Memoria-iig2007-baldeon-pinoargote.pdf

Trabajo de Fin de Carrera

Modelo para Evaluación e Implementación de un Sistema de IT Governance Basado en IT BSC en la

empresa ABC

AUTORES Jorge Baldeón G.Juan C. Pinoargote

DIRECTORA DE TFC Virginia Samán, IIG

Memoria para la obtención de título deIngeniero Informático de Gestión

Guayaquil – Ecuador, Julio 17, 2007http://www.usm.edu.ec/tesis/IT-Governance/

http://www.usm.edu.ec/tesis/IT-Governance/

Trabajo de Fin de Carrera

Modelo para Evaluación e Implementación de un Sistema de IT Governance Basado en IT BSC en la

empresa ABC

AUTORES Jorge Baldeón G.Juan C. Pinoargote

DIRECTORA DE TFC Virginia Samán, IIG

Tribunal Revisor de Documento:

Firma Tribunal de Sustentación

____________

____________

____________

Guayaquil – Ecuador, Junio 17, 2007http://www.usm.edu.ec/tesis/IT-Governance/

http://www.usm.edu.ec/tesis/BaldeonPinoargote/

MESSEN IST WISSEN, (MEDIR ES SABER)-- WERNER VON SIEMENS

AGRADECIMIENTOS

A mi madre por ser fuente de inspiración, y al resto de mi familia. A mis amigos en especial los ‘Onfos’ por estos 5 años y medio. A Jorge mi compañero de tesis por el esfuerzo en el último trabajo. A iWolf, gran equipo de trabajo. Quisiera también agradecer a todos los profesores en

especial a los que nos hicieron la vida imposible pero más a los que nos dieron una mano. Por último a los que nos ayudaron con el TFC Virginia Samán, Héctor Freile y el resto de

involucrados con sus comentarios y sugerencias. Muchas Gracias.

Juan Carlos

En la culminación de mi carrera universitaria mediante este TFC quiero agradecer a: mis padres Jacqueline y Jorge por apoyarme, por darme su respaldo en absolutamente todo y por darme

las oportunidades. A mis abuelos Bella, Héctor y Cruz, que me acompaña en espíritu, por enseñarme la lucha. A mis amigos de la Universidad, los IIG, que ahora son mucho más que

compañeros y que de ellos también he aprendido mucho durante esta carrera. A mi colegio, Cristóbal Colón, que aún sigo aplicando lo que ahí aprendí. A los profesores de la Universidad,

los que fueron excelentes en enseñarnos las herramientas de la profesión y a los que nos enseñaron mucho más. A la Universidad y a mi compañero de tesis Juan Carlos. Gracias.

Jorge

RESUMEN

Siendo las tecnologías de información el núcleo de las empresas competitivas del siglo actual, aún más con el enfoque hacia las regulaciones de cumplimiento y de gestión de riesgo, las organizaciones no pueden “darse el lujo” de no tener a miras un IT Governance. El IT Governance en su definición más simple es dominar los recursos de TI para tomar decisiones que la empresa quiere. Dada esta definición TODAS las empresas tienen cierto nivel de IT Governance. El buen IT Governance asegura que las inversiones sean maximizadas, estén alineadas con la estrategia del negocio y entreguen valor, todo esto manejándose dentro del riesgo tolerable de TI. Este TFC brinda un modelo de IT Governance basándose en diferentes metodologías y mejores prácticas. Al final esperamos contar con un modelo que permita a las empresas gestionar las TI de manera que alcancen sus objetivos estratégicos.

ABSTRACT

Being Information Technologies the core of competitive companies of the present century, along with the regulations of compliance and risk management, the organizations cannot afford not having IT Governance. IT Governance at its simplest is to manage IT resources to make the decisions that the company wants. Given this definition ALL companies have a certain level of IT Governance. Good IT Governance assures that the investments are maximized, that they are aligned with business strategy and that they return value, all this considering the tolerable risk.This work offers an IT Governance model based on different methodologies and best practices. In the end deliver model that allows companies manage IT so they can reach their strategic goals

LISTA DE CONTENIDOS

Capítulo 1 Introducción ............................................................................................... 25

1.1 El Problema...................................................................................................... 26

1.2 Objetivos del TFC ............................................................................................. 27

1.3 Desarrollo del TFC ............................................................................................ 28

1.5 Estado del Arte................................................................................................. 29

Capítulo 2 Importancia del control de Tecnologías de Información ......................... 33

2.1 Definición de IT Governance............................................................................. 33

2.2 Casos de Éxito de Implementación de IT Governance ....................................... 41

Capítulo 3 Modelo para la Implementación de IT Governance utilizando el IT BSC 45

