboración y participación de todo el personal de la compañía afectado. Por ser este un modelo orientado a procesos, que reúne los procesos clave de gobernanza y gestión de TI tomando estándares internacionales.
Negocios / Proyectos de TI de alineación a través del proceso de aprobación del portafolio de proyectos de TI como Instrumento de Gobierno En el marco de gobierno de TI propuesto por Barceló se basa en el estándar ISO / IEC 38500. Esta norma general, se compone de dos capas, la gobernanza y la gestión, respectivamente. Esto se ha ampliado con dos capas adicionales, estrategia corporativa y operación de la línea. Cada capa en el marco representa acciones esenciales realizadas por sus principales grupos de interés. La transición entre las capas se realiza a través de diferentes instrumentos que representan la gobernanza de la TI. En particular, el proceso de aprobación de la Cartera de Proyectos es uno de los instrumentos más importantes. El proceso es un ciclo virtuoso, que comienza y termina con el tablero. Se inicia cuando el consejo busca el valor de las nuevas aplicaciones de TI, y termina cuando se aprueba una cartera de proyectos al año. Como instrumento de gobernanza de TI, el proceso de aprobación de la Cartera de Proyectos es uno de los mejores mecanismos de alineación entre 43
las unidades de negocio y el personal de TI, ya que formaliza este proceso transparente para todas las partes interesadas e incluso el público en general20. En primer lugar, la Junta debe establecer la dirección del gobierno de TI (por un período superior a un año) establecer los objetivos estratégicos. El CIO establece los objetivos tácticos. Los resultados de estos objetivos (estratégicos y tácticos) son los planes de TI y políticas. La selección final de los proyectos de la cartera debe estar alineada con estos planes y políticas. Luego, las unidades de negocio y el personal de TI colaboran juntos para presentar propuestas de proyectos a la oficina de CIO. Estas propuestas son promovidas por los patrocinadores y luego son evaluados por el CIO. La instancia última de la construcción de la cartera de proyectos es la aprobación formal de la junta, cerrando el ciclo del proceso. Por lo tanto, los objetivos estratégicos y las tácticas, las propuestas de proyectos provenientes de unidades de negocio (departamentos y oficinas) y las decisiones finales se publican de forma explícita en el marco de gobierno de TI21.
20
Barceló 2012: 71
21
Barceló 2012: 72 44
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT
Este capítulo se centra en la ejecución del proyecto IMGETI. Para el caso de IT-Expert, solo nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El proyecto está dividido en dos partes. La primera parte está conformado por las fases de implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de nivel de capacidad a los procesos, se define el nivel al que se quiere llegar, y se definen las oportunidades de mejora para luego priorizarlas en base a sus niveles de dificultad y beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases involucran la creación de un del plan de implementación de las soluciones escogidas en la fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el control de los procesos de la empresa IT-Expert agrupados en un cuadro de control; finalmente, se realiza la segunda evaluación de capacidad para validar el éxito alcanzado. Además se menciona algunas conclusiones y recomendaciones para la mejora continua de la empresa.
45
FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN El objetivo de esta fase es reconocer y aceptar la necesidad de una iniciativa de mejora por parte de la gerencia de la empresa, así como, obtener el compromiso de las demás partes interesadas. Por eso, como primera actividad, se ha realizado la identificación de los puntos débiles y eventos desencadenantes, los cuales servirán como motivadores del cambio22 que serán presentados ante la gerencia para lograr su total apoyo y compromiso, así como las partes interesadas sus roles y responsabilidades en la empresa para considerar la efectividad de estos en la creación de valor para la empresa.
PUNTOS DÉBILES
Cambio en la gerencia duplicación o superposición entre las iniciativas o despilfarro de recursos Existen muchos proyectos de TI que han sido desarrollados, pero que no han sido puestos en marcha en la empresa. Además, se han encontrado casos de proyectos que son aprobados para formar parte de la cartera de proyectos, a pesar de que estos ya hayan sido realizados de manera parcial o total anteriormente, lo que provoca la pérdida de recursos utilizados durante el desarrollo del proyecto hasta la detección del problema. Esto es debido a la falta de una visión holística de todos los proyectos de TI, y la inexistencia de procesos y la estructura para la capacidad de decisión alrededor del portafolio.
El equipo humano presenta un nivel de competencias insuficiente para el desarrollo de sus responsabilidades Se ha encontrado también un problema con el nivel de competencias del equipo humano. Cada ciclo se realiza una rotación del personal y cada ciclo se enfrenta el mismo problema 22
“Un motivador de cambio es un evento interno o externo, condición o aspecto clave que
sirve como estímulo para el cambio.” Cfr. COBIT 2012:20 46
de que los nuevos miembros desconocen algunas de las normas o estándares bajo los cuales IT-Expert maneja sus actividades, a pesar de que existan algunas políticas que ya abordan este problema. Esto podría deberse a la falta de control del cumplimiento de las políticas que debería ser realizada por la gestión de recursos humanos.
EVENTOS DESENCADENANTES
Cambio en la Gerencia Actualmente la empresa está pasando por un proceso de cambio de gerente. Como parte de este proceso, se están realizando revisiones de los procesos actuales de la empresa, repositorios de documentos, portafolio de proyectos y registros existentes de los recursos físicos e intangibles.
Deseo de mejorar Existe un plan de mejora de procesos que inicia en la determinación y análisis del proceso a mejorar para luego proponer posibles mejoras así como las acciones necesarias para la implementación de las mismas.
IDENTIFICACIÓN DE PARTES INTERESADAS
A demás de concientizar a la gerencia, es necesario lograr un compromiso con las demás partes interesadas. Para esto, se han definido e identificado las responsabilidades e intereses de las partes interesadas con relación al programa de mejora, el cual se desarrolla en el presente proyecto. Tabla 7: Responsabilidades e Intereses de las partes interesadas
47
Partes Interesadas
Responsabilidades
Interés
en
los
Resultados
del
Programa de implementación Gerente
Profesor, Establecer los objetivos para el programa de Se encuentran interesados en obtener
Gerente Alumno
mejora y asegurar su alineación con la el máximo beneficio en el negocio de la estrategia y de metas de la empresa. implantación del programa. Quieren Aprobar los resultados del programa, y garantizar que todas las cuestiones asegurar que los beneficios previstos son relevantes requeridas se consideran, alcanzados.
que las tareas requeridas se llevan a cabo y que los resultados esperados se entregan correctamente.
Responsables de procesos de Dar información clave para la evaluación del Esto grupo está interesado en TI
desempeño y para establecer los objetivos garantizar que las iniciativas de de mejoras. Proporcionar información sobre mejora resulten en un mejor gobierno las buenas prácticas pertinentes que deben de TI sobre todas y cada una de las ser
incorporados
y
proporcionar áreas, y que las opiniones sobre el
asesoramiento.
negocio necesarias para ello son obtenidas de la mejor forma posible.
Profesor Cliente
Asesorar en la planificación y desarrollo del Está interesado en que los resultados programa. Evaluar los entregables que se previstos se alcancen mediante la hayan definido en el programa.
Equipo de implantación
ejecución correcta del programa.
Dirigir, diseñar, controlar y gestionar el El equipo quiere asegurarse de que programa, desde la identificación de todos los resultados previstos se objetivos y requerimientos hasta las obtienen y se maximizan. eventuales evaluaciones del programa respecto a los objetivos del programa.
Clientes
Los clientes podrían verse afectados por el grado en que se cumplen los objetivos del programa. El cliente tiene una participación indirecta en los resultados
del
programa
de 48
Partes Interesadas
Responsabilidades
Interés
en
los
Resultados
del
Programa de implementación implantación.
Fuente: Elaboración propia
49
FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL El objetivo de esta fase es asegurar que el equipo del programa conoce y entiende los objetivos de la empresa. Identificar los procesos críticos u otros catalizadores que se abordarán en el plan de mejora y determinar la capacidad actual de los procesos seleccionados mediante una evaluación. Como parte de esta segunda fase se debe definir el alcance mediante la identificación de los objetivos de negocio de la empresa relacionados a los objetivos de TI, con estos objetivos de TI se podrá establecer la correspondencia a los procesos propuestos por COBIT 5, de esta forma se proporciona un mapeo genérico de los objetivos de negocio con los relacionados con TI y sus procesos para ayudar con la selección de procesos importantes para la empresa y la alineación de los objetivos de TI a los objetivos de negocio. Dados los objetivos de la empresa y de TI seleccionados, se identifican los procesos críticos que se necesitan para asegurar resultados exitosos. La gerencia necesita saber dónde están las capacidades actuales y dónde pueden existir ineficiencias. Esto se logra mediante una evaluación de capacidad del estado de los procesos seleccionados. Para entender mejor cada artefacto en esta fase, se tendrá la siguiente estructura dividida en: Descripción: Define y describe en no más de un párrafo al artefacto del modelo que se está implementado. Propósito: Muestra la función que tiene el artefacto en el modelo que se está implementado. Alcance: Nos indica el alcance del artefacto dentro del proyecto IMGETI.
CASCADA DE METAS
Mapeo Entre necesidades de las partes interesadas y las metas de la empresa Descripción: Es un cuadro que posee dos dimensiones: Necesidades de las partes interesadas y Las metas de la empresa. Esto nos ayuda a identificar las necesidades de las
50
partes interesadas en forma de preguntas con las metas de la empresa en la parte superior. Los cuadros azules muestran la relación que hay entre ambas cabeceras. Propósito: Tener una visión de la relación entre las necesidades de las partes interesadas y los objetivos empresariales. Alcance: Solo se toma en cuenta las necesidades de las partes interesadas definidas en el punto anterior.
51
¿Cómo consigo valor del uso de TI? ¿Están los
usuarios finales satisfechos con la calidad del
servicio de TI?
¿Cómo gestiono el rendimiento de TI?
¿Cómo puedo explotar mejor las nuevas tecnologías
para nuevas oportunidades de negocio? negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
Tabla 8: Mapeo Entre necesidades de las partes interesadas y las metas de la empresa
¿Cómo
¿Estoy construyo
gestionando y estructuro
bien los mejor
contratos mi
departamento de TI?
¿Cuánto dependo de los proveedores externos?
de
externalización de TI? ¿Cómo obtengo aseguramiento
sobre los proveedores externos?
¿Cuáles son los requisitos (de control) para la
información?
53
negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
¿Considero todos los riesgos relativos a TI?
¿Estoy realizando una operación de TI eficiente y
robusta?
¿Cómo controlo el coste de TI? ¿Cómo utilizo los
recursos de TI de la manera más efectiva y eficiente?
¿Tengo suficiente personal para TI? ¿Cómo puedo
desarrollar y mantener sus habilidades y cómo
gestiono su rendimiento?
54
negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
¿Cómo consigo confianza sobre TI?
¿Está bien asegurada la información que se está
procesando?
¿Cómo puedo mejorar la capacidad de respuesta del
negocio mediante un entorno de TI más flexible?
¿Fracasan los proyectos de TI en proporcionar lo que
habían prometido? Si es así, ¿por qué? ¿Está siendo
TI un obstáculo para ejecutar la estrategia de
55
negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
negocio?
¿Cómo es de crítica la TI para para la sostenibilidad
de la empresa? ¿Qué pasaría si la TI no estuviera
disponible?
¿Qué procesos de negocio críticos dependen de TI y
cuáles son los requerimientos de los procesos de
negocio?
¿Qué parte del esfuerzo de TI se dedica a apagar
56
negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
fuegos en lugar de facilitar las mejoras del negocio?
Fuente: Elaboración propia
57
negocio
Promover una cultura de innovación en el
personal
Fomentar la motivación y el entrenamiento del
del personal en niveles óptimos
Mantener la productividad de la operación y
negocio
Mejorar continuamente los procesos de
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
del servicio
Garantizar la calidad y eficiencia en la entrega
servicios del negocio
Asegurar la continuidad y disponibilidad de los
cliente
Promover una cultura de servicio orientada al
Mapeo entre las necesidades de la empresa y las metas relacionadas con TI Descripción: Cuadro de dos dimensiones que muestra la relación entre Metas de la empresa y Las metas relacionadas con TI. Aquí podemos visualizar los objetivos de TI en la cabecera izquierda y los objetivos de la empresa en la cabecera superior. Además, cada relación esta diferenciada entre P (Primaria) o S (Secundaria), esto nos ayuda a priorizar los objetivos de la empresa con mayor relación con los objetivos de TI. Propósito: Sirve como evidencia para demostrar que las metas relacionadas con TI están alineadas a las metas de la empresa. Alcance: Se consideran todas las metas presentes en mapeo anterior.
58
ra
Financie Metas Corporativas - Fila
Meta relacionada con las TI - Columna
Alineamiento de TI y la estrategia de negocio P S
Cliente
P P S
Interno
P S
Promover una cultura de innovación en el negocio
Fomentar la motivación y el entrenamiento del personal
óptimos
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Tabla 9: Mapeo entre las metas de la empresa y las metas relacionadas con TI
Aprendizaje y Crecimiento S
59
Compromiso de la dirección ejecutiva para
del negocio de las leyes y regulaciones
P S
S
externas óptimos
Promover una cultura de innovación en el negocio
Cumplimiento y Soporte de la TI al cumplimiento Fomentar la motivación y el entrenamiento del personal
P
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
S P
60
Riesgos de negocio relacionados con las TI
gestionados
Realización de beneficios del portafolio de S P
S
P
S
Promover una cultura de innovación en el negocio
Fomentar la motivación y el entrenamiento del personal
óptimos
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
tomar decisiones relacionadas con TI
S
S
61
Cliente Entrega de servicios de TI de acuerdo a los P S
Transparencia de los costes, beneficios y
riesgos de las TI
P S
P
Mantener la productividad de la operación y del personal en niveles
Promover una cultura de innovación en el negocio
S
Fomentar la motivación y el entrenamiento del personal
Inversiones y Servicios relacionados con las TI óptimos
S
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
P S S
62
Interno Agilidad de las TI S
Controlar los riesgos del negocio Mejorar continuamente los procesos de negocio
P P P S S
S
óptimos Fomentar la motivación y el entrenamiento del personal Promover una cultura de innovación en el negocio
S
Mantener la productividad de la operación y del personal en niveles
Mantener productos y servicios de calidad
y soluciones tecnológicas Generar valor para las partes interesadas
requisitos del negocio Garantizar la calidad y eficiencia en la entrega del servicio
Uso adecuado de aplicaciones, información
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
P S S
S S
63
Seguridad de
infraestructuras la
de procesamiento y
Optimización de activos, recursos y P P
P
P S P
Promover una cultura de innovación en el negocio
Fomentar la motivación y el entrenamiento del personal
óptimos
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
información,
P
aplicaciones
S
64
negocio integrando aplicaciones Controlar los riesgos del negocio Mejorar continuamente los procesos de negocio
P S P S P
óptimos Fomentar la motivación y el entrenamiento del personal Promover una cultura de innovación en el negocio
Mantener la productividad de la operación y del personal en niveles
Mantener productos y servicios de calidad
Capacitación y soporte de procesos de Generar valor para las partes interesadas
capacidades de las TI Garantizar la calidad y eficiencia en la entrega del servicio
y P
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
P P S
tecnología en procesos de negocio
65
beneficios a tiempo, dentro del presupuesto y
satisfaciendo los requisitos y normas de
Disponibilidad de información útil y relevante S
S S
Promover una cultura de innovación en el negocio
Fomentar la motivación y el entrenamiento del personal
óptimos
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
Entrega de Programas que proporcionen
S
calidad
S
66
Crecimiento
Aprendizaje y
Personal del negocio y de las TI competente
y motivado S
Cumplimiento de TI con las políticas internas
P
Mantener la productividad de la operación y del personal en niveles
Promover una cultura de innovación en el negocio
S
Fomentar la motivación y el entrenamiento del personal
para la toma de decisiones óptimos
P
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
P P P
67
Conocimiento, experiencia e iniciativas para
la innovación de negocio P P
Promover una cultura de innovación en el negocio
óptimos Fomentar la motivación y el entrenamiento del personal
P
Mantener la productividad de la operación y del personal en niveles
Mejorar continuamente los procesos de negocio
Controlar los riesgos del negocio
Mantener productos y servicios de calidad
Generar valor para las partes interesadas
Garantizar la calidad y eficiencia en la entrega del servicio
Asegurar la continuidad y disponibilidad de los servicios del negocio
Promover una cultura de servicio orientada al cliente
Metas Corporativas - Fila
S P
Fuente: Elaboración propia
68
Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 Descripción: Cuadro de dos dimensiones que muestra las relacionadas entre las metas relacionadas con TI y los procesos del modelo de COBIT 5. En este caso podemos diferencias las metas relacionadas con TI en la cabecera superior de los procesos de COBIT que se encuentran en la cabecera izquierda. En esta relación también se tiene en cuenta la prioridad P (Primaria) o S (Secundaria). Propósito: Identificar los procesos que ayuden a cumplir las metas relacionadas con TI. Alcance: Solo se consideran los procesos del primer dominio de gestión de COBIT 5.
69
y
ar
Organiz
ar
Planific
Alinear, Procesos de COBIT 5 - Columna Financiera
APO01 Gestionar el Marco de P S S Cliente Interno
S S P S S
Conocimiento, experiencia e iniciativas para la innovación de negocio
Personal del negocio y de las TI competente y motivado
tecnología en procesos de negocio
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Uso adecuado de aplicaciones, información y soluciones tecnológicas
Entrega de servicios de TI de acuerdo a los requisitos del negocio
Riesgos de negocio relacionados con las TI gestionados
con TI
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Meta relacionada con las TI - Fila Alineamiento de TI y la estrategia de negocio
Tabla 10: Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5
Aprendizaje y
Crecimiento S
70
Riesgos de negocio relacionados con las TI gestionados Entrega de servicios de TI de acuerdo a los requisitos del negocio Uso adecuado de aplicaciones, información y soluciones tecnológicas
APO02 Gestionar la Estrategia P S S P S
APO03 Gestionar S
la P S
Conocimiento, experiencia e iniciativas para la innovación de negocio
P S S S
P P
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Personal del negocio y de las TI competente y motivado
Gestión de TI tecnología en procesos de negocio
S
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Alineamiento de TI y la estrategia de negocio con TI
Meta relacionada con las TI - Fila
S
Arquitectura
71
APO04 Gestionar la Innovación S
APO05 Gestionar Portafolio P S S
S
S P
S S
tecnología en procesos de negocio
Conocimiento, experiencia e iniciativas para la innovación de negocio
Empresarial
Personal del negocio y de las TI competente y motivado
S
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Uso adecuado de aplicaciones, información y soluciones tecnológicas
Entrega de servicios de TI de acuerdo a los requisitos del negocio
Riesgos de negocio relacionados con las TI gestionados
con TI
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Alineamiento de TI y la estrategia de negocio
Meta relacionada con las TI - Fila
S P
S
72
APO06
APO07 S S S S S
S S S S S
tecnología en procesos de negocio
Conocimiento, experiencia e iniciativas para la innovación de negocio
S
Personal del negocio y de las TI competente y motivado
P
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Uso adecuado de aplicaciones, información y soluciones tecnológicas
Humanos
Entrega de servicios de TI de acuerdo a los requisitos del negocio
Gestionar los Recursos
Riesgos de negocio relacionados con las TI gestionados
y los Costes con TI
Gestionar el Presupuesto Alineamiento de TI y la estrategia de negocio
Meta relacionada con las TI - Fila
P P
73
APO08
APO09 Gestionar
de Servicio las
Relaciones
Gestionar los Acuerdos
Entrega de servicios de TI de acuerdo a los requisitos del negocio
S S P
S P S
Personal del negocio y de las TI competente y motivado
P S
Conocimiento, experiencia e iniciativas para la innovación de negocio
tecnología en procesos de negocio
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Uso adecuado de aplicaciones, información y soluciones tecnológicas
Riesgos de negocio relacionados con las TI gestionados
S con TI
P
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Alineamiento de TI y la estrategia de negocio
Meta relacionada con las TI - Fila
S
74
APO10
APO11 Gestionar
Gestionar la Calidad con TI P S S
S P S
Optimización de activos, recursos y capacidades de las TI
S S
P S
Conocimiento, experiencia e iniciativas para la innovación de negocio
Personal del negocio y de las TI competente y motivado
tecnología en procesos de negocio
Capacitación y soporte de procesos de negocio integrando aplicaciones y
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
Uso adecuado de aplicaciones, información y soluciones tecnológicas
S
Entrega de servicios de TI de acuerdo a los requisitos del negocio
Proveedores
Riesgos de negocio relacionados con las TI gestionados
los Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Alineamiento de TI y la estrategia de negocio
Meta relacionada con las TI - Fila
S
S
75
Entrega de servicios de TI de acuerdo a los requisitos del negocio Uso adecuado de aplicaciones, información y soluciones tecnológicas
APO12 Gestionar el Riesgo P S S P
APO13 Gestionar la Seguridad P S S P
Personal del negocio y de las TI competente y motivado Conocimiento, experiencia e iniciativas para la innovación de negocio
tecnología en procesos de negocio
Capacitación y soporte de procesos de negocio integrando aplicaciones y
Optimización de activos, recursos y capacidades de las TI
aplicaciones
Seguridad de la información, infraestructuras de procesamiento y
con TI
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Alineamiento de TI y la estrategia de negocio
Riesgos de negocio relacionados con las TI gestionados
Meta relacionada con las TI - Fila
S S
Fuente: Elaboración propia
76
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE REVISIÓN)
Evaluaciones del dominio de gestión Descripción: Resultado de la evaluación de capacidad de todos los proceso del dominio APO. Esta evaluación se realiza para obtener el nivel actual de la empresa. Propósito: Identificar el nivel de capacidad de cada proceso de dominio APO. Alcance: Se consideraron solo los procesos del dominio APO que estén alineados a los objetivos de TI. Asimismo, la evaluación se basó en las listas de revisión adjuntas en el Anexo 2. Para realizar la fase dos se debe analizar el estado actual o nivel de capacidad de los procesos de la empresa en el dominio Alinear, Planear y Organizar. Los Procesos APO comprenden de 13 procesos. Sin embargo, para el análisis de la empresa IT-Expert no se considerara el proceso “APO06Gestionar el Presupuesto y los Costes”, debido a que esta no se alinea a los objetivos de TI de la empresa. Los siguientes cuadros describen los resultados de la evaluación de los procesos APO en la empresa IT-Expert en los siguientes procesos: APO01
Gestionar el Marco de Gestión de TI
APO02
Gestionar la Estrategia
APO03
Gestionar la Arquitectura Empresarial
APO04
Gestionar la Innovación
APO05
Gestionar Portafolio
APO07
Gestionar los Recursos Humanos
APO08
Gestionar las Relaciones
APO09
Gestionar los Acuerdos de Servicio
APO10
Gestionar los Proveedores
APO11
Gestionar la Calidad
APO12
Gestionar el Riesgo
APO13
Gestionar la Seguridad
Hay que tener en cuenta que en cada cuadro tenemos los tres criterios de evaluación con valores porcentuales. Estos valores porcentuales están con color de fondo amarillo y que luego se promedian para obtener el nivel de capacidad de cada proceso en el nivel 1. Para analizar e identificar el valor porcentual tenemos evaluar el proceso mediante listas de revisión que se encuentran en el anexo 2 del presente documento. Criterios de evaluación Meta del Proceso (Os): Estos son los objetivos que se cumplen en cada meta de cada proceso en los dominios de COBIT 5. Para la evaluación se tendrá un nivel de cumplimiento de cada meta del 1 al 4, siendo la escala de la siguiente forma: Nivel Descripción
1
2
3
4
Cumple
en
su
minoría Cumple parcialmente Cumple
en
su
mayoría Cumple totalmente.
Fórmula para obtener el valor porcentual de la Meta proceso del Proceso se usa la siguiente formula, Nivel de Meta (NM):
78
Ejemplo: Para el dominio APO01 el NM1 es 2 y el NM2 es 3
[ ]
[ ]
Prácticas Base (BPs): Estas son las actividades a realizarse en el proceso, estas actividades están dentro de las mejores prácticas en el GEIT. Cada actividad del proceso contiene tareas, para medir el cumplimiento de las actividades con relación a las tareas de cada actividad se evalúa por porcentaje de tareas logradas en cada actividad entre el (0% - 100%). Fórmula para obtener el valor porcentual de las prácticas base se tiene en cuenta el resultado de las listas de revisión mediante el resultado del cumplimiento de las tareas de cada práctica base en la empresa IT-Expert. Luego de obtener los valores de cada práctica base se promedian para obtener el valor porcentual promedio de las prácticas base del proceso, Cumplimiento de práctica base (CPB):
Ejemplo: Para el dominio APO01 el CPB1 es 30%, el CPB2 es 22%, el CPB3 es 13% y el CPB4 es 24%
79
Producto de Trabajo (WPs): El producto de trabajo es el entregable de cada proceso en el dominio APO. Para la evaluación de esta parte se contabilizaran los entregables existentes y los que no existen, (SI - NO). Teniendo en cuenta si se contempla la creación de este producto de trabajo o entregable se contara con un SI y si no se contempla se contara como un NO, Producto Contemplado (PC):
Por medio de estos tres indicadores podremos obtener el grado o alcance en el nivel de capacidad uno23, Cumplimiento (Os) Cumplimiento (BPs) Cumplimiento (WPs).
23
El nivel 1 del Nivel de capacidad es el que sigue del nivel más bajo (nivel 0), el nivel
1 es tomado como base en el proyecto, pues el nivel cero es teniendo en cuenta que no se tiene nada de la empresa IT-Expert que cumpla con los mínimos niveles en las buenas prácticas que se da en empresas que implementan por 1era vez un modelo de gestión. 80
Calificación de la capacidad actual de los procesos seleccionados
APO01 Gestionar el Marco de Gestión de TI Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO01 tiene un total de 46.6% de capacidad en el nivel 1.
Evaluación APO01 APO01
Gestionar el Marco de Gestión de TI
46.6
81
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la Descripción del Proceso Información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Proporcionar un enfoque de gestión consistente que Declaración del Propósito del Proceso
permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias.
Meta del Proceso (Os)
APO01-O1
(1-4) Se ha definido y se mantiene un conjunto eficaz de políticas.
50
3
Todos tienen conocimiento de las políticas y de cómo APO01-O2
deberían
1
Implementarse. Prácticas Base (BPs)
%
APO01-BP1
Definir la estructura organizativa.
50
APO01-BP2
Establecer roles y responsabilidades
85.7
APO01-BP3
Mantener los elementos catalizadores del sistema de gestión
46
22.2
APO01-BP4
Comunicar los objetivos y la dirección de gestión
0
APO01-BP5
Optimizar la ubicación de la función de TI.
100
APO01-BP6
Definir la propiedad de la información (datos) y del 50
82
sistema. APO01-BP7
APO01-BP8
Gestionar la mejora continua de los procesos Mantener el cumplimiento con las políticas y procedimientos
Producto de Trabajo (WPs)
40
20 S/N
APO01-WP1
Políticas relativas a TI
no
APO01-WP2
Acciones de remediación por no cumplimiento
no
APO01-WP3
Evaluación de las opciones para la organización de TI
si
APO01-WP4
Definir la función operacional de las funciones de TI
si
APO01-WP5
Definición de estructura y funciones organizativas
si
APO01-WP6
Directrices operativas de la organización
si
APO01-WP7
Reglas básicas de comunicación
si
APO01-WP8
Definición de roles y responsabilidades relativos a TI
si
APO01-WP9
Definición de prácticas de supervisión
no
APO01-WP10
Evaluaciones de la capacidad de los procesos
no
APO01-WP11
Oportunidades de mejoras de proceso
no
APO01-WP12
Objetivos y métricas de rendimiento para el seguimiento de la mejora de procesos
42.9
no
APO01-WP13
Comunicación de objetivos de TI
no
APO01-WP14
Directrices para la clasificación de datos
no
Fuente: Elaboración propia
83
APO02 Gestionar la Estrategia Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO02 tiene un total de 26.2% de capacidad en el nivel 1. Y pertenece a uno de los procesos que deben ser implementados con más urgencia en la empresa, debido a que se debe tener una gestión y control en la empresa de forma más eficiente y completa.
Evaluación APO02 APO02
Gestionar la Estrategia
26.2
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener Descripción del Proceso
mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno
Declaración del Propósito del corporativo e incluya procesos de gestión, Proceso
estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias.
Meta del Proceso (Os)
(1-4)
30.0
84
APO02-O1
APO02-O2
Todos los aspectos de la estrategia de TI están alineados con la estrategia del negocio. La estrategia de TI es coste-efectiva, apropiada, realista, factible, enfocada al negocio y equilibrada.
2
1
Se pueden derivar objetivos a corto plazo claros, APO02-O3
concretos, y trazables de iniciativas a largo plazo específicas, y se pueden traducir, por tanto, en
1
planes operativos. APO02-O4 APO02-O5
TI es un generador de valor para el negocio. Existe conciencia de la estrategia de TI y una clara asignación de responsabilidades para su entrega.
Prácticas Base (BPs) APO02.01 APO02.02
1 1 %
Comprender la dirección de la empresa. Evaluar el entorno, capacidades y rendimiento actuales.
66.7 25.0
APO02.03
Definir el objetivo de las capacidades de TI.
0.0
APO02.04
Realizar un análisis de diferencias.
0.0
APO02.05
Definir el plan estratégico y la hoja de ruta.
0.0
APO02.06
Comunicar la estrategia y la dirección de TI.
0.0
Producto de Trabajo (WPs)
S/N
APO02-WP1
Fuentes y prioridades para cambios
no
APO02-WP2
Línea de referencia de capacidades actuales
no
APO02-WP3
Diferencias y riesgos relacionados con las capacidades actuales
15.3
33.3
no
85
APO02-WP4
Análisis FODA de capacidades
si
APO02-WP5
Objetivos de TI a alto nivel
si
APO02-WP6
Requerimientos del negocio y capacidades de TI
no
APO02-WP7
Propuesta de cambio en la arquitectura del negocio
no
APO02-WP8
APO02-WP9
Diferencias y cambios requeridos para alcanzar la meta de capacidad Declaración del valor beneficio para el entorno deseado
no
no
APO02-WP10
Definición de iniciativas estratégicas
si
APO02-WP11
Evaluación de riesgo
si
APO02-WP12
Hoja de ruta estratégica
no
APO02-WP13
Plan de comunicación
si
APO02-WP14
Paquete de comunicación
si
Fuente: Elaboración propia
APO03Gestionar la Arquitectura Empresarial Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO03 tiene un total de 14.6% de capacidad en el nivel 1. Y es el segundo proceso que tiene los más bajos niveles en la evaluación del nivel de capacidad. Es importante el proceso para la empresa IT-Expert debido a los diferentes cambios que hay en la arquitectura de la empresa, de ahí la importancia de la implementación de un proceso que gestione la arquitectura empresarial y todos sus cambios.
86
Evaluación APO03 APO03
Gestionar la Arquitectura Empresarial
14.6
Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de Descripción
del
Proceso
partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes
para
los
procesos
de
construcción.
Declaración
del
Propósito
del
Proceso
Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así como los principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega estándar, sensible y eficiente de los objetivos operativos y estratégicos.
Meta del Proceso (Os) APO03-O1
(1-4)
25.0
La arquitectura y los estándares son eficaces apoyando a la 1
87
empresa. Todos tienen conocimiento de las políticas y de cómo deberían APO03-O2
implementarse. Existen dominios apropiados y actualizados y/o arquitecturas
APO03-O3
federadas que proveen información fiable de la arquitectura.
1
1
Se utiliza un marco de arquitectura de empresa y una metodología común, así como un repositorio de arquitectura integrado, con el fin 1 APO03-O4
de permitir la reutilización de eficiencias dentro de la empresa.
Prácticas Base (BPs)
%
APO03-BP1
Desarrollar la visión de la arquitectura de empresa.
0.0
APO03-BP2
Definir la arquitectura de referencia.
11.1
APO03-BP3
Seleccionar las oportunidades y las soluciones.
0.0
APO03-BP4
Definir la implantación de la arquitectura.
0.0
APO03-BP5
Proveer los servicios de arquitectura empresarial.
0.0
Producto de Trabajo (WPs)
S/N
APO03-WP1
Alcance de la arquitectura definido
si
APO03-WP2
Principios de arquitectura
no
APO03-WP3
Caso de negocio y propuesta de valor del concepto de arquitectura
no
APO03-WP4
Descripciones de dominio de partida y definición de la arquitectura
si
APO03-WP5
Modelo de arquitectura de procesos
no
APO03-WP6
Modelo de la arquitectura de la información
no
APO03-WP7
Estrategia de Implementación a alto nivel y estrategia de migración
no
2.2
16.7
88
APO03-WP8
Arquitecturas de transición
no
APO03-WP9
Necesidades de recursos
no
APO03-WP10
Descripciones de las fases de implementación
no
APO03-WP11
Requisitos de gobierno de la arquitectura
no
APO03-WP12
Orientación para el desarrollo de soluciones
no
Fuente: Elaboración propia
APO04Gestionar la Innovación Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO04 tiene un total de 12.7% de capacidad en el nivel 1. Este proceso tiene el resultado más bajo debido a que no existe un proceso que contemple la gestión de la innovación. Este proceso será parte del portafolio de procesos a definirse para la empresa IT-Expert.
Evaluación APO04 APO04
Gestionar la Innovación
12.7
89
Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las Descripción Proceso
del oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.
Declaración
del Lograr ventaja competitiva, innovación empresarial y eficacia y
Propósito
del eficiencia operativa mejorada mediante la explotación de los
Proceso
desarrollos tecnológicos para la explotación de la información.
Meta del Proceso (Os)
(1-4)
25.0
El valor de empresa es creado mediante la cualificación y puesta en APO04-O1
escena de los avances e innovaciones tecnológicas más apropiadas, 1 los métodos y las soluciones TI utilizadas. Los objetivos de la empresa se cumplen por la mejora de los
APO04-O2
beneficios de la calidad y/o la reducción de costes como resultado 1 de la identificación e implementación de soluciones innovadoras. La innovación se permite y se promueve y forma parte de la cultura
APO04-O3
de
1
la empresa. Prácticas Base (BPs)
%
APO04-BP1
Crear un entorno favorable para la innovación.
20.0
APO04-BP2
Mantener un entendimiento del entorno de la empresa.
33.3
APO04-BP3
Supervisar y explorar el entorno tecnológico.
25.0
13.1
90
APO04-BP4
Evaluar el potencial de las tecnologías emergentes y las ideas innovadoras.
0.0
APO04-BP5
Recomendar iniciativas apropiadas adicionales.
0.0
APO04-BP6
Supervisar la implementación y el uso de la innovación.
0.0
Producto de Trabajo (WPs)
APO04-WP1
S/N
Oportunidades de innovación vinculadas a los motivadores del negocio
no
APO04-WP2
Análisis de investigación de las posibilidades de innovación
no
APO04-WP3
Evaluación de las ideas de innovación
no
APO04-WP4
Alcance de la prueba de concepto y descripción de los casos de negocio
0.0
no
APO04-WP5
Comprobar los resultados de las iniciativas de pruebas de concepto. no
APO04-WP6
Resultados y recomendaciones de las pruebas de concepto
no
APO04-WP7
Análisis de las iniciativas rechazadas
no
APO04-WP8
Plan de Innovación
no
APO04-WP9
Programa de reconocimiento y recompensa
no
APO04-WP10
Valoración del uso de enfoques innovadores
no
APO04-WP11
Evaluación de los beneficios de la innovación
no
APO04-WP12
Planes de innovación ajustados
no
Fuente: Elaboración propia
APO05Gestionar Portafolio
91
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO05 tiene un total de 46.6% de capacidad en el nivel 1. Este proceso gestiona los portafolios de activos, se debe implementar el proceso con un alineamiento a los objetivos de la empresa.
Evaluación APO05 APO05
Gestionar Portafolio
29.2
Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación. Evaluar, priorizar y Descripción Proceso
del
equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio de servicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de programas y servicios o al cambio en las prioridades corporativas.
Declaración
del Optimizar el rendimiento del portafolio global de programas en
Propósito
del respuesta al rendimiento de programas y servicios y a las
Proceso
cambiantes prioridades y demandas corporativas.
Meta del Proceso (Os) APO05-O1
(1-4)
25.0
Se ha definido una mezcla apropiada de inversión alineada con la 1
92
estrategia corporativa. APO05-O2
APO05-O3
APO05-O4
APO05-O5
APO05-O6
Fuentes de fondos de inversión identificados y están disponibles. Casos de negocio de programa evaluados y priorizados antes de que se asignen los fondos. Existe una vista precisa y comprensiva del rendimiento de las inversiones del portafolio. Los cambios en el programa de inversiones se reflejan en los portafolios relevantes de servicios, activos y recursos de TI. Los beneficios han sido generados debido a los beneficios de la monitorización.
1
1
1
1
1
Prácticas Base (BPs)
%
APO05-BP1
Establecer la mezcla del objetivo de inversión.
0.0
APO05-BP2
Determinar la disponibilidad y las fuentes de fondos.
APO05-BP3
Evaluar y seleccionar los programas a financiar.
APO05-BP4
Supervisar, optimizar e informar sobre el rendimiento del portafolio de inversiones.
APO05-BP5
Mantener los portafolios.
APO05-BP6
Gestionar la consecución de beneficios.
50.0 0.0
66.7
Producto de Trabajo (WPs)
S/N
APO05-WP1
-
APO05-WP2 APO05-WP3
Mezcla de inversión definida Identificar recursos y capacidades necesarias para soportar la estrategia Observaciones a la estrategia y a las metas
29.2
33.3
no no
93
APO05-WP4
Opciones de financiación
-
APO05-WP5
Expectativas de retorno de inversión
-
APO05-WP6
Casos de negocio de programa
si
APO05-WP7
Evaluaciones de los casos de negocio
no
APO05-WP8
Programas seleccionados con hitos del retorno de inversión (ROI)
-
APO05-WP9
Informes de rendimiento del portafolio de inversiones
-
APO05-WP10
Portafolios de programas, servicios y activos actualizados
si
APO05-WP11
Resultados de los beneficios y comunicaciones relacionadas
-
APO05-WP12
Acciones correctivas para mejorar la producción de beneficio
no
Fuente: Elaboración propia
APO07 Gestionar los Recursos Humanos Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO07 tiene un total de 23.3% de capacidad en el nivel 1. Teniendo en cuenta los objetivos de la empresa virtual IT-Expert, se debe implementar de manera urgente el proceso Gestionar los recursos humanos.
Evaluación APO07
94
APO07
Gestionar los Recursos Humanos
23.3
Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto Descripción del Proceso
incluye
la
comunicación
de
las
funciones
y
responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Declaración del Propósito del Optimizar las capacidades de recursos humanos para Proceso
cumplir los objetivos de la empresa.
Meta del Proceso (Os)
APO07-O1
APO07-O2
(1-4) La estructura organizacional y las relaciones de TI son flexibles y dan respuesta ágil. Los recursos humanos son gestionados eficaz y eficientemente.
Prácticas Base (BPs)
1
1
%
APO07-BP1
Mantener la dotación de personal suficiente y adecuado.
60.0
APO07-BP2
Identificar personal clave de TI.
50.0
APO07-BP3
Mantener las habilidades y competencias del personal.
14.3
APO07-BP4
Evaluar el desempeño laboral de los empleados.
28.6
APO07-BP5 APO07-BP6 Producto de Trabajo (WPs)
Planificar y realizar un seguimiento del uso de recursos humanos de TI y del negocio. Gestionar el personal contratado.
25.0
44.9
66.7 50.0 S/N
25.0
95
APO07-WP1
Evaluaciones de requisitos de personal
no
APO07-WP2
Planes de desarrollo de carrera y de competencias
no
APO07-WP3
Planes de aprovisionamiento de personal
no
APO07-WP4
Matriz de habilidades y competencias
no
APO07-WP5
Planes de desarrollo de habilidades
no
APO07-WP6
Revisión de informes
si
APO07-WP7
Metas personales
no
APO07-WP8
Evaluaciones de desempeño
si
APO07-WP9
Planes de mejora
no
APO07-WP10
Inventario de recursos humanos del negocio y de TI
no
APO07-WP11
Análisis de deficiencias en la obtención de recursos
no
APO07-WP12
Registros de utilización de recursos
si
APO07-WP13
Políticas de contratación de personal
-
APO07-WP14
Acuerdos contractuales
-
APO07-WP15
Revisiones de acuerdos contractuales
-
Fuente: Elaboración propia
APO08 Gestionar las Relaciones Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO08 tiene un total de 29.4% de capacidad en el nivel 1. Este Proceso será definido en la empresa, pues no se contempla en la arquitectura empresarial de IT-Expert.
96
Evaluación APO08 APO08
Gestionar las Relaciones
29.4
Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos apoyando los objetivos estratégicos y dentro Descripción del Proceso
de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
Declaración del Propósito del Proceso
Crear mejores resultados, mayor confianza en la tecnología y conseguir un uso efectivo de los recursos.
Meta del Proceso (Os)
(1-4)
25.0
Las estrategias, planes y requisitos de negocio están APO08-O1
bien
entendidos, 1
documentados y aprobados.
APO08-O2
APO08-O3
Existencia de buenas relaciones entre la empresa y las TI.
1
Las partes interesadas del negocio son conscientes 1 de las oportunidades
97
posibilitadas por la TI. Prácticas Base (BPs) APO08-BP1 APO08-BP2
% Entender las expectativas del negocio. Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio.
14.3 20.0
APO08-BP3
Gestionar las relaciones con el negocio.
40.0
APO08-BP4
Coordinar y comunicar.
75.0
APO08-BP5
Proveer datos de entrada para la mejora continua de los servicios.
Producto de Trabajo (WPs)
29.9
0.0 S/N
APO08-WP1
Expectativas de negocio aclaradas y acordadas
no
APO08-WP2
Acuerdo en los siguientes pasos y planes de acción
no
APO08-WP3
Decisiones claves acordadas
no
APO08-WP4
Estado de las quejas y del escalado
si
APO08-WP5
Plan de comunicación
si
APO08-WP6
Paquetes de comunicación
si
APO08-WP7
Respuestas de los clientes
no
APO08-WP8
Análisis de satisfacción
no
APO08-WP9
Definición de proyectos de mejora potencial
no
33.3
Fuente: Elaboración propia
APO09 Gestionar los Acuerdos de Servicio
98
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO09 tiene un total de 56.3% de capacidad en el nivel 1. Este nivel es el más alto del proceso y representa un nivel con objetivos y metas altamente alcanzados.
Evaluación APO09 APO09
Gestionar los Acuerdos de Servicio
56.3
Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la Descripción del Proceso
empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
Declaración del Propósito del Proceso
Asegurar que los servicios TI y los niveles de servicio cubren las necesidades presentes y futuras de la empresa.
Meta del Proceso (Os)
APO09-O1
APO09-O2
APO09-O3
(1-4) La empresa puede usar de modo efectivo los servicios TI tal como se han definido en el catálogo. Los acuerdos de servicio reflejan las capacidades y necesidades de la TI
25.0
1
1
Los servicios TI rinden como está estipulado en los 1
99
acuerdos de servicio. Prácticas Base (BPs)
%
APO09-BP1
Identificar servicios TI.
33.3
APO09-BP2
Catalogar servicios basados en TI.
66.7
APO09-BP3
Definir y preparar acuerdos de servicio.
80.0
APO09-BP4
Supervisar e informar de los niveles de servicio.
40.0
APO09-BP5
Revisar acuerdos de servicio y contratos.
100.0
Producto de Trabajo (WPs)
APO09-WP1
S/N Carencias identificadas de los servicios TI de cara al negocio
64.0
80.0
no
APO09-WP2
Definición de servicios estándar
si
APO09-WP3
Definición de servicios
si
APO09-WP4
Portafolio de servicios de actualizado
si
APO09-WP5
Catálogos de servicio
si
APO09-WP6
Acuerdos de nivel de servicio
si
APO09-WP7
Acuerdos de nivel operativos (OLAs).
si
APO09-WP8
Informes de rendimiento del nivel de servicio
si
APO09-WP9
Planes de acción de mejora y remedio
no
APO09-WP10
SLAs actualizados
si
Fuente: Elaboración propia
APO10 Gestionar los Proveedores 100
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO10 tiene un total de 41.2% de capacidad en el nivel 1.
Evaluación APO10 APO10
Gestionar los Proveedores
41.2
Administrar todos los servicios de TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de Descripción del Proceso
los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Declaración del Propósito del Minimizar el riesgo de proveedores que no rindan y Proceso
asegurar precios competitivos.
Meta del Proceso (Os) APO10-O1
APO10-O2 APO10-O3
(1-4) Los proveedores rinden según lo acordado. El riesgo de los proveedores se evalúa y trata adecuadamente. TI. Las relaciones con los proveedores son eficaces.
25.0
1
1 1
101
Prácticas Base (BPs)
APO10-BP1
% Identificar y evaluar las relaciones y contratos con proveedores.
50.0
APO10-BP2
Seleccionar proveedores.
50.0
APO10-BP3
Gestionar contratos y relaciones con proveedores.
42.9
APO10-BP4
Gestionar el riesgo en el suministro.
50.0
APO10-BP5
Supervisar el cumplimiento y el rendimiento del proveedor.
Producto de Trabajo (WPs)
50.0
S/N
APO10-WP1
Relevancia del contratista y criterios de evaluación
-
APO10-WP2
Catálogo de proveedores
si
APO10-WP3
Revisiones potenciales de los contratos con los proveedores Roles y responsabilidades de los proveedores
si
APO10-WP5
Procesos de revisión y comunicación
si
APO10-WP6
Resultados y sugerencias de mejora
no
APO10-WP7
Identificar el riesgo de entrega del proveedor
no
APO10-WP9
APO10-WP10
Identificar requisitos contractuales para minimizar riesgo Criterios de supervisión del cumplimiento de los proveedores Resultados de las revisiones de la supervisión del cumplimiento de os proveedores
50.0
no
APO10-WP4
APO10-WP8
48.6
-
-
-
102
APO10-WP11 APO10-WP12 APO10-WP13
Solicitudes de Información (RFIs) y peticiones de propuestas (RFPs) a proveedores Evaluaciones de RFIs y RFPs
-
Resultados decididos tras las evaluaciones de proveedores
-
Fuente: Elaboración propia
APO11 Gestionar la Calidad Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO011 tiene un total de 34.8.6% de capacidad en el nivel 1. Este nivel es alto de forma relativa, pero tiene un valor P-Parcialmente alcanzado lo que nos indica que debe ser realizada la oportunidad de mejora con urgencia, esta oportunidad de mejora será la definición del proceso que no existe en la empresa IT-Expert.
Evaluación APO11 APO11
Gestionar la Calidad
34.8
Definir y comunicar los requisitos de calidad en todos Descripción del Proceso
los
procesos,
relacionados
de
procedimientos la
y
resultados
organización,
incluyendo
controles, vigilancia constante y el uso de prácticas 103
probadas y estándares de mejora continua y esfuerzos de eficiencia. Asegurar la entrega consistente de soluciones y Declaración del Propósito del servicios que cumplan con los requisitos de la Proceso
organización y que satisfagan las necesidades de las partes interesadas.
Meta del Proceso (Os)
(1-4)
25.0
Las partes interesadas están satisfechas con la APO11-O1
calidad
de
los
servicios 1
y las soluciones. Los resultados de los proyectos y de los servicios APO11-O2
entregados
son 1
predecibles. APO11-O3
Los requisitos de calidad están implementados en todos los procesos.
Prácticas Base (BPs) APO11-BP1
APO11-BP2
1
% Establecer un sistema de gestión de la calidad (SGC). 12.5 Definir y gestionar los estándares, procesos y prácticas de calidad.
0.0
APO11-BP3
Enfocar la gestión de la calidad en los clientes.
APO11-BP4
Supervisar y hacer controles y revisiones de calidad. 71.4
APO11-BP5
APO11-BP6 Producto de Trabajo (WPs)
29.5
Integrar la gestión de la calidad en la implementación de soluciones y la entrega de servicios. Mantener una mejora continua
16.7
33.3
42.9 S/N
50.0
104
APO11-WP1
Roles, responsabilidades y capacidades de decisión del SGC.
no
APO11-WP2
Planes de gestión de la calidad
si
APO11-WP3
Resultados de la revisiones de eficacia del SGC
no
APO11-WP4
Estándares de gestión de la calidad
no
APO11-WP5
Requisitos de los clientes para la gestión de la calidad no
APO11-WP6
Criterios de aceptación
APO11-WP7 APO11-WP8
APO11-WP9
APO11-WP10 APO11-WP11
APO11-WP12
APO11-WP13
APO11-WP14
Revisión de los resultados de la calidad de los servicios, incluyendo la opinión de los clientes. Resultados de las revisiones y auditorias de calidad Metas y métricas del proceso de calidad de los servicios Resultados de la supervisión de la calidad de los servicios y las soluciones entregados Causas raíz de los fallos en la calidad de la entrega Comunicaciones sobre las mejores prácticas y la mejora continua Ejemplos de las mejores prácticas para ser compartidos. Resultados de revisiones de análisis comparativos de la calidad
si
si si
si
si no
no
no
si
Fuente: Elaboración propia
APO12 Gestionar el Riesgo
105
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO012 tiene un total de 38.0% de capacidad en el nivel 1.Este resultado nos muestra que debemos implementar el proceso en la empresa.
Evaluación APO12 APO12
Gestionar el Riesgo
38.0
Identificar, evaluar y reducir los riesgos relacionados Descripción del Proceso
con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Integrar la gestión de riesgos empresariales
Declaración del Propósito del Proceso
relacionados con TI con la gestión de riesgos empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales relacionados con TI.
Meta del Proceso (Os)
APO12-O1 APO12-O2
(1-4) El riesgo relacionado con TI está identificado, analizado, gestionado y reportado. Existe un perfil de riesgo actual y completo.
25.0
1 1
106
APO12-O3
APO12-O4
Todas las acciones de gestión para los riesgos significativos están gestionadas y bajo control. Las acciones de gestión de riesgos están efectivamente implementadas.
Prácticas Base (BPs)
1
1 %
APO12-BP1
Recopilar datos.
42.9
APO12-BP2
Analizar el riesgo.
57.1
APO12-BP3
Mantener un perfil de riesgo.
57.1
APO12-BP4
Expresar el riesgo.
20.0
APO12-BP5 APO12-BP6
Definir un portafolio de acciones para la gestión de riesgos. Responder al riesgo.
Producto de Trabajo (WPs)
APO12-WP1
APO12-WP2
66.7 50.0 S/N
Datos en el entorno de operación relacionados con el riesgo Datos en eventos de riesgo y en factores contribuyentes
no
Elementos y factores de riesgo emergentes
no
APO12-WP4
Alcance de los esfuerzos de análisis de riesgos
si
APO12-WP5
Escenarios de riesgo de TI
si
APO12-WP6
Resultados de análisis de riesgos
si
Escenarios de riesgo documentados por línea de negocio y función
40.0
no
APO12-WP3
APO12-WP7
49.0
no
107
APO12-WP8
APO12-WP9
APO12-WP10
Perfil de riesgo agregado, incluyendo el estado de las acciones de gestión del riesgo Análisis de riesgos e informes del perfil de riesgos para las partes interesadas Revisión de resultados de evaluaciones de riesgos de terceras partes
si
no
no
APO12-WP11
Oportunidades para la aceptación de un riesgo mayor no
APO12-WP12
Propuestas de proyecto para reducir el riesgo
APO12-WP13
Planes de respuesta para incidentes relacionados con el riesgo
si si
APO12-WP14
Comunicaciones del impacto del riesgo
no
APO12-WP15
Causas raíz relacionadas con el riesgo
no
Fuente: Elaboración propia
APO13Gestionar la Seguridad Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica que la empresa IT-Expert en el proceso APO13 tiene un total de 27.1% de capacidad en el nivel 1. Un nivel muy bajo para este proceso, esto requiere una definición del proceso ya que no se encuentra dentro de los procesos de la empresa IT-Expert.
108
Evaluación APO13 APO13
Descripción del Proceso
Declaración del Propósito del Proceso
Gestionar la Seguridad
27.1
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.
Meta del Proceso (Os)
(1-4)
25.0
Está en marcha un sistema que considera y trata APO13-O1
efectivamente
los
requerimientos de seguridad de la información de la
1
empresa. Se ha establecido, aceptado y comunicado por toda la APO13-O2
empresa
un
plan 1
de seguridad. Las soluciones de seguridad de la información están APO13-O3
implementadas
y 1
operadas de forma consistente en toda la empresa. Prácticas Base (BPs) APO13-BP1 APO13-BP2
APO13-BP3 Producto de Trabajo (WPs)
% Establecer y mantener un SGSI. Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información. Supervisar y revisar el SGSI.
22.9
0.0 28.6
40.0 S/N
33.3
109
APO13-WP1
Política de SGSI
si
APO13-WP2
Declaración de alcance del SGSI
no
Plan de tratamiento de riesgos de seguridad de la
APO13-WP3
información
si
APO13-WP4
Casos de negocio de seguridad de información
no
APO13-WP5
Informes de auditoría del SGSI
no
APO13-WP6
Recomendaciones para mejorar el SGSI
no
Fuente: Elaboración propia
Resumen de calificación de la capacidad actual de los procesos seleccionados Descripción: Resumen de la calificación de la capacidad actual de los procesos seleccionados. Este cuadro reúne el alcance en valores cuantitativo el alcance en el nivel 1 de los procesos en el domino APO. Cada valor de alcance está representado por letras que a su vez son la representación de cada rango porcentual del alcance alcanzado por proceso. Propósito: Mostrar de manera resumida el nivel de capacidad de cada proceso, así como, la escala obtenida. Esto nos brinda una visión general del alcance de cada proceso en el nivel uno. Nivel
Valor
Descripción
N
0%-15%
No Alcanzado
P
15%-50%
Parcialmente Alcanzado
L
50%-85%
Ampliamente Alcanzado
F
85%-100%
Completamente Alcanzado
110
Asimismo, nos indica los procesos en que la empresa obtiene un nivel muy bajo y alto, las partes en que debemos trabajar más y en las que estamos con un buen nivel de capacidad.
Alcance: Solo se consideraron los procesos seleccionados y el nivel 1 de capacidad N 0%-15%
F 85%-100%
L 50%-85%
P 15%-50%
Tabla 11: Calificación de la capacidad actual de los procesos seleccionados Calificación de la capacidad actual de los procesos seleccionados Nivel de Capacidad del Proceso ID
Nombre del Proceso
¿En
Proceso
alcance?
0
Nivel
Nivel
Nivel
Nivel
Nivel
1
2
3
4
5
APO01
Gestionar el Marco de Gestión de TI SI
P
APO02
Gestionar la Estrategia
SI
P
SI
N
Gestionar
Alinear, Planear y Organizar
el Nivel
la
Arquitectura
APO03
Empresarial
APO04
Gestionar la Innovación
SI
N
APO05
Gestionar Portafolio
SI
P
APO06
Gestionar el Presupuesto y los Costes
NO
APO07
Gestionar los Recursos Humanos
SI
P
APO08
Gestionar las Relaciones
SI
P
APO09
Gestionar los Acuerdos de Servicio
SI
L
APO10
Gestionar los Proveedores
SI
P
APO11
Gestionar la Calidad
SI
P
APO12
Gestionar el Riesgo
SI
P
111
APO13
Gestionar la Seguridad
SI
P
Fuente: Elaboración propio
Para esta fase se concluye que el valor actual de la empresa IT-Expert en el nivel 1 de los niveles de capacidad de COBIT enfocados en los procesos que el marco propone , en este caso el primer nivel de gestión APO, es muy bajo, pues en 9 de los 12 proceso que se están considerando tiene un nivel de capacidad de P-Parcialmente alcanzado, en los procesos 3 y 4 los niveles alcanzados son N-No alcanzado y solo un proceso, el proceso 9, tiene un nivel L-Altamente alcanzado. Esta información es la entrada para poder definir el nivel de capacidad deseado en todos los procesos APO y las oportunidades de mejora que deben realizarse mediante el plan de implementación para la empresa ITExpert.
112
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO En esta fase se establecen los objetivos de mejora en base a un análisis de brechas entre el nivel de capacidad actual de los procesos y el deseado, el estado actual de la empresa se obtiene mediante una evaluación de nivel de capacidad mediante la herramienta PAM del marco de referencia COBIT 5. Algunas de las soluciones propuestas serán fácilmente aplicables, mientras que otras serán un reto. Es necesario priorizar las soluciones que son más fáciles de alcanzar y que aparentemente aportan mayores beneficios. Posteriormente se debe describir un plan de alto nivel con las potenciales soluciones.
NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS Descripción: Diagrama que indica el nivel de capacidad deseado en cada proceso. Propósito: Mostrar la brecha entre la nivel actual y el nivel deseado. Alcance: Solo se consideraron los procesos seleccionados. Como primera actividad de esta fase se ha definido cuál va a ser el nivel de capacidad que se quiere lograr alcanzar mediante este proyecto. Se ha tomado en cuenta los procesos evaluados en la fase anterior, es decir, los que tienen una relación del tipo primario con logro de las metas relacionadas a TI. En el gráfico a continuación, se puede observar el nivel de capacidad actual de los procesos dentro del alcance y el nivel deseado para cada uno de ellos. Ilustración 17: Nivel de capacidad de los procesos de la empresa IT-Expert
113
Fuente: Elaboración propia
NIVEL DESEADO NIVEL ACTUAL
Se puede apreciar que la mayoría de los procesos tienen una calificación P (Parcialmente Alcanzado) a excepción del proceso APO09 en el nivel de capacidad uno. Según el modelo de evaluación elegido (PAM), para alcanzar un nivel de capacidad dos es necesario primero tener una calificación L (Largamente Alcanzado) o F (Completamente Alcanzado) en el nivel de capacidad uno. Por ese motivo, se ha decidido que el nivel de capacidad deseado es el nivel uno, pero con una calificación aprobatoria necesaria para que en un futuro se pueda apuntar al nivel siguiente. Lo que se quiere alcanzar al finalizar este proyecto es que los procesos obtengan una calificación F en el nivel uno de capacidad.
LISTA DE OPORTUNIDADES DE MEJORA Descripción: Contiene la relación de oportunidades de mejoras obtenidas del análisis de brechas de los niveles de capacidad actuales y deseados. Propósito: La implementación de las oportunidades de mejora sirve para alcanzar el nivel de capacidad deseado.
114
Alcance: Propuestas de mejora para todos los procesos del dominio APO Para alcanzar la calificación definida en el punto anterior, se han identificado una serie de oportunidades de mejora, las cuales serán listadas en el siguiente cuadro.
Tabla 12: Lista de oportunidades de mejora para la empresa IT-EXPERT CODIGO
NOMBRE
DESCRIPCION
OP01
Rediseño del modelo de Se rediseñan los procesos ya implementados en la empresa, procesos
teniendo en cuenta las prácticas de gestión propuestas por COBIT 5. Así como otros marcos de referencias y estándares con los cuales se relaciona COBIT.
OP02
Modelado de procesos
Se modelaran los procesos que no se encuentren definidos como parte de la propuesta del modelo de gestión.
OP03
Definición de políticas
Se crearan las políticas necesarias para la supervisión y control del cumplimiento de los objetivos estratégicos y el alineamiento de estos objetivos con los objetivos de TI.
OP04
Creación de plantillas de Elaboración de plantillas de los entregables sugeridos por COBIT entregables
para cada proceso de gestión con el fin de facilitar la implementación del modelo propuesto.
OP05
Implementación
de
un Conjunto de procedimientos documentados necesarios para
sistema de gestión de implantar la Gestión de la Calidad, partiendo de una estructura calidad
organizativa y de unos recursos determinados. Basado en la ISO 9001
OP06
Implementación
de
un Conjunto de políticas sobre la gestión de la información, Basado
sistema de seguridad de la en la ISO 27001 información Fuente: Elaboración propia
115
Algunas de las mejoras afectan a varios procesos, mientras que otras solo ayudan a mejorar la calificación de ciertos procesos específicos. A continuación, se muestra el alcance con relación a los procesos de cada una de las oportunidades de mejoras identificadas. Tabla 13: Mapeo Procesos APO - Oportunidades de Mejora de la empresa IT-Expert Mapeo Procesos APO - Oportunidades de Mejora Oportunidades de mejora Procesos
OP01 OP02 OP03 OP04 OP05 OP06
APO01 APO02 APO03 APO04 APO05 APO07 APO08 APO09 APO10 APO11 APO12 APO13 Fuente: Elaboración propia
Ahora que se cuenta con las oportunidades de mejora identificadas, es
necesario
priorizarlas. Para esto, se definido utilizar un método de priorización basado en la 116
dificultad de la implantación y el impacto en la organización. De esta manera, se logrará identificar que oportunidades de mejora son las que son más fáciles de aplicar y mejores beneficios aportan.
Dificultad de la Implantación La dificultad en la implantación de una acción de mejora puede ser un factor clave a tener en cuenta, puesto que puede llegar a determinar la consecución, o no, del mismo. Se procederá a priorizarlas de menor a mayor grado de dificultad. Dificultad 1 MUCHA 2 BASTANTE 3 POCA 4 NINGUNA
Impacto en la Organización Se define como el resultado de la actuación a implantar, medido a través del grado de mejora conseguido (un cambio radical tiene un impacto mucho mayor que pequeños cambios continuos). Es importante también tener en cuenta el grado de despliegue al que afecta la medida. Si ésta afecta a varias titulaciones su impacto será mayor y la prioridad también deberá serlo. Impacto 1 NINGUNO 2 POCO 3 BASTANTE 4 MUCHO
Prioridad de la Mejora La prioridad será calcula mediante la suma del valores determinados de la dificultad de implantación y el impacto en la organización de la oportunidad de mejora.
PRIORIDAD = DIFICULTAD + IMPACTO
117
A continuación se muestra el resultado de aplicar este método de priorización, del cual se puede apreciar que las oportunidades de mejora con un nivel de prioridad alto son: “OP01-Rediseño del modelo de procesos de procesos” y “OP02-Modelado de procesos”.
Tabla 14: Priorización de oportunidades de mejora para la empresa IT-Expert Priorización de oportunidades de mejora Procesos
Dificultad Impacto Prioridad
OP01
4
4
8
OP02
3
4
7
OP03
1
3
4
OP04
2
3
5
OP05
1
3
4
OP06
1
3
4
Fuente: Elaboración propia
CUADRO INTEGRADO DE MEJORA Descripción: Cuadro de resumen que integra la calificación del nivel de capacidad actual de los procesos, el nivel deseado y las oportunidades de mejora identificadas en el punto anterior. Propósito: Mostrar de manera resumida los tres puntos anteriormente desarrollados. Alcance: solo se utilizaron como datos de entrada los tres puntos anteriormente desarrollados.
118
El siguiente cuadro muestra nos da una visión global de todo lo desarrollado en esta fase. Se puede apreciar la calificación del nivel de capacidad evaluado de cada proceso, así como, la calificación del nivel deseado. También, se aprecia las oportunidades de mejoras y su impacto sobre los procesos a mejorar, así como, su prioridad en base al color de cada una.
119
Tabla 15: Cuadro integrado de mejora para la empresa IT-Expert Cuadro integrado de mejora
Alinear, Planear y Organizar
ID Proceso
Nombre del Proceso
Oportunidades de mejora
Nivel 1
Nivel
Nivel
Nivel
Nivel
2
3
4
5
Nivel Deseado
APO01
Gestionar el Marco de Gestión de TI
OP01
OP03
OP04
P
Nivel 1 (F)
APO02
Gestionar la Estrategia
OP02
OP03
OP04
P
Nivel 1 (F)
APO03
Gestionar la Arquitectura Empresarial
OP01
OP03
OP04
N
Nivel 1 (F)
APO04
Gestionar la Innovación
OP01
OP03
OP04
N
Nivel 1 (F)
APO05
Gestionar Portafolio
OP01
OP03
OP04
P
Nivel 1 (F)
APO07
Gestionar los Recursos Humanos
OP02
OP04
P
Nivel 1 (F)
APO08
Gestionar las Relaciones
OP01
OP03
OP04
P
Nivel 1 (F)
APO09
Gestionar los Acuerdos de Servicio
OP01
OP03
OP04
L
Nivel 1 (F)
APO10
Gestionar los Proveedores
OP01
OP03
OP04
P
Nivel 1 (F)
APO11
Gestionar la Calidad
OP02
OP04
OP05
P
Nivel 1 (F)
APO12
Gestionar el Riesgo
OP02
OP04
P
Nivel 1 (F)
APO13
Gestionar la Seguridad
OP02
OP03
P
Nivel 1 (F)
OP04
OP06
Fuente: Elaboración propia
Leyenda OP
Número de la oportunidad de mejora asociado es de alto nivel
OP
Número de la oportunidad de mejora asociado es de medio nivel
OP
Número de la oportunidad de mejora asociado es de bajo nivel
120
PLAN DE MEJORAMIENTO DE ALTO NIVEL Descripción: Plan de alto nivel para la implementación de las mejoras identificadas en el análisis de brechas. Propósito: Sirve de guía para el desarrollo de un plan de implementación detallado de las mejoras e identificadas Alcance: Abarca la implementación de las oportunidades de mejora OP01 “Rediseño del modelo de procesos de procesos”, OP02 “Modelado de procesos” y OP4 “Creación de plantillas de entregables” Una vez priorizadas las oportunidades de mejoras, se realiza un plan de mejoramiento de alto el cual debe contener la hoja de ruta que indicará cuándo y cuánto tiempo tomará la implantación de cada oportunidad de mejora presentes en el alcance del plan. El alcance del plan de mejoramiento abarca las oportunidades de mejora: “OP01-Rediseño del modelo de procesos de procesos”, “OP02-Modelado de procesos” y “OP04Creación de plantillas de entregables “, las cuales se desarrollarán en el ciclo académico 2014-2 según la siguiente hoja de ruta. Tabla 16: Hoja de ruta del proyecto IMGETI Hoja de ruta Semana 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
OP01 OP02 OP04 Fuente: Elaboración Propia
Las oportunidades de mejoras principales son el resultado de haber realizado una evaluación teniendo en cuenta la dificultad de la implementación de la oportunidad de 121
mejora y el impacto positivo que puede causar está a la empresa IT-Expert. En esta fase se crea un plan de mejoramiento de alto nivel que contiene las oportunidades de mejoras principales obtenidas, para luego definir planes o programas de mejoras específicos que luego de una evaluación serán puestos en marcha en la fase cinco. Cada plan o programa de mejora detallado está relacionado a los diferentes habilitadores del modelo COBIT5. En este sentido, el plan de mejora detallado que brinde mayor valor y facilite el cumplimento de los objetivos de la empresa será el elegido para la implementación.
122
FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS La fase cuatro del proyecto IMGETI se enfoca en la definición de los planes de mejora detallados o programas que se proponen para la empresa IT-Expert a partir de las soluciones de alto nivel. Además, en este proceso se define cuál de estos programas propuestos provee mayor valor a la empresa y que ayude al cumplimiento de los objetivos estratégicos, con la priorización de las iniciativas potenciales se deben desarrollar proyectos de grandes beneficios y fáciles de implementar. Además, con el fin de evitar la duplicación de esfuerzos se debe mantener reuniones con los Jefes de diferentes proyectos y la gerencia de IT-Expert.
Priorizar las iniciativas potenciales Para realizar la justificación del proyecto IMGETI se definen con la Gerencia de la empresa que procesos van a ser revisados sin cruzar información con los diferentes proyectos que se implementaran. La empresa cuenta con dos procesos, Gestión de Riesgo y Gestión de Servicios, existentes que serán redefinidos e implementados por un proyecto. Además, hay otros proyectos relacionados a la Seguridad de Información y Arquitectura empresarial de IT-Expert que usaran diferentes Marcos de referencias, Normas o Frameworks. Finalmente existe un proyecto que implementara el dominio de DSS (Entregar, dar Servicio y Soporte) de COBIT 5, para este último se tuvo en cuenta un grupo de actividades y reuniones que ayudan a tener los proyectos con el marco COBIT 5 alineados y comunicados. Para el resto de proyectos se realiza una matriz que describe la relación que hay entre COBIT5 y las diferentes herramientas utilizadas por estos proyectos. Ya que COBIT 5 es un marco de referencia que en su desarrollo consideró estándares y marcos de referencia24, se realizó un mapeo de herramientas para entender la relación e
24
“COBIT 5 se desarrolló teniendo en cuenta un número considerable de estándares y
marcos de referencia” Cfr. COBIT Un marco de negocio para el gobierno y la gestión de las TI de la empresa 2012:60 123
integración entre la parte estratégica de la empresa y los proyectos de implementación que no están basados en COBIT 5. Tabla 17: Mapeo de COBIT5 vs Herramientas COBIT 5
ISO/IEC 20000
APO01 Gestionar marco
ISO/IEC 27002
ITIL V3 2011
OTROS
el 3.1
6. Organización 25. 7 Pasos para
de Responsabilidad
de la Seguridad la
gestión de TI
de la dirección de 4.4
Mejora
de
la Procesos
Mejora Información
continua APO02 Gestionar estrategia
la 4.0 Planificación e
1 Creación de la Estrategia
implementación de la gestión del servicio 5.0 Planificación e implementación de
servicios
nuevos
o
modificados
124
COBIT 5
ISO/IEC 20000
APO03 Gestionar
la
ISO/IEC 27002
ITIL V3 2011
OTROS El
núcleo
arquitectura
TOGAF
es
empresarial
Método
de el de
Desarrollo de la Arquitectura (ADM Architecture Development Method
en
inglés) que está relacionado con las prácticas de desarrollo de una visión
de
la
arquitectura (ADM Fase A), con la definición de arquitecturas de
referencia
(ADM Fases B, C, D),
con
selección
la de
oportunidades y soluciones (ADM Fase E) y con la definición de la implementación de
la
arquitectura (ADM Fases F,
125
COBIT 5
ISO/IEC 20000
ISO/IEC 27002
ITIL V3 2011
OTROS G). Varios de los componentes de TOGAF
se
corresponden con las prácticas de COBIT 5 de provisión
de
servicios
de
arquitectura empresarial. Entre
ellas
se
incluyen
la
Gestión
de
Requerimientos ADM, Principios de
la
Arquitectura, Gestión
de
Partes Interesadas, Evaluación de la Preparación para la Transformación del
Negocio,
Gestión
de
Riesgos, Planificación Basada
en
Capacidad,
126
COBIT 5
ISO/IEC 20000
ISO/IEC 27002
ITIL V3 2011
OTROS Cumplimiento de Arquitectura
y
Contratación en Arquitectura.
APO04 Gestionar
la
innovación APO05 Gestionar portafolio
el 3.1
3. Gestión del Marco
Responsabilidad
Portafolio
de la Dirección
Servicios
de
de Habilidades para la
Era
de
la
4.0 Planificación
Información
e
(Skills
implementación
Framework
de la gestión del
the Information
servicio
Age, SFIA)
5.0 Planificar e 127
for
COBIT 5
ISO/IEC 20000
ISO/IEC 27002
ITIL V3 2011
OTROS
implementar servicios nuevos o modificados
APO06 Gestionar
el 1.4.
2.
presupuesto y Presupuestar los costes
contabilizar
y
Gestión
Financiera
los
servicios de TI APO07 Gestionar los
8. Seguridad de
SFIA - Referencia
recursos
los
de habilidades
humanos
Humanos
APO08 Gestionar las 7.2 Gestión de relaciones
las
relaciones
Recursos
2 Gestión de la Demanda
con el negocio APO09 Gestionar los 5.0 Planificar e acuerdos servicio
de implantar
2. Gestión de la Demanda
servicios nuevos
3. Gestión de la
o
Cartera
modificados
de
6.0 Gestión del
Servicios
nivel del servicio
5. Gestión del Catálogo
de
Servicios 6. Gestión del Nivel del Servicio 26. Informes del 128
COBIT 5
ISO/IEC 20000
ISO/IEC 27002
ITIL V3 2011
OTROS
Servicio
APO10 Gestionar los 7.3 Gestión de proveedores
proveedores
11. Gestión de Cuerpo proveedores
de
Conocimiento de Gestión
de
Proyectos (Project Management Body
of
Knowledge
-
PMBOK) Procesos
de
adquisiciones del PMBOK APO11 Gestionar calidad
la
ISO/IEC 9001:2008
129
COBIT 5
ISO/IEC 20000
APO12 Gestionar
el
riesgo
ISO/IEC 27002
ITIL V3 2011
OTROS
ISO/IEC
ISO/IEC
27002:2011
27001:2005 Sistemas gestión
de de
la
seguridad
de
información— Requerimientos, Sección
4
ISO/IEC 31000 6. Procesos para la Gestión
del
Riesgo APO13 Gestionar seguridad
la
ISO/IEC
Diseño
de ISO/IEC
27002:2011
Servicio,
4.7 27001:2005
Gestión
de
la Sistemas
Seguridad de la gestión Información.
de de
la
seguridad
de
información— Requerimientos, Sección NIST
4 (National
Institute Standards
of and
Technology) SP800-53 Controles
de
Seguridad Recomendados para Sistemas de Información 130
COBIT 5
ISO/IEC 20000
ISO/IEC 27002
ITIL V3 2011
OTROS Federales EE.UU.
Fuente: Elaboración propia
Mediante esta tabla de relación que hay entre el Marco de referencia COBIT5 y las demás herramientas Se podrá obtener la relación que existe entre las herramientas usadas por los diferentes proyectos de la empresa IT-Expert y el proyecto IMGETI basado en COBIT5 y así ver cómo se puede trabajar de forma integral con los demás proyectos. Luego de realizar una reunión con los demás proyectos y coordinar con la gerencia de IT-Expert y el Cliente Gerente se definieron los procesos que se propusieron en el proyecto IMGETI:
Oportunidades de Mejora Modelo de procesos Gestionar el marco gestión de TI Rediseño de modelo de procesos Gestionar la arquitectura empresarial 131
de
Gestionar Portafolio Gestionar los Recursos Humanos
Cada proceso representa un plan de mejora detallado, la selección de estos procesos fue el resultado de reuniones en las que se tomó en cuenta principalmente el valor que su implementación daría a la empresa. A continuación se presentarán las definiciones de procesos que se proponen a la empresa IT-Expert, las cuales han sido revisadas por la empresa de apoyo Quality Services. La definición de procesos del segundo nivel están anexadas en el documento, estos procesos presentan la las actividades correspondientes al modelo COBIT5.
Procesos propuestos para implementación
DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI Descripción Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Propósito Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno
corporativo
e
incluya
procesos
de
gestión,
estructuras,
roles
y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. Alcance Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar) 132
Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión del marco de gestión de TI. Definir la estructura organizativa. Establecer roles y responsabilidades. Mantener los elementos catalizadores del sistema de gestión. Comunicar los objetivos y la dirección de gestión. Optimizar la ubicación de la función de TI. Definir la propiedad de la información (datos) y del sistema. Gestionar la mejora continua de los procesos. Mantener el cumplimiento con las políticas y procedimientos.
Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol Gestor
Descripción de Implementar
arquitectura de TI
procesos.
Área funcional la
redefinición
Rediseño
de
de Operaciones
procesos
priorizando las iniciativas para la mejora del proceso y rediseñar los procesos para cumplir con las políticas y procedimientos. Analista de riesgos
Aplicar las medidas necesarias para Riesgo de operaciones mantener
un
control
de
riesgos,
133
Rol
Descripción
Área funcional
garantizar un adecuado control en los procesos. Analista seguridad
de Aplicar los objetivos de TI a la Seguridad de información seguridad
de
información
en
la
empresa, las medidas de mejora para la seguridad de información y adoptar las acciones necesarias para realizar los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos. Gerente alumno
Encargado de desarrollar diferentes Gerencia actividades
como
actividades
en
desarrollar la
las
definición,
alineación y el establecimiento de una estructura organizativa, definir los roles y las responsabilidades, integrar los principios de TI con los del negocio entre otras actividades. Gerente servicios
de Considerar las maneras de mejorar la Gerencia eficiencia mediante la priorización de acciones
para
continua
y
realizar
adoptar
la
las
mejora acciones
necesarias para realizar el soporte de servicios adoptando las políticas y procedimientos propuestos.
Stakeholders Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Comité
Toma de decisiones y gobierno de la empresa IT-Expert
134
Gerente general
Gerente de la empresa que requiere la información a nivel estratégica desplegada para su consulta.
Gerente profesor
Encargado de aprobación y consulta sobre los diferentes procesos en la empresa IT-Expert
Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entradas
Descripción
Encargado
de
Elaboración Modelo de arquitectura de Modelo de arquitectura de procesos para la definición Gobierno - Comité de procesos en la empresa IT-Expert.
procesos Niveles
de
autoridad Niveles de autoridad a cada usuario asignado a los Gobierno - Comité diferentes roles en la empresa IT-Expert.
asignados
Roles y responsabilidades Roles, Perfiles y Responsabilidades asignados a los Gerencia diferentes procesos en la empresa IT-Expert.
asignados Principios
de
gobierno Reglas de negocio con la cultura y principios por Gobierno - Comité
corporativo
parte del Gobierno y comité de las empresas.
Comunicación de gobierno Información con los diferentes requerimientos de Gobierno - Comité corporativo
parte del Gobierno y comité de las empresas.
Principios, Comunicados y Principios, comunicados y políticas de la dirección Gobierno - Comité Políticas
de la empresa por el Gobierno y comité de las empresas.
Estrategia del negocio
Estrategia de negocio de las empresa, contienen los Gobierno - Comité objetivos de negocio y requerimientos de las partes interesadas.
Políticas y procedimientos
Políticas y procedimientos para identificar los Gerencia procesos críticos.
135
Entradas
Descripción
Encargado
de
Elaboración Políticas
Políticas y procedimientos
y
procedimientos
para
realizar
el Gerencia
seguimiento y cumplimiento de las obligaciones de todos los empleados.
Salidas de proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.
Salidas
Descripción
Encargado
Definición de estructura y Definición de funciones en la empresa IT-Expert, Gerencia funciones organizativas
definición de la estructura de la empresa IT-Expert.
Directrices operativas de la Normas y directrices de las operaciones internas en la Gerencia organización.
organización Reglas
de Reglas de negocio en la comunicación con el Gerencia
básicas
Gobierno o comité de la empresa IT-Expert.
comunicación Definición
de
roles
y Documento en el que se encuentra la definición de Gerencia roles y responsabilidades de cada empleado en la
responsabilidades
empresa IT-Expert. Políticas relativas a TI
Reglas de negocio con la tecnología de información Gerencia dentro de la empresa.
Comunicación de objetivos Documento con los objetivos de TI en la empresa.
Riesgo
de TI
operaciones
Definir
la
función Definición de las actividades y funciones que se Gerencia
operacional de las funciones realizan a nivel operacional relacionadas a TI. de TI
136
de
Salidas
Descripción
Encargado
Evaluación de las opciones Opciones de la organización de TI para la empresa. Gerencia para la organización de TI
Incluye una evaluación de la estrategia empresarial.
Directrices para el control y Políticas y reglas de negocio para realizar el control Gerencia y mantener segura la información.
seguridad de datos
Evaluación de capacidad de Evaluación mediante las herramientas de Cobit5 para Gerencia obtener el nivel de capacidad de la empresa.
procesos
Objetivos y métricas de Objetivos y métricas de rendimiento para el Operaciones seguimiento de la mejora de procesos
rendimiento
Acciones de remediación Acciones apropiadas para la remediación del no Gerencia cumplimiento,
para el no cumplimiento
esto
incluye
cambio
de
requerimientos.
Caracterización ID
Entrada
Actividad
Salida
Descripción
Responsa ble
A.0
…
Inicio
Necesidad
de Necesidad
Marco
de Gestionar el Marco de alumno
Gestión de TI A.1
Modelo
de A.1.Definir
la Definición
arquitectura de estructura
estructura
procesos
funciones
organizativa.
organizativas Directrices
de Gerente
Gestión de TI de Establecer
una Gerente
y estructura
alumno
organizativa interna y / extensa que refleje las necesidades
del
operativas de la negocio organización Reglas
y
/ prioridades
de
básicas Implementar
las TI. las
de
estructuras de gestión
comunicación
requeridas
(p.
ej.,
comités) para permitir que
la
toma
de
137
ID
Entrada
Actividad
Salida
Descripción
Responsa ble
decisiones se lleve a cabo de la forma más eficaz
y
eficiente
posible.
A.2
Niveles
de Establecer roles Definición
autoridad
y
roles
de Establecer, acordar y Gerente y comunicar
roles
y alumno
asignados
/ responsabilidad
responsabilidad
responsabilidades del
Roles
y es
es
personal de TI, así
responsabilida
como de otras partes
des asignados
interesadas
con
responsabilidades en las TI corporativas, que
reflejen
claramente
las
necesidades generales del negocio y los objetivos de TI, así como la autoridad, las responsabilidades y la rendición de cuentas del personal relevante. A.3
Principios
de Mantener
los Políticas
los Gerente
elementos
alumno
gobierno
elementos
corporativo
catalizadores del
catalizadores
sistema
sistema de gestión y
gestión
relativas a TI
Mantener
de
del
del entorno de control de la TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo
operativo
de
138
ID
Entrada
Actividad
Salida
Descripción
Responsa ble
gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen una
comunicación
clara
de
expectativas/requisito s.
El
sistema
gestión
de
debería
fomentar
la
cooperación interdepartamental
y
el trabajo en equipo, promover
el
cumplimiento mejora
y
la
continua
y
tratar las desviaciones en
el
proceso
(incluidos los fallos). A.4
Comunicación de
Comunicar
los Comunicación
Comunicar
la Gerente
gobierno objetivos y la de objetivos de sensibilización y la alumno
corporativo
/ dirección
Principios,
gestión
de TI
/
comprensión de los Analista de objetivos
y
la riesgos
/
Comunicados
dirección de TI a las Analista de
y Políticas
partes interesadas y seguridad usuarios pertinentes a lo largo de toda la empresa.
139
ID
Entrada
Actividad
Salida
Descripción
Responsa ble
A.5
Estrategia del Optimizar negocio
la Definir
ubicación de la función función de TI
operacional
la Posicionar
la Gerente
capacidad de TI en la alumno de estructura
las funciones de organizativa
global
TI / valuación para reflejar en el de las opciones modelo de empresa la para
la importancia de TI en
organización de la TI
organización,
especialmente
su
criticidad
la
para
estrategia empresarial y
el
nivel
de
dependencia de TI. La línea de reporte del CIO
debe
ser
proporcional
a
la
importancia de las TI en la empresa. A.6
Necesidad de A.6.Definir
la Directrices para Definir y mantener las Gerente
definir
la propiedad de la el
propiedad
de información
la información del sistema y del sistema
control
y seguridad datos
y responsabilidades de alumno de la propiedad de la información (datos) y los
sistemas
de
información. Asegurar
que
propietarios
los toman
decisiones sobre la clasificación
de
la
información
y
los
sistemas
y
su
protección de acuerdo con esta clasificación.
140
ID
Entrada
Actividad
Salida
Descripción
Responsa ble
A.7
Políticas
y Gestionar
la Evaluación
procedimiento
mejora continua capacidad
s
de los procesos
de Evaluar, planificar y Gerente de ejecutar
la
mejora alumno
/
procesos
/ continua de procesos Gestor de
Objetivos
y y su madurez para arquitectur
métricas rendimiento
de asegurar
que
son a de TI /
capaces de entregarse Gerente de conforme
a
los servicios /
objetivos
de
la Analista de
empresa, de gobierno, seguridad de
gestión
control.
y
de
Considerar
las directrices de la implementación
de
procesos de COBIT, estándares emergentes, requerimientos
de
cumplimiento, oportunidades
de
automatización y la realimentación de los usuarios
de
los
procesos, el equipo del proceso y otras partes
interesadas.
Actualizar
los
procesos y considerar el impacto en los catalizadores
del
proceso.
141
ID
Entrada
Actividad
Salida
Descripción
Responsa ble
A.8
Políticas
y Mantener
el Acciones
procedimiento
cumplimiento
s
con las políticas para y
remediación el
cumplimiento
procedimientos
de Poner
en
marcha Gerente
procedimientos
para alumno
no mantener
/
el Gestor de
cumplimiento
y arquitectur
medición
del a de TI /
funcionamiento de las Gerente de políticas
y
otros servicios /
catalizadores
del Analista de
marco de referencia; seguridad hacer
cumplir
las
consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las tendencias
y
rendimiento considerarlos
el y
en
el
diseño futuro y la mejora del marco de control. A.9
Marco
de Fin
…
Fin del proceso
Gerente
gestión de TI
alumno
/
Gestionado
Gestor de arquitectur a de TI / Gerente de servicios / Analista de seguridad
142
Diagrama de proceso Ilustración 18: Proceso Gestionar el Marco Gestión de TI – (Propuesta)
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL Descripción Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores. Propósito Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. Alcance Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar)
Descripción del proceso Declarativa Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol Gestor
Descripción de
la Es
el
encargado
integridad
Arquitectura
Área funcional
de
de
la
asegurar
arquitectura,
la Área de Tecnologías de la en Información
términos de abordar adecuadamente todos
los
intereses
interesadas mediante
de
las
partes
compensaciones
eficientes (Por ejemplo, seguridad vs rendimiento)
STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Gerente general de IT-Expert
Tiene interés en que la arquitectura empresarial este alineada con los objetivos de la empresa
Gestor de la Arquitectura
Tiene la responsabilidad del diseño arquitectónico y la documentación del modelo de referencia desde un perspectiva más alta hasta un nivel netamente técnico
Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Petición
Descripción de
Trabajo
Arquitectura
de Existe realizar
una un
Encargado de Elaboración necesidad cambio
de Encargado del área solicitante
en la
arquitectura empresarial actual.
Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. 145
Salida
Descripción
Publicación
de
documentos Es
post-implementación
Encargado de Elaboración
necesario,
después
de Gestor de la Arquitectura
implementar las soluciones que permitieron
alcanzar
la
arquitectura objetivo, publicar las guías de soporte y uso de la arquitectura actualizadas, así como, los reportes de los indicadores establecidos
Caracterización ENTRADA
ACTIVIDAD
SALIDA
0. Inicio
DESCRIPCIÓN
RESPONSABLE
Petición
de Existe una necesidad de
Trabajo
de realizar un cambio en la
Arquitectura
arquitectura empresarial
Encargado
del
área solicitante
Se desarrolla la visión de la arquitectura, Visión
de
la
cual
la
proporciona una primera 1. Desarrollar la Arquitectura Petición de visión de la descripción de alto nivel de Gestor de Trabajo de las arquitecturas de actual y Arquitectura arquitectura de Arquitectura objetivo, cubriendo los Principios de empresa dominios de negocio, arquitectura información, datos,
la
aplicaciones y tecnología Visión
de
Se define la arquitectura de
la
Definición
Arquitectura 2.
Definir
arquitectura referencia Principios arquitectura
de
de
la la arquitectura de
referencia, la cual describe la situación actual y el Gestor de objetivo de la arquitectura Arquitectura de manera más detallada para los dominios negocio, información,
datos,
146
la
aplicaciones y tecnología
Se analizan las diferencias entre las arquitecturas de 3.
Seleccionar
y objetivo, de referencia Gestor de tanto la implementació considerando oportunidades y Arquitectura perspectiva técnica como la n y migración las soluciones del negocio y agrupándolos
Definición de la las arquitectura
Plan
la
a ambos en paquetes de trabajo del proyecto 4.
Definir
Se
la
detalla
el
plan
de
Plan
de implantación de Requisitos de implementación y de Gestor de implementación la gobierno de la migración validando que se Arquitectura y migración arquitectura cuenten con los recursos arquitectura necesarios para su ejecución Abarca
Requisitos
las
guías
y
supervisión de los proyectos 5. Proveer los Publicación de a implementar, así como, la de servicios de documentos
gobierno de la arquitectura
postarquitectura
implementació
empresarial
n
Gestor
de
medición y comunicación Arquitectura de los valores aportados por la arquitectura
Publicación
de
documentos
6. Fin
post-
la
implementación
Diagrama del proceso Ilustración 19: Proceso Gestionar la Arquitectura Empresarial – (Propuesta) 147
la
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO Descripción Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión en recursos y las restricciones de los mismos. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con los recursos y restricciones de estos, basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los proyectos seleccionados al portafolio de proyectos activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio de proyectos, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de estos o al cambio en las prioridades de ITExpert. Propósito Optimizar el rendimiento del portafolio global de proyectos en respuesta al rendimiento de estos y el valor que brinden a la empresa y a las cambiantes prioridades y demandas corporativas. Alcance
148
Muestra los procesos necesarios para la gestión de portafolios de proyectos para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar) Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión de portafolios de proyectos. Establecer la mezcla del objetivo de inversión Determinar la disponibilidad y las fuentes de recursos Evaluar y seleccionar los programas a realizar Supervisar, optimizar e informar sobre el rendimiento del portafolio de proyectos Mantener los portafolios Gestionar la obtención de beneficios
Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol
Descripción
Área funcional
Realiza funciones de relación entre el proyecto y objetivos, realización del equilibro en la inversión y el proyecto para establecer Gerencia Gerente alumno
una estrategia donde se alinean los objetivos de los proyectos con el objetivo de la empresa Establece la disponibilidad de los recursos Gerencia para los proyectos y determina la implicación
149
del uso de esto en cada proyecto
Realiza las actividades para identificar la brecha entre el avance de los proyectos y como estos responden al uso de recursos en la empresa. Además, brinda un informe al comité del avance de los proyectos para luego
Gerencia
determinar hitos, asignar recursos, registrar en el portafolio de proyectos los proyectos activos y aceptados Encargado
de
realizar
actividades
para
supervisas los portafolios de proyectos y evaluar posibles cambios en caso surgiesen Gerencia estos, controlar avance de los proyectos y enviar para una revisión al comité Crear y mantener los proyectos de IT-Expert, delegar estos a responsables de servicios, Gerencia recursos humanos y Jefes de proyectos Usar
métricas
para
revisar
avance
de
proyectos, cumplimiento entre otros métodos de
evaluación
e
implementar
acciones
Gerencia
correctivas
STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción Encargado de evaluar el avance de los proyectos y como
Comité
estos sustentan sus objetivos al alineamiento del objetivo de la empresa IT-Expert
150
Evaluar el avance y cumplimiento de los proyectos con respecto a sus resultados El Gerente profesor se encarga de validar las inversiones de recursos para los proyectos tomando como referencia el alcance de estas Verifica e identifica las opciones de recursos para los proyectos Encargado de establecer los procedimientos para la evaluación de los proyectos luego del feedback del comité Gerente profesor
para que estos se lleven a cabo de forma eficiente Identificar la desviación del proyecto real y estimado para evaluar la brecha de incumplimiento y evaluar el proyecto bajo otras métricas de control Eliminar proyectos alcanzados o superados Considerar la orientación a expertos asesores o fuentes de información para el apoyo a los proyectos con necesidad de apoyo
Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.
Entrada
Descripción
Propuesta de proyecto
Propuesta del proyecto a realizar para la empresa IT-Expert
Encargado Elaboración
Gerencia
Principios
de
empresa
(objetivo, de IT-Expert, la Misión y la Visión Gerencia
misión visión)
de
la Principios con el objetivo estratégico
de la empresa
151
Entrada
Definición estratégico
objetivo de
IT-
Expert
de
Elaboración
Objetivo estratégico de IT-Expert para realizar la alineación con el objetivo del proyecto mediante el uso
Gerencia
de la TI
Observaciones
a
la Objetivos de los proyectos alineados
estrategia y a las metas y del proyecto
inversión
bien
integrados
al
objetivo Gerencia
estratégico de IT-Expert
Expectativas de retorno de
Encargado
Descripción
de
recursos
Información
de
resultados
del
proyecto para la empresa IT-Expert (Implementación
de
un Modelo,
Gerencia
Solución, Aplicativo, etc...) Criterios
Criterios de evaluación
para
evaluar
la
los
beneficios del proyecto, los riesgos del proyecto, el impacto del proyecto
Gerencia
en la empresa
Portafolio de proyectos
Portafolio de proyectos aprobados para desarrollar
Feedback revisión de Retorno con la evaluación de los portafolio de proyectos proyectos Conjunto Portafolio de proyectos
de
información (Avance,
proyectos
general
Objetivos,
de
Gerencia
Comité
con estos
Indicadores,
Gerencia
etc...)
Resultados supervisión
de
Resultados de la supervisión de los resultados
de
las
métricas Gerencia
establecidas en los proyectos
152
Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.
Salida
Encargado
Descripción
Observaciones
a
de
Elaboración
la Objetivos de los proyectos alineados y
estrategia y a las metas bien integrados al objetivo estratégico Gerencia del proyecto
de IT-Expert
Expectativas de retorno de
inversión
de
recursos
Información de resultados del proyecto para
la
empresa
(Implementación
de
IT-Expert un
Modelo,
Gerencia
Solución, Aplicativo, etc...)
Comunicado
de Portafolio de proyectos aprobados para
proyectos a realizar
desarrollar
Proyectos
Proyectos con retorno de inversión de
Comité
seleccionados con hitos recursos, con resultados positivos a Gerencia y retorno de inversión
mejorar la empresa IT-Expert Información con el cambio realizado en
Resultado
de
la el proyecto y el ajuste realizado sin que
revisión del cambio
afecte la integración con el objetivo
Gerencia
estratégico de la empresa IT-Expert Informe con avance real y planeado de Informe de rendimiento los proyectos con evidencia de las de portafolios
actividades
establecidas
en
el
Gerencia
cronograma Dashboard métricas de proyectos
de
portafolios Portafolio de proyectos actualizados
Tablero de control del avance de los proyectos a lo largo del ciclo
Gerencia
Conjunto de proyectos con información Gerencia general de estos (Avance, Objetivos,
153
Salida
Encargado
Descripción
de
Elaboración
Indicadores, etc..) actualizados
Acciones
correcticas Ejecución de medidas de mitigación al
implementadas
proyecto con resultados negativos
Gerencia
Caracterización ID
Entrada
Actividad
Salida
Descripción
Responsable
Inicio del proceso
Gerencia
Proyecto propuesta
/
Principios
de
la C.0
…
Inicio
empresa
(objetivo, misión visión) /
Definición
objetivo estratégico de IT-Expert
154
ID
Entrada
Actividad
Salida
Descripción
Responsable
Revisar
y
garantizar
la
claridad
de
estrategias
las y
servicios actuales corporativos y de TI.
Definir
adecuada de
propuesta
/
Principios
de
la C.1
inversión, en
costes,
los la
alineación con la
empresa Establecer la Observaciones
(objetivo,
mezcla
del a la estrategia
misión visión) objetivo /
mezcla
basada
Proyecto
una
Definición inversión
de y a las metas del proyecto
estrategia
y
medidas financieras,
tales Gerencia
como
coste,
retorno
objetivo
de
inversión esperado
estratégico de
a lo largo de todo
IT-Expert
el ciclo de vida económico, grado de riesgo y tipo de beneficio para los programas
del
portafolio. Ajustar las
estrategias
corporativas y de TI
cuando
sea
necesario. Determinar Observaciones Determinar la Expectativas C.2
fuentes potenciales
a la estrategia disponibilidad de retorno de y a las metas y las fuentes inversión del proyecto
de recursos
recursos
las
de
de
fondos, Gerencia
diferentes opciones
de
financiación y las
155
ID
Entrada
Actividad
Salida
Descripción
Responsable
implicaciones
de
las
de
fuentes
financiación sobre las
expectativas
del
retorno
de
inversión. Decidir
qué
proyectos candidatos deberían
ser
trasladados
al
portafolio
de
proyectos activos. Determinar si los proyectos Criterios
de
evaluación C.3
/
Comunicado de proyectos a realizar
Evaluar
y
seleccionar los proyectos a realizar
Proyectos
rechazados
seleccionados
deberían
con
hitos
retorno inversión
ser
y conservados de ser
para Gerencia
considerados
en el futuro, o provistos algún
con tipo
de
inversión
de
recursos determinar
para si
el
caso de negocio puede mejorado
ser o
descartado
156
ID
Entrada
Actividad
Salida
Informe
optimizar
C.4
revisión
de
portafolio
de
proyectos
e
informar sobre
el
rendimiento del portafolio de proyectos
portafolios
Portafolio
de Mantener los
proyectos
portafolios
/
Dashboard métricas
de
proyectos
de
portafolios Resultado
/ de
la revisión del cambio
C.5
de
rendimiento de
Supervisar, Feedback
Descripción
Portafolio
Responsable
Regularmente, supervisar
y
optimizar
el
rendimiento
del
portafolio
de
inversiones y de Gerencia los
programas
individuales a lo largo de todo el ciclo de vida de inversión. Mantener
los
portafolios
de
de programas
y
proyectos
proyectos
actualizados
inversión,
de Gerencia
servicios de TI y activos de TI. Supervisar
los
beneficios
de
proporcionar
C.6
Resultados de supervisión
Gestionar
la Acciones
obtención de correcticas beneficios
y
mantener servicios y capacidades TI Gerencia
implementadas apropiadas, basadas en el caso de
negocio
acordado actual. Acciones C.7
correcticas implementadas
Gestión Fin
…
portafolios
de Gerencia
realizado
157
Diagrama del proceso Ilustración 20: Proceso Gestionar Portafolio – (Propuesta)
DEFINICIÓN
DE
PROCESO
GESTIONAR
LOS
RECURSOS
HUMANOS Descripción Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada. Propósito Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.
Alcance Muestra la estructura del proceso "Gestionar los recursos humanos" diseñado para la empresa IT-Expert basado en el marco de referencia COBIT 5.
158
Descripción del proceso Declarativa El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión de portafolios de recursos. Mantener la dotación de personal Mantener las habilidades y competencias Realizar seguimiento del uso de recursos Evaluar el desempeño
Roles Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece. Rol
Descripción
Área funcional
Jefe de Recursos Encargado de elaborar y controlar el Área de Recursos Humanos Humanos
proceso de reclutamiento, selección, ingreso
e
inducción
del
personal.
Proyectar y coordinar programas de capacitación y entrenamiento para los empleados, a fin de cumplir con los planes de formación
STAKEHOLDERS Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
159
Gerente de proyectos
Tiene interés en el uso eficiente de los recursos humanos asignados a cada proyecto
Jefe de recursos humanos
Es un socio estratégico en lo que respecta al vínculo con el cliente interno y externo. Colabora para que cada empleado mejore sus capacidades con el fin de generar un mayor valor agregado en la organización
Entradas del proceso En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Necesidad
Descripción de
gestionar
el Existe
personal
Encargado de Elaboración
un
administrar
necesidad el
personal
de Jefe de Recursos Humanos de
manera óptima
Salidas del proceso En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida
Descripción
Encargado de Elaboración
Plan de mejora del desempeño
Plan basado en los resultados Jefe de Recursos Humanos del proceso de evaluación y los requisitos de capacitación y desarrollo de competencias
Caracterización ENTRADA
ACTIVIDAD
SALIDA
DESCRIPCIÓN
RESPONSABLE
160
ENTRADA
ACTIVIDAD
SALIDA
0. Inicio
DESCRIPCIÓN
Necesidad
de Existe
gestionar
el administrar el personal de
personal
Necesidad
de 1. Mantener la
gestionar
el dotación
personal
personal
habilidades
contratado
y
competencias
de
formación ejecutados
y
revisados
necesidad
de
manera óptima
Jefe de recursos humanos
Se evalúa la capacidad de Personal
los recursos humanos para Jefe de recursos
contratado
cumplir con los objetivos humanos empresariales
2. Mantener las
Personal
Programas
de
un
RESPONSABLE
Programas
de
formación ejecutados
y
revisados
Se gestiona las habilidades y competencias necesarias del personal.
Jefe de recursos humanos
Registrar el uso de los 3.
Realizar
seguimiento del uso de recursos
Informes
de
uso de recursos
recursos.
Identificar
carencias
y
las
proporcionar
datos de entrada a los planes
Jefe de recursos humanos
de aprovisionamiento Se realizan evaluaciones de
Informes de uso 4. de recursos
Evaluar
desempeño
el Plan de mejora del desempeño
rendimiento respecto a los objetivos
individuales
derivados de los objetivos
Jefe de recursos humanos
empresariales Plan de mejora del desempeño
5. Fin
Diagrama del proceso Ilustración 21: Proceso Gestionar los Recursos Humanos – (Propuesta)
161
Se proponen cuatro planes de implementación detallados que parten de los procesos que brindan mayor valor a la empresa IT-Expert, y que presentan mayor impacto en los resultados obtenidos y que no conllevan mucha dificultad en su implementación. De los cuatro planes de implementación detallados se identifica el más importante para su implementación en la empresa IT-Expert. Los resultados del plan de implementación con más valor y aceptación para la empresa IT-Expert es el relacionado al proceso “Gestionar el marco de gestión de TI”, pues contiene los productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI.
162
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN
En la fase cinco del proceso de implementación se ejecutan los programas priorizados. Este programa plantea la implementación del proceso “Gestionar el marco de gestión de TI”. Se debe mantener monitoreado y documentado la implementación de las mejoras adoptando y adaptando las mejores prácticas enfocadas a IT-Expert y los cambios de las políticas y procesos. A continuación me muestra al detalle los productos de trabajo del plan o programa de implementación de este proceso modelo propuesto por el COBIT 5 y aplicado en la empresa IT-Expert.
Productos de Trabajo de la Implementación El entregable de la implementación está compuesto por cinco productos de trabajo, estos son: Políticas, Estructura organizativa, Modelo de procesos, Roles y Métricas. Estos productos formaran parte de la información de IT-Expert y serán registrados en los siguientes documentos de la empresa:
Tabla 18: Productos de trabajo del proyecto IMGETI IMGETI COD PRODUCTOS DE TRABAJO
DOCUMENTO
WP1 Políticas
Políticas de IT-Expert
WP2 Estructura Organización
MOF
WP3 Modelo de procesos
MEMORIA
WP4 Roles
ROF
163
WP5
Métricas
-
Tablero
indicadores
de
FORM, Excel y Graficas
Fuente: Elaboración Propia
Los habilitadores o elementos que permiten activar el impulso a lograr los objetivos de TI en la empresa propuestos por COBIT son:
Tabla 19: Habilitadores de COBIT5 COBIT 5 COD CATALIZADORES CAT1 1.Principios políticas y marco de referencia CAT2 2.Procesos CAT3 3.Estructura Organizativa CAT4 4.Cultura ética y comportamiento CAT5 5.Información CAT6 6.Servicios infraestructura y aplicaciones CAT7 7.Personas habilidades y competencias Fuente: Elaboración propia
Estos habilitadores presentan la siguiente correspondencia con los productos de trabajo que se entregan a IT-Expert.
Tabla 20: Productos de trabajo y Habilitadores 164
COBIT & IMGETI COD COBIT5 CAT1
COD IMGETI WP1
WP2
WP3
WP4
WP5
X
CAT2
X
CAT3
X
CAT4 CAT5 CAT6
X
CAT7
X Fuente: Elaboración propia
Como se ve en la tabla, los productos de trabajo están se vinculan con los catalizadores que COBIT propone. Esto significa que los elementos a implementar son habilitadores y que su definición y manejo en adelante ayudara a lograr los objetivos de TI que hay en la empresa IT-Expert. A continuación se definen los productos del trabajo de la implementación del proceso.
MODELO DE PROCESOS El modelo de procesos aplicado a la empresa IT-Expert toma como referencia el propuesto por COBIT. Debido a que es un modelo de referencia, no se tomara en cuenta los procesos que no estén vinculados al cumplimiento de los objetivos de IT-Expert.
Tabla 21: Modelo COBIT y Procesos Implementados
165
Modelo de proceso propuesto por COBIT5
Proceso Aterrizado e Implementado
COD
Actividades Implementadas en IT-Expert
Actividades Propuestos
APO1 A.1.Definir_la_estructura_organizativa.docx
A.1.Definir la estructura organizativa. A.2.Mantener los elementos catalizadores del sistema de
APO3 A.3Mantener_los_elementos_catalizadores_del_sistema_de_gestión gestión APO6 A.6.Definir_la_propiedad_de_la_información_y_del_sistema
A.3.Definir la propiedad de la información y del sistema
APO4 A.4Comunicar_los_objetivos_y_la_dirección_de_gestión
A.4.Comunicar los objetivos y la dirección de gestión
APO7 A.7.Gestionar_la_mejora_continua_de_los_procesos
A.5.Gestionar la mejora continua de los procesos A.6. Mantener el cumplimiento con las políticas y
APO8 A.8.Mantener_el_cumplimiento_con_las_políticas_y_procedimientos procedimientos APO2 A.2.Establecer_roles_y_responsabilidades.docx APO5 A.5.Optimizar_la_ubicación_de_la_función_de_TI Fuente: Elaboración propia
La implementación del modelo de procesos cuenta con la propuesta del modelo mediante el documento Definición de procesos y la ejecución de las actividades del proceso a lo largo del ciclo de implementación, la salida de cada sub proceso del proceso “Gestionar el marco de gestión de TI” implementado en IT-Expert se presentan a lo largo del presente documento. A continuación se presenta la definición del proceso implementado en la empresa IIT-Expert.
DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI DESCRIPCIÓN
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
166
PROPOSITO
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades organizativos, actividades fiables y reproducibles y habilidades y competencias. ALCANCE
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear y Organizar)
167
DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI DECLARATIVA
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la gestión del marco de gestión de TI. Definir la estructura organizativa Mantener los elementos catalizadores del sistema de gestión Definir la propiedad de la información y del sistema Comunicar los objetivos y la dirección de gestión Gestionar la mejora continua de los procesos Mantener el cumplimiento con las políticas y procedimientos ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Arquitecto de TI
Área funcional
Implementar la redefinición de procesos. Rediseño
de
procesos
priorizando
Operaciones
las
iniciativas para la mejora del proceso y rediseñar los procesos para cumplir con las políticas y procedimientos.
Gestor de riesgos
Aplicar
las
medidas
necesarias
para
Riesgo de operaciones
mantener un control de riesgos, garantizar un adecuado control en los procesos.
Gestor seguridad
de
la Aplicar los objetivos de TI a la seguridad de
Seguridad de información
información en la empresa, las medidas de mejora para la seguridad de información y adoptar las acciones necesarias para realizar
168
los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos. Encargado
Gerente alumno
de
desarrollar
diferentes
Gerencia
actividades como desarrollar las actividades en
la
definición,
establecimiento organizativa,
alineación
y
una
estructura
de definir
los
roles
y
el
las
responsabilidades, integrar los principios de TI
con
los
del
negocio
entre
otras
actividades.
Gerente
de Considerar las maneras de mejorar la Gerencia
servicios
eficiencia
mediante la priorización de
acciones para realizar la mejora continua y adoptar las acciones necesarias para realizar el soporte de servicios adoptando las políticas y procedimientos propuestos.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Comité
Toma de decisiones y gobierno de la empresa IT-Expert
Gerente general
Gerente de la empresa que requiere la información a nivel estratégica desplegada para su consulta.
Gerente profesor
Encargado de aprobación y consulta sobre los diferentes procesos en la empresa IT-Expert
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. 169
Artefacto
Descripción
Encargado de elaboración
Modelo de arquitectura de procesos Modelo de arquitectura de procesos para la definición de procesos en la Gobierno - Comité empresa IT-Expert. Reglas de negocio con la cultura y Políticas de gobierno corporativo
políticas por parte del Gobierno y Gobierno - Comité comité de las empresas.
Comunicación
de
gobierno
corporativo
Principios,
Información con los diferentes requerimientos
de
parte
del Gobierno - Comité
Gobierno y comité de las empresas.
Comunicados
y
Políticas
Principios, comunicados y políticas de la dirección de la empresa por el Gobierno - Comité Gobierno y comité de las empresas. Políticas y procedimientos para
Políticas y procedimientos
identificar los procesos críticos.
Gerencia
Políticas y procedimientos para realizar
Políticas y procedimientos
el
seguimiento
y
cumplimiento de las obligaciones
Gerencia
de todos los empleados.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Artefacto
Descripción
Encargado de elaboración
Definición de funciones en la Definición
de
estructura
funciones organizativas
y empresa IT-Expert, Definición de la estructura de la empresa IT-
Gerencia
Expert.
170
Normas Políticas operativas
y
directrices
de
internas
en
la Gerencia
negocio
en
la
operaciones
las
organización. Reglas Plan de comunicación
de
comunicación con el Gobierno o Gerencia comité de la empresa IT-Expert. Reglas
Políticas relativas a TI
de
negocio
con
la
tecnología de información dentro Gerencia de la empresa. Documento con los objetivos de TI
Comunicación de objetivos de TI
en la empresa. Evaluación
Evaluación
de
capacidad
mediante
de herramientas
procesos
de
Cobit5
Riesgo de operaciones
las para
obtener el nivel de capacidad de la
Gerencia
empresa.
Objetivos rendimiento
y
métricas
de
Objetivos
y
métricas
de
rendimiento para el seguimiento de Operaciones la mejora de procesos Acciones
apropiadas
para
la
Acciones de remediación para el no remediación del no cumplimiento, cumplimiento
esto
incluye
cambio
de
Gerencia
requerimientos.
171
CARACTERIZACIÓN ID
Entrada
Actividad
Salida
Descripción
1.0
…
Inicio
Requerimiento
Necesidad
de
Responsable de Gerente alumno
mejora Gestionar el Marco de
continua
del Gestión de TI
Marco
de
Gestión de TI 1.1
Modelo
de Definir
la Definición de Establecer
arquitectura
estructura
estructura
de procesos
organizativa.
funciones
una Gerente alumno
y estructura organizativa interna y
organizativas / extensa que refleje las Directrices operativas
necesidades de negocio
y
la organización prioridades / básicas
del
de
Reglas Implementar
las TI. las
de estructuras de gestión
comunicación
requeridas
(p.
ej.,
comités) para permitir que
la
toma
de
decisiones se lleve a cabo de la forma más eficaz
y
eficiente
posible. 1.2
Principios de Mantener los Políticas
Mantener
gobierno
elementos
elementos
corporativo
catalizadores
catalizadores
del sistema de
sistema de gestión y
gestión
del entorno de control
relativas a TI
los Gerente alumno
del
de la TI de la empresa y garantizar que están integrados alineados
y con
la
filosofía y el estilo operativo de gobierno
172
y de gestión de la empresa.
Estos
elementos catalizadores incluyen una
comunicación
clara
de
expectativas/requisito s.
El
sistema
gestión
de
debería
fomentar
la
cooperación interdepartamental y el trabajo en equipo, promover
el
cumplimiento mejora
y
la
continua
y
tratar las desviaciones en
el
proceso
(incluidos los fallos). 1.3
Necesidad de Definir definir
la Directrices
Definir y mantener Gerente alumno
la propiedad de para el control las responsabilidades
propiedad de la información y seguridad de de la propiedad de la la información y del sistema
datos
y del sistema
información (datos) y los
sistemas
de
información. Asegurar
que
propietarios
los
toman
decisiones sobre la clasificación
de
la
información
y
los
sistemas
y
su
protección de acuerdo con esta clasificación. 1.4
Comunicación de
Comunicar los Comunicación
Comunicar
la Gerente alumno
gobierno objetivos y la de objetivos de sensibilización y la /
corporativo / dirección
de
Analista
comprensión de los riesgos
de /
173
Principios,
gestión
TI
objetivos
y
la Analista
Comunicados
dirección de TI a las seguridad
y Políticas
partes interesadas y
de
usuarios pertinentes a lo largo de toda la empresa. 1.5
Políticas
y Gestionar
procedimiento
mejora
s
continua los procesos
la Evaluación de Evaluar, planificar y Gerente alumno capacidad de procesos Objetivos métricas rendimiento
de ejecutar
la
mejora /
Gestor
/ continua de procesos arquitectura
de de
y y su madurez para TI / Gerente de de asegurar
que
son servicios
/
capaces de entregarse Analista
de
conforme
a
los seguridad
objetivos
de
la
empresa, de gobierno, de
gestión
control.
y
de
Considerar
las directrices de la implementación
de
procesos de COBIT, estándares emergentes, requerimientos
de
cumplimiento, oportunidades
de
automatización y la realimentación de los usuarios
de
los
procesos, el equipo del proceso y otras partes
interesadas.
Actualizar
los
procesos y considerar el impacto en los catalizadores
del
proceso.
174
1.6
Políticas
y Mantener
el Acciones
procedimiento
cumplimiento
s
con
remediación
las para
políticas
de Poner
el
en
marcha Gerente alumno
procedimientos
para /
no mantener
y cumplimiento
Gestor
el arquitectura
cumplimiento
de de
y TI / Gerente de
procedimiento
medición
del servicios
/
s
funcionamiento de las Analista
de
políticas
y
otros seguridad
catalizadores
del
marco de referencia; hacer
cumplir
las
consecuencias del no cumplimiento o del desempeño inadecuado.
Seguir
las tendencias y el rendimiento
y
considerarlos en el diseño futuro y la mejora del marco de control. 1.7
Marco
…
de Fin
Fin del proceso
Gerente alumno
gestión de TI
/
Gestor
Gestionado
arquitectura
de de
TI / Gerente de servicios
/
Analista
de
seguridad 7.1
Definición de Mantener estructura
y dotación
funciones
personal
la Dotación del personal estructurado
organizativas 3.2
de Actividades internas Gerente alumno del proceso Mantener la
dotación
del
personal
Políticas
Definir
la Modelo
de Actividades internas Gerente alumno
operativas
arquitectura
arquitectura de del proceso Definir la
de referencia
procesos
arquitectura
de
175
referencia B.
Objetivos
2
métricas
y Establecer los Objetivos de objetivos
rendimiento
de Actividades internas Gerente alumno
de cumplimiento
del
proceso
cumplimiento
alineados a la Establecer
los
y rendimiento.
mejora
de
objetivos
continua de los cumplimiento procesos
y
rendimiento.
B.
Evaluación de Recopilar
3
capacidad de procesar
los internos
del del proceso Recopilar
procesos
de dominio
y procesar los datos
datos
y Procesos
cumplimiento
Supervisar,
y rendimiento.
Evaluar
Actividades internas Gerente alumno
de cumplimiento y y rendimiento.
Valorar Rendimiento y Conformidad B.
Acciones
5
remediación para
el
de Asegurar
implantación
no de
cumplimiento
la Implementació
n de medidas del proceso Asegurar
medidas correctivas
correctivas.
Actividades internas Gerente alumno
la
implantación
de
alineadas a las medidas correctivas. políticas de la empresa.
A.
Mejora
Evaluar
1
continua
del sistema
sistema
de gobierno
gobierno
el Principios de rectores
Actividades internas Gobierno(Comit de del proceso Evaluar el é educativo)
gobierno
sistema de gobierno
corporativo
A.
Mejora
Orientar
2
continua
del sistema
sistema
de gobierno.
el Objetivos
del Actividades internas Gobierno(Comit
de gobierno
del proceso Orientar é educativo) el
gobierno
sistema
de
gobierno.
A.
Mejora
Supervisar el Efectividad
3
continua
del sistema
sistema
de gobierno.
y Actividades internas Gobierno(Comit
de funcionamient o del gobierno
del
proceso é educativo)
Supervisar el sistema
176
gobierno
de gobierno.
177
DIAGRAMA DEL PROCESO
Ilustración 22: Proceso Gestionar el Marco Gestión de TI
178
DESCRIPCIÓN
DEL
PROCESO
1.1.DEFINIR
LA
ESTRUCTURA
ORGANIZATIVA DECLARATIVA
Establecer una estructura organizativa interna y extensa que refleje las necesidades del negocio y las prioridades de TI. Implementar las estructuras de gestión requeridas (p. ej., comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y eficiente posible. ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Desarrolla las actividades en la definición,
Gerencia
alineación
y el establecimiento de una
estructura organizativa que será aprobada por el Gerente de la empresa IT-Expert.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Gerente profesor
Encargado de establecer estructura organizativa. Gestionar la implementación de las estructuras de gestión.
ENTRADAS DEL PROCESO
179
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Modelo
Descripción de
arquitectura
de
procesos
Modelo
de
Encargado de Elaboración arquitectura
de
Gobierno - Comité
procesos para la definición de procesos en la empresa IT-Expert.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.
Salida Definición
de
estructura
funciones organizativas
y
Descripción
Encargado de Elaboración
Definición de funciones en la
Gerencia
empresa IT-Expert, Definición de la estructura de la empresa ITExpert.
Políticas operativas
Normas y directrices de las operaciones
internas
en
Gerencia
la
organización. Plan de comunicación
Plan de comunicación establecida
Gerencia
entre el Gobierno o comité de la empresa
IT-Expert
con
la
gerencia.
180
CARACTERIZACIÓN ID
1,1,0
Entrada
Actividad
…
Inicio
Salida
Descripción
Modelo
de
arquitectura
de
procesos
Responsable
Inicio
de Gerente
procesos
alumno
Definir
el
alcance,
las
funciones internas externas,
1,1,1
Modelo
de
arquitectura
de
procesos
Definición Definir estructura estructura organizacional
de y
funciones
y los
roles internos y externos, y las capacidades y los derechos
organizativas
de
Gerente alumno
decisión requeridos, incluidas actividades de TI realizadas
por
terceras partes.
1,1,2
Definición
de
estructura
y
funciones organizativas
Decisiones Establecer
para
resultados
Establecer
Gerente
corporativos
actividades
alumno
identificados
181
ID
Entrada
Actividad
Salida
Descripción Establecer
Responsable un
Comité Estratégico de TI (o equivalente) a nivel del Consejo de Administración. Este
comité
debería asegurarse de que el gobierno de Decisiones 1,1,3
resultados corporativos identificados
para
Establecer
un Implicancia
comité
Stakeholders
estratégico de TI
establecida
de
TI, como parte del
gobierno Gerente
corporativo, está alumno contemplado
de
forma adecuada, debe
aconsejar
sobre la dirección estratégica revisar
y las
inversiones principales,
en
representación del consejo de administración al completo.
182
ID
Entrada
Actividad
Salida
Descripción Establecer
Responsable un
comité directivo de
TI
(o
equivalente) compuesto por la dirección ejecutiva,
de
negocio y de TI para
determinar
las prioridades de los programas de Organización de Implicancia 1,1,4
de Establecer
un TI
relacionado
Stakeholders
comité directivo con modelos de
establecida
de TI
arquitectura corporativa
inversión de TI de acuerdo con la estrategia
y Gerente
prioridades
de alumno
negocio
la
de
empresa; realizar un
seguimiento
del estado de los proyectos
y
resolver
los
conflictos
de
recursos;
y
supervisar
los
niveles
de
servicio
y
las
mejoras
en
el
servicio.
Organización de TI 1,1,5
relacionado
con modelos de Converger arquitectura corporativa
Iniciar definición de
roles
y
responsabilidades Converger
Gerente
/
alumno
definición
Iniciar actividades de
estructuras
183
ID
Entrada
Actividad
Salida
Descripción
Identificar
Responsable
las
decisiones necesarias Iniciar definición Identificar 1,1,6
de
roles
y decisiones
responsabilidades estratégicas
Definición estructura
de alcanzar
para los
y resultados
Gerente
funciones
corporativos y la alumno
organizativas
estrategia de TI y para la gestión y ejecución
de
servicios de TI.
Definir los roles y
las
responsabilidades 1,1,7
Iniciar definición Definir roles y Roles de estructuras
y de cada función Gerente
responsabilidades responsabilidades dentro
de
la alumno
estructura organizativa relativa a TI.
184
ID
Entrada
Actividad
Salida
Descripción
Responsable
Establecer
la
implicación
de
las
partes
interesadas críticas para la toma 1,1,8
Roles
y Elaborar
matriz
responsabilidades RACI
Matriz RACI
de
decisiones
Gerente
(quiénes rendirán alumno cuentas, quiénes son responsables, quiénes deben ser consultados
y
quiénes informados).
Proporcionar políticas cada
para
estructura
de
gestión
(incluyendo órdenes, objetivos, marco Elaborar 1,1,9
Matriz RACI
las
políticas para las funciones
Políticas operativas
temporal,
Gerente
seguimiento, supervisión
y
vigilancia),
así
como
las
alumno
entradas requeridas y las salidas esperadas en cuanto a las reuniones.
185
ID
Entrada
Actividad
Salida
Descripción
Responsable
Identificar
las
decisiones necesarias
para
alcanzar
los
resultados corporativos y la estrategia de TI y para la gestión y ejecución
de
servicios de TI. Establecer
y
mantener
1,1,10
Políticas
Elaborar plan de Plan
Operativas
comunicación
comunicación
de
una
estructura óptima de
enlace,
comunicación
y
Gerente alumno
coordinación entre el negocio (Comité, Gerencia)
y las
funciones de TI (Gestor
de
operaciones) dentro
de
la
empresa y con entidades
no
pertenecientes a la empresa.
186
ID
Entrada
Actividad
Salida
Descripción
Responsable
Proporcionar políticas cada
para
estructura
de
gestión
(incluyendo órdenes, objetivos, marco
1,1,11
Plan
de
comunicación
Fin
Estructura
temporal,
organizativa
seguimiento,
definida
supervisión
y
vigilancia),
así
como
las
Gerente alumno
entradas requeridas y las salidas esperadas en cuanto a las reuniones.
Actividades
7.1
Definición
de
estructura
y
funciones organizativas
Mantener dotación personal
la Dotación del personal estructurado
de
internas
del
proceso
Gerente
Mantener
la alumno
dotación
del
personal
Actividades
3.2
Políticas operativas
Definir
la Modelo
de internas
del
arquitectura
de arquitectura
de proceso
Definir
referencia
procesos
la arquitectura de
Gerente alumno
referencia
187
DIAGRAMA DEL PROCESO
Ilustración 23: Proceso Definir la Estructura Organizativa
188
DESCRIPCIÓN
DEL
PROCESO
1.2.MANTENER
LOS
ELEMENTOS
CATALIZADORES DECLARATIVA
Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar la cooperación interdepartamental y el trabajo en equipo, promover el cumplimiento y la mejora continua y tratar las desviaciones en el proceso (incluidos los fallos). ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Integrar los principios de TI con los del
Gerencia
negocio, alinear
marco de trabajo,
procesos de TI, Evaluar buenas practicas, crear un conjunto de políticas con para el control interno de TI. Gobierno
Encargado de realizar la Evaluación,
Dirección ejecutiva
Orientación y Supervisión del sistema de gobierno.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación
189
Stakeholder
Descripción
Gerente general
Transmitir la visión, dirección y la estrategia corporativa a la empresa.
Asegurarse
que
los
procedimientos
estén
en
funcionamiento.
ENTRADAS DEL PROCESO Entrada Principios
de
gobierno
corporativo
Descripción
Encargado de Elaboración
Reglas de negocio con la cultura
Gobierno - Comité
y
principios
Gobierno
y
por
parte
comité
de
del las
empresas.
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida
Descripción
Políticas relativas a TI
Reglas de negocio
Encargado de Elaboración con las
Gerencia
tecnologías de información dentro de la empresa.
190
CARACTERIZACIÓN ID
Entrada
Actividad
Salida
1,2,0
…
Inicio
Necesidad mantener
Descripción de Inicio
Responsable de Gerente alumno
procesos
elementos catalizadores
1,2,1
Necesidad
de Adquirir
visión
mantener
comprensión y dirección
elementos
visión
catalizadores
y Adquirir
Gerente alumno
de comprensión de
estrategia
la
visión,
la
adquirida
dirección y la estrategia corporativas (Misión, Visión y Objetivos).
191
ID
Entrada
1,2,2
visión dirección
Actividad y Atender
Salida
códigos
adquirida
conducta
Responsable
la Cultura ética y Tener en cuenta Gerente alumno
de cultura ética y códigos
estrategia
Descripción
de conducta atendidos
de el
entorno
interno
de
la
empresa, incluyendo
la
cultura
la
y
filosofía
de
gestión,
la
tolerancia
al
riesgo,
la
seguridad,
los
valores éticos, el código
de
conducta,
la
rendición
de
cuentas requisitos
y
los de
integridad en la gestión.
192
ID
Entrada
1,2,3
Cultura ética y Inferir códigos
Actividad
de integrar
Salida
Descripción
e Principios TI
Responsable
de Inferir e integrar Gerente alumno
integrados los principios de
conducta
con principios TI
con
los
atendidos
de negocio
principios
de
negocio, motivando en la cultura empresarial definida por la empresa
IT-
Expert.
1,2,4
Principios TI
de Alinear
integrados
Necesidad
de Iniciar
alineamiento
Gerente alumno
alineamiento de
con principios
políticas
de negocio
1,2,5
Necesidad alineamiento
de Entorno control políticas
de Entorno
de Alinear
el Gerente alumno
y control de TI entorno alineado
con control
políticas de TI
de de
TI
con las políticas de TI, mantener el
riesgo
controlado.
193
ID
Entrada
1,2,6
Entorno
Actividad de Estándares
Salida Principios
Descripción de Evaluar
Responsable las Gerente alumno
control de TI
gobierno
buenas prácticas
alineado
corporativo
y
con
políticas de TI
estándares
para aplicación en IT-Expert (p. ej.,
normativa
específica ITIL
de para
servicios)
e
integrarlos donde corresponda.
194
ID
Entrada
Actividad
1,2,7
Principios
Políticas
rectores
de gobierno
Salida de Estándares
Descripción y Alinear
Responsable las Gerente alumno
códigos
de políticas
de
gobierno
prácticas
de gobierno
con
corporativo
gobierno
todas las buenas
alineados
prácticas estándares
y de
gestión
y
evaluar
las
buenas prácticas disponibles con marcos
de
control internacionales (COSO).
1,2,8
Estándares
y Obtener
Políticas
Políticas
códigos
de alineación
alineadas
alineadas
prácticas
de
Gerente alumno
gobierno alineados
195
ID
Entrada
Actividad
Salida
Descripción
Responsable
1,2,9
Políticas
Aplicar
Alineamiento
Aplicar
alineadas
alineamiento
aplicado
políticas
y
marcos
de
las Gerente alumno
referencia en la cultura
de
la
empresa
para
motivar
la
realización
de
los objetivos de la empresa.
196
ID
Entrada
Actividad
Salida
1,2,1
Alineamiento
Crear
un Políticas
Crear
un Gerente alumno
0
aplicado
conjunto
de relativas a TI
conjunto
de
políticas
para
conducir
las
políticas
Descripción
Responsable
expectativas de control de TI en temas
clave
relevantes, como calidad, seguridad, confidencialidad ,
controles
internos, uso de activos de TI, ética y derechos de
propiedad
intelectual.
1,2,1
Políticas
Evaluar
1
relativas a TI
políticas
las Políticas evaluadas actualizadas
Evaluar y actualizar
y Gerente alumno las
políticas, como mínimo una vez al
año,
para
ajustarlas a los cambiantes entornos operativos o de negocio.
197
ID
Entrada
Actividad
Salida
Descripción
1,2,1
Políticas
Implantar
Políticas
Implantar
2
evaluadas
implantadas
aplicar
actualizadas
y políticas
Responsable y Gerente alumno las
políticas de TI a todo el personal relevante,
de
forma que estén incorporadas sean
y
parte
integral de las operaciones empresariales.
198
ID
Entrada
Actividad
Salida
Descripción
1,2,1
Políticas
Asegurar
Funcionamient
Asegurarse
3
implantadas
funcionamient
o
o
procedimientos
procedimientos
asegurado
estén
de que
Responsable de Gerente alumno los
en
funcionamiento para realizar un seguimiento del cumplimiento con las políticas y
definir
las
consecuencias al no
llegar
cumplir
a los
indicadores
1,2,1
Funcionamient
4
o
Fin
…
Fin de procesos
Gerente alumno
Actividades
Gobierno(Comit
de
procedimientos asegurado A.1
Mejora
Evaluar
continua
del sistema
sistema
de gobierno
gobierno
el Principios de rectores
de internas
del é educativo)
gobierno
proceso Evaluar
corporativo
el
sistema
de
gobierno
199
DIAGRAMA DEL PROCESO
Ilustración 24: Proceso Mantener los Elementos Catalizadores
200
DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI DECLARATIVA
Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Asegurar que los propietarios toman decisiones sobre la clasificación de la información y los sistemas y su protección de acuerdo con esta clasificación. ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Proveer políticas y directrices, definir,
Gerencia
mantener
y
proporcionar
herramientas
adecuadas para garantizar la seguridad de información.
Definir
e
implementar
procedimientos para asegurar la integridad y consistencia en la información.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Comité
Definir la prioridad de la información y mantener las responsabilidades de la prioridad de la información.
ENTRADAS DEL PROCESO
201
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada
Descripción
Encargado de Elaboración
Requerimiento de negocio
Necesidad de definir la propiedad
Gerencia
de la información y del sistema
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida
Descripción
Encargado de Elaboración
Directrices para el control y
Políticas y reglas de negocio para
Gerencia
seguridad de datos
realizar el control y mantener segura la información. futuros proyectos
CARACTERIZACIÓN ID
Entrada
Actividad
Salida
Descripción
1,3,0
…
Inicio
Necesidad de Inicio definir
la proceso
propiedad
de
Responsable
de Gerente alumno
información del sistema 1,3,1
Necesidad de Proveer definir
la políticas
Políticas y directrices
y Proveer políticas
Gerente y
202
ID
Entrada
propiedad
Actividad
de directrices
Salida
Descripción
Responsable
propuestas
directrices para alumno
información
asegurar
la
del sistema
adecuación
y
consistencia de la clasificación de
la
información (datos) en toda la empresa. 1,3,2
Políticas
y Definir,
directrices
mantener
propuestas
proporcionar
Seguridad de Definir, y información garantizada
Gerente
mantener
y alumno
proporcionar herramientas adecuadas, técnicas
y
directrices para garantizar
la
seguridad
y
control efectivo sobre la información y los sistemas en colaboración con
el
propietario (Base de datos, Libros
Excel,
Soluciones, etc...). 1,3,3
Seguridad de Crear información
mantener
y Soporte
al Crear
mantenimiento mantener
y Gerente un alumno
203
ID
Entrada
Actividad
Salida
garantizada
información
de información
Descripción
la inventario
Responsable
de
la información (sistemas
y
datos)
que
incluya
un
listado de los propietarios, custodios
y
clasificaciones. Incluir
los
sistemas subcontratados y
aquellos
cuya propiedad debe permanecer dentro de la empresa. 1,3,4
Soporte
al Definir
mantenimiento implementar de información
e Políticas para Definir
e Gerente
el control y implementar
la procedimientos seguridad datos
alumno
de procedimientos para
asegurar
la integridad y consistencia de toda
la
información almacenada en formato electrónico, tales
como
bases de datos, almacenes datos
de (data
204
ID
Entrada
Actividad
Salida
Descripción
Responsable
warehouses) y archivos
de
datos. 1,3,5
Políticas para Fin
…
Fin de proceso
el control y seguridad
Gerente alumno
de
datos 3.2
Políticas
Definir
operativas
arquitectura de arquitectura de internas referencia
la Modelo
procesos
de Actividades
Gerente del alumno
proceso Definir
la
arquitectura de referencia
205
DIAGRAMA DEL PROCESO
Ilustración 25: Proceso Definir la Propiedad de la Información y del Sistema de TI
206
DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN DECLARATIVA
Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las partes interesadas y usuarios pertinentes a lo largo de toda la empresa. ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Comunicar continuamente los objetivos de
Gerencia
TI. Aplicar
Gestor de riesgos
mantener
las
medidas un
control
necesarias de
para
Riesgo de operaciones
riesgos,
garantizando un adecuado control en los procesos. Gestor
de
la
Aplicar los objetivos de TI a la seguridad
seguridad
de información en la empresa.
Gobierno
Encargado de realizar la Evaluación,
Seguridad de información
Dirección ejecutiva
Orientación y Supervisión del sistema de gobierno.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
207
Comité
Comunican todo lo relevante al gobierno corporativo.
Gerente general
Apoyar los objetivos de TI a la empresa.
Gerente profesor
Comunicar la sensibilidad de los objetivos al comité. Dar soporte al proceso de comunicación.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada Comunicación
de
gobierno
corporativo
Descripción
Encargado de Elaboración
Información con los diferentes
Gobierno - Comité
requerimientos Gobierno
de
parte
del
de
las
comunicados
y
y
comité
empresas. Principios,
Comunicados
Políticas
y
Principios, políticas
Gobierno - Comité
de la dirección de la
empresa por el Gobierno y comité de las empresas.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida
Descripción
Encargado de Elaboración
Comunicación de objetivos de TI
Documento con los objetivos de
Riesgo de operaciones
TI
en
la
empresa.
Carpeta
compartida de proyectos y finaliza el proceso creando un documento de
incidencias
para
futuros
proyectos
208
CARACTERIZACIÓN ID
Entrada
Actividad
Salida
1.4.0
…
Inicio
Comunicación Inicio de proceso de
Descripción
Responsable Gerente alumno
gobierno
corporativo 1.4.1
Comunicación Comunicar
Objetivos
Comunicar
de
comunicados
continuamente los
gobierno objetivos
corporativo
objetivos
Gerente alumno
y
la
dirección de TI. 1.4.2
Objetivos
Asegurar
Comunicación Asegurar que las Analista
comunicados
comunicación
asegurada
comunicaciones
de
riesgos
reciban apoyo de la
dirección
ejecutiva, tanto de palabra
como
mediante acciones, empleando todos los
canales
disponibles. 1.4.3
Comunicación Comunicar
Principios,
Iniciar
Analista
asegurada
Comunicados
comunicación
seguridad
de
y Políticas 1.4.4
Principios,
Garantizar
Información
Garantizar que la Analista
Comunicados
información
garantizada
información
y Políticas
de
seguridad
comunicada engloba una clara articulación de la misión,
los
objetivos
de
servicio,
la
seguridad,
los
controles
209
ID
Entrada
Actividad
Salida
Descripción
Responsable
internos,
la
calidad, el código ético/de conducta, las
políticas
y
procedimientos, los roles y las responsabilidades, etc. 1.4.5
Información
Detallar
información
Comunicar
la Analista
garantizada
información
detallada
información
con seguridad
de
el nivel de detalle adecuado cada
para
respectiva
audiencia dentro de la empresa. 1.4.6
información
Finalizar
Comunicación Información
detallada
Comunicación finalizada
Analista
de
comunicada clara, seguridad con los objetivos de
servicio,
seguridad
y
controles internos,
etc.
Correctamente descritos. 1.4.7
Comunicación Soportar
Comunicación Proporcionar
Analista
finalizada
de
riesgos
comunicación
de TI
objetivos recursos suficientes
de
y
cualificados para dar
soporte
al
proceso comunicativo. 1.4.8
Comunicación Fin de
…
Fin de proceso
Analista
de
objetivos
210
ID
Entrada
Actividad
Salida
Descripción
Responsable
de TI A.2
Mejora
riesgos Orientar
continua
del sistema
sistema
de gobierno.
gobierno
el Objetivos del Actividades de gobierno
internas
Gobierno(Comité del educativo)
proceso Orientar el
sistema
de
gobierno.
211
DIAGRAMA DEL PROCESO
Ilustración 26: Proceso Comunicar los Objetivos y la Dirección de Gestión
212
DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS DECLARATIVA
Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de gestión y de control. Considerar las directrices de la implementación de procesos de COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y otras partes interesadas. Actualizar los procesos y considerar el impacto en los catalizadores del proceso. ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Evaluar, analizar e identificar los procesos
Gerencia
críticos del negocio basándose en el rendimiento y cumplimiento de los riesgos relacionados. Implementar la redefinición de procesos.
Arquitecto de TI
Operaciones
Rediseño de procesos priorizando las iniciativas para la mejora del proceso. Gerente de servicios
Considerar las maneras de mejorar la
Gerencia
eficiencia mediante la priorización de acciones para realizar la mejora continua. Gestor
de
la
Aplicar las medidas de mejora para la
seguridad
seguridad de información.
Gobierno
Encargado de realizar la Evaluación,
Seguridad de información
Dirección ejecutiva
Orientación y Supervisión del sistema de
213
gobierno.
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Comité
Promover la mejora continua en todos los procesos considerando las directrices de la implementación de los procesos de COBIT5.
Gerente profesor
Encargado de supervisar la reacción de las funciones de los empleados con respecto al proceso de mejora continua.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada
Descripción
Encargado de Elaboración
Políticas y procedimientos
Políticas y procedimientos para
Gerencia
identificar los procesos críticos.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida Evaluación procesos
Descripción de
capacidad
de
Evaluación herramientas
Encargado de Elaboración mediante de
Cobit5
las
Gerencia
para
obtener el nivel de capacidad de la empresa.
214
Objetivos
y
métricas
de
rendimiento
Objetivos
y
métricas
de
Operaciones
rendimiento para el seguimiento de la mejora de procesos
CARACTERIZACIÓN ID
Entrada
Actividad
Salida
1,5,0
…
Inicio
Efectividad
1,5,1
Efectividad
y Identificar
Descripción y Inicio
de Gestor
funcionamiento procesos
arquitectura
del gobierno
TI
Procesos
Identificar
funcionamiento procesos
críticos
procesos
del gobierno
identificados
críticos
críticos
Responsable
los Gestor arquitectura
de de
de de
de TI
negocio basándose en el rendimiento, cumplimiento y los
riesgos
relacionados. 1,5,2
Procesos
Procesos
Iniciar
Inicio
críticos
priorizar
procesos
proceso
identificados
de Gerente
de
servicios
Evaluar, Analizar, Identificar
y
Priorizar. 1,5,3
Iniciar procesos
Evaluar
Evaluación de Evaluar capacidad procesos
de capacidad proceso
la Gerente
de
del servicios e
identificar objetivos
de
215
ID
Entrada
Actividad
Salida
Descripción
Responsable
mejora. 1,5,4
Iniciar
Analizar
procesos
Análisis
Analizar
las Gerente
realizado
diferencias
en servicios
de
la capacidad y control
del
proceso. 1,5,5
Iniciar
Identificar
procesos
Opciones
de Identificar
mejora
opciones
identificados
mejora
las Gerente
de
de servicios y
rediseño
de
procesos. 1,5,6
Iniciar
Priorizar
procesos
Objetivos métricas
y Priorizar
Gestor
de iniciativas para arquitectura
rendimiento
la
de de
mejora de TI
procesos basadas en el potencial costebeneficio. 1,5,7
Evaluación de Converger
Procesos
Finalización de Gerente
capacidad
finalizados
procesos
procesos
de procesos /
de
servicios
Evaluar,
Análisis
Analizar,
realizado
/
Opciones
de
Identificar
y
Priorizar.
mejora identificados / Objetivos
y
métricas
de
rendimiento 1,5,8
Procesos
Implementar
Mejoras
Implementar
finalizados
mejoras
implementadas
las
Gerente alumno
mejoras
acordadas,
216
ID
Entrada
Actividad
Salida
Descripción
Responsable
funcionando como
una
práctica normal del negocio y establecer objetivos
y
métricas
de
rendimiento que permitan el seguimiento de las mejoras del proceso. 1,5,9
Mejoras
Considerar
implementadas
maneras mejorar
Maneras de mejorar eficiencia
de Considerar las Gerente alumno la maneras
de
y mejorar
la
eficacia
eficiencia
y
consideradas
eficacia (p. ej., mediante formación, documentación, estandarización y automatización de procesos).
1,5,10 Maneras
de Aplicar
mejorar
la prácticas
eficiencia
y mejora
Prácticas de mejora aplicadas
de Aplicar
Analista
prácticas
de seguridad
gestión
de
eficacia
calidad para la
consideradas
actualización
de
de procesos. 1,5,11 Prácticas mejora aplicadas
de Evaluar procesos
Procesos correctos
Evaluar
Gerente alumno
/ procesos
Procesos
217
ID
Entrada
Actividad
Salida
Descripción
Responsable
desactualizados 1,5,12 Procesos
Retirar
Fin del proceso
desactualizados procesos
Se retiran los Gerente alumno procesos
que
están desactualizados con
la
implementación de
proyectos
innovadores 1,5,13 Fin del proceso B.2
Objetivos métricas rendimiento
…
Fin
y Establecer
Objetivos
Fin del proceso de Actividades
de los objetivos cumplimiento de
internas
Gerente alumno Gerente alumno
del
alineados a la proceso
cumplimiento mejora
Establecer
y
continua de los objetivos
rendimiento.
procesos
los de
cumplimiento y rendimiento.
B.3
Evaluación de Recopilar capacidad procesos
de procesar datos
y Procesos
Actividades
los internos
del internas
de dominio
proceso
cumplimiento Supervisar,
Recopilar
Gerente alumno del
y
y
Evaluar
y procesar
los
rendimiento.
Valorar
datos
de
Rendimiento y cumplimiento y Conformidad A.3
Mejora
Supervisar el Efectividad
continua
del sistema
sistema
de gobierno.
gobierno
rendimiento. y Actividades
de funcionamiento internas del gobierno
Gobierno(Comité del educativo)
proceso Supervisar
el
sistema
de
gobierno.
218
DIAGRAMA DEL PROCESO
Ilustración 27: Proceso Gestionar la Mejora Continua de los Procesos
219
DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS DECLARATIVA
Poner en marcha procedimientos para mantener el cumplimiento y medición del funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer cumplir las consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de control. ROLES
Los roles de la empresa que intervienen en el presente proceso serán detallados en el siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el área funcional a la que pertenece.
Rol
Descripción
Área funcional
Gerente alumno
Realizar seguimiento de las actividades,
Gerencia
control, monitoreo y cumplimiento de las políticas. Rediseñar los procesos para cumplir con las
Arquitecto de TI
Gerencia
políticas y procedimientos. Adoptar las acciones necesarias para realizar
Gerente de servicios
Gerencia
el soporte de servicios adoptando las políticas y procedimientos propuestos. Gestor seguridad
de
la
Adoptar las acciones necesarias para realizar
Seguridad de información
los procesos relacionados a la seguridad de información adoptando las políticas y procedimientos propuestos.
Gobierno
Encargado
de
realizar
la
Evaluación,
Dirección ejecutiva
Orientación y Supervisión del sistema de gobierno.
220
STAKEHOLDERS
Todos los involucrados en el presente proceso y sus respectivas descripciones son mencionados a continuación Stakeholder
Descripción
Comité
Proponer políticas y procedimientos relacionados a los objetivos de TI.
Gerente profesor
Encargado de supervisar el cumplimiento de las políticas y procedimientos de TI.
ENTRADAS DEL PROCESO
En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Entrada
Descripción
Encargado de Elaboración
Políticas y procedimientos
Políticas y procedimientos para
Gerencia
realizar
el
seguimiento
y
cumplimiento de las obligaciones de todos los empleados.
SALIDAS DEL PROCESO
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción y el encargado de elaborar el mismo. Salida
Descripción
Acciones de remediación para el
Acciones
no cumplimiento
remediación del no cumplimiento, esto
Encargado de Elaboración
apropiadas
incluye
para
cambio
la
Gerencia
de
requerimientos y comunicación con el gobierno para definir nuevos proyectos en el siguiente periodo.
221
CARACTERIZACIÓN ID
Entrada
1,6,0 …
1,6,1 Políticas
Actividad
Salida
Inicio
Políticas
y Realizar
procedimientos seguimiento
Descripción
Responsable
y Inicio
de Gerente
procedimientos
proceso
alumno
Seguimiento
Hacer
iniciado
seguimiento del alumno
un Gerente
cumplimiento con políticas y procedimientos. 1,6,2 Seguimiento iniciado
Validar
Cumplimiento
cumplimiento
valido
Se realizan las Gerente / actividades
de
servicios
Cumplimiento
necesarias para
invalido
validar
el
cumplimiento de las políticas y procedimientos en la empresa. 1,6,3 Cumplimiento invalido
Analizar
Acciones
de Analizar
incumplimientos remediación para
el
los Gerente
incumplimientos alumno no y
cumplimiento
adoptar
las
acciones apropiadas (puede incluir el cambio
de
requerimientos). 1,6,4 Acciones
de Integrar
remediación para
el
rendimiento no cumplimiento
Rendimiento y Integrar y cumplimiento integrado
Analista
rendimiento
de
y seguridad
cumplimiento
cumplimiento /
dentro
de
los
Cumplimiento
objetivos
Valido
individuales del personal.
222
1,6,5 Rendimiento y Evaluar cumplimiento
desempeño
integrado
catalizadores
Desempeño de Evaluar de catalizadores evaluados
Gestor
periódicamente
de
arquitectura
el desempeño de de TI los catalizadores del
marco
de
referencia adoptar
y las
acciones necesarias. 1,6,6 Desempeño de Adoptar
Acciones
Adoptar
las Gerente alumno
catalizadores
acciones
necesarias
acciones
evaluados
necesarias
adoptadas
apropiadas.
Analizar
Tendencias
1,6,7 Acciones necesarias
tendencias
adoptadas
cumplimiento
1,6,8 Tendencias
y Fin
y Cumplimiento analizado
y Analizar
las Analista
tendencias en el seguridad y funcionamiento
validado
y cumplimiento.
…
Fin de proceso
Gerente
Cumplimiento analizado
de
alumno
y
validado B.5
Acciones
de Asegurar
remediación para
el
la Implementación Actividades
implantación de de no medidas
cumplimiento
correctivas.
medidas internas
correctivas
Gerente del alumno
proceso
alineadas a las Asegurar
la
políticas de la implantación de empresa.
medidas correctivas.
223
DIAGRAMA DEL PROCESO
Ilustración 28: Proceso Mantener el Cumplimiento con las Políticas y Procedimientos
224
POLÍTICAS Las políticas establecidas por el proyecto IMGETI para la sección de Políticas de TI son: Es responsabilidad del asistente de gerencia: A. Revisar el ROF, MOF, Políticas, modelo de procesos, y la memoria de la empresa al menos una vez por ciclo. B. Actualizar el ROF, MOF y la memoria de la empresa. C. Retirar los procesos desactualizados del modelo de procesos. D. Agregar los nuevos procesos al modelo del modelo de procesos. E. Notificar al personal de la empresa las políticas de misma al inicio de cada ciclo y cada vez que se realiza algún cambio. F. Realizar el seguimiento del cumplimiento de las políticas. G. Crear cuentas de correo electrónico en el servicio Gmail para cada nuevo proyecto al inicio de ciclo con el formato “CodigoProyecto_Añ
[email protected]”. Por ejemplo: “
[email protected]”. H. Notificar el correo creado y su contraseña. Además, del acceso a las carpetas compartidas de IT-Expert y los Formularios para el registro de actividades y reuniones mediante un mensaje a su correo universitario. I. Es responsabilidad del Gerente general de la empresa IT-Expert. J. Autorizar los cambios del ROF, MOF, Modelo de procesos, políticas y memoria de la empresa. K. Es responsabilidad del Jefe de proyecto: L. Cambiar la contraseña del correo asignado a su proyecto. M. Registrar semanalmente las actividades realizadas durante la semana en el formulario de avance del proyecto.
225
N. Registrar semanalmente las reuniones celebradas durante la semana en el formulario de reuniones.
226
ESTRUCTURA ORGANIZATIVA La estructura organizacional implementada por el proyecto IMGETI es el siguiente: Ilustración 29: Organigrama de IT-Expert 2014 Implementado
Fuente: Elaboración propia
ARQUITECTO DE TI Descripción Encargado de administrar la arquitectura empresarial para proponer soluciones conciliadoras a las necesidades de los interesados. Perfil Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías EUP, TOGAF. Funciones Recolectar y comprender los requisitos Proponer modelos que respondan a los requisitos. Validar y refinar el modelo propuesto. Realizar mantenimiento de los modelos. Persona Asignada 227
Alumno de Taller de Desempeño Profesional II
GESTOR DE RIESGOS Descripción Encargado de realizar las evoluciones de riegos de TI, así como proponer los cambios necearías para mitigar los riesgos identificados. Perfil Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías PMBOK, ITIL, COBIT. Funciones Identificar, cuantificar y priorizar los riesgos de TI Realizar evoluciones de riesgos regularmente. Proponer cambios para minimizar los riesgos. Sigue una metodología para las evaluaci8mes con el fin de que estas sean objetivas y repetibles. Persona Asignada Alumno de Taller de Desempeño Profesional II
GESTOR DE LA SEGURIDAD Descripción Tiene como misión planificar, coordinar y mantener la seguridad de la información de la empresa. Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías COBIT, ISO 27001. Funciones
228
Planificar, coordinar y mantener la seguridad de la información en IT-Expert Educar a los usuarios sobre seguridad de la información. Realizar análisis de vulnerabilidades en los dispositivos de red de la empresa. Reunir evidencias para la investigación de incidentes de seguridad. Persona Asignada Alumno de Taller de Desempeño Profesional II
ROLES ARQUITECTO DE TI Tiene la misión de asegurar la integridad de la arquitectura, en términos de abordar adecuadamente todas las preocupaciones pertinentes de sus grupos de interés, relacionando de todos los diferentes puntos de vista entre ellos. Lo que busca es la conciliación de manera satisfactoria las preocupaciones conflictivas de diferentes grupos de interés, mostrando las compensaciones y consideraciones tomadas. GESTOR DE RIESGOS Se encarga del proceso de identificación, cuantificación y priorización de los riesgos comparándolos con el criterio para su aceptación dentro del marco de los objetivos relevantes para la empresa. Realiza evaluaciones del riesgo periódicamente y siguiendo una metodología para realizar los cambios en los requerimientos del sistema y en la situación de los riesgos; por ejemplo: activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuantos cambios significativos ocurran. GESTOR DE LA SEGURIDAD Tiene como misión planificar, coordinar y mantener la seguridad de la información de la empresa. Deben educar a los usuarios sobre la seguridad de la información, instalar software de seguridad, supervisar las redes para detectar los puntos vulnerables de seguridad, responder a los ataques cibernéticos, y en algunos casos, reunir datos y pruebas que se utilizarán en la persecución de la delincuencia cibernética.
229
MÉTRICAS Se establecen métricas que ayuden a la gerencia de la empresa IT-Expert a un control adecuado de los procesos, en este caso al proceso implementado. INDICADORES Se establecieron los siguientes indicadores: Reuniones realizadas con las autoridades Nivel de avance del proyecto Nivel de actividades realizadas en el proyecto NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES Definición: Mide el porcentaje de reuniones realizadas con las autoridades de la empresa IT-Expert y con el Cliente del proyecto. Expresión matemática:
Objetivos: Se debe alcanzar un 80% de reuniones con las autoridades de IT-Expert sobre el número de semanas para lograr un alineamiento correcto a los requerimientos del cliente y a las políticas de la empresa. Consideraciones de gestión: Verde
Amarillo
Rojo
X>=80%
60%