tesis_uladech_sedapar
Short Description
Download tesis_uladech_sedapar...
Description
Facultad de Ingeniería Escuela de Ingeniería de Sistemas Departamento de Metodología de la Investigación
Informe de tesis para optar el título de Ingeniero de Sistemas
"PERFIL DE LA ADQUISICIÓN E IMPLEMENTACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES (TIC) EN LA EMPRESA PRESTADORA DE SERVICIOS E.P.S. SEDAPAR S.A. DE LA CIUDAD DE AREQUIPA EN EL AÑO 2011" Presentado por:
Bach. César Andre Ccarcasi Esquivias
Asesor:
Mg. Ing. José Plasencia Latour AREQUIPA - P E R U
DEDICATORIA
A ti DIOS
TODO PODEROSO por no abandonarme
y darme la
oportunidad de vivir y de regalarme una familia tan maravillosa.
Gracias por ayudarme a levantarme en mis fracasos, por aprender de ellos y principalmente por permitirme cumplir con este gran objetivo.
César Andre
ii
AGRADECIMIENTOS
Con mucho cariño a mis padres, abuelos y hermano quienes han estado conmigo en todo momento. Gracias por todo, por creer en mí, aunque hemos pasado momentos difíciles siempre han estado apoyándome y brindándome todo su amor, por todo esto les agradezco de todo corazón el que estén conmigo y siempre a mi lado. Al Mg. Ing. José Plasencia Latour, por haber tenido la paciencia al guiarme y orientarme durante el desarrollo y culminación del presente trabajo, demostrando en todo momento su calidad humana y entrega como docente. A la Universidad Católica Los Ángeles de Chimbote – ULADECH, donde terminé de formarme profesionalmente y me apoyó a cumplir con este gran objetivo. A la empresa E.P.S. SEDAPAR S.A. por proporcionarme la información necesaria para esta investigación.
César Andre
iii
RESUMEN
El presente informe de tesis de investigación se deriva de la línea de investigación en tecnologías de la información y comunicaciones, en adelante (TIC), de la Escuela Profesional de Ingeniería de Sistemas de la Universidad Católica los Ángeles de Chimbote (ULADECH), se realizó con la finalidad de medir el perfil de la adquisición e implementación de las tecnologías de información y comunicaciones (TIC) en la Empresa Prestadora de Servicios en adelante (E.P.S.) Sedapar S.A. de la ciudad de Arequipa en el año 2011 en donde se midió el nivel en que se encontraba la gestión de los procesos de: Identificar soluciones automatizadas, adquirir y mantener el software aplicativo, adquirir y mantener infraestructura tecnológica, facilitar la operación y el uso, adquirir recursos de TI, administrar cambios, instalar y acreditar soluciones y cambios; el cual partió como propuesta de investigación para describir la realidad en que se encuentra dicha empresa referente a este dominio. El estudio fue de tipo descriptivo no experimental y de corte transversal para responder a la hipótesis planteada y cumplir con los objetivos del estudio. La población estuvo constituida por 655 trabajadores, de los cuales se seleccionó aleatoriamente una muestra constituida por un total de 155 trabajadores que laboran en las diferentes áreas de la E.P.S. Sedapar S.A. de la ciudad de Arequipa. Se eligió la encuesta como técnica y como instrumentos la entrevista y cuestionario semiestructurado de acuerdo al modelo Cobit para cada uno de los procesos del estudio. Los resultados reportan que para el proceso de identificar soluciones automatizadas el 46.19% de los trabajadores encuestados considera que
iv
se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit; en el proceso adquirir y mantener el software aplicativo el 49.35% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit; en el proceso adquirir y mantener infraestructura tecnológica el 37.85% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 1: Inicial , según los estándares del Cobit; en el proceso facilitar la operación y el uso el 40.13% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit; en el proceso adquirir recursos de TI el 31.35% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 2: Repetible, según los estándares del Cobit; en el proceso administrar cambios el 50.65% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit y en el proceso instalar y acreditar soluciones y cambios el 47.04% de los trabajadores encuestados considera que el proceso se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit.
Palabras
clave:
Gestión
de
TIC,
Cobit,
identificar
soluciones
automatizadas, adquirir y mantener el software aplicativo, adquirir y mantener infraestructura tecnológica, facilitar la operación y el uso, adquirir recursos de TI, administrar cambios, instalar y acreditar soluciones y cambios.
v
ABSTRACT The present report of research thesis in information technologies and communications in the future (TIC), in the Professional School of Systems Engineering from the Catholic University of Los Ángeles in Chimbote (ULADECH), it was conducted with the object of measuring the profile of the acquisition and implementation of information technologies and communications (TIC) in the Service Provider Company, hereinafter (E.P.S.) Sedapar S.A. in the city from Arequipa in 2011, where it measured the level at which was the management of the processes of: Identify automated solutions, acquire and maintain the application software, acquire and maintain technological infrastructure, facilitate the operation and use, acquire TI resources, manage changes, install and accredit solutions and changes; which it departed as research proposal to describe the reality in which is the company concerning this domain. The study was descriptive non-experimental and cross-sectional, to respond the hypothesis and comply with the objectives of the study. The population was composed of 655 workers, of whom was randomly selected a sample for a total of 155 workers working in different areas of the E.P.S. Sedapar S.A. from Arequipa city. We chose the survey as technical
and
as
instruments
the
interview
and
semistructured
questionnaire, according to the Cobit model for each of the processes of the study. The results reported that for the process of identifying automated solutions the 46,19 % of the workers surveyed believes that it is in a maturity level 1: Initial, according to the standards of the Cobit; in the process acquire and maintain the application software the 49.35 % of the workers surveyed considered that the process is currently at a level of maturity 1: Initial, according to the standards of the Cobit; in the process acquire and
vi
maintain technological infrastructure the 37.85 % of the workers surveyed believes that the process is located in a level of maturity 1: Initial, according to the standards of the Cobit; in the process facilitate the operation and use the 40.13 % of the workers surveyed considered that the process is currently at a level of maturity 1: Initial, according to the standards of the Cobit; in the process acquire TI resources the 31.35 % of the workers surveyed considered that the process is currently at a level of maturity 2: repeatable, according to the standards of the Cobit; in the process manage changes the 50.65 % of the workers surveyed considered that the process is currently at a level of maturity level 1: Initial, according to the standards of the Cobit and in the process install and accredit solutions and changes the 47,04% of the workers surveyed considered that the process is currently at a level of maturity level 1: Initial, according to the standards of the Cobit.
Key Words: Management of TIC, Cobit, identify automated solutions, acquire and maintain the application software, acquire and maintain technological infrastructure, facilitate the operation and use, acquire TI resources, manage changes, install and accredit solutions and changes.
vii
ÍNDICE
DEDICATORIA ......................................................................................... ii AGRADECIMIENTOS .............................................................................. iii RESUMEN ............................................................................................... iv ABSTRACT .............................................................................................. vi ÍNDICE ................................................................................................ viii ÍNDICE DE TABLAS .................................................................................x INDICE DE GRAFICOS ........................................................................... xi INDICE DE ANEXOS .............................................................................. xii INTRODUCCIÓN ..................................................................................... 1 1.- MARCO REFERENCIAL .................................................................... 4 1.1.-Planteamiento del problema .......................................................... 4 1.2.- Antecedentes ............................................................................... 7 1.2.1. Antecedentes a nivel internacional ............................................ 7 1.2.2 Antecedentes a nivel nacional ................................................ 10 1.3.- Bases teóricas ............................................................................ 14 1.3.1.- La E.P.S. Sedapar S.A. ........................................................ 14 1.3.1.1.- Definición ....................................................................... 14 1.3.1.2.- Orígenes y expansión de la E.P.S. Sedapar S.A. .......... 15 1.3.1.3.- Áreas de actividad de la E.P.S. Sedapar S.A ................ 16 1.3.1.4.- Características de la E.P.S. Sedapar S.A. ..................... 16 1.3.2.- Las tecnologías de información y comunicaciones (TIC) ..... 17 1.3.2.1.- Áreas de aplicación de las TIC ...................................... 17 1.3.2.2.- Beneficios que aportan las TIC ...................................... 18 1.3.2.3.- Principales TIC utilizadas en las empresas.................... 20
viii
1.3.3. Las TIC en la E.P.S. Sedapar S.A. ........................................ 21 1.3.3.1.- Perfil de uso de las TIC en la E.P.S. Sedapar S.A.......... 22 1.3.3.2.- Utilidad de las TIC en la E.P.S. Sedapar S.A. ................ 24 1.3.3.3.- Criterios para incorporar las TIC en la gestión de la E.P.S. Sedapar S.A. ....................................................... 25 1.3.3.4.- Las TIC y su importancia estratégica para la E.P.S. Sedapar S.A. en la globalización .................................... 26 1.3.4.- El gobierno de las TIC – COBIT ........................................... 28 1.3.4.1.- Cobit (Los objetivos de control para la información y la tecnología relacionada) ................................................... 28 1.3.4.2.- Dominio y procesos ....................................................... 30 1.3.5.- Modelo de madurez de Cobit ............................................... 52 1.4.- Justificación de la investigación.................................................. 54 1.5.- Formulación de objetivos ............................................................ 55 1.6.- Sistema de hipótesis .................................................................. 56 1.6.1.- Hipótesis general ..................................................................... 56 1.6.2.- Hipótesis específicas ............................................................... 57 2.- METODOLOGÍA ............................................................................... 59 2.1.- Tipo y nivel de investigación ....................................................... 59 2.1.-Diseño de la investigación ........................................................... 60 2.2.- Población y muestra ................................................................... 60 2.3.- Definición y operacionalización de las variables ........................ 62 2.4.- Técnicas e instrumentos ............................................................. 63 2.5.- Procedimientos de recolección de datos .................................... 63 2.7.- Plan de análisis de los datos ...................................................... 63 3. RESULTADOS .................................................................................. 64 4. DISCUSIÓN ....................................................................................... 79 CONCLUSIONES .................................................................................. 82 RECOMENDACIONES .......................................................................... 85
ix
ÍNDICE DE TABLAS
Tabla Nº1. Distribución del proceso de madurez de Identificar Soluciones Automatizadas en la E.P.S. Sedapar S.A., durante el año 2011………………………..........
64
Tabla Nº2. Distribución del proceso de Adquirir y Mantener Software Aplicativo en la E.P.S. Sedapar S.A., durante el año 2011……………………………………
66
Tabla Nº3. Distribución del proceso de Adquirir y Mantener Infraestructura tecnológica en la E.P.S. Sedapar S.A.,
durante
el
año
2011……….…….……….………………………………
68
Tabla Nº4. Distribución del proceso de Facilitar la Operación y uso en la E.P.S. Sedapar S.A., durante el año 2011………………………………...............................
70
Tabla Nº5. Distribución del proceso de Adquirir Recursos de TI en la E.P.S. Sedapar S.A., durante el año 2011……………….....................................................
72
Tabla Nº6. Distribución del proceso de Administrar Cambios en la E.P.S. Sedapar S.A., durante el año 2011………………………………………..…………..
74
Tabla Nº7. Distribución del proceso de Instalar y acreditar soluciones y cambios en la E.P.S. Sedapar S.A., durante el año 2011.…………………………..............
76
Tabla Nº8. Distribución del nivel de madurez de los procesos de Identificar Soluciones automatizadas, Adquirir y Mantener Software Aplicativo, Adquirir y Mantener Infraestructura tecnológica, Facilitar la Operación y Uso, Adquirir Recursos de TI, Administrar Cambios e Instalar y acreditar soluciones y cambios. ……….……………………………………………..…….
78
x
INDICE DE GRAFICOS
Gráfico Nº1. Porcentaje del nivel de madurez del proceso de Identificar Soluciones automatizadas en la E.P.S. Sedapar S.A., durante el año 2011…………………
65
Gráfico Nº2. Porcentaje del nivel de madurez del proceso de Adquirir y mantener Software aplicativo en la E.P.S. Sedapar S.A., durante el año 2011…………………
67
Gráfico Nº3. Porcentaje del nivel de madurez del proceso de Adquirir y mantener Infraestructura tecnológica en la E.P.S. Sedapar S.A., durante el año 2011……….. 69 Gráfico Nº4. Porcentaje del nivel de madurez del proceso de Facilitar la Operación y uso en la E.P.S. Sedapar S.A., durante el año 2011…………...……...…………
71
Gráfico Nº5. Porcentaje del nivel de madurez del proceso de Adquirir Recursos de TI en la E.P.S. Sedapar S.A., durante el año 2011……………………………………. 73 Gráfico Nº6. Porcentaje del nivel de madurez del proceso de Administrar Cambios en la E.P.S. Sedapar S.A., durante el año 2011……………………………………. 75 Gráfico Nº7. Porcentaje del nivel de madurez del proceso de Instalar y acreditar soluciones y cambios en la E.P.S. Sedapar S.A., durante el año 2011…………
77
xi
INDICE DE ANEXOS ANEXO A. CRONOGRAMA DE ACTIVIDADES………………...
96
ANEXO B. PRESUPUESTO…………………………………...…..
97
ANEXO C. FINANCIAMIENTO……………………………………
97
ANEXO D. CUESTIONARIOS……………………………………..
98
xii
INTRODUCCIÓN En la actualidad, las organizaciones exitosas entienden los beneficios de las tecnologías de información TI y usan este conocimiento para conducir el valor de sus beneficiarios. El presente trabajo de tesis denominado: ―Perfil de la adquisición e implementación de las tecnologías de información y comunicaciones (TIC) en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011‖, cobró importancia porque logró identificar y describir factores que afectan los procesos de la adquisición e implementación de TIC, con el objetivo de determinar el perfil de este dominio en la E.P.S. Sedapar S.A. y contribuir al direccionamiento del uso de las TIC y de buenas prácticas, por otro lado permitió conocer las TIC a un nivel aceptable por parte de la empresa. Para la realización de esta investigación en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011, se tomó como marco de referencia la deficiencia existente en la adquisición e implementación de TI en esta institución. En base a esta problemática se planteó la siguiente pregunta de investigación: ¿Cuál es el perfil de la adquisición e implementación de las TIC en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011? Asimismo se menciona las investigaciones previas que se han realizado sobre el tema, además se describe las bases teóricas que sustentan el estudio de la investigación. Se basó entre otros en el proyecto ―Auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, utilizando como modelo de referencia Cobit 4.0―, en el cual concluyó que para el proceso de identificar soluciones automatizadas
1
considera que se encuentra en un nivel de madurez 1: Inicial, en el proceso adquirir y mantener el software aplicativo considera que el proceso se encuentra en un nivel de madurez 2: Repetible, en el proceso adquirir y mantener infraestructura tecnológica considera que el proceso se encuentra en un nivel de madurez 1: Inicial, en el proceso facilitar la operación y el uso considera que el proceso se encuentra en un nivel de madurez 1: Inicial, en el proceso adquirir recursos de TI considera que el proceso se encuentra en un nivel de madurez 4: Administrado, en el proceso administrar cambios considera que se encuentra en un nivel de madurez 1: Inicial y en el proceso instalar y acreditar soluciones y cambios considera que se encuentra en un nivel de madurez 1: Inicial, según los estándares del Cobit. Este estudio se justifica y es de interés para la E.P.S. Sedapar S.A., al proporcionar información lograda de los cuestionarios aplicados sobre el estado y evaluación del dominio adquirir e implementar, siguiendo un marco de referencia reconocido y aceptado internacionalmente como es el modelo Cobit, porque su misión es precisamente investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado y aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento y saber su capacidad para gobernar efectivamente las TI, posibilitando la planeación de acciones para lograr los valores de madurez que habilitan una verdadera gobernabilidad sobre la tecnología de información. La hipótesis de la investigación consideró que el perfil de la adquisición e implementación de las TIC en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es Inicial, según los niveles de madurez del Cobit. Los procesos identificar soluciones automatizadas, adquirir y mantener el software aplicativo, adquirir y mantener infraestructura tecnológica, facilitar la operación y el uso, administrar cambios, instalar y acreditar
2
soluciones y cambios coinciden con la hipótesis de investigación inicial de acuerdo al modelo Cobit. Y el proceso adquirir recursos de TI no coincide con la hipótesis de investigación en un nivel inicial de acuerdo al modelo Cobit. En la primera parte del trabajo se caracteriza la situación problemática y se plantea la pregunta de investigación. Asimismo se menciona las investigaciones previas que se han realizado sobre el tema y se describe las bases teóricas que sustentan el estudio. Posteriormente se justifica la investigación, formulando los objetivos generales y específicos de la misma y definiendo la hipótesis de investigación. En la segunda parte se explica la metodología utilizada, describiendo el tipo nivel y diseño utilizado. Se define la población y muestra, realizando la operacionalización de las variables y definiendo las técnicas e instrumentos de recolección de datos, para finalmente describir el procedimiento de recolección y análisis de datos utilizado. En la tercera parte, se presentan detalladamente cada uno de los resultados de la investigación, estructurados en tablas y gráficos. En la cuarta parte, se realiza la discusión de los resultados obtenidos en la etapa anterior comparándolo con los antecedentes y las bases teóricas de la investigación. Finalmente,
se
presentan
las
conclusiones
y
se
enuncian
las
recomendaciones generadas como resultado de la investigación para que puedan ser tomadas en cuenta por la E.P.S. Sedapar S.A., se cita las referencias
bibliográficas
siguiendo
las
normas
de
Vancouver,
concluyendo el informe con los anexos que le sirven de complemento.
3
1.- MARCO REFERENCIAL 1.1.-Planteamiento del problema Las tecnologías de la información le posibilitan a las personas que forman parte de determinado sistema a tener un acceso mucho más rápido a los datos y a la información, para poder convertirlos en conocimiento útil, permitiéndole de esta forma al sistema potenciar
sus
recursos
estratégicos
rendimiento en sus procesos
y
obtener
un
mayor
(1)
.
Toda implementación de nuevas tecnologías se basa en procesos que normalmente impacta la forma de trabajar de las personas, lo cual genera cambio y a su vez produce temor. La implementación de proyectos requiere apoyo adicional, comunicación entre departamentos y tiempo para poder adaptarse (2). La globalización de la economía, el conocimiento y uso intensivo de las TIC, tanto en lo social, educativo, político y empresarial, son rasgos esenciales de esta nueva era económica caracterizada porque sus fuentes principales de riqueza son el conocimiento y la comunicación. Actualmente, las nuevas tecnologías ofrecen efectos positivos que benefician a diferentes sectores productivos y de servicios, y por ende a la sociedad entera
(3)
.
La gestión de las tecnologías ha tomado diversos matices en función
de
la disponibilidad de las mismas, actualmente el
quehacer empresarial se soporta en ellas y se requiere por lo tanto modelos adecuados para gestionar la información con criterios de eficiencia, eficacia, confidencialidad, integridad, disponibilidad y fiabilidad cumpliendo la normativa tanto interna como externa a la empresa (4). La E.P.S. Sedapar S.A. se ha posicionado como una empresa pública consolidada, que cada vez más la alta dirección se está
4
dando cuenta del impacto que la información tiene en el éxito de una empresa. Sin embargo, es necesario que los directivos de la empresa comprendan y cuenten con un conocimiento básico de los riesgos que introduce la incorporación y utilización de la tecnología informática, para así proveer una dirección eficaz y poner en práctica todos los mecanismos necesarios para la puesta en marcha de los controles adecuados. Las empresas públicas no son ajenas a las oportunidades y retos que las TIC generan; no solo es importante implementar las TIC en las empresas estatales sino evaluar el nivel en el que se encuentran implantados los procesos de tecnologías de la información, utilizando para tal efecto los objetivos de control de tecnologías de información y comunicaciones relacionadas (Cobit) ya que es un estándar reconocido y aceptado internacionalmente, para las buenas prácticas de gobernabilidad de tecnología de información sin embargo, cada empresa, en función de su tamaño y actividad, deberá adoptar soluciones diferentes en este campo. En la actividad de adquirir e implementar de las TIC en las empresas estatales quedan aún muchas insuficiencias, sobre todo existe carencia de conocimiento explícito para la determinación del nivel en el que se encuentran implantados los diferentes procesos de tecnologías de la información. Esta problemática no es ajena a la E.P.S. Sedapar S.A., por lo que existe la necesidad de conocer en qué nivel de gestión se encuentran
los procesos de TIC
que tienen
implantados,
prioritariamente los inconvenientes referentes al dominio adquirir e implementar cuyos procesos de estudio son: Identificar soluciones automatizadas, adquirir y mantener software aplicativo, adquirir y mantener infraestructura tecnológica, facilitar la operación y el uso, adquirir recursos de TI, administrar cambios, instalar y acreditar soluciones y cambios.
5
Existen problemas generados por falta de métricas y metodología que pueda medir el impacto evaluativo de las adquisiciones antes y después de una compra, es decir no existe manera de saber que tanto ha mejorado la empresa con estas adquisiciones ni identificar la variación de la producción, o que mejoras y errores de adquisición e implementación existen para los procesos de la empresa, así como saber el ciclo de vida del producto adquirido al no haber una planificación adecuada ya que esto tiene que estar proyectado. Ante la falta de esta información debidamente documentada, es necesario
generarla
retroalimentación
para
que
sirva
como
mecanismo
de
para el sistema organizacional, con esta
información se puede hacer modificaciones al sistema y se puede mejorar la toma de decisiones en lo que respecta la adquisición e implementación dentro de la infraestructura en las TIC. Entre los diferentes responsables en la gestión de TI en la organización existe consenso en que la gobernanza en TI es clave y estratégica dentro de la empresa. Por lo expuesto anteriormente, la presente tesis se centra en resolver el problema de no contar con datos correspondientes a la evaluación de los procesos mencionados. De lo mencionado anteriormente se planteó el siguiente problema de investigación: ¿Cuál es el perfil de la adquisición e implementación de las tecnologías de información y comunicaciones (TIC) en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011?
6
1.2.- Antecedentes 1.2.1. Antecedentes a nivel internacional En el año 2010, Llumihuasi en su proyecto denominado ―Auditoría de la gestión de las tecnologías de la información en el gobierno municipal de san Miguel de Urcuquí, en adelante (GMU) utilizando como modelo de referencia Cobit 4.0―, este trabajo apuntó a auditar el estado de la gestión de TI utilizando los cuatro dominios existentes en Cobit. Los resultados indicaron que el proceso identificar soluciones automatizadas se encuentra en un nivel de madurez 1: Inicial; para el proceso adquirir y mantener software aplicativo se encuentra en un nivel de madurez 2: Repetible; para
el
proceso
adquirir
y
mantener
infraestructura
tecnológica se encuentra en un nivel de madurez 1: Inicial; para el proceso facilitar la operación y el uso se encuentra en un nivel de madurez 1 Inicial; para el proceso adquirir recursos de TI se encuentra en un nivel de madurez 4: Administrado; para el proceso administración de cambios se encuentra en un nivel de madurez 1: Inicial; mientras que para el proceso instalar y acreditar soluciones y cambios se encuentra en un nivel de madurez 1: Inicial. Los resultados de este estudio respecto al dominio adquirir e implementar han sido evaluados con gran rigor, de tal forma que nos servirá para la comparación con los resultados que obtendremos (5). En el 2008, Corrales en su estudio ―Evaluación del nivel de madurez de la gestión de las TIC en la empresa Astap‖, concluyeron que la herramienta Cobit permitió definir el nivel de madurez de los procesos de gestión de TI. Al evaluar el nivel de madurez actual y el nivel de madurez recomendado. Los
resultados
indicaron
que
el
proceso
identificar
7
soluciones automatizadas se encuentra en un nivel de madurez 0: No existente; para el proceso adquirir y mantener software aplicativo se encuentra en un nivel de madurez 0: No existente; para el proceso adquirir y mantener infraestructura tecnológica se encuentra en un nivel de madurez 0: No existente; para el proceso facilitar la operación y el uso se encuentra en un nivel de madurez 1 Inicial; para el proceso adquirir recursos de TI se encuentra en un nivel de madurez 0: No existente; para el proceso administración de cambios se encuentra en un nivel de madurez 0: No existente; mientras que para el proceso instalar y acreditar soluciones y cambios se encuentra en un nivel de madurez 0: No existente (6). COBIT/IT Governance en el caso de estudio: El honorable tribunal de cuentas de la provincia de Mendoza - Argentina, después de llevar a cabo un proceso de evaluación, determinó que necesitaba mejorar la gobernabilidad sobre la tecnología de información, para asegurarle a los residentes de Mendoza, que la administración de los fondos públicos estaba bien monitoreada y segura, para ello expertos en sistemas de información, dentro del honorable tribunal recomendaron el uso de los objetivos de control de tecnología de información y tecnologías relacionadas a Cobit, ya que es un estándar reconocido y aceptado internacionalmente, para buenas prácticas de gobernabilidad de tecnología de información (7). En el año 2009 el banco Supervielle - Argentina lanzó un proyecto denominado ―Gobierno de TI‖, como primera tarea, se realizó una medición de nivel de madurez de los procesos actuales basados en Cobit, mejores prácticas (ITIL, ISO, IRAM, etc.) y normativas locales, se identificaron los niveles
8
de madurez actuales. Para dicho trabajo se utilizaron formularios y se plasmaron en un resultado resumen para un mejor entendimiento (8). En el año 2006 en el informe ―Hacia la sociedad de la información y el conocimiento en Costa Rica‖ indica que es importante recordar que las TIC son un medio para la promoción del buen gobierno y no un objetivo en sí mismas, por lo que su uso inteligente requiere en primer lugar, que las autoridades políticas y administrativas definan objetivos claros en relación con su utilización y que orienten en este sentido los esfuerzos de los distintos actores dentro del gobierno; en segundo lugar, que se promueva a nivel de las autoridades políticas, funcionarios públicos y ciudadanía en general la percepción de que las TIC pueden constituir excelentes aliadas para profundizar la democracia, al facilitar la conexión entre ciudadanos y gobierno. Finalmente, es fundamental
el
desarrollo
del
liderazgo
político
y
administrativo para la motivación y articulación de las iniciativas que se desarrollen en materia de gobierno electrónico (9). En el año 2010, Gallardo en su tema ―La implementación de TIC en las organizaciones públicas de turismo en Argentina‖ comenta que la planificación, implementación y transferencia tecnológica en muchos proyectos sólo es concebida y abordada desde el enfoque ortodoxo que versa únicamente sobre la razón instrumental del acto, sin partir de la premisa que el saber tecnológico está llamado a interactuar con otros saberes para re-significarse y lograr algún grado de resultado que realice un aporte al cambiante contexto por el que atraviesa hoy la Argentina (10). En el año 2003 Batista en su trabajo ―TIC y Buen Gobierno:
9
La contribución de las TIC al gobierno local en América Latina‖, es un estudio de las condiciones para el uso de TIC en cinco países de América Latina: Brasil, Uruguay, Perú, Ecuador y México (11). 1.2.2 Antecedentes a nivel nacional En el 2010, Velarde H. en su tesis para optar el título profesional de Ingeniero de Sistemas ―Evaluación de los procesos de tecnologías de la información definidos dentro de los dominios de planear y organizar y entregar y dar soporte del modelo genérico de madurez Cobit en la Municipalidad Distrital de Cerro Colorado durante el año 2010‖, el cual centra sus objetivos en medir en qué grado de la escala de madurez se encuentran implantados los procesos administrativos de tecnologías de la información. Se
adopto
el
diseño
de
investigación
descriptivo,
observacional y trasversal. Los resultados muestran los siguientes niveles: 1 Inicial / Ad Hoc para ―definir un plan estratégico de TI‖, 1 Inicial / Ad Hoc para ―definir la arquitectura de la información‖, 0 No Existe para ―determinar la dirección tecnológica‖, 1 Inicial / Ad Hoc para ―definir los procesos, organización y relaciones de TI‖, 1 Inicial / Ad Hoc para ―administrar la inversión en TI‖, 2 repetible pero intuitivo para ―definir y administrar niveles de servicio‖, 2 repetible pero intuitivo para ―administrar desempeño y capacidad‖, 2 repetible pero intuitivo para ―garantizar la continuidad del servicio‖, 1 inicial / Ad Hoc para ―garantizar la seguridad de los sistemas‖ y 2 repetible pero intuitivo para ―identificar y asignar costos‖ (12). En el 2010, Torres M. en su tesis titulada ―Perfil de gestión de las tecnologías de información y comunicaciones: Identificación de soluciones automatizadas, adquisición y
10
mantenimiento de software aplicativo, y de infraestructura tecnológica, facilitación de la operación y el uso en la empresa Green Awakening de la ciudad de Winter Park, Florida, Estados Unidos en el año 2010‖. Los resultados indicaron que el 100% del personal entrevistado considera que la variable ―Identificación de soluciones automatizadas‖ se encuentra en el nivel 1 (Inicial). El 100% del personal entrevistado considera que la variable ―Software aplicativo‖ se encuentra en el nivel 1 (Inicial). Asimismo, el 60% del personal entrevistado considera que la variable ―Adquisición y mantenimiento de infraestructura tecnológica‖ se encuentra en el nivel 1 (Inicial). Y el 80% del personal entrevistado considera que la variable ―Facilitación de operación y uso‖ se encuentra en el nivel 2 (Intuitivo) (13). En el año 2010, Sillipú C. en su informe de tesis titulado ―Nivel
de
madurez
automatizadas,
de
mantenimiento
mantenimiento
de
de
soluciones
software
aplicativo,
infraestructura de TI, operación y uso de TI y administración de cambios de TI en la Municipalidad Distrital de Suyo, provincia Ayabaca, departamento Piura durante el año 2010‖, busco describir la realidad en que se encuentra tal municipalidad, el estudio fue de tipo no experimental, descriptivo y de corte transversal. Donde los resultados del estudio arrojan que los empleados involucrados con la variable de mantenimiento de soluciones automatizadas es de 50% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit, en la variable de operación y uso de TI tiene un 70% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit, en la variable de infraestructura de TI tiene un 70% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de
11
madurez de Cobit, en la variable de mantenimiento de software aplicativo tiene un 60% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit, y en la variable de administración de cambios de TI tiene un 40% ubicándola en un proceso Inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit (14). En el año 2010, Machuca J. en su tesis titulada ―Nivel de madurez de mantenimiento de soluciones automatizadas, mantenimiento de software aplicativo, infraestructura de TI, operación y uso de TI y administración de cambios de TI en la institución del gobierno regional de Piura durante el año 2010‖, surge a causa de haberse presentado inconvenientes con
los
procesos
mantenimiento
de
soluciones
automatizadas, como darle el mantenimiento de software aplicativo,
no
le
dan
la
debida
importancia
en
la
infraestructura en TIC, la operación y el debido uso que le daban
en
tecnologías
de
información
y
la
debida
administración de cambios de TI en la institución gobierno regional de Piura. Los resultados del estudio indicaron que los trabajadores involucrados con la variable mantenimiento de soluciones automatizadas es de 46.67% ubicándola en un proceso repetible (nivel de madurez: 2) con respecto a los niveles de madurez de Cobit, en la variable mantenimiento de software aplicativo tiene un 60.00% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit, en la variable Infraestructura de TI tiene un 60.00% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit, en la variable operación y uso de TI tiene un 40.00% ubicándola en un proceso repetible (nivel de madurez: 2) con respecto a los niveles de madurez de Cobit, en la variable
12
administración de cambios de TI tiene un 53.33% ubicándola en un proceso inicial (nivel de madurez: 1) con respecto a los niveles de madurez de Cobit (15). En el año 2009, la red americana de investigación e información y comunicación de México realizó un estudio denominado ―Estudio de uso y aplicaciones de las TIC de autoridades y funcionarios en dos municipios rurales del Perú‖. Las recomendaciones para la implementación de gobierno electrónico en municipios rurales, el cual determinó que el acceso a internet es menos del 40% de los municipios distritales cuentan con dicho servicio. Respecto al acceso a equipos de fax el porcentaje es inferior al 30% para el caso de los municipios distritales. Respecto al acceso a teléfono fijo, señala que el 45% de municipios distritales cuenta con ello, y el 100% de los municipios provinciales utiliza al teléfono fijo. Respecto al teléfono móvil señala que menos del 30% de los municipios distritales lo utiliza, mientras que los municipios provinciales lo utilizan más del 30%. Respecto a utilización de la computadora los municipios tanto distritales y provinciales el 100% utiliza computadoras. Además determinó el uso de las TIC para la gestión del gobierno municipal, el cual señaló que el 61.54% de los municipios usa el internet mientras que el 38.46% utiliza el internet 1 a 2 horas por semana. Asimismo entre sus conclusiones afirmó que en los municipios existe un nivel básico de conocimiento en el uso de TIC e internet y que se debe proponer los temas de capacitación para el uso de internet en las gestiones locales (16). En la publicación ―Desarrollo Rural y Tecnologías de Información y Comunicación‖ nos indica que si la inversión en tecnología e infraestructura no es acompañada con
13
capacitación,
generación
de
contenidos
adecuados,
participación de los beneficiarios y concertación con actores locales a fin de garantizar la apropiación de la tecnología y la sostenibilidad de los proyectos, entonces dicha inversión tendrá un impacto limitado en el desarrollo rural (17). El
crecimiento
infraestructuras
y en
desarrollo que
se
de
las
TIC
sustentan,
y ha
de
las
estado
acompañado, a su vez, por un aumento de sus aplicaciones y de la difusión de su uso en las economías desarrolladas y subdesarrolladas. La necesidad de disponer de información estadística sobre la sociedad de la información se ha incrementado notablemente en estos últimos años. Se trata de requerimientos de una información que es variada y variable a lo largo del tiempo (18). . 1.3.- Bases teóricas 1.3.1.- La E.P.S. Sedapar S.A. 1.3.1.1.- Definición Empresa estatal de derecho privado. Se encarga de la captación, almacenamiento y distribución de agua para uso doméstico, industrial y comercial, servicio de alcantarillado sanitario y pluvial, servicio de disposición sanitaria de excretas y acciones de protección del medio ambiente vinculada a los proyectos para el cumplimiento de su actividad principal. Las acciones que realiza están declaradas como de utilidad y necesidad pública y de preferente interés nacional cuya finalidad es proteger la salud de la
14
población y del ambiente. La jurisdicción de sus operaciones abarca a la provincia de Arequipa. 1.3.1.2.- Orígenes y expansión de la E.P.S. Sedapar S.A. La E.P.S. Sedapar S.A. es una empresa de servicios de agua potable y alcantarillado de Arequipa, cuya misión es suministrar servicios de agua potable y alcantarillado de
calidad,
preservando
el
medio
ambiente,
contribuyendo a mejorar el nivel de vida de toda la población dentro del ámbito de SEDAPAR. La E.P.S. Sedapar S.A. inició sus operaciones el 1 de octubre
de
1961,
habiendo
pasado
por
varias
administraciones durante sus 50 años. Con la resolución 025-95-PRES/VMI/SSS (02/03/95), Sedapar
S.A.
fue
reconocida
como
E.P.S.
de
saneamiento el 28 de Febrero de 1995. Es propiedad de las municipalidades donde tiene competencia la región Arequipa y está sujeta a la ley general de servicios de saneamiento y su reglamento así como a la ley general de sociedades. Se ciñe, en lo sectorial a las políticas emanadas del ministerio de vivienda, construcción y saneamiento, como ente rector, asimismo, se sujeta al control de calidad de servicios y de regulación de precios dispuestos por la superintendencia nacional de servicios de saneamiento (SUNASS), como ente regulador. En el aspecto de gestión empresarial y de presupuesto se sujeta a las disposiciones de la dirección general de presupuesto público, lo que respecta al control de legalidad esto corresponde a la contraloría general de la
15
república (19).
1.3.1.3.- Áreas de actividad de la E.P.S. Sedapar S.A
El objeto de la E.P.S. Sedapar S.A., es la prestación de los servicios de saneamiento y alcantarillado, los cuales están constituidos por los siguientes servicios, sistemas y actividades:
a) Servicio de agua potable:
Sistema de producción que comprende: captación, tratamiento, almacenamiento y conducción de agua cruda; tratamiento y conducción de agua tratada.
Sistema
de
almacenamiento,
distribución redes
que de
comprende:
distribución
y
dispositivos de entrega al usuario; conexiones domiciliarias, medición, unidad sanitaria u otros. b) Servicio de alcantarillado sanitario:
Sistema conexiones
de
recolección
domiciliarias,
que
comprende:
sumideros,
redes
y
emisores.
Sistema de tratamiento y disposición de las aguas servidas.
1.3.1.4.- Características de la E.P.S. Sedapar S.A.
La organización de la E.P.S. Sedapar S.A. es una entidad integrada por dos o más individuos con el fin de alcanzar metas y objetivos empresariales y sociales
16
teniendo como soporte sus normas, procedimientos y métodos que las rige. Asimismo, cada componente que conforman los proyectos, equipos y gerencias, tiene características individuales que difieren de las grupales.
Sin embargo, la E.P.S. Sedapar S.A. por ser un organismo estatal, tiene una formación rígida bajo un esquema vertical de cargos y puestos que no permite una dinámica desde el trabajador hasta la gerencia, ni una adecuada interrelación entre los equipos de trabajo. 1.3.2.- Las tecnologías de información y comunicaciones (TIC) Las Tecnologías de la Información y la Comunicación, también conocidas como TIC, son el conjunto de tecnologías desarrolladas para gestionar información y enviarla de un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologías para almacenar información y recuperarla después, enviar y recibir información de un sitio a otro, o procesar información para poder calcular resultados y elaborar informes (20). Las TIC son un conjunto de servicios, redes, software, aparatos que tienen como fin el mejoramiento de la calidad de vida de las personas dentro de un entorno, y que se integran a un sistema de información interconectado y complementario. Esta innovación servirá para romper las barreras que existen entre cada uno de ellos (21). 1.3.2.1.- Áreas de aplicación de las TIC En la actualidad, las TIC son un factor determinante en
17
la productividad de las empresas, sea la empresa que sea y tenga el tamaño que tenga. Las TIC se aplican en las siguientes áreas de una empresa (22): a) Administrativa: Contable, financiera, procedimientos, ERP. b) Procesos productivos: CAD, CAM, entrega de productos. c) Relaciones externas: Mercadeo y CRM, proveedores y SChM, aliados, confidencialidad. d)
Control
y
evaluación
gerencial:
Sistemas
de
información y MIS, gestión de calidad, formación del equipo humano. 1.3.2.2.- Beneficios que aportan las TIC Las TIC han transformado nuestra manera de trabajar y gestionar recursos. Las TIC son un elemento clave para hacer
que
nuestro
trabajo
sea
más
productivo:
agilizando las comunicaciones, sustentando el trabajo en equipo, gestionando las existencias, realizando análisis financieros, y promocionando nuestros productos en el mercado. Bien utilizadas, las TIC permiten a las empresas producir más cantidad, más rápido, de mejor calidad, y en menos tiempo. Nos permiten ser competitivos en el mercado, y disponer de tiempo libre para nuestra familia (23). Otros beneficios:
18
Ayudan a implementar trámites en línea.
Impulsan la conexión, integración e interconexión de los sistemas de información de las entidades públicas, optimizando su comunicación para brindar información
de
calidad
y
accesibilidad
a
la
ciudadanía.
Masificar la aplicación de los servicios en línea, a la relación empresa ciudadano.
Optimizan el uso y estandarización de la información geo - referenciada producida por las entidades públicas.
Identificar, dentro de cada sector, pero también dentro de cada empresa, formas de usar las TIC que produzcan aumento de ingresos o reducción de costos; es decir, mejora de la competitividad.
Desarrollar una oferta de servicios y aplicaciones electrónicas.
Recordar que donde suelen estar más claros los beneficios de aplicación de las TIC es en los procesos internos de empresa. Hasta las empresas más tradicionales pueden conseguir mejoras de productividad por esta vía y seguramente se verán obligadas a hacerlo por sus competidores.
Convencer a las personas de que el uso de las nuevas tecnologías no sólo será inevitable, sino también beneficioso para ellos mismos y conseguir que todas ellas adquieran la formación mínima para usar las nuevas herramientas, optimizará su trabajo
19
y evitará tareas de poco valor añadido. 1.3.2.3.- Principales TIC utilizadas en las empresas Las principales TIC que utiliza una empresa son: Internet, comercio electrónico, telecomunicaciones básicas, aplicación de las TIC en la industria y, por último gestión de la innovación (21). a) ERP
herramientas
de
planeación,
los
ERP
(Enterprise Resource Planning), son sistemas de información gerenciales que integran y manejan muchos de
los negocios
asociados con
las
operaciones de producción y de los aspectos de distribución de una compañía en la producción de bienes o servicios (24). b) Internet ha supuesto una revolución sin precedentes en
el
mundo
de
la
informática
y
de
las
comunicaciones. Desde el punto de vista técnico, se puede definir internet como un inmenso conjunto de redes de ordenadores que se encuentran interconectadas entre sí, dando lugar a la mayor red de redes de ámbito mundial. c) El comercio electrónico incluye actividades muy diversas
como
el
intercambio
de bienes y
servicios, el suministro online de contenido digital, la transferencia electrónica de fondos, las compras públicas, los servicios postventa, actividades de promoción y publicidad de productos y servicios, campañas de
imagen de las organizaciones,
marketing en general, facilitación de los contactos
20
entre los agentes de comercio, seguimiento e investigación de mercados, concursos electrónicos y soporte para la compartición de negocios (25). 1.3.3. Las TIC en la E.P.S. Sedapar S.A. El impacto de las TIC es claramente visible en el mundo empresarial en la que la E.P.S. Sedapar S.A. no es ajena, donde internet y las demás TIC, con su capacidad prácticamente ilimitada de obtener, almacenar, procesar y compartir información, están configurando un nuevo entorno competitivo en el que:
Los tiempos de respuesta se acortan, lo que hace necesario contar con una mayor capacidad y velocidad en el procesamiento de la información y en la generación y compartición de conocimiento. Las barreras geográficas se difuminan, facilitando la comunicación empresarial y el acceso a un mercado más amplio pero favoreciendo también una mayor presión competitiva. Los clientes son cada vez más exigentes y esperan un servicio más rápido y personalizado. La posibilidad y necesidad de colaborar con otros agentes económicos se acrecienta. En este contexto, las TIC ofrecen grandes oportunidades para mejorar la eficiencia y diferenciación de las empresas, que éstas deben saber aprovechar (26). De este modo, las TIC ofrecen, entre otras, la posibilidad de:
21
Ampliar la base del negocio, en la medida que la información este más integrada. Reducir costes y tiempos, aprovechando la capacidad de las nuevas tecnologías de automatizar los procesos internos (almacén, gestión comercial, etc.). Mejorar la calidad del servicio ofrecido, a través de una mayor disponibilidad y velocidad del mismo. Agilizar la relación con las jefaturas, áreas respectivas, etc. Las empresas prestadoras de servicio no son ajenas a las oportunidades y retos que las TIC generan. Sin embargo, cada empresa, en función de su tamaño y actividad, deberá adoptar soluciones diferentes en este campo. 1.3.3.1.- Perfil de uso de las TIC en la E.P.S. Sedapar S.A. Se presentan los siguientes perfiles de uso de las TIC, cada uno con características precisas: a) Ofimática
Utilización de las TIC clásicas (teléfono y fax) en la comunicación con nuestros clientes, proveedores, la administración pública, etc.
El computador personal, con sus aplicaciones básicas (procesador de textos y hoja de cálculo) es la herramienta de trabajo para las tareas de administración.
Internet como canal para dar a conocer la
22
compañía y facilitar la obtención de información y el correo electrónico como un canal de relación o comunicación. b) Información
Los sistemas de información internos se desarrollan
en
las
áreas
comerciales,
contabilidad, logística y de gestión de personal a través del ERP
Para el trámite documentario se utiliza el workflow.
c) Interacción
Las TIC se utilizan para entablar un diálogo con todas las estaciones de la red.
Existe
por
lo
tanto
un
intercambio
de
información.
La
empresa
va
avanzando
en
su
automatización e integración, incorporando el sistema de gestión empresarial ERP.
Sin embargo no se miden el
impacto
logrado con estas adquisiciones . d) Transacción
La empresa avanza en la integración de sus sistemas de información internos.
Adicionalmente existe cierta integración entre los sistemas internos y externos, pese a que todavía persisten ―islas‖ de información.
23
e) Digitalización
Se puede hablar en esta fase de una organización en tiempo real, que es capaz de entender y anticiparse a las necesidades de sus clientes, personalizando sus servicios y entregándolos en el menor tiempo posible o en fechas programadas. En nuestro trabajo proponemos definir un perfil de la adquisición e implementación basado en el modelo Cobit que prioriza el enfoque de procesos y los criterios de madurez en el uso de las TIC.
1.3.3.2.- Utilidad de las TIC en la E.P.S. Sedapar S.A. Las TIC pueden mejorarse e incorporarlas al propio proceso productivo y servicio de la E.P.S. Sedapar S.A. haciendo de las TIC el centro mismo del servicio en la gestión de las empresas prestadoras de servicio permitiendo mejorar la eficiencia de la misma y además debe permitirle establecer una mejor y ágil relación con los usuarios y clientes. En la E.P.S. Sedapar S.A., las TIC pueden ser usadas para:
Trabajar bajo una metodología convenida para el control y medida del impacto antes y después de las adquisiciones de TIC que realiza.
Control de inventarios y mantenimientos.
Simplificar las o p e r a c i o n e s
de
pago .
Se
puede ingresar a las página s de los proveedores
24
y ordenar ciertos productos pagando a través del propio internet.
Mejorar el servicio: vía web, correo electrónico, tele marketing, etc.
Facturación, de manera que se tenga al día el flujo de ingresos y egresos.
Mejorar
y
establecer
nuevos
canales
de
comunicación con los u s u a r i o s clientes (fax, correo electrónico, teléfono).
Las aplicaciones están en aumento y pueden llegar a marearnos si no establecemos claramente algunos criterios para su incorporación en el negocio. En algunos casos la incorporación de las TIC
deberá
asistencia
contar con
técnica
de
la
intermediación
especialistas,
pero
o en
muchos casos son de directa y fácil aplicación. 1.3.3.3.- Criterios para incorporar las TIC en la gestión de la E.P.S. Sedapar S.A. Los criterios que se deben tomar en cuenta para incorporar las TIC en la gestión de la E.P.S. Sedapar S.A. son: Identificar una necesidad / problema. Hay que adoptar una solución sabiendo antes cual es la necesidad o problema que se quiere atender. Es muy caro adoptar tecnología por moda. Buscar la tecnología apropiada. No siempre lo más avanzado en tecnología responderá mejor a una
25
necesidad concreta. Hay que asesorarse respecto de cuál es la tecnología más adecuada para los fines perseguidos. Planificar su incorporación. Adoptar una solución tecnológica requiere de un proceso de adopción que debe ser planificado, de manera que no pierda su capacidad de operación y servicio. Hay que prever un periodo de entrenamiento en el uso, un periodo de aplicación de prueba y luego incorporarla definitivamente en la gestión. Evaluar y comparar los resultados. En cada etapa de la adopción hay que tener claridad respecto de que resultados se esperan alcanzar. De esa forma podremos evaluar cuan positiva ha sido la adopción y si se está resolviendo el problema o no. Es importante es esta etapa comparar los resultados obtenidos por otras empresas y aprender de ellas. Darle continuidad a la aplicación. Si se ha obtenido éxito o se está obteniendo, es muy importante mantener la aplicación de manera que se incorpore definitivamente en la práctica de gestión de la e m p r e s a . Si se ha establecido un nuevo canal de comunicación con los usuarios a través del correo electrónico, ese canal no se debe descuidar, pues a la primera falla se pondrá en riesgo todos los beneficios obtenidos (27). 1.3.3.4.- Las TIC y su importancia estratégica para la E.P.S. Sedapar S.A. en la globalización Actualmente es conocida la importancia que tienen las
26
TIC y el uso que se hace de ellas en todas las organizaciones, independientemente de que sean estas pequeñas, medianas o grandes empresas. La importancia trasciende en la medida en que las organizaciones, por su tamaño, giro y sector, son capaces de incorporar a su estrategia competitiva, TIC
como
ERP,
wordflow,
ecommerce
y
ebusiness. Las TIC representan un área de oportunidad para la E.P.S. Sedapar S.A. El desafío consiste en que necesariamente esta empresa tendrá que adoptar e incorporar de manera estratégica esta tecnología a su organización (28). Por lo que para tener éxito en el siglo XXI, la empresa tiene que aprovechar la tecnología de la información, especialmente la Internet. Con internet surge una herramienta para forjar una relación más cercana con el cliente y los procesos (29). Dentro de las ventajas específicas que s e g e n e r a n c o n las TIC, se mencionan los aumentos a la productividad
como
procesos,
creación
la
resultado
de
la
mejora
de
de valor para clientes y
empleados de la organización y la creación de mejoras en el servicio (30). En los tiempos actuales ninguna empresa puede estancarse y vivir del éxito del pasado, cada día debe emprender una investigación acerca de su nuevo ambiente para competir y brindar servicios con bases sólidas.
27
De allí la importancia por aceptar y comprender el efecto de la globalización en la E.P.S. Sedapar S.A. a fin de que desarrollen un mejor desempeño en el entorno global. 1.3.4.- El gobierno de las TIC – COBIT El gobierno de las TIC es una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos (27). 1.3.4.1.- Cobit (Los objetivos de control para la información y la tecnología relacionada) Cobit es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. Fue desarrollada por ISACA e ITGI, está orientada a la administración, auditoria de sistemas, control y seguridad. Define lo que es necesario hacer para implementar una efectiva estructura de control. Cobit habilita el desarrollo de una política clara y de buenas prácticas de control de TI a través de organizaciones, a nivel mundial. El objetivo de Cobit es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.
28
Por lo tanto, Cobit está orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas (30). Cobit se orienta tanto a la gestión como al control y auditoria de TIC. Cobit
satisface
las
necesidades
que
tiene
la
organización en lo referente a las TI de la siguiente manera:
Tomando en cuenta los requerimientos del negocio.
Mediante el modelo de procesos organiza las actividades de TI.
Identifica los recursos de TI prioritarios a ser utilizados.
Definiendo los controles de TI.
Este conjunto de las mejores prácticas permiten evaluar la seguridad, eficacia, calidad y eficiencia de las TI., mediante esto se determinan los riesgos, tener una gestión efectiva de los recursos, medir el desempeño y cumplimiento de metas, y de manera principal medir el nivel de madurez de los procesos de la organización Cobit es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios (31).
29
Desde el punto de vista de gestión, Cobit provee un conjunto
de
directrices
gerenciales
que
son
genéricas y que están orientadas a la acción con el fin de resolver los tipos siguientes de preocupaciones de la administración:
Medición del desempeño - ¿Cuáles son los indicadores de un buen desempeño?
Determinación del perfil de control de TI — ¿Qué
es
importante?
¿Cuáles
son
los
factores críticos de éxito para el control?
Conocimiento/concientización — ¿Cuáles los
riesgos
de
no
alcanzar
son
nuestros
objetivos?
Benchmarking — ¿Qué hacen los demás? ¿Cómo medimos y comparamos?
El marco referencial de Cobit está estructurado en 04 dominios, 34 procesos y 300 objetivos de control. Del cual aplicaremos el dominio adquirir e implementar que consta de siete procesos en el presente estudio (29). 1.3.4.2.- Dominio y procesos Los procesos del estudio realizado corresponden a una de las dimensiones del modelo Cobit: Dominio: Adquirir e implementar. En este dominio se explica que para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la
30
implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes están cubiertos para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
¿Es probable que los nuevos proyectos generan soluciones
que
satisfagan
las necesidades
del
negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio?
Tiene los siguientes procesos:
AI1.-
Identificar
soluciones
automatizadas.
La
necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una
31
decisión final de ―desarrollar‖ o ―comprar‖. Todos estos pasos permiten a las organizaciones minimizar el costo para adquirir e implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. Control sobre el proceso TI de: Identificar soluciones automatizadas. Que satisface el requerimiento del negocio de TI para: Traducir los requerimientos funcionales y de control a un
diseño
efectivo
y
eficiente
de
soluciones
automatizadas. Enfocándose en: La identificación de soluciones técnicamente factibles y rentables. Se logra con: La definición de los requerimientos técnicos y de negocio. Realizar estudios de factibilidad como se define en los estándares de desarrollo. Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad. Y se mide con: Número
de
proyectos
donde
los
beneficios
establecidos no se lograron debido a suposiciones de factibilidad incorrectas.
32
Porcentaje de estudios de factibilidad autorizados por el dueño del proceso. Porcentaje
de
usuarios
satisfechos
con
la
funcionalidad entregada. OBJETIVOS DE CONTROL AI1.1
Definición
y
mantenimiento
de
los
requerimientos técnicos y funcionales del negocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI. AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio y diseño de soluciones
como
organizacionales
parte para
el
de
los
desarrollo
procesos de
los
requerimientos. AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implementar los requerimientos. La administración del negocio, apoyada por la función de TI, debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al patrocinador del negocio.
33
AI1.4 Requerimientos, decisión de factibilidad y aprobación Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución y al enfoque de adquisición. AI2.- Adquirir y mantener software aplicativo Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. Control sobre el proceso TI de: Adquirir y dar mantenimiento a software aplicativo. Que satisface el requerimiento del negocio de TI para: Construir
las
aplicaciones
de
acuerdo
con
los
requerimientos del negocio y haciéndolas a tiempo y a un costo razonable. Enfocándose en: Garantizar que exista un proceso de desarrollo oportuno y confiable.
34
Se logra con: La traducción de requerimientos de negocio a especificaciones de diseño. La adhesión a los estándares de desarrollo para todas las modificaciones. La separación de las actividades de desarrollo, de pruebas y operativas. Y se mide con: Número de problemas en producción por aplicación, que causan tiempo perdido significativo. Porcentaje
de
usuarios
satisfechos
con
la
funcionalidad entregada. OBJETIVOS DE CONTROL AI2.1 Diseño de alto nivel: Traducir
los
requerimientos
del
negocio
a
una
especificación de diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización. Tener aprobadas las especificaciones
de
diseño
por
gerencia
para
garantizar que el diseño de alto nivel responde a los requerimientos.
Reevaluar
cuando
sucedan
discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento. AI2.2 Diseño detallado: Preparar el diseño detallado y los requerimientos
35
técnicos del software de aplicación. Definir el criterio de aceptación
de
los
requerimientos.
Aprobar
los
requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento. AI2.3
Control
y
posibilidad
de
auditar
las
aplicaciones: Implementar controles de negocio, cuando aplique, en controles de aplicación automatizados tal que el procesamiento
sea
exacto,
completo,
oportuno,
autorizado y auditable. AI2.4
Seguridad
y
disponibilidad
de
las
aplicaciones: Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización. AI2.5 Configuración e implantación de software aplicativo adquirido: Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio. AI2.6 Actualizaciones importantes en sistemas existentes: En caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al
36
diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos. AI2.7 Desarrollo de software aplicativo: Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, los
requerimientos de
calidad
y estándares
de
aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros. AI2.8 Aseguramiento de la calidad del software: Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización. AI2.9 Administración de los requerimientos de aplicaciones: Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido. AI2.10 Mantenimiento de software aplicativo: Desarrollar
una
estrategia
y
un
plan
para
el
mantenimiento de aplicaciones de software.
37
AI3.-
Adquirir
y
mantener
infraestructura
tecnológica. Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. Control sobre el proceso TI de: Adquirir y dar mantenimiento a la infraestructura tecnológica Que satisface el requerimiento del negocio de TI para: Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI. Enfocándose en: Proporcionar aplicaciones
plataformas del
adecuadas
negocio,
de
acuerdo
para con
las la
arquitectura definida de TI y los estándares de tecnología. Se logra con: El establecimiento de un plan de adquisición de tecnología
que
se
alinea
con
el
plan
de
mantenimiento
de
la
infraestructura tecnológica. La
planeación
de
infraestructura.
38
La implantación de medidas de control interno, seguridad y auditabilidad. Y se mide con: El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología. El
número
de
procesos
de
negocio
críticos
soportados por infraestructura obsoleta (o que pronto lo será). El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano). OBJETIVOS DE CONTROL AI3.1
Plan
de
adquisición
de
infraestructura
tecnológica: Generar un plan para adquirir, Implementar y mantener la
infraestructura
tecnológica
que
satisfaga
los
requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica.
39
AI3.2 Protección y disponibilidad del recurso de infraestructura: Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso. AI3.3 Mantenimiento de la infraestructura: Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios,
de
acuerdo
con
el
procedimiento
de
administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. AI3.4 Ambiente de prueba de factibilidad: Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
40
AI4.- Facilitar la operación y el uso. El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación
correctos
de
las
aplicaciones
y
la
infraestructura. Control sobre el proceso TI de: Facilitar la operación y el uso Que satisface el requerimiento del negocio de TI para: Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio,
y
de
forma
transparente
integrar
las
soluciones de aplicación y tecnología dentro de los procesos del negocio. Enfocándose en: Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitosos del sistema. Se logra con: El desarrollo y la disponibilidad de documentación para transferir el conocimiento. Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operación.
41
La generación de materiales de entrenamiento. Y se mide con: El
número
procedimientos
de
aplicaciones
de
TI
se
en
integran
que en
los forma
transparente dentro de los procesos de negocio. El porcentaje de dueños de negocios satisfechos con el entrenamiento de aplicación y los materiales de apoyo. El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operación. OBJETIVOS DE CONTROL AI4.1 Plan para soluciones de operación: Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados
puedan
tomar
la
responsabilidad
oportunamente por la producción de procedimientos de administración, de usuario y operativos, como resultado de
la
introducción
o
actualización
de
sistemas
automatizados o de infraestructura. AI4.2 Transferencia de conocimiento a la gerencia del negocio: Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesión del sistema y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno, y de los procesos
42
administrativos de la aplicación. La transferencia de conocimiento
incluye
la
aprobación
de
acceso,
administración de privilegios, segregación de tareas, controles
automatizados
del
negocio,
respaldo/recuperación, seguridad física y archivo de la documentación fuente. AI4.3 Transferencia de conocimiento a usuarios finales: Transferencia de conocimiento y habilidades para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del negocio. La transferencia de conocimiento incluye el desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, así como el
desarrollo
de
habilidades,
materiales
de
entrenamiento, manuales de usuario, manuales de procedimiento, ayuda en línea, asistencia a usuarios, identificación del usuario clave, y evaluación. AI4.4 Transferencia de conocimiento al personal de operaciones y soporte: Transferir el conocimiento y las habilidades para permitir
al
personal
de
soporte
técnico
y
de
operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales
de
operación,
los
manuales
de
procedimientos y escenarios de atención al usuario.
43
AI5.- Adquirir recursos de TI. Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. Control sobre el proceso TI de: Adquirir recursos de TI. Que satisface el requerimiento del negocio de TI para: Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio. Enfocándose en: Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisición de TI. Se logra con: La obtención de asesoría profesional legal y contractual. La definición de procedimientos y estándares de adquisición. La adquisición de hardware, software y servicios
44
requeridos de acuerdo con los procedimientos definidos. Y se mide con: El número de controversias en relación con los contratos de adquisición. La reducción del costo de compra. El porcentaje de interesados clave satisfechos con los proveedores. OBJETIVOS DE CONTROL AI5.1 Control de adquisición: Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la organización y con la estrategia de adquisición para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio. AI5.2
Administración
de
contratos
con
proveedores: Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento
debe
cubrir,
como
mínimo,
responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad, de propiedad intelectual y responsabilidades de conclusión, así como obligaciones (que incluyan cláusulas de penalización). Todos los contratos y las modificaciones a contratos las deben revisar asesores
45
legales. AI5.3 Selección de proveedores: Seleccionar proveedores de acuerdo a una práctica justa y formal para garantizar la mejor viable y encajable según los requerimientos especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales. AI5.4 Adquisición de recursos de TI: Proteger
y
hacer
cumplir
los
intereses
de
la
organización en todo los contratos de adquisiciones, incluyendo los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software, recursos de desarrollo, infraestructura y servicios. AI6.- Administrar cambios. Todos los cambios, incluyendo el mantenimiento de emergencia
y
parches,
relacionados
con
la
infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente.
Los
cambios
(incluyendo
procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la
implantación
y
revisar
contra
los
resultados
planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. Control sobre el proceso TI de: Administrar cambios. Que satisface el requerimiento del negocio de TI
46
para: Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Enfocándose en: Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados. Se logra con: La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia. La
evaluación,
la
asignación
de
prioridad
y
autorización de cambios. Seguimiento del estatus y reporte de los cambios Y se mide con: El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta. La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas. El porcentaje de cambios que siguen procesos de control de cambio formales
47
OBJETIVOS DE CONTROL AI6.1 Estándares y procedimientos para cambios: Establecer
procedimientos
de
administración
de
cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales. AI6.2
Evaluación
de
impacto,
priorización
y
autorización: Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta
evaluación
deberá
incluir
categorización
y
priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios. AI6.3 Cambios de emergencia: Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia. AI6.4 Seguimiento y reporte del estatus de cambio: Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los
48
procesos, parámetros del sistema y del servicio y las plataformas fundamentales. AI6.5 Cierre y documentación del cambio: Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de revisión para garantizar la implantación completa de los cambios. AI7.- Instalar y acreditar soluciones y cambios. Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén en línea
con las
expectativas
convenidas y con los resultados. Control sobre el proceso TI de: Instalar y acreditar soluciones y cambios. Que satisface el requerimiento del negocio de TI para: Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación. Enfocándose en: Probar
que
las
soluciones
de
aplicaciones
e
49
infraestructura son apropiadas para el propósito deseado y estén libres de errores, y planear las liberaciones a producción. Se logra con: El establecimiento de una metodología de prueba. Realizar la planeación de la liberación (release). Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio. Ejecutar revisiones posteriores a la implantación Y se mide con: Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas. Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantación. Porcentaje de proyectos con plan de prueba documentado y aprobado. OBJETIVOS DE CONTROL AI7.1 Entrenamiento: Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas de la información de desarrollo, implementación o modificación.
50
AI7.2 Plan de prueba: Establecer un plan de pruebas basado en los estándares de la organización que define roles, responsabilidades, y criterios de entrada y salida. Asegurar que el plan está aprobado por las partes relevantes. AI7.3 Plan de implantación: Establecer un plan de implantación y respaldo y vuelta atrás. Obtener aprobación de las partes relevantes. AI7.4 Ambiente de prueba: Definir y establecer un entorno seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de trabajo. AI7.5 Conversión de sistemas y datos: Plan
de
conversión
de
datos
y
migración
de
infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo pistas de auditoría, respaldo y vuelta atrás. AI7.6 Pruebas de cambios: Pruebas de cambios independientemente en acuerdo con los planes de pruebas definidos antes de la migración al entorno de operaciones. Asegurar que el plan considera la seguridad y el desempeño.
51
AI7.7 Prueba de aceptación final: Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas.
Remediar
los
errores
significativos
identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresión necesaria.
Siguiendo
la
evaluación,
aprobación
promoción a producción. AI7.8 Promoción a producción: Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de
implantación. Obtener la
aprobación de los interesados clave, tales como usuarios, dueño de sistemas y gerente de operaciones. Cuando sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los resultados. AI7.9 Revisión posterior a la implantación: Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como conjunto de salida en el plan de implementación. 1.3.5.- Modelo de madurez de Cobit El modelo de madurez de Cobit, es usado más frecuentemente por los directivos de empresas corporativas y públicas para poder determinar qué tan bien se está administrando las TI (31).
52
La ventaja de un modelo de madurez es que es relativamente fácil para la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. Para la medición del nivel de gestión en el domino adquirir e implementar de las TIC en la E.P.S. Sedapar S.A. se utilizaron cuestionarios obtenidos de la estructura del modelo Cobit. Los mencionados cuestionarios no requieren ser validados por cuanto Cobit constituye una buena práctica de reconocimiento mundial. Los perfiles de gestión de las TIC se establecerán tomando como referencia el modelo de madurez propuesto por Cobit que considera de manera general desde un nivel de noexistente (0) hasta un nivel de optimizado (5): 0. Inexistente. No se aplican procesos administrativos en lo absoluto para gestionar las TIC. 1. Inicial / Ad hoc. Los procesos de TIC son Ad hoc y desorganizados. Son informales. 2. Repetible pero intuitivo. Los procesos de TIC siguen un patrón
regular.
Siguen
técnicas
tradicionales
no
documentadas. 3. Definido y documentado. Los procesos de TIC se documentan y comunican. 4. Administrado y medible. Los procesos de TIC se monitorean y miden. 5. Optimizado. Las buenas prácticas se siguen y automatizan.
53
Figura Nº 1 Representación gráfica de los modelos de madurez
FUENTE: Cobit4.1 2007 IT Governance Institute 1.4.- Justificación de la investigación La investigación fue importante para la E.P.S. Sedapar S.A., porque permitió identificar, conocer y describir los factores que afectan los procesos de la adquisición e implementación de las TIC en la ciudad de Arequipa en el año 2011, con el objetivo de contribuir al direccionamiento del uso de las TIC y de buenas prácticas
que
actualmente
es
utilizada
por
el
personal
administrativo, funcionarios, gerente, dentro de la empresa, por otro lado permitió conocer las TIC a un nivel aceptable por la empresa. Las TIC, se han convertido en una valiosa herramienta de transformación y desarrollo de los niveles de bienestar de diferentes ámbitos de la sociedad, habiendo cambiado la forma de vivir de la gente, su forma de comunicación, trabajo, nuevas modalidades de crear conocimientos, educación, nuevas formas de hacer negocios, y de conducir la administración pública. Se consideró el modelo Cobit para este trabajo porque su misión
54
es precisamente ―Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.‖ Es así, que la E.P.S. Sedapar S.A. debe prepararse para hacer frente a los cambios que el gobierno propone y la ciudadanía nos requiere, para la cual nos ha dado una serie de normas a poner en ejecución, así como tomar las mejores prácticas que existen en materia de tecnologías de la información y comunicaciones, por tal motivo las soluciones que se den, deben estar basados en las normas dadas por organismos del estado como la ONGEI, normas de control de la contraloría general de la república, normas dadas por organismos internacionales y buenas prácticas reconocidas en el mercado. Los resultados obtenidos para conocer el perfil de la adquisición e implementación se facilitaron por la factibilidad y apoyo que dio la E.P.S. Sedapar S.A. para el desarrollo de esta investigación, brindando colaboración y predisposición por parte del personal durante las entrevistas para el llenado
de los cuestionarios
desarrollados para obtener los resultados de esta investigación.
1.5.- Formulación de objetivos 1.5.1. Objetivo general Determinar el perfil de la adquisición e implementación de las tecnologías de información y comunicaciones (TIC) en la Empresa Prestadora de Servicios E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011.
55
1.5.2. Objetivos específicos Describir el perfil de gestión del proceso de identificar soluciones automatizadas en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de adquirir y mantener software aplicativo en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de adquirir y mantener infraestructura tecnológica en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de facilitar la operación y uso en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de adquirir recursos de TI en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de administrar cambios en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011. Describir el perfil de gestión del proceso de instalar y acreditar soluciones y cambios en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011.
1.6.- Sistema de hipótesis 1.6.1.- Hipótesis general
El perfil de la adquisición e implementación de las
56
tecnologías de información y comunicaciones (TIC) en la empresa prestadora de servicios E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es Inicial, según los niveles de madurez del Cobit.
1.6.2.- Hipótesis específicas El perfil de del proceso de identificar soluciones automatizadas en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar. El perfil del proceso de adquirir y mantener software aplicativo en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar. El perfil del proceso de adquirir y mantener infraestructura tecnológica en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar. El perfil del proceso de facilitar la operación y el uso en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar. El perfil del proceso de adquirir recursos de TI en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar.
57
El perfil del proceso de administrar cambios en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar. El perfil del proceso de instalar y acreditar soluciones y cambios en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 es inicial, según los niveles de madurez de la norma Cobit para el dominio de adquirir e implementar.
58
2.- METODOLOGÍA Para la realización de este estudio se toma como marco de referencia la metodología Cobit, que es un marco de gobernabilidad de TI y un conjunto de herramientas de ayuda que permite a los administradores tener en cuenta y asociar los conceptos de requerimientos de control, consideraciones técnicas y riesgos del negocio
La aplicación de Cobit en la E.P.S. Sedapar S.A. nos permitió evaluar y mejorar los procesos de gestión de TI. La evaluación de los procesos de gestión de TI consistió en realizar un análisis de la situación actual de la organización que determine el nivel de madurez del proceso adquirir e implementar de la empresa con respecto a la metodología y así poder emitir recomendaciones que expliquen qué hacer para que este proceso mejore.
2.1.- Tipo y nivel de investigación El tipo de estudio utilizado es no experimental, descriptivo y de corte transversal. El estudio es no experimental porque las variables fueron estudiadas en su estado natural, sin realizar ningún tipo de manipulación. Es descriptivo porque el objetivo es examinar y describir el perfil de la adquisición e implantación de las TIC en la E.P.S. Sedapar S.A.de la ciudad de Arequipa en el año 2011 y de corte transversal porque se analizó el fenómeno en un período determinado (32).
Nivel de la Investigación Reunió por su nivel las características de un estudio descriptivo porque el objetivo fue examinar y describir las variables en un período determinado (32).
59
2.1.-Diseño de la investigación Este diseño es de una sola casilla porque el investigador solo mide el estado de los procesos, y se grafica de la siguiente manera: M
O
Dónde: M = Muestra O = Observación 2.2.- Población y muestra Población: Estuvo constituida por 655 personas que actualmente vienen laborando en la E.P.S. Sedapar S.A. en la región Arequipa. Muestra Formula: Para la estimación de la población muestra se siguió los siguientes criterios: Seguridad = 95%; Precisión = 3%: Proporción esperada = asumimos que puede ser próxima al 5%:
Donde:
N = Total de la población
Za2 = 1.962 (si la seguridad es del 95%)
p = proporción esperada (en este caso 5% = 0.05)
q = 1 – p (en este caso 1-0.05 = 0.95)
d = precisión (en este caso deseamos un 3%).
60
ESTIMACIÓN DE LA PROPORCIÓN Total de la población (N)
655
(Si la población es infinita, dejar la casilla en blanco) Nivel de confianza o seguridad (1-α)
95%
Precisión (d)
3%
Proporción (valor aproximado del parámetro que queremos medir)
5%
(Si no tenemos dicha información p=0.5 que maximiza el tamaño muestral) TAMAÑO MUESTRAL (n)
155
El criterio de elección fue un muestreo no probabilístico, por conveniencia de la investigación de los 655 trabajadores de la empresa, se trabajó con un tamaño de muestra de 155 trabajadores para cada uno de los procesos en estudio del manual de Cobit 4.1 (33).
61
2.3.- Definición y operacionalización de las variables MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ADQUISICIÓN E IMPLEMENTACIÓN VARIABLES
DEFINCIÓN CONCEPTU AL
DIMENSIONES
INDICADOR
ESCALA DE MEDICIÓN
DEFINICIÓN OPERACIONAL
Soluciones automatizada s
-Elabora un estudio de factibilidad de los requerimientos del negocio
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Software aplicativo
-Especifica los controles de seguridad de la aplicación -Conoce la aplicación y el paquete de software -Toma decisiones para la adquisición -Tiene SLAS planeados anticipadamente -Especifica la disponibilidad, continuidad y recuperación.
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Infraestructura tecnológica
-Toma decisiones de adquisición -Tiene un sistema configurado para realizar prueba/instalación -Define requerimientos de ambiente físico -Mantiene actualizados la tecnología en base a estándares. -Define requerimientos de monitoreo del sistema -Conoce la infraestructura -Tiene OLAS planeados anticipadamente
Inexistente Inicial Intuitivo Definido Administrado Optimizado
-Utiliza manuales de usuario, de operación, de soporte, técnicos y de administración -Define requerimientos de transferencia de conocimiento para implantación de soluciones -Materiales de entrenamiento
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Es la identificación de las soluciones de TI que deben ser Adquisición e desarrolladas implementaci o adquiridas, Operación y ón de TI implementad uso. as y actualizadas e integradas en los procesos del negocio. Recursos de TI.
-Define requerimientos de administración de la relación con terceros -Identifica artículos provistos -Reglamenta los arreglos contractuales
Ordinal
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Cambios.
-Describe el proceso de cambio -Genera reporte de estatus de cambio -Define la autorización de cambio
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Instalación de soluciones
-Registra los componentes de configuración liberados -Registra los errores conocidos y aceptados -Registra la liberación a producción -Registra la liberación de software y plan de distribución -Realiza revisiones posteriores a la liberación -Monitorea el control interno
Inexistente Inicial Intuitivo Definido Administrado Optimizado
62
2.4.- Técnicas e instrumentos Para determinar el perfil de la adquisición e implementación de las TIC en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 se aplicó la entrevista y se utilizó como instrumento de medición un cuestionario obtenido de la estructura del modelo Cobit para cada proceso que no requirió ser validado por cuanto Cobit constituye una buena práctica de reconocimiento mundial, el cuestionario fue semi-estructurado de 10 preguntas para los procesos identificar soluciones automatizadas, adquirir y mantener software aplicativo, facilitar la operación y el uso, adquirir recursos de TI, administrar cambios, de 9 preguntas para el proceso adquirir y mantener infraestructura tecnológica y de 11 preguntas para el proceso instalar y acreditar soluciones y cambios, todas con seis alternativas. 2.5.- Procedimientos de recolección de datos
Charla informativa con los encargados de la empresa.
Visitas a las instalaciones de la empresa, para aplicar los cuestionarios y realizar las observaciones.
Estos instrumentos fueron aplicados al personal de las diferentes áreas de la E.P.S. Sedapar S.A. que conformaron la muestra. 2.7.- Plan de análisis de los datos Los
datos
obtenidos
fueron
codificados,
ingresados
y
analizados en una hoja de cálculo del programa Open Office Calc para evaluar el grado de confiabilidad y validez con el cual se obtuvieron los cuadros y gráficos de los procesos en estudio.
63
3. RESULTADOS TABLA Nº 01 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable Identificar soluciones automatizadas por nivel de madurez en Cobit en la E.P.S. Sedapar S.A. – 2011. TABLA Nº01: AI01 IDENTIFICAR SOLUCIONES AUTOMATIZADAS Nivel de madurez Nº Trab. % 22 14.13% No existe Inicial 72 46.19% Repetible 34 21.94% Definido 20 12.90% Administrado 7 4.26% Optimizado 1 0.58% TOTAL 155 100.00% FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 46.19% de los trabajadores encuestados considera que el proceso de identificar soluciones automatizadas en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 21.94% considera que se encuentra en un nivel de madurez Repetible, el 14.13% que se encuentra en un nivel de madurez No Existe, el 12.90% que se encuentra en un nivel de madurez Definido, el 4.26% que se encuentra en un nivel de madurez Administrado y el 0.58% que se encuentra en un nivel de madurez Optimizado, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
64
FIGURA Nº 02 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº01 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable identificar soluciones automatizadas por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº01
65
TABLA Nº02 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir y mantener software aplicativo por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011. TABLA Nº02: AI02 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Nivel de madurez Nº Trab. % 28 18.32% No existe Inicial 77 49.35% Repetible 32 20.52% Definido 9 5.74% Administrado 8 5.29% Optimizado 1 0.77% TOTAL 155 100.00% FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 49.35% de los trabajadores encuestados considera que el proceso de adquirir y mantener el software aplicativo en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 20.52% considera que se encuentra en un nivel de madurez Repetible, el 18.32% que se encuentra en un nivel de madurez No Existe, el 5.74% que se encuentra en un nivel de madurez Definido, el 5.29% que se encuentra en un nivel de madurez Administrado y el 0.77% que se encuentra en un nivel de madurez Optimizado, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
66
FIGURA Nº 03 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº02 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir y mantener software aplicativo por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
AI02 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO 0.77% 5.74% 5.29%
No existe
18.32% 20.52%
Inicial Repetible
49.35%
Definido Administrado Optimizado
FUENTE: Tabla Nº02
67
TABLA Nº03 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir y mantener infraestructura tecnológica por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011.
TABLA Nº03: AI03 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Nivel de madurez Nº Trab. 11 No existe Inicial 59 Repetible 55 Definido 20 Administrado 10 Optimizado 0 TOTAL 155 FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso
% 7.31% 37.85% 35.63% 12.83% 6.38% 0.00% 100.00%
Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 37.85% de los trabajadores encuestados considera que el proceso de adquirir y
mantener
infraestructura tecnológica en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 35.63% considera que se encuentra en un nivel de madurez Repetible, el 12.83% que se encuentra en un nivel de madurez Definido, el 7.31% que se encuentra en un nivel de madurez No existe, el 6.38% que se encuentra en un nivel de madurez Administrado, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
68
FIGURA Nº 04 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº03 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir y mantener infraestructura tecnológica por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº 03
69
TABLA Nº04 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable facilitar la operación y uso por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011. TABLA Nº04: AI04 FACILITAR LA OPERACIÓN Y EL USO Nivel de madurez Nº Trab. 25 No existe Inicial 62 Repetible 35 Definido 21 Administrado 13 Optimizado 0 TOTAL 155 FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
% 15.87% 40.13% 22.39% 13.23% 8.39% 0.00% 100.00%
Los resultados del estudio indicaron que el 40.13% de los trabajadores encuestados considera que el proceso de facilitar la operación y el uso en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 22.39% considera que se encuentra en un nivel de madurez Repetible, el 15.87% que se encuentra en un nivel de madurez No Existe, el 13.23% que se encuentra en un nivel de madurez Definido, el 8.39% que se encuentra en un nivel de madurez Administrado, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
70
FIGURA Nº 05 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº04 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable facilitar la operación y el uso. Por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
AI04 FACILITAR LA OPERACIÓN Y EL USO 8.39% 0.00% 13.23%
15.87%
22.39%
No existe Inicial Repetible
40.13%
Definido Administrado Optimizado
FUENTE: Tabla Nº 04
71
TABLA Nº05 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir recursos de TI por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011. TABLA Nº05: AI05 ADQUIRIR RECURSOS DE TI Nivel de madurez Nº Trab. 9 No existe Inicial 43 Repetible 49 Definido 32 Administrado 22 Optimizado 0 TOTAL 155 FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
% 6.00% 27.74% 31.35% 20.65% 14.26% 0.00% 100.00%
Los resultados del estudio indicaron que el 31.35% de los trabajadores encuestados considera que el proceso de adquirir recursos de TI en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Repetible, mientras que el 27.74% considera que se encuentra en un nivel de madurez Inicial, el 20.65% que se encuentra en un nivel de madurez Definido, el 14.26% que se encuentra en un nivel de madurez Administrado, el 6.00% que se encuentra en un nivel de madurez No existe, según los estándares del Cobit. Estos resultados discrepan con la respectiva hipótesis específica formulada.
72
FIGURA Nº 06 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº05 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable adquirir recursos de TI. por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº05
73
TABLA Nº06 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable cambios por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011 TABLA Nº06: AI06 ADMINISTRAR CAMBIOS Nivel de madurez Nº Trab. 25 No existe Inicial 79 Repetible 46 Definido 0 Administrado 5 Optimizado 0 TOTAL 155 FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
% 15.81% 50.65% 29.81% 0.26% 3.48% 0.00% 100.00%
Los resultados del estudio indicaron que el 50.65% de los trabajadores encuestados considera que el proceso administrar cambios en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 29.81% considera que se encuentra en un nivel de madurez Repetible, el 15.81% que se encuentra en un nivel de madurez No Existe, el 3.48% que se encuentra en un nivel de madurez Administrado, el 0.26% que se encuentra en un nivel de madurez Definido, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
74
FIGURA Nº 07 Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT.
GRAFICO Nº06 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable administración de cambios por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº06
75
TABLA Nº07 Distribución de frecuencias de la percepción de los trabajadores sobre el nivel de madurez de la variable instalar y acreditar soluciones y cambios por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011. TABLA Nº07: AI07 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Nivel de madurez Nº Trab. 28 No existe Inicial 73 Repetible 52 Definido 1 Administrado 1 Optimizado 0 TOTAL 155 FUENTE: Encuesta realizada en el mes de Setiembre Aplicado por: Ccarcasi, C, 2011 Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
% 18.12% 47.04% 33.61% 0.88% 0.35% 0.00% 100.00%
Los resultados del estudio indicaron que el 47.04% de los trabajadores encuestados considera que el proceso de instalar y acreditar soluciones y cambios en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que el 33.61% considera que se encuentra en un nivel de madurez Repetible, el 18.12% que se encuentra en un nivel de madurez No Existe, el 0.88% que se encuentra en un nivel de madurez Definido, el 0.35% que se encuentra en un nivel de madurez Administrado, según los estándares del Cobit. Estos resultados coinciden con la respectiva hipótesis específica formulada.
76
FIGURA Nº 08 Ubicación variable de inversión en los niveles de madurez de Cobit.
GRAFICO Nº07 Distribución gráfica de la percepción de los trabajadores sobre el nivel de madurez de la variable instalación y acreditación de soluciones y cambios por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº 07
77
TABLA Nº08 Cantidad de trabajadores encuestados y distribuidos según variables por niveles de madurez de Cobit E.P.S. Sedapar S.A. NIVELES DE MADUREZ Inicial Repetible Definido
No existe PROCESOS
Nº
%
Nº
%
Nº
%
Nº
%
Administrado Optimizado Nº
%
Nº
%
TOTAL Nº
%
AI01 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
22 14.13% 72 46.19% 34 21.94% 20 12.90%
7
4.26%
1
0.58% 155 100.00%
AI02 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
28 18.32% 77 49.35% 32 20.52%
8
5.29%
1
0.77% 155 100.00%
AI03 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLOGICA
11
59 37.85% 55 35.63% 20 12.83% 10
6.38%
0
0.00% 155 100.00%
AI04 FACILITAR LA OPERACIÓN Y EL USO
25 15.87% 62 40.13% 35 22.39% 21 13.23% 13
8.39%
0
0.00% 155 100.00%
43 27.74% 49 31.35% 32 20.65% 22 14.26%
0
0.00% 155 100.00%
AI05 ADQUIRIR RECURSOS DE TI
9
7.31%
6.00%
9
5.74%
AI06 ADMINISTRAR CAMBIOS
25 15.81% 79 50.65% 46 29.81%
0
0.26%
5
3.48%
0
0.00% 155 100.00%
AI07 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
28 18.12% 73 47.04% 52 33.61%
1
0.88%
1
0.35%
0
0.00% 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre Fuente: Encuesta realizada para este proceso Aplicado por:medir Ccarcasi, C, 2011 Aplicado por: Ccarcasi, C; Setiembre 2011.
78
4. DISCUSIÓN Tras obtener los resultados del estudio realizado a la E.P.S. Sedapar S.A. con el fin de determinar los niveles de madurez de los procesos de la adquisición e implementación, podemos afirmar lo siguiente: Los resultados indican que, para el proceso identificar soluciones automatizadas determinan que en la E.P.S. Sedapar S.A., el 46.19% de trabajadores encuestados consideran que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez 1) tal como se ve reflejado en la Tabla Nº 01, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto coincide con los resultados obtenidos en la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 1: Inicial puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos. Para el proceso adquirir y mantener software aplicativo, los resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el 49.35% de trabajadores encuestados consideran que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 02, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto discrepa con los resultados obtenidos en la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 2: Repetible por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático.
79
Para el proceso adquirir y mantener infraestructura tecnológica, los resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el 37.85% de trabajadores encuestados indican que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 03, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto coincide con la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 1: Inicial, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir implementar y actualizar infraestructura tecnológica. Para el proceso facilitar la operación y el uso, los resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el 40.13% de trabajadores encuestados indican que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 04, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto coincide con la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, indica que este proceso se encuentra en el nivel de madurez 1:Inicial, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados. Para el proceso adquirir recursos de TI los resultados obtenidos determinan que, en la E.P.S. Sedapar S.A. el 31.35% de trabajadores encuestados indican que el nivel de madurez de este proceso es Repetible dentro del nivel de madurez de la norma Cobit (nivel de madurez: 2) tal como se ve reflejado en la Tabla Nº 05, siguiendo los patrones regulares para el funcionamiento frente a este proceso, este
80
resultado discrepa con la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 4: Administrado, ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI. Para el proceso administración de cambios, los resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el 50.65% de trabajadores encuestados indican que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 06, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto coincide con la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 1:Inicial, ya que no se establecen estándares y procedimientos de cambios, a menudo se dan cambios sin autorización. Para el proceso instalar y acreditar soluciones y cambios, los resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el 47.04% de trabajadores encuestados indican que el nivel de madurez de este proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 07, siguiendo los patrones regulares para el funcionamiento frente a este proceso, esto coincide con la auditoría de la gestión de las tecnologías de la información en el gobierno municipal de San Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de madurez 1: Inicial, puesto que la verificación y confirmación de soluciones implementadas se realiza para solo algunos proyectos y no de manera completa.
81
CONCLUSIONES Tras los resultados obtenidos producto del personal encuestado determinaron que el perfil de los procesos del dominio Adquirir e Implementar del modelo Cobit en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011 alcanzaron el siguiente nivel: Según la Tabla Nº 01, el 46.19% de los empleados encuestados consideró que el proceso de Identificar soluciones automatizadas se encuentra en un nivel 1 Inicial, lo que significa que existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas. Grupos individuales se reúnen para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe una investigación o análisis estructurado mínimo de la tecnología disponible. Según la Tabla Nº 02, el 49.35% de los empleados encuestados consideró que el proceso Adquirir y mantener el software aplicativo se encuentra en un nivel 1 Inicial lo que significa que existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a otro. Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo. Según la Tabla Nº 03, el 37.85% de los empleados encuestados consideró que el proceso Adquirir y mantener infraestructura tecnológica se encuentra en un nivel 1 Inicial lo que significa que se realizan cambios a la infraestructura para cada nueva aplicación, sin
82
ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción es el ambiente de prueba. Según la Tabla Nº 04, el 40.13% de los empleados encuestados consideró que el proceso Facilitar la operación y el uso se encuentra en un nivel 1 Inicial lo que significa que existe la percepción de que la documentación de proceso es necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a grupos limitados. Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable. Virtualmente no existen procedimientos de integración a través de los diferentes sistemas y unidades de negocio. No hay aportes de las unidades de negocio en el diseño de programas de entrenamiento. Según la Tabla Nº 05, el 31.35% de los empleados encuestados consideró que el proceso Adquirir recursos de TI se encuentra en un nivel 2 Repetible lo que significa que existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI. Las políticas y procedimientos se integran parcialmente con el proceso general de adquisición de la organización del negocio. Los procesos de adquisición se utilizan principalmente en proyectos
mayores
y
bastante
visibles.
Se
determinan
responsabilidades y rendición de cuentas para la administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato. Se reconoce la importancia de administrar proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual. Los procesos de contrato se utilizan principalmente en proyectos mayores o muy visibles.
83
Según la Tabla Nº 06, el 50.65% de los empleados encuestados consideró que el proceso Administrar cambios se encuentra en un nivel 1 Inicial lo que significa que se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable. Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios. Según la Tabla Nº 07, el 47.04% de los empleados encuestados consideró que el proceso Instalar y acreditar soluciones y cambios se encuentra en un nivel 1 Inicial lo que significa que existe la percepción de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían. La acreditación formal y la autorización son raras o no existentes. La E.P.S. Sedapar S.A. tiene predisposición a implementaciones adecuadas, en cuanto a infraestructura es buena, pero no existe una metodología adecuada que la controle y mida
sus procesos, sus
niveles de seguridad son bajos, el nivel de las conexiones y del cableado de redes es inseguro, no se tiene un plan de seguridad de la información, parte del software utilizado no cuenta con las licencias respectivas. Sin dudas, el buen uso de las TIC produce transformaciones muy significativas
en
términos
de
herramientas
para
una
mejor
gobernabilidad.
84
RECOMENDACIONES En base a las conclusiones a las que se arribó en el presente estudio se realizan las siguientes recomendaciones para ayudar a mejorar los procesos del dominio adquirir e implementar de la E.P.S. Sedapar S.A.: Para el proceso de identificar soluciones automatizadas (nivel de madurez 1). o
Determinar de forma clara las soluciones de TI.
o
Resaltar, priorizar, especificar los requerimientos funcionales y técnicos de la E.P.S. Sedapar S.A., priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, seguridad, disponibilidad, y continuidad, ergonomía, funcionalidad y la legislación de la E.P.S. Sedapar S.A.
o
Establecer procesos para administrar y garantizar la integridad, exactitud y la validez de los requerimientos del negocio.
o
Que exista el alineamiento con las estrategias de la E.P.S. Sedapar S.A. y de TI.
o
Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos.
o
El patrocinador del negocio es el encargado de aprobar y autorizar los requisitos del negocio, funcionales y técnicos así como los reportes de estudio de factibilidad en las etapas clave.
Para el proceso de adquirir y mantener software aplicativo (nivel de madurez 1) o
Tener la validación y diseño de programas y recopilación de datos con un patrón regular.
85
o
Los requerimientos de procesamiento deben seguir un patrón definido.
Para el proceso de adquirir y mantener infraestructura tecnológica (nivel de madurez 1) o
Crear un plan de adquisición de infraestructura tecnológica.
o
Garantizar la disponibilidad de la infraestructura tecnológica.
o
Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.
o
Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.
Para el proceso de facilitar la operación y el uso (nivel de madurez 1) o
Se debe desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.
o
Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.
o
Mediante la transferencia de conocimientos a los usuarios finales se logrará que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la E.P.S. Sedapar S.A.
Para el proceso de adquirir recursos de TI (nivel de madurez 2) o
Establecer políticas y procedimientos para la adquisición de TI.
o
Las políticas y procedimientos tomarán como guía el proceso general de adquisición de la organización.
86
o
La adquisición de TI se integrará en gran parte con los sistemas generales de adquisición del negocio.
o
Los proveedores de recursos de TI se integrarán dentro de los mecanismos de administración de proyectos de la organización desde una perspectiva de administración de contratos.
o
La administración de TI comunicará la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI.
Para el proceso de administrar cambios (nivel de madurez 1) o
Realizar procedimientos de la administración de cambios formales.
o
Manejar todas las solicitudes de cambio incluyendo mantenimiento y parches, para aplicaciones, procesos, parámetros de sistemas, servicios, plataformas.
o
Evaluar
las
solicitudes de
impacto
enfocándose
al
impacto,
priorización y autorización de estas. o
Tomar muy en cuenta un proceso para atender cambios de emergencia.
o
Realizar un seguimiento de cambios así como un reporte del estatus de los cambios realizados.
o
Realizar un cierre y documentación una vez realizado un cambio, y garantizar un proceso de revisión de este cambio.
Para el proceso de instalar y acreditar soluciones y cambios (nivel de madurez 1) o
Se debe entrenar al personal afectado por los cambios, de acuerdo al plan de entrenamiento e implementación.
87
o
Realizar un plan de pruebas de los sistemas implantados.
o
Establecer un plan de implementación.
o
Garantizar que los usuarios se encuentren satisfechos con los cambios generados.
o
Distribuir el sistema o el cambio según procedimientos de control.
o
Mantener un registro y rastreo de cambios.
En forma general ayudaría mucho realizar un Cobit completo, con todos sus respectivos dominios y procesos para tener información completa del estado de todos los aspectos de la empresa.
88
REFERENCIAS BIBLIOGRÁFICAS 1.- MIK Fredy Eduardo Vásquez Rizo - La adquisición de tecnología para la gestión y la administración de información No es cuestión de cantidad, es cuestión de utilidad [Internet]. [Citada 2011 Octubre 06]. Disponible desde: http://colombiadigital.net/b2e/blogs/index.php/2011/04/05/laadquisicion-de-tecnologia-para-la-gestion-y-la-administracion-deinformacion-no-es-cuestion-de-cantidad-es-cuestion-deutilidad?blog=22 2.-
Articulo.tv
-
Simplementación:
10
consejos
para
facilitar
la
implementación De CRM Parte1 [Internet]. ]. [Citada 2011 Octubre 06]. Disponible desde: http://www.articulo.tv/?Simplementacion-10-consejos-para-facilitarimplementacion-crm-parte-1&id=1210 3.- Fajardo, Raúl - Propuesta de la estrategia de desarrollo de las TIC en Nicaragua [Internet] Nicaragua: Sin editorial; sin fecha. ]. [Citada 2011 Octubre 07]. Disponible desde: http://unpan1.un.org/intradoc/groups/public/documents/un/unpan0200 38.pdf 4.- KUN2006 Horacio Kuna - asistente para la realización de auditoría de sistemas en organismos públicos o privados. Tesis para optar el grado académico de magister en Ing. del software. Universidad Politécnica. Madrid. 2006. 5.- Llumihuasi Quispe Juan Miguel, en su proyecto previo a La obtención del título de Ingeniero en sistemas informáticos y de computación de la Escuela Politécnica Nacional del Ecuador con el tema: ―Auditoría de la gestión de las tecnologías de la información en el gobierno
89
municipal de san Miguel de Urcuquí utilizando como modelo de referencia Cobit 4.0. 6.- Corrales Hidalgo Carla Tatiana, Vallejo Ayala Diana Jeanneth, en su proyecto previo a la obtención del título de Ingeniero en sistemas informáticos y de computación de la escuela politécnica nacional del Ecuador con el tema: ―Evaluación del nivel de madurez de la gestión de las TIC’s en La empresa ASTAP‖. 7.- COBIT/IT Governance case study: Honorable tribunal de cuentas de la provincia de Mendoza, Argentina [Internet]. [Citada 2011 Octubre 07]. Disponible desde: http://www.itgi.org/Template_ITGI5087.html?Section=Case_Studies1& CONTENTID=15743&TEMPLATE=/ContentManagement/ContentDisp lay.cfm 8.- COBIT: Caso de estudio banco Supervielle S.A., Argentina. [Internet]. [Citada 2011 Octubre 07]. Disponible desde: http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Caso-deEstudio-Banco-Supervielle-SA-Argentina.aspx 9.- PROSIC Programa de la sociedad de la información y el conocimiento. Universidad de Costa Rica Informe: Hacia la Sociedad de la Información y el conocimiento Agosto 2006. [Internet]. [Citada 2011 Octubre 08]. Disponible desde: http://prosic.ucr.ac.cr/Informe%202006/08CapFinal.pdf
90
10.- Claudio Gallardo: La implementación de tecnologías de información y comunicación en las organizaciones públicas de turismo en Argentina. [Internet]. [Citada 2011 Octubre 08]. Disponible desde: http://pensardenuevo.org/la-implementacion-de-tecnologias-deinformacion-y-comunicacion-en-las-organizaciones-publicas-deturismo-en-argentina/ 11.- TIC y un buen gobierno. La contribución de las tecnologías de la información y la comunicación al gobierno local en América Latina. [Internet]. [Citada 2011 Octubre 08]. Disponible desde: http://usuarios.trcnet.com.ar/denise/repositorio/TICsbuengobierno.pdf 12.- Velarde Bedregal Héctor Raúl, ―Evaluación de los procesos de tecnologías de la información definidos dentro de los dominios de planear y organizar y entregar y dar soporte del modelo genérico de madurez Cobit en la municipalidad distrital de Cerro Colorado durante el año 2010‖. Trabajo para optar el título de Ingeniero de sistemasArequipa: Universidad Católica Los Ángeles de Chimbote 2010 13.- Torres Villanueva Marcelino, ―Perfil de gestión de las tecnologías de información
y
comunicaciones:
Identificación
de
soluciones
automatizadas, adquisición y mantenimiento de software aplicativo, y de infraestructura tecnológica, facilitación de la operación y el uso en la empresa Green Awakening de la ciudad de Winter Park, Florida, Estados Unidos en el año 2010‖. Trabajo para optar el título de Ingeniero de sistemas- Piura: Universidad Católica Los Ángeles de Chimbote 2010 14.- Silupú Cruz César Chris, ―Nivel de madurez de mantenimiento de soluciones automatizadas, mantenimiento de software aplicativo,
91
infraestructura de TI, operación y uso de TI y administración de cambios de TI en la municipalidad distrital de Suyo, provincia Ayabaca, departamento Piura durante el año 2010‖. Trabajo para optar el título de Ingeniero de sistemas- Piura: Universidad Católica Los Ángeles de Chimbote 2010 15.-
Machuca
Alemán
Jefferson
José,
―Nivel
de
madurez
de
mantenimiento de soluciones automatizadas, mantenimiento de software aplicativo, infraestructura de TI, operación y uso de TI y administración de cambios de TI en la institución del gobierno regional de Piura durante el año 2010‖. Trabajo para optar el título de Ingeniero de sistemas- Piura: Universidad Católica Los Ángeles de Chimbote 2010 16.- Villafuerte, D. Estudio de uso y aplicaciones de las tecnologías de información y comunicación de autoridades y funcionarios en dos municipios
rurales
del
Perú.
Recomendaciones
para
la
implementación de gobierno electrónico en municipios rurales. [Internet]. México: ACORN - REDECOM conference; 2009. [Citada 2011 Octubre 08]. Disponible desde: http://www.acorn-redecom.org/papers/Dante_Villafuerte.pdf 17.- Bossio, Juan Fernando; López Valverde, Javier; Saravia, Miguel et al. Desarrollo rural y tecnologías de información y comunicación. [Internet].Perú: [Citada 2011 Octubre 08]. Disponible desde: http://www.landcoalition.org/pdf/cepes_desarrolloytic.pdf 18.- INEI 2011 - Perú: Tecnologías de información y comunicaciones en las empresas, IV censo nacional económico 2008 Julio 2007 – Junio 2008 [Internet]. [Citada 2011 Octubre 20]. Disponible desde:
92
http://www.inei.gob.pe/biblioineipub/bancopub/Est/Lib0953/libro.pdf 19.- Sedapar S.A. Misión – Visión, objetivos, jurisdicción, base legal, plan estratégico. [Internet]. [Citada 2011 Octubre 20]. http://www.sedapar.com.pe/ 20.- ServiciosTIC, Definición de TIC. [Internet]. [Citada 2011 Octubre 20]. Disponible desde: http://www.serviciostic.com/las-tic/definicion-de-tic.html 21.- Gtic. Introducción a las telecomunicaciones. [Internet] varios autores. Concepto de Tecnologías de la Información y las Comunicaciones. [Citada 2011 Octubre 20]. Disponible desde: http://www.gtic.ssr.upm.es/telefoni/curtic/1tl101.htm 22.- José I. Cómo maximizar el impacto de las TICs en la competitividad [internet]. Costa Rica: Fundación CAATEC; 2007. [Citada 2011 Octubre 20]. Disponible desde: http://www.google.com/url?sa=t&source=web&cd=1&ved=0CBoQFjAA &url=http%3A%2F%2Fcatde.org%2Fweb%2Findex.php%3Foption%3 Dcom_docman%26task%3Ddoc_download%26gid%3D2%26Itemid% 3D10&rct=j&q=%C1reas%20de%20aplicacion%20de%20una%20tics %2C%20Administrativa%2C%20procesos%20productivos%2C%20rel aciones%20externas%2C%20control%20y%20Evaluaci%F3n%20Ger encial.&ei=JtrwTZX7L8XegQfeu_S6BA&usg=AFQjCNHjENO6bXHL81 J2lCATA-Mmkk2pPQ&cad=rja
93
23.- ServiciosTIC En su boletín las TIC en las empresas [Internet]. [Citada 2011 Octubre 20]. Disponible desde: http://www.serviciostic.com/las-tic/las-tic-en-las-empresas.html 24.- Wikipedia ERP - Enciclopedia libre, planificación de recursos empresariales. [Internet]. [Citada 2011 Octubre 20]. Disponible desde: http://es.wikipedia.org/wiki/Planificaci%C3%B3n_de_recursos_empres ariales 25.- Stallman R 2004 - Software Libre para una Sociedad Libre. 1 ed. España: Editores traficantes de sueños; 2004. 26. - Slywotzky A, Morrison D. 2001 - Becoming a digital business: it's not about technology. Strategy & Leadership. Southwestern college. 2001; 1(17): 4. 27. - Cobit - Comité directivo de Cobit y el IT Governance Institute. Resúmen ejecutivo. 3ra. Edición. Copyright 1996, 1998, 2000, de la information systems audit and control foundation (ISACF). 28. - Comité directivo de COBIT y el IT Governance Institute. Directrices gerenciales. 3ra. Edición. Julio 2000. Copyright de la information systems audit and control foundation (ISACF). 29.- Comité directivo de COBIT y el IT Governance Institute -. COBIT 4.1. Copyright 2007 de la information systems audit and control foundation (ISACF). 30.- An introductory overview of ITIL V3. Alison Cartlidge y otros. The UK chapter of the it SMF. 2007 Comité directivo de COBIT y el IT Governance Institute.
Directrices de auditoría. 2ra. Edition. Abril
94
1998. Copyright de la information systems audit and control foundation (ISACF). 31.- Boletín 54, 10de mayo 2007: COBIT: Modelo para auditoría y control de sistemas de información. [Internet]. [Citada 2011 Octubre 20]. Disponible desde: http://www.eafit.edu.co/escuelas/administracion/consultoriocontable/Documents/boletines/auditoria-control/b13.pdf 32.- Hernández R, Fernández C, Baptista P. - Metodología de la investigación. 4 ed. México: McGraw – Hill interamericana; 2006. 33.- IT Governance Institute. Manual de Cobit 4.0 traducido al español. 1996,1198, 2000, 2005 ed. México.
95
ANEXOS A.-Cronograma de trabajo
96
B.- PRESUPUESTO Proyecto: "Perfil de la adquisición e implementación de las tecnologías de información y comunicaciones (TIC) en la empresa prestadora de servicios E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011". Localidad: Arequipa. Ejecutor: Bach. César Andre Ccarcasi Esquivias.
RUBRO
UNID.
CANT.
COSTO UNIT.
COSTO PARCIAL
VIATICOS Y ASIGNACIONES
800
Movilidad
Días
40
10
400
Asignaciones
Días
40
10
400
ALIMENTOS POR PERSONA
200
Refrigerio
Días
15
5
75
Almuerzo
Días
25
5
125
SERVICIOS
452.5
Copias
Unidad
155
0.5
77.5
Copias otros
Unidad
5
75
375
MATERIAL DE ESCRITORIO Hojas bond A4
Millar
2
COSTO TOTAL
12
24 24
OTROS
400
TOTAL INVERSIÓN
S/.1876.5
C.- FINANCIAMIENTO Con recursos propios.
97
D.- CUESTIONARIOS
Facultad de Ingeniería Escuela de Ingeniería de Sistemas
INSTRUCCIONES: A.- Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta. Ejemplo: 1. Existe un método de monitoreo? a) No existe método de monitoreo. b) El método de monitoreo se utiliza de manera informal c) Existe un método de monitoreo con técnicas tradicionales no documentadas --> d) El método de monitoreo está definido en un procedimiento documentado e) El proceso del método de monitoreo es controlado y auditado f) El proceso del método de monitoreo está automatizado B.- Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no mide el grado de tecnología utilizado.
98
DOMINIO: ADQUIRIR E IMPLEMENTAR AI01. Identificación de Soluciones Automatizadas 1. Se identifican claramente los requerimientos de soluciones. a) No se identifican b) Se identifican por intuición. c) Se usa técnicas tradicionales para identificar d) Utiliza procedimientos documentados e) El proceso de identificación es monitoreado f) Se implementan las mejores técnicas de identificación de acuerdo a las normas, estándares y buenas prácticas. Está automatizado. 2. Se cuenta con un plan de soluciones alternativas. a) No existen planes alternativos b) Los planes son ad hoc o se improvisan c) Las soluciones alternativas se aplican en forma desordenada y no están alineados a los objetivos de la organización. d) Las soluciones se define con procesos documentados. e) Las soluciones alternativas están monitoreados. f) Las soluciones están dentro de las buenas prácticas.
Está
automatizado. 3. Se cuenta con una estrategia de adquisiciones. a) No existen estrategias de adquisiciones b) Las estrategias son ad hoc o se improvisan c) Las estrategias se aplican en forma desordenada y no están alineados a los objetivos de la organización. d) Las estrategias se definen con procesos documentados. e) Las estrategias de adquisiciones están monitoreados. f) La estrategia de adquisiciones cumplen con las normas, estándares y buenas prácticas. Está automatizado.
4. Para identificar soluciones se realiza estudios de factibilidad técnica. a) No se realizan estudios previos b) La factibilidad técnica se improvisan c) Las factibilidades técnicas no están alineados a los objetivos de la organización. d) Las factibilidades técnicas se definen con procesos documentos. e) Las factibilidades técnicas están monitoreados.
99
f) Las factibilidades técnicas cumplen con las normas, estándares y buenas prácticas. Está automatizado. 5. Para identificar soluciones se realiza estudios de factibilidad económica. a) No se realizan estudios previos b) Las factibilidades económicas se improvisan c) No están alineados a los objetivos de la organización. d) Se definen con procesos documentados. e) Las factibilidades económicas están monitoreados. f) Las factibilidades económicas cumplen con las normas, estándares y buenas prácticas. Está automatizado. 6. La arquitectura de la información es considerada en la identificación de soluciones. a) No existe arquitectura de la información b) Es considerada de manera informal c) La arquitectura de la información no está alineada a los objetivos de la organización, no se documenta. d) Existe, está alineada, definida y documentada. e) La arquitectura de la información es monitoreada f) Se implementa las mejores prácticas y es considerada. Está automatizado. 7. Es considerada la Ergonomía en la identificación de soluciones.
a) No se considera b) La ergonomía se considera de manera informal c) La ergonomía se considera siguiendo técnicas tradicionales no documentadas. d) El proceso que considera la ergonomía está documentado e) El proceso que considera la ergonomía está monitoreado f) El proceso que considera la ergonomía sigue buenas prácticas y está automatizado.
8. Existe un control del abastecimiento de soluciones.
a) No existe b) Existe pero no se aplica el control efectivamente c) El control no se alinea a los objetivos de la organización d) El control está debidamente documentado
100
e) El control es correctamente monitoreado f) El control cumple con las normas, estándares y buenas prácticas. Está automatizado. 9. Existe un plan de mantenimiento de software por terceras personas. a) No existe b) Los procesos son improvisados c) Existe un patrón de mantenimiento del software d) Los procesos solo se documentan e) El plan está alineado parcialmente a los objetivos de la organización. f) El plan se realiza de acuerdo a las normas, estándares y buenas prácticas satisfaciendo los objetivos de la organización. Está automatizado. 10.
Existe
procedimientos
o
normas
de
aceptación
de
las
Tecnologías. a) No existen b) No están normados, se improvisan. c) Existen los procedimientos siguiendo un patrón, no están alineados a los objetivos de la organización y no se documentan d) Los procedimientos están definidos y se documentan. e) Los procedimientos son monitoreados y medibles. f) Los procedimientos están alineados adecuadamente a los objetivos de la organización y cumplen con las buenas prácticas. Está automatizado.
101
AI02. Software Aplicativo 1. Se aplica la misma metodología para el desarrollo de software nuevo que para mantenimiento de software existente. a) No existe b) Se aplican metodologías ad-hoc o se improvisan c) Se tiene documentada metodología pero no se utilizan d) La metodología se encuentra debidamente documentada e) La metodología se monitorea permanentemente f) La metodología está alineada con los objetivos del negocio y utiliza buenas prácticas. Está automatizado. 2. Existe un registro de los cambios significativos a sistemas actuales. a) No existe b) Se usa técnicas tradicionales no estandarizadas c) Se usa técnicas basado en la experiencia / intuitivo. d) El registro está debidamente documentada y difundida e) El registro es monitoreado permanentemente f) El registro cumple las normas, estándares y buenas prácticas. Está automatizado. 3. Las especificaciones de diseño son debidamente aprobadas. a) No existe este procedimiento b) No se aprueban c) Existe procedimiento de aprobación alineado a los objetivos del negocio. d) Existe procedimiento de aprobación debidamente documentando e) El procedimiento de aprobación es monitoreado f) La aprobación se realiza en base a los estándares y buenas prácticas. Está automatizado. 4. Se definen y documentan los Requerimientos de Archivos.
a) No existe este procedimiento b) Se define pero no se documentan c) Se define y documenta de acuerdo los objetivos del negocio. d) Existe procedimiento de aprobación debidamente documentando e) Estos procedimientos son monitoreado f) Se realizan en base a las normas, estándares y buenas prácticas. Está automatizado.
102
5. Se definen las especificaciones de Programas. a) No se definen b) La definición son improvisadas o ad-hoc c) La validación de especificaciones siguen un patrón regular d) La definición de especificaciones se documentan y comunican e) Las especificaciones son monitoreados y medibles f) La definición de las especificaciones están basadas en las buenas prácticas. Está automatizado. 6. Se aplica un diseño para la recopilación de datos.
a) No existe b) Existe pero muchas veces no se aplica c) El diseño existe y sigue un patrón regular d) El diseño de recopilación de datos se documenta y comunica e) Los procesos son monitoreados y medibles f) El diseño se basa en los estándares y buenas prácticas. Está automatizado.
7. Se definen las interfaces con anterioridad.
a) No se definen b) La definición de interfaces son improvisadas o ad-hoc c) Las interfaces son definidas pero no aplicadas d) Las interfaces siguen un patrón definido e) Los procesos son monitoreados en forma permanente f) Los procesos están basados en los estándares y buenas prácticas. Está automatizado.
8.
Se
han
definido
y
documentado
los
requerimientos
de
procesamiento.
a) No se han definido b) Los niveles de seguridad son ad-hoc c) Los niveles de seguridad siguen un patrón d) Los procesos de seguridad se documentan e) Los procesos se monitorean y se miden f) Se implementan las mejores prácticas para definir y documentar
103
los requerimientos de procesamiento. Está automatizado.
9. Se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificación de sistemas. a) No existe estos mecanismos de control y seguridad b) Los mecanismos de control y seguridad son ad-hoc c) Los mecanismos de control y seguridad no son apropiados d) Los procesos de control y seguridad se documentan e) Los procesos de control y seguridad se monitorean y se miden. f) Los procesos de control y seguridad son los apropiados para cada proyecto nuevo o modificación. Está automatizado. 10. Se preparan manuales adecuados de soporte y referencia para usuarios como parte del proceso de desarrollo o modificación de cada sistema. a) No se preparan b) Se preparan de forma improvisada, ad-hoc y desorganizados c) Los manuales siguen un patrón regular d) Los manuales están debidamente alineados a los objetivos de la organización e) El proceso de preparación de manuales es monitoreado. f) Se preparan cumpliendo estándares y las buenas prácticas. Está automatizado.
104
AI03. Infraestructura Tecnológica 1. Existe un plan de adquisición de Infraestructura Tecnológica. a) No existe b) Existe en un nivel inicial Ad-hoc c) No existe un plan o estrategia definida son intuitivos. d) El plan está alineado con los objetivos del negocio e) El plan adquisición está bien organizado y es monitoreado f) El plan es preventivo se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas. Está automatizado.
2. El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI.
a) No está alienado b) Existe un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura. c) La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos. d)
Existe
un
plan
de
infraestructura
tecnológica
definido,
documentado y bien difundido. e) Se han incluido buenas prácticas internas en el proceso f) El plan de infraestructura está alineado a los planes estratégicos y buenas prácticas. Está automatizado.
3. Existen políticas de limitación para la posibilidad de acceso al software.
a) No existen b) Existen en un nivel inicial Ad-hoc c) No existen políticas definidas son intuitivos. d) Estas políticas están alineadas con los objetivos del negocio e) Las políticas de limitación están organizadas y monitoreadas f) El proceso se alinea con los objetivos del negocio y se ha desarrollado basado en los estándares y buenas prácticas. Está automatizado.
4. El software es instalado y mantenido de acuerdo a los
105
requerimientos. a) No existe esta política b) Es instalado en forma ad-hoc c) Se realizan los procesos utilizando técnicas tradicionales d) Estos procesos se encuentran documentados e) Estos procesos son monitoreados f) Estos procesos son verificados, alineados a las políticas del negocio y a las buenas costumbres. Está automatizado.
5. Existen procedimientos para el mantenimiento preventivo de hardware. a) No existe b) Existe en un nivel inicial Ad-hoc c) No existe procedimientos definidos son intuitivos. d) Los procedimientos está alineado con los objetivos del negocio e) Los procedimientos están bien organizados y monitoreados f) El procedimientos se alinean con los objetivos del negocio y se han desarrollado basado en las buenas prácticas. Está automatizado. 6.
Se
logra
mantener
la
Infraestructura
de
TI
integrada
y
estandarizada.
a) No existe b) La integración y estandarización son iniciales c) Las estrategias siguen un patrón tradicional intuitivamente d) Las estrategias se documentan y comunican e) Las estrategias son debidamente monitoreadas f) La integridad y estandarización
están alineadas a la dirección
tecnológica y a las buenas prácticas. Está automatizado.
7. El plan de infraestructura tecnológica considera la agilidad de las TI.
a) No existe b) No existe estrategias de agilidad o son iniciales. c) Las estrategias de agilidad sigue un patrón tradicional d) Las estrategias se agilizan, se documentan y comunican e) Las estrategias son monitoreadas
106
f) La agilidad de las TI está alineado a la dirección tecnológica y a las buenas prácticas. Está automatizado.
8. Los planes de adquisición de Infraestructura Tecnológica satisfacen
las
necesidades
identificadas
en
el
plan
de
infraestructura tecnológica. a) No existe b) La satisfacción es parcial e intuitiva c) Los planes de adquisición siguen un patrón regular d) Los planes de adquisición se documentan y comunican e) La adquisición de IT son monitoreados f) Se implementa las mejores prácticas en la adquisición de IT. Está automatizado. 9. Todos los cambios en la Infraestructura son controlados de acuerdo con los procedimientos. a) No existe b) Los procesos son ad-hoc y desorganizados c) Los procesos son intuitivos d) Los procesos se documentan y comunican e) Los procedimientos y políticas son monitoreados f) Los cambios se controlan de acuerdo a los estándares y a las buenas prácticas. Está automatizado.
107
AI04. Operación y Uso 1. Se elaboran manuales de usuario para el uso de los sistemas. a) No existen b) Los manuales se elaboran de forma ad-hoc c) Los manuales son elaborados en forma intuitivos/experiencia d) Los manuales se documentan y se comunican e) Los manuales son debidamente monitoreados f) Los manuales son elaborados de acuerdo a los estándares y a las buenas prácticas. Está automatizado. 2.- Se realizan sesiones de entrenamiento previo para el uso de sistemas. a) No existen b) Los entrenamientos se realizan de forma ad-hoc c) Los entrenamientos se realizan en forma intuitiva d) Los entrenamientos se documentan y se difunden e) Los entrenamientos se monitorean f) Los entrenamientos se realizan de acuerdo a los estándares y a las buenas prácticas. Está automatizado. 3.- Los manuales de usuario se actualizan de acuerdo a las modificaciones a los sistemas. a) No existen actualizaciones a los manuales b) Las actualizaciones a los manuales se realizan ad-hoc c) Las actualizaciones a los manuales se realizan en forma intuitiva por experiencia d) Las actualizaciones a los manuales se realizan y se difunden e) Las actualizaciones a manuales son monitoreados f) Las actualizaciones cumplen con los estándares y con las buenas prácticas. Está automatizado. 4. Se elabora y entrega material de entrenamiento. a) No existe material b) El material es realizado parcialmente / ad-hoc c) El material es elaborado siguiendo un patrón por experiencia d) El material se documenta y se difunden e) Los materiales de entrenamiento son monitoreados f) Los materiales cumplen con los objetivos del negocio, los estándares y con las buenas prácticas. Está automatizado. 5. Se garantiza la satisfacción del usuario final con buen nivel de
108
servicio. a) No existe este procedimiento b) Se garantiza en forma parcial ad-hoc c) Se garantiza basados en la experiencia en forma intuitiva d) La satisfacción del cliente está alineada a los objetivos organizacionales e) La satisfacción del usuario es monitoreado f) La satisfacción del usuario está alineado a los objetivos organizacionales y de acuerdo a las buenas prácticas. Está automatizado. 6. Existen procedimientos de respaldo al realizarse una terminación anormal. a) No existe b) Se realiza en forma parcial ad-hoc c) Se realiza en forma intuitiva d) Los procedimientos están definidos y alineados a los objetivos organizacionales e) Los procedimientos de respaldo son monitoreados f) Los procedimientos de respaldo están acuerdo a las buenas prácticas. Está automatizado. 7. Existen procedimientos de reinicio y recuperación de datos. a) No existe b) Se realiza en forma parcial ad-hoc c) Se realiza en forma intuitiva d) Los
procedimientos
están
definidos
y
alineados
a
los
objetivos organizacionales y se encuentran documentados e) Los procedimientos reinicio y recuperación son monitoreados f) Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado. 8. Existen planes de contingencia ante una posible pérdida de información de los sistemas. a) No existe b) La contingencia se realiza en forma parcial ad-hoc c) Se realiza en forma intuitiva basadas en la experiencia d) Los planes de contingencia están definidos y alineados a los objetivos organizacionales e) Los planes de contingencia son monitoreados y medibles f) Los planes de contingencia son óptimos y están basados en las
109
buenas prácticas. Está automatizado. 9. Se establecen contratos de soporte con personal especializado. a) No existen b) El soporte se realiza ad-hoc y sin control c) El soporte está basado en la forma intuitiva y en la experiencia d) El soporte se alinea a los objetivos organizacionales e) El soporte es monitoreados por personal especializado f) Los contratos de soporte son óptimos y están basados en las buenas prácticas. Está automatizado. 10.Se realizan estadísticas del uso y operación de los sistemas para que sirvan de base a nuevas implementaciones. a) No existe este proceso b) El proceso se realiza en forma inicial y desorganizada c) Las estadísticas se realizan en forma intuitiva/experiencia d) Las estadísticas se alinean a los objetivos organizacionales e) Las estadísticas son monitoreados por personal especializado f) Las estadísticas son óptimas y cumplen las buenas prácticas. Está automatizado.
110
AI05. Adquirir Recursos de TI 1. Existe un control sobre las adquisiciones de Recursos de TI. a) No existe b) Se realiza en forma parcial ad-hoc c) Se realiza en forma intuitiva d) El control está definido y alineado a los objetivos organización e) El control sobre las adquisición son monitoreados f) Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado.
2. Se aplican políticas que garanticen la satisfacción de los requerimientos del negocio.
a) No se aplican b) Se aplican en forma parcial ad-hoc c) Se aplican en forma intuitiva basados en la experiencia d) Las políticas están definidas y documentadas e) Las políticas son monitoreados por los especialistas del área f) Las políticas están alineadas con los objetivos del negocio y están implementadas
basadas
en
las
buenas
prácticas.
Está
automatizado.
3. Se utiliza control sobre los servicios contratados que estén alineados a los objetivos de la organización. a) No existe el control b) Se aplica en forma parcial ad-hoc c) Se aplica en forma intuitiva pero desordenada d) El control sobre los servicios están definidos y documentadas e) Los controles son monitoreados por los especialistas del área f) Los controles están alineadas a los objetivos organizacionales y están implementadas basadas en las buenas prácticas. Está automatizado. 4. Existe procedimientos para establecer, modificar y concluir contratos que apliquen a todos los proveedores. a) No existe b) Los procesos son ad-hoc y desorganizados c) Los procesos siguen un patrón regular d) Las políticas se documentan y comunican
111
e) Las políticas y procedimientos se monitorean f) Se implementa las mejores prácticas en la preparación de estos procedimientos. Está automatizado. 5. Está definido la revisión de contratos por parte del área legal y de TI.
a) No existe b) Los contratos se realizan en forma particular para cada caso c) Los contratos siguen un patrón basados en la experiencia d) Los contratos se documentan y se comunican e) Los contratos son monitoreados por los responsables f) Se implementa las mejores
prácticas para la revisión de los
contratos con proveedores o terceros. Está automatizado.
6. Existe una práctica justa y formal para garantizar que la selección de proveedores sea la mejor.
a) No existe b) La selección de proveedores no es la adecuada c) La selección sigue un patrón regular d) La selección se encuentra debidamente documentada e) El proceso de selección es monitoreado f) Se ha implementado las mejores prácticas para garantizar que la selección de proveedores sea la mejor. Está automatizado. 7. En los contratos con proveedores se considera claramente los requerimientos de los usuarios. a) No son considerados b) Son considerados parcialmente c) Se consideran en forma muy general bajo un patrón regular d) Se consideran detalladamente y se documenta e) Los requerimientos y el contrato son monitoreados f) Se usa las mejores prácticas para garantizar que en los contratos se consideren los requerimientos de los usuarios. Está automatizado. 8. En la adquisición de software se garantiza que se protegen los intereses de la organización en todos los acuerdos contractuales. a) No se protegen b) Se protegen en forma parcial y particular
112
c) La protección se realiza bajo un patrón regular d) La protección está alineada a los objetivos organizacionales e) Las protección es monitoreada por el área respectiva f) Se implementa las mejores prácticas para garantizar que se protejan los intereses de la organización. Está automatizado. 9. Existen políticas para hacer cumplir la propiedad y licenciamiento de propiedad intelectual. a) No existen b) Existen políticas en forma parcial / ad-hoc c) Las políticas se aplican bajo un patrón regular d) Existen y están alineadas a los objetivos organizacionales e) Estas políticas son monitoreadas por el área respectiva f) Se implementa las mejores prácticas para garantizar que se cumplan con la propiedad intelectual. Está automatizado. 10. Están bien definidos los procedimientos y estándares de adquisición de los recursos de TI. a) No existen b) Están definidos pero se aplican parcialmente / ad-hoc c) Los procedimientos siguen un patrón regular d) Los procedimientos se documentan y comunican e) Los procedimientos son monitoreados y se miden f) Se implementa las mejores prácticas para garantizar que se defina procedimientos y estándares de adquisición. Está automatizado.
113
AI06. Administración de cambios 1.
Existe
y
se
utiliza
una
metodología
para
priorizar
los
requerimientos de cambios. a) No existen b) Los requerimientos se realizan ad-hoc y desordenados c) Los requerimientos se realizan de forma intuitiva/experiencia d) Los requerimientos se alinea a los objetivos organizacionales e) Los requerimientos son monitoreados permanentemente f) La prioridad de requerimientos se basan en buenas prácticas. Está automatizado. 2. Se consideran procedimientos de cambios de emergencia en manuales de operaciones. a) No existen b) El procedimiento se realiza ad-hoc c) Los cambios de emergencia se realizan en forma intuitiva d) El procedimiento se alinea a los objetivos organizacionales e) Los cambios de emergencia se documentan y monitorean f) Este procedimiento se basan en buenas prácticas. Está automatizado. 3. La bitácora de control de cambios asegura que todos los cambios mostrados fueron resueltos. a) No existe bitácora de control b) Las bitácoras de control son ad-hoc c) Las bitácoras se adecuan a un patrón regular y son intuitivas d) Las bitácoras de control están documentadas y se comunican e) El proceso de cambios son monitoreados por los especialistas f) La bitácora de control de cambios se adecua a los estándares y las buenas prácticas. Está automatizado. 4. Existen procedimientos de entradas y salidas para cambios. a) No existen b) Los procedimientos son ad-hoc y desorganizados c) Las políticas y procedimientos sigue un patrón d) Los procedimientos se documentan y comunican e) Las políticas y procedimientos se monitorean adecuadamente f) Los procedimientos de entrada y salidas se implementan basados en las mejores prácticas. Está automatizado.
114
5. Los usuarios tienen conciencia de la necesidad de cumplir procedimientos formales de control de cambios. a) No existe b) Los usuarios cumplen eventualmente / ad-hoc c) Los procedimientos de los usuarios siguen un patrón regular d) Los usuarios documentan y comunican el control de cambios e) El cumplimiento de los usuarios es monitoreado f) Los usuarios cumplen los procedimientos de acuerdo a los estándares y buenas prácticas en forma optimizada. Está automatizado. 6. Los tipos de análisis de cambios realizados al sistema, identifica las tendencias organizacionales. a) No existe b) Los procedimientos de cambios son ad-hoc c) Los procedimientos de cambios siguen un patrón regular d) Los procedimientos se documentan e) Los procedimientos se monitorean y se miden f) Se implementan con las mejores prácticas identificación
de
las
tendencias
para asegurar la
organizacionales.
Está
automatizado. 7. El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento y efectividad en el tiempo de respuesta. a) No existe b) Los procesos se dan de manera ad-hoc c) Los procesos de estándares siguen un patrón d) Los procesos de cambios documentan e) Los procesos se monitorean y miden f) Se implemente las mejores prácticas para lograr mejoras en el conocimiento y efectividad en el tiempo de respuesta. Está automatizado. 8. El usuario está satisfecho con el resultado de los cambios solicitados - calendarización y costos. a) No existe b) La satisfacción se da de manera ad-hoc c) La satisfacción sigue un patrón d) Quedan satisfechos y los documentan e) Los procesos se monitorean y miden f) Se implementa las mejores prácticas para definir estándares,
115
directivas políticas relacionados con TI. Está automatizado. 9. El proceso de administración de cambios está orientado a alcanzar los objetivos organizacionales. a) No existe b) Los procesos son ad-hoc y desorganizados c) Los procesos sigue un patrón regular d) Las procesos se documentan y se comunican e) La administración de cambios se monitorean y miden f) Están alineados a los objetivos de la organización y están implementados basados en los estándares y buenas prácticas. Está automatizado. 10. Se aplican mediciones contra organizaciones de buenas prácticas sobre la administración de cambios. a) No existe b) Se aplican mediciones eventualmente en forma desordenada c) Las mediciones siguen un patrón regular d) Las mediciones se documentan y se comunican e) Las mediciones se monitorean y se aplican f) Se implementa las mejores prácticas para desarrollar y promulgar políticas
comparando
con
organizaciones
externas.
Está
automatizado.
116
AI07. Instalación y Acreditación de soluciones y cambios 1. Existen políticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas. a) No existe estos procedimientos b) Se establecen estas políticas en forma parcial c) El proceso del ciclo de vida sigue un patrón regular d) Existe políticas y procedimientos y se documentan e) Existen políticas y procedimientos y son monitoreados f) Se implementa las mejores prácticas en la implementación de políticas y procedimientos. Está automatizado. 2. Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo. a) No existe entrenamiento de usuarios b) Se realizo el entrenamiento en forma parcial / ad-hoc c) Los entrenamientos siguen un patrón regular d) Los entrenamientos se documentan y se miden e) Los entrenamientos son monitoreados por el área de TI f) Se implementa las mejores prácticas para garantizar que los entrenamientos de usuarios este alineada a los objetivos organizacionales. Está automatizado. 3. Existen metodologías de prueba antes de las instalaciones. a) No existe b) Las metodologías son ad-hoc y desorganizados c) Las metodologías siguen un patrón regular d) Las metodologías se documentan y se comunican e) Las metodologías se monitorean y miden f) Están alineadas a los objetivos de la organización, están implementadas basados en los estándares y buenas prácticas. Está automatizado. 4. Existen varias librerías de desarrollo, prueba y producción para los sistemas en proceso. a) No existen b) Existen pero son ad-hoc y desorganizadas c) Existen y siguen un patrón regular d) Existen , están debidamente documentadas y se comunican e) Existen y son monitoreados por los especialistas del área f) Existen y están alineadas a los objetivos de la organización,
117
han
sido implementadas
bajo
las
buenas prácticas. Está
automatizado. 5. Existen criterios predeterminados para probar el acierto, las fallas y la terminación de tentativas futuras. a) No existen b) Existen pero son ad-hoc y desorganizadas c) Existen y siguen un patrón regular d) Existen, están debidamente documentadas y se comunican e) Existen y son monitoreados por los especialistas del área f) Existen y están alineadas a los objetivos de la organización, han
sido implementadas
bajo
las
buenas prácticas. Está
automatizado. 6. Los planes de prueba para simulación de volúmenes, intervalos de proceso y disponibilidad y acreditación de salidas forman parte del proceso. a) No existen b) Existen pero son ad-hoc y desorganizadas c) Los planes siguen un patrón regular d) Los planes están debidamente documentadas y se comunican e) Los planes son monitoreados por los especialistas del área f) Están alineados a los objetivos de la organización,
forman parte
del proceso y se basan en las buenas prácticas. Está automatizado. 7. Se ha establecido un ambiente de prueba separado para pruebas y cumple con seguridad, controles internos y cargas de trabajo para permitir pruebas acertadas. a) No existen b) Las pruebas se realizan en ambientes improvisados c) Existe el ambiente y las pruebas siguen un patrón regular d) Existe ambiente y cumple con los objetivos organizacionales e) El ambiente es monitoreado por los especialistas del área f) Están alineados a los objetivos de la organización,
cumple con
los requisitos y se basan en las buenas prácticas. Está automatizado. 8. Los propietarios de los sistemas llevan a cabo una verificación detallada del proceso inicial del nuevo sistema para confirmar una transición exitosa. a) No existen
118
b) Se realiza la verificación pero en forma parcial / ad-hoc c) Se realiza la verificación siguiendo un patrón regular d) Se realiza la verificación documentándola y comunicándola e) Este proceso es monitoreados por los especialistas del área f) Se realizan, están alineadas a los objetivos de la organización y han sido
implementadas bajo las buenas prácticas. Está
automatizado. 9. Las pruebas paralelas o piloto se consideran parte del plan. a) No existen b) Las pruebas se consideran en forma parcial / ad-hoc c) Las prueba siguen un patrón regular d) Las pruebas están debidamente documentadas e) Los procesos son monitoreados por los especialistas del área f) Están alineados a los objetivos de la organización, forman parte del plan y se basan en las buenas prácticas. Está automatizado. 10. Existen procedimientos de control para asegurar la distribución oportuna y correcta, y la actualización de los componentes aprobados de la configuración. a) No existe b) Los procedimientos de cambios son ad-hoc c) Los procedimientos de cambios siguen un patrón regular d) Los procedimientos se documentan e) Los procedimientos se monitorean y se miden f) Se implementan con las mejores prácticas
para asegurar la
distribución y correcta. Está automatizado 11. Existen procedimientos formales que aseguren la autorización, acondicionamiento,
pruebas
de
regresión,
distribución,
transferencia de control, rastreo de estatus, procedimientos de respaldo y notificación de usuario. a) No existe b) Los procedimientos de cambios son ad-hoc c) Los procedimientos de cambios siguen un patrón regular d) Los procedimientos se documentan e) Los procedimientos se monitorean y se miden f) Se implementan con las mejores prácticas
para asegurar la
distribución y correcta. Está automatizado.
119
View more...
Comments