3.1 ¿Dónde es aplicable la metodología?................................................................. 45

3.2 La metodología MITG ....................................................................................... 46

Capítulo 4 Aplicación del Modelo de Implementación de IT Governance ................. 57

4.1 De la aplicación del modelo .............................................................................. 57

4.2 Presentación de Modelo de Evaluación.............................................................. 57

4.3 Aplicación del Modelo ....................................................................................... 58

Capítulo 5 Conclusiones............................................................................................... 79

De la Investigación ..................................................................................................... 79

Del IT Governance...................................................................................................... 79

De los estándares Internacionales ............................................................................... 80

De la evaluación de desempeño en la Empresa ABC .................................................... 81

Fallas encontradas en la Aplicación de la metodología MITG........................................ 81

Recomendaciones para proyectos de implementación de IT Governance ..................... 82

Pronósticos y Tendencias ............................................................................................ 83

Referencias y Bibliografía............................................................................................ 87

Glosario ........................................................................................................................ 93

Anexo 1 Balanced Scorecard (Cuadro de Mando Integral)........................................ 97

Balanced Scorecard (BSC)........................................................................................... 97

Principios del BSC ....................................................................................................... 98

Anexo 2 IT Balanced Scorecard (CMI para las TI) ................................................... 103

Relación con el BSC tradicional...................................................................................103

Anexo 3 Procesos de Tecnologías de Información según COBIT 4.1 ...................... 105

Anexo 4 Objetivos de TI genéricos por perspectiva en el IT BSC............................ 107

Anexo 5 Priorización de los Procesos de TI .............................................................. 109

Anexo 6 Asociación de Objetivos de TI con los Procesos......................................... 113

Anexo 7 Traducciones de citas en el texto ............................................................... 115

Del Capítulo 2 ............................................................................................................115

Del Capítulo 3 ............................................................................................................116

Apéndice 1 Antecedentes de la empresa ABC .......................................................... 119

Empresa ABC.............................................................................................................119

Apéndice 2 Plantilla de presentación introductoria ................................................. 121

Apéndice 3 DT01–ObjetivosTI................................................................................... 123

Apéndice 4 Base Bibliográfica ................................................................................... 129

LISTA DE CONTENIDOS DETALLADA

Capítulo 1 Introducción ............................................................................................... 25

1.1 El Problema...................................................................................................... 26

Síndrome de Hoyo Negro ....................................................................... 27

1.2 Objetivos del TFC ............................................................................................. 27

1.3 Desarrollo del TFC ............................................................................................ 28

1.3.1 Organización del Documento .............................................................. 28

1.3.2 Recopilación de Conocimiento ............................................................ 28

1.3.3 Selección de la Empresa ..................................................................... 29

1.5 Estado del Arte................................................................................................. 29

1.4.1 Mapa Conceptual................................................................................ 29

1.4.2 Marco Referencial............................................................................... 30

1.4.3 Marco Teórico .................................................................................... 30

Gobernabilidad Corporativa .................................................................... 30

La Crisis Económica de Asia del Este....................................................... 30

La Crisis Corporativa Americana del 2001-2002....................................... 30

Sarbanes-Oxley Act of 2002 ................................................................... 31

Basel II .................................................................................................. 31

Capítulo 2 Importancia del control de Tecnologías de Información ......................... 33

2.1 Definición de IT Governance............................................................................. 33

2.1.1 ¿Por qué las TI Necesitan un Gobierno?.............................................. 35

2.1.2 Propuesta de IT Governance .............................................................. 37

Mejores Prácticas ................................................................................... 39

2.1.3 ¿Qué pueden hacer las empresas al respecto? .................................... 41

2.2 Casos de Éxito de Implementación de IT Governance ....................................... 41

2.2.1 Caso 1: UPS............................................................................................. 42

2.2.2 Caso 2: Canadian Tire Financial Services .................................................. 43

Capítulo 3 Modelo para la Implementación de IT Governance utilizando el IT BSC 45

3.1 ¿Dónde es aplicable la metodología?................................................................. 45

3.2 La metodología MITG ....................................................................................... 46

3.2.1 Reconocimiento de la necesidad de ITG.............................................. 47

3.2.2 Entender y afinar la estrategia de negocio .......................................... 48

3.2.3 Planificar la iniciativa .......................................................................... 48

3.2.4 Formalizar la Estrategia de TI ............................................................. 49

Selección de objetivos utilizando la herramienta SMART.......................... 50

3.2.5 Elaborar Mapa Estratégico y Definir Indicadores ................................. 51

Mapas estratégicos................................................................................. 51

Establecer Indicadores ........................................................................... 51

3.2.6 Evaluación de Desempeño.................................................................. 54

3.2.7 Analizar gaps entre lo deseado y lo actual .......................................... 54

3.2.8 Implementar cambios......................................................................... 55

3.2.9 Evaluación de desempeño .................................................................. 55

Capítulo 4 Aplicación del Modelo de Implementación de IT Governance ................. 57

4.1 De la aplicación del modelo .............................................................................. 57

4.2 Presentación de Modelo de Evaluación.............................................................. 57

4.3 Aplicación del Modelo ....................................................................................... 58

4.3.1 Formalizar la estrategia de TI ............................................................. 58

4.3.2 Elaborar Mapa Estratégico y Definir Indicadores ....................................... 61

Creación de indicadores de desempeño .................................................. 63

Selección de Indicadores ........................................................................ 68

4.3.3 Evaluación Desempeño....................................................................... 75

4.3.4 Analizar gaps entre lo deseado y lo actual .......................................... 76

Propuestas en base a la evaluación de desempeño ................................. 77

Problemas en la Evaluación de Desempeño ............................................ 77

Capítulo 5 Conclusiones............................................................................................... 79

De la Investigación ..................................................................................................... 79

Del IT Governance...................................................................................................... 79

De los estándares Internacionales ............................................................................... 80

De la evaluación de desempeño en la Empresa ABC .................................................... 81

Fallas encontradas en la Aplicación de la metodología MITG........................................ 81

Recomendaciones para proyectos de implementación de IT Governance ..................... 82

Pronósticos y Tendencias ............................................................................................ 83

Referencias y Bibliografía............................................................................................ 87

Glosario ........................................................................................................................ 93

Anexo 1 Balanced Scorecard (Cuadro de Mando Integral)........................................ 97

Balanced Scorecard (BSC)................................................................................. 97

Perspectiva Financiera ............................................................................ 97

Perspectiva Clientes ............................................................................... 97

Perspectiva de Procesos Internos del Negocio......................................... 97

Perspectiva de Aprendizaje y Crecimiento ............................................... 97

Beneficios y riesgos .......................................................................................... 98

Principios del BSC ....................................................................................................... 98

Relaciones Causa-Efecto ................................................................................... 99

Inductores de desempeño ................................................................................ 99

Alineación Financiera ........................................................................................ 99

Mapa Estratégico .............................................................................................. 99

Anexo 2 IT Balanced Scorecard (CMI para las TI) ................................................... 103

Relación con el BSC tradicional...................................................................................103

Contribución a la Empresa.....................................................................103

Orientación al cliente.............................................................................103

Excelencia Operacional ..........................................................................103

Orientación futura .................................................................................103

Anexo 3 Procesos de Tecnologías de Información según COBIT 4.1 ...................... 105

Anexo 4 Objetivos de TI genéricos por perspectiva en el IT BSC............................ 107

Anexo 5 Priorización de los Procesos de TI .............................................................. 109

Anexo 6 Asociación de Objetivos de TI con los Procesos......................................... 113

Anexo 7 Traducciones de citas en el texto ............................................................... 115

Del Capítulo 2 ............................................................................................................115

Del Capítulo 3 ............................................................................................................116

Apéndice 1 Antecedentes de la empresa ABC .......................................................... 119

Empresa ABC.............................................................................................................119

Productos..............................................................................................119

Tamaño de la empresa..........................................................................120

Apéndice 2 Plantilla de presentación introductoria ................................................. 121

Apéndice 3 DT01–ObjetivosTI................................................................................... 123

Apéndice 4 Base Bibliográfica ................................................................................... 129

ÍNDICE DE TABLAS

Tabla 1. Organización del TFC por capítulos............................................................... 28

Tabla 2. Mayores fuentes de información................................................................... 29

Tabla 3. Principios de IT Governance por autor ......................................................... 35

Tabla 4. Efectos en el tiempo de una implementación de IT Governance ................ 37

Tabla 5. Prioridades de los CIO para el 2006 ............................................................. 38

Tabla 6. Decisiones más importantes relacionadas con la áreas de COBIT .............. 40

Tabla 7. Decisiones importantes de TI asociada a los procesos COBIT .................... 40

Tabla 8. Problemas relacionados con tecnologías de información............................ 42

Tabla 9. Acrónimo SMART de parámetros para definir objetivos estratégicos......... 50

Tabla 10. Tabla de parámetros para los indicadores.................................................. 53

Tabla 11. Descripción de los objetivos de TI .............................................................. 60

Tabla 12. Objetivos de TI Asociados a los Procesos de TI ......................................... 63

Tabla 13. IT BSC para ABC........................................................................................... 67

Tabla 14. Resultados de la evaluación de los indicadores ......................................... 77

Tabla 15. Relación entre las perspectivas del BSC y del IT BSC.............................. 103

Tabla 16. Procesos de TI del COBIT 4.1.................................................................... 105

Tabla 17. Objetivos de TI genéricos.......................................................................... 107

Tabla 18. Procesos de TI más importantes 2002 ..................................................... 109

Tabla 19. Procesos de TI más importantes 2007 ..................................................... 110

Tabla 20. Procesos de TI más importantes de acuerdo a un consultor experto..... 110

Tabla 21. Asociación de objetivos genéricos de TI con los procesos de COBIT...... 113

ÍNDICE DE FIGURAS

Figura 1. Importancia de las TI en la estrategia global de la empresa..................... 25

Figura 2. Respuestas que NO debe dar la alta dirección de una empresa ................ 26

Figura 3. Hoyo negro de tecnologías de información................................................. 27

Figura 4. Diagrama reticular para el campo de IT Governance................................. 29

Figura 5. Evolución de los departamentos de TI en una empresa............................. 36

Figura 6. Expectativa de presupuesto para TI en el 2007 ......................................... 36

Figura 7. Dominios del IT Governance........................................................................ 38

Figura 8. Componentes del COBIT 4.1 ........................................................................ 39

Figura 9. Visión de la metodología.............................................................................. 46

Figura 10. ‘Road Map’ o Camino de implementación de IT Governance................... 47

Figura 11. Ejemplo de asociación con los Procesos de TI.......................................... 52

Figura 12. Los indicadores de desempeño para los Objetivos de TI ......................... 53

Figura 13. Flujograma de Auditoría de revisión ......................................................... 54

Figura 14. Etapas de la metodología escogidas ......................................................... 57

Figura 15. Actividades genéricas del departamento de Sistemas ............................. 58

Figura 16. Proceso de Definición de objetivos estratégicos de TI............................. 59

Figura 17. Objetivos de TI de la empresa ABC ........................................................... 61

Figura 18. Mapa estratégico de los objetivos de TI de ABC....................................... 62

Figura 19. Lista de requerimientos entregada en la empresa ABC ........................... 76

Figura 20. Ejemplo 1 de mapa estratégico ............................................................... 100

Figura 21. Ejemplo 2 de mapa estratégico ............................................................... 101

Figura 22. IT Balanced Scorecard ............................................................................. 104

Figura 23. Correo de consulta a experto................................................................... 108

Figura 24. Procesos más importantes que no aparecen en el IT BSC ..................... 109

Figura 25. Los quince Procesos de TI del COBIT más importantes ......................... 111

Figura 26. Participación de mercado en Ecuador 2001-005 .................................... 119

Figura 27. Fragmento de la Base Bibliográfica......................................................... 130

Pág. 25

Capítulo 1: Introducción

© 2007 Baldeón–Pinoargote TFC de Ingeniería Informática de Gestión

Universidad Santa María – Campus Guayaquil

Capítulo 1Introducción

El tema de IT Governance1 (Gobierno de TI) se ha hecho más y más popular durante la última década. El interés creciente en IT Governance se ha dado por tendencias de negocio y eventos que han ocurrido en los últimos años, tales como: e-business, globalización, reingeniería de

procesos de negocio, continuidad de negocio y la creciente notoriedad del concepto Corporate Governance, término que ha ido aumentando énfasis en su popularidad por eventos como los hechos ocurridos en las empresas Enron, Worldcom y Tyco (para nombrar algunas2), la salida de regulaciones de control tal como Sarbanes & Oaxley3 en los Estados Unidos y Basel II4 en Europa para alcanzar un mayor cumplimiento y control en las industrias. Todo esto ha traído

mayor énfasis y entendimiento del término Corporate Governance, y desde una perspectiva de tecnologías de información esto requiere que los gerentes de tecnologías mejoren la gestión de

los activos de información. El IT Governance es más que controles y cumplimiento regulatorio, tiene que ver con la generación y preservación de valor que dan las tecnologías al negocio.

De acuerdo a un estudio global realizado por el ITGI (IT Governance Institute, 2006) se puede apreciar que más del 80% de los gerentes ejecutivos de tecnología están de acuerdo de la importancia que entregan las TI para lograr los objetivos globales (ver Figura 1).

1% 1%7%

39%

52%

0% 3%10%

30%

57%

0%

10%

20%

30%

40%

50%

60%

No importante No tanimportante

No está seguro Importante Muy Importante

2003 2006Fuente: IT Governance Institute (2006)

Figura 1. Importancia de las TI en la estrategia global de la empresa

A pesar que se reconoce la importancia de las TI, el nivel gerencial ejecutivo no está convencido del valor que entregan las TI, y por esto se las percibe como “un gasto necesario”

en vez de una inversión. Un síntoma clave de falta de visión de las TI es el hecho que la alta dirección delegue toda responsabilidad de las TI a sus unidades de tecnologías y que el desconocimiento técnico sea una excusa para desconectarse de las decisiones de TI.

Pág. 26

Modelo para Evaluación e Implementación de un Sistema de IT Governance Basado en IT BSC en una Empresa ABC

TFC de Ingeniería Informática de Gestión


Figura 2. Respuestas que NO debe dar la alta dirección de una empresa

El Centro de Investigación para Sistemas de Información (CISR)5 del MIT indica que existen key assets (‘recursos principales’ en este documento) cuya administración efectiva está directamente ligada al logro de los objetivos del negocio (Weill, P. & Ross, J. 2004a. p. 6). Estos recursos principales incluyen: recursos humanos, recursos financieros, físicos, y recursos

de TI.

Indiscutiblemente, la administración de cada recurso principal podrá tener características y mecanismos de control y gestión únicos que no podrán ser utilizada sino en las áreas

especialmente dedicadas a ello; sin embargo la gobernabilidad corporativa debería buscar la integración de estos mecanismos para todos estos recursos principales (e.g. la existencia de un

único mecanismo de aprobación para presupuestos, creación de manuales de uso, procedimientos, políticas). Este documento se enfocará en la gestión y control de los recursos de TI de manera que brinden valor al negocio de acuerdo a los objetivos estratégicos planteados.

1.1 EL PROBLEMA

La junta directiva y los gerentes ejecutivos esperan que las tecnologías de información

proporcionen un valor diferenciador a su negocio, aumentando la eficiencia de sus procesos, mejorando la productividad de la empresa, reduciendo los costos administrativos y ofreciendo

productos y servicios con valor agregado. Sin embargo sus expectativas no siempre son alcanzadas y en su lugar se obtienen:

Pérdidas comerciales

Tecnología subutilizada/ obsoleta

Presupuestos excedidos

Plazos irrealistas

Esto ocurre porque no todas las empresas gestionan las Tecnologías de Información

adecuadamente. La Gestión de la Tecnología ha pasado de ser una actividad departamental y de soporte a ser parte de la estrategia de negocio. Su nuevo papel en la empresa ha provocado

la aparición de nuevos retos para sus gestores y por lo tanto de nuevas tendencias de gestión de la misma.

Déjeme consultar con mi Gerente de Sistemas (CIO)

Cosas que no deben responder las personas de alta dirección cuándo se les pregunta de qué manera se están gobernando las tecnologías de información en su empresa para obtener el mayor valor y que esté reflejada la rentabilidad.

Fuente: Elaboración autores

Esas cosas técnicas no nos corresponden.

Mi gente de TI son los que conocen esas cosas

¿Qué es eso?

Pág. 27




De acuerdo a una encuesta global realizada por ITGI a empresas de todo el mundo (ITGovernance Institute, 2006) se afirma que el 21% de las empresas que utilizan las tecnologías

de información para las operaciones de su negocio no tiene problemas con las TI. Esta información indica que aún existe una gran mayoría de empresas que no logran controlar sus

TI.

SÍNDROME DE HOYO NEGRO

La importancia de las TI sobre el negocio es aceptada comúnmente en la mayoría de las empresas (Figura 1). Sin embargo existe una brecha entre el valor real entregado y elesperado. Sumado a esto, la falta de evidencia del valor que entregan las TI al negocio hace que al departamento de TI se lo perciba como un gran hoyo negro (Figura 3).

Figura 3. Hoyo negro de tecnologías de información

Un hoyo negro6, se refiere a una fenómeno físico que consta de un objeto con un campo gravitacional tan fuerte que atrae otras regiones físicas hasta desaparecerlas. Usando la analogía, un hoyo negro de TI (IT Black Hole, en inglés) se refiere a las grandes inversiones

que se realizan a las tecnologías de información que parecen desaparecer sin dejar rastro (de valor y retorno de inversión). En la Figura 3 se observa cómo factores que parecen acertados en un principio pueden llevar a decisiones de inversión que resulten en un hoyo negro.

De lo anteriormente mencionado, es evidente que hoy en día las TI son necesarias para el éxito de una empresa, sin embargo debido a su complejidad, deben ser gestionadas adecuadamente

brindando valor al negocio y evidenciando su aporte para obtener el respaldo y los recursos necesarios.

1.2 OBJETIVOS DEL TFC

Debido a la limitación de tiempo que existe para el desarrollo del TFC, este se limitará a la consecución de lo siguientes objetivos:

Analizar la administración de las tecnologías de información y explicar IT Governance, su

importancia y su impacto en las empresas.

Hoyo negro de TI

Lo “Nuevo”Estándares Internacionales


Evaluación de proyectos de TI incompleta

Razones:

- Carencia análisis costo/beneficio

- Dirección estratégica

- Dirección tecnológica

- Estándares de infraestructura

Pág. 28




Crear una metodología de IT Governance usando diferentes enfoques de administración como por ejemplo COBIT (IT Governance Institute, 2007a), BSC (Kaplan, R. & Norton, D.,

1992), decision rights (Weill, P. & Ross, J. 2004a), entre otros.

Aplicar la metodología propuesta en una empresa

Obtener un análisis preliminar y presentar los resultados en reportes tipo Hallazgo y Recomendación.

1.3 DESARROLLO DEL TFC

1.3.1 ORGANIZACIÓN DEL DOCUMENTO

Capítulo Objetivo

1. Introducción Presentar el TFC, la metodología de desarrollo y la base de conocimiento.

2. Importancia del control de Tecnologías de Información

Evidenciar la importancia que tienen las TI de un sistema de gestión que incluya la responsabilidad de la directiva.

Identificar los beneficios de IT Governance.

3. Modelo para la Implementación de IT Governance utilizando el IT BSC

Dar a conocer el modelo de IT governance propuesto y sus diferentes fases y pasos.

4. Aplicación del Modelo de Implementación de IT Governance

Aplicar el modelo propuesto en una organización y analizar su implementación de acuerdo al alcance definido

5. Conclusiones Recopilación de los puntos más importantes por capítulos

Bibliografía Brindar la fuente de datos en el que se baso el TFC

Anexos Información Adicional que soporta la memoria.

Apéndices Información Adicional que complementa temas de la memoria.

Tabla 1. Organización del TFC por capítulos

1.3.2 RECOPILACIÓN DE CONOCIMIENTO

Para llegar al conocimiento que nos ha llevado a desarrollar este TFC hemos contado con las

siguientes fuentes de información:

Fuentes de información

Fuente Resultados

Biblioteca USM http://www.usm.edu.ec/biblioteca/index.php Recopilación de varias estructuras de tesis, formato y forma de redacción

Google Google Search

Google Books

Google Scholar

Varias fuentes de información incluyendo libros,

ISACA KnowledgeNET

http://www.isaca.org/knet, fuente de información para miembros del ISACA

Papers, referencias, citas

EY Learning and Development System

Ernst & Young, colaborador implícito por las capacitaciones y la experiencia profesional de ambos autores.

Experiencia profesional de los autores en ámbitos relacionados al control de las TI.

Base Bibliográfica Una investigación inicial expandida nos permitió obtener más de 60 bibliografías que fueron registradas en nuestra Base Bibliográfica7 para

Libros, estudios, análisis, encuestas, etc.

http://www.usm.edu.ec/biblioteca/index.php

http://www.isaca.org/knet

Pág. 29




indexar y agilizar el flujo de información.

Foros ISACA IT-Governance

ISACA COBIT

Temas técnicos de los procesos del COBIT

Expertos en el tema

Algunos profesionales que tienen una experiencia comprobable en consultorías e implementación de IT Governance.

Respuestas a preguntas o dudaspor correo o por vía telefónica.

Tabla 2. Mayores fuentes de información

1.3.3 SELECCIÓN DE LA EMPRESA

Una vez establecido el enfoque y los objetivos del TFC fue necesario encontrar una empresa

local donde se pueda aplicar la metodología creada. Contando con la ayuda del actual Coordinador de Sistemas de la empresa ABC, se planteó aplicar la metodología en el

departamento de TI. ABC es una comercializadora de Gas del Ecuador, que cuenta con una infraestructura de TI considerable para aplicar la metodología (para ver mayor información sobre ABC ver Apéndice 1).

1.5 ESTADO DEL ARTE

1.4.1 MAPA CONCEPTUAL

Figura 4. Diagrama reticular para el campo de IT Governance

Corporate Governance

IT Governance

ReferenciasCOBIT

ITIL

Objetivos de TI

Indicadores

Herramientas

Cumplimiento

BASEL II

IT BSC

Auditorías

SOX

Service Delivery

Service Support

Benchmarking

SEI CMM

Dominios

Procesos de TI


Estructuras Organizacional

Comités/concejos

Estructuras de TI

Alineamiento estratégico

Creación de valor

Gestión de riesgos de TI

Administración de recursos

Medición de desempeño

Centralización/descentralización

Pág. 30




1.4.2 MARCO REFERENCIAL

El gobierno de las TI es una disciplina basada en el gobierno corporativo (Kaen 2003) que se ha ido discutiendo más y más en la última década. El concepto se ha ido desarrollando en una

disciplina estudiada y adoptada por muchas organizaciones.

1.4.3 MARCO TEÓRICO

Gobierno viene de la palabra en latín gubernare – “dirigir, normar, guiar” – originalmente –“conducir”, del griego kybernan “conducir o pilotear un nave, dirigir”.8

IT Governance es una parte integral del Corporate Governance (gobernabilidad corporativa), debido a que existe un capitulo sobre la importancia del IT Governance (Capítulo 2), no se profundizará ese concepto aquí, sin embargo se brindará el marco teórico del concepto de Gobernabilidad Corporativa brindando mayor peso a la idea de que las TI son un medio para alcanzar las metas estratégicas.

GOBERNABILIDAD CORPORATIVA

Es el proceso mediante el cual las compañías son dirigidas y controladas, su estructura dicta las

reglas y procedimientos para tomar decisiones en asuntos empresariales. De la misma manera provee la estructura mediante la cual los objetivos son definidos, así como los medios para

lograr y monitorear el desempeño de los mismos.

Grupos involucrados en la gobernabilidad corporativa:

Cuerpo regulatorio empresarial: Gerente General, Junta Directiva, Gerentes y Accionistas.

Otros participantes: proveedores, trabajadores, acreedores y clientes.

Aquí se exponen datos importantes de cómo nace el concepto de gobernabilidad corporativa:

LA CRISIS ECONÓMICA DE ASIA DEL ESTE

La crisis fue originada en 1997, los países de Asia del Este habían logrado un crecimiento

económico basado en inversión extranjera. Ese año, por pérdida de confianza en el mercado Asiático los flujos de capital fueron llevados a otras partes, lo que ocasiono una crisis financiera

afectando principalmente a Indonesia, Corea del Sur y Tailandia.

La falta de mecanismos de Gobernabilidad Corporativa señala las debilidades de esas organizaciones y sus economías dependientes de flujos de capital externos.9

LA CRISIS CORPORATIVA AMERICANA DEL 2001-2002

El descubrimiento de reportes financieros falsos de parte de grandes empresas altamente lucrativas como Enron y WorldCom y el polémico caso de la empresa auditora Arthur Andersen

son una muestra de la necesidad de una Gobernabilidad Corporativa para dirigir efectivamente una empresa.10

Pág. 31




SARBANES-OXLEY ACT OF 2002

Es una ley promulgada por los escándalos de la crisis corporativa americana. El acta contiene 11 secciones que abarca desde responsabilidades adicionales para la Junta Corporativa hasta penalidades. El acta cubre asuntos como independencia de auditores, gobernabilidad

corporativa y acceso a información financiera.11

BASEL II

Acuerdo Europeo que rige un conjunto de normas a entidades financieras para controlar el riesgo de créditos y establecer un mínimo de fondos propios.12 Se basa en tres pilares:

Los requerimientos mínimos de capital: Es el núcleo del acuerdo del Basel I, éste acuerdo se diferencia del primero al considerar la calidad crediticia de los prestatarios y los

riesgos de mercado y operacionales.

El proceso de examen supervisor: Se pone mayor peso al control y rigurosidad exigido

por los organismos supervisores al validar métodos estadísticos usados para calcular la suficiencia de fondos.

La disciplina del mercado: Establecer normas de transparencias y definir información acerca de la posición crediticia y nivel de riesgos a los mercados financieros.

Pág. 32




NOTAS DEL CAPÍTULO 1 1 El término en español se lo conoce como ‘Gobierno de TI’, para efectos de este TFC y para que no exista confusión emplearemos el término en su idioma original ‘IT Governance’ a través de este documento.2 Los hechos suscitados en las empresas estadounidenses Enron y Worldcom en 1999 y 2000 respectivamente corresponden a los casos de fraude más impactantes. 3 Sarbanes & Oaxley (SOX). 4 Basel II o Basilea II.5 Center for Information Systems Research (CISR), que pertenece a la escuela de Administración Sloan del Massachusetts Institute of Technology, es un centro de desarrollo que conduce investigaciones de campo, estudios y publicaciones sobre temas relacionados con la administración de las TI.6 Término acuñado por Wheeler y promovido por Hawkins. Para mayor información de los hoyos negros ver Hawking, S. (1970). The Singularities of Gravitational Collapse and Cosmology.7 Ver imagen de RF00 Base Bibliográfica.xls Apéndice 4.8 Definición etimológica obtenida Junio 2007 de http://www.etymonline.com/index.php?term=govern9 Para profundizar sobre la crisis financiera de Asia del Este se recomienda leer el trascripto de “The Crash” consultado en línea en Enero 2007 de http://www.pbs.org/wgbh/pages/frontline/shows/crash/etc/script.html10“Enron and the Economics of Corporate Governance” consultado en línea en Enero de 2007 de http://www-econ.stanford.edu/academics/Honors_Theses/Theses_2003/Munzig.pdf11 Para mayor información sobre la Ley Sarbanes-Oxley se recomienda visitar el sitio en http://www.soxlaw.com/12 Para mayor información ver “Convergencia internacional de medidas y normas de capital” revisado en línea en Agosto en http://www.bis.org/publ/bcbs107esp.htm

Pág. 33

Capítulo 2: Importancia del control de las Tecnologías de Información



Capítulo 2Importancia del control de Tecnologías de Información

2.1 DEFINICIÓN DE IT GOVERNANCE

El concepto de IT Governance surge como respuesta de las empresas para solucionar sus problemas de control y gestión de los activos de TI (i.e., de aplicaciones, redes, personal de TI). IT Governance es el proceso mediante el cual las empresas alinean las acciones (operaciones) de TI con los objetivos del negocio y asignan responsabilidad para aquellas

acciones y sus repercusiones.

Desde los últimos 10 años muchos expertos en la administración de las tecnologías han

propuesto varias definiciones de IT Governance, en esta sección apelaremos a 5 definiciones que aunque utilizan diferentes enfoques convergen en la idea de gobernar las TI. Este análisis

e integración de ideas puede ser clave para poder consolidar el concepto.

Tal como afirma Roussey, el concepto de IT Governance engloba la dirección y control de la

organización sobre las TI. Con el objetivo final de alcanzar los objetivos estratégicos establecidos y así satisfacer a los accionistas y demás involucrados1. Roussey menciona cuatro

palabras clave (supervisión, monitoreo, control y dirección) que en sí son los objetivos de IT Governance.

El término decision rights (derechos de decisión) fue presentado por Marianne Broadbent en

una conferencia del ICA2 en Singapur (Broadbent, M., 2002) donde define IT Governance como la especificación de derechos de decisión y marco de asignación de responsabilidad

para fomentar el comportamiento deseado en la utilización de las tecnologías de información. Este concepto engloba de una manera sencilla lo que significa a final de cuentas establecer un verdadero sistema de control y administración centralizado de las TI.

“Gobierno de TI es un término utilizado para describir cómo aquellas personas que han sido confiadas con el gobierno de una entidad considerarán las TI para su supervisión, monitoreo, control y dirección de la empresa. Cómo las TI se aplican dentro de la entidad tendrá un inmenso impacto en la decisión de atenerse a la visión, misión o los objetivos estratégicos.”

-- Roussey (citado en IT Governance Institute, 2003 p. 1)

Traducción de los autores. Para ver la edición en el idioma original Ver Anexo 6.

El gobierno de TI es “la especificación de los derechos de decisión y un marco de asignación de responsabilidad para promover un comportamiento deseable en el uso de las TI.”

-- Broadbent, M. (2002, p. 2)


Pág. 34




El IT Governance Institute (2007) concentra su enfoque en la responsabilidad asignada, las

estructuras y los procesos.

Webb, P., Pollard, C. y Ridley, G (2006) propone una definición que enfoca la estrategia y la

entrega de valor de las TI.

Korac-Kakabadse, N. (citado en Webb, P., Pollard, C. & Ridley, G., 2006) propone una definición que enfoca la estrategia y la entrega de valor de las TI.

En la Tabla 3 se analiza las definiciones presentadas en esta sección para contrastar sus diferencias y similitudes en cuanto a principios o palabras clave.

“EL gobierno de las TI es la responsabilidad de los ejecutivos y de la junta de directores. Está compuesta de liderazgo, estructuras organizacionales y procesos que aseguran que las TI de una empresa mantengan y extiendan las estrategias y objetivos del la organización.”

-- IT Governance Institute (2007, p.5)


“IT Governance es la alineación estratégica de las TI con el negocio, de tal manera que se alcance el máximo valor del negocio mediante el desarrollo y mantenimiento de control efectivo de TI y responsabilidad, administración de desempeño y gestión de riesgo.”

-- Webb, P., Pollard, C. & Ridley, G. (2006)


El gobierno de TI se concentra en la estructura de las relaciones y procesos para desarrollar, dirigir y controlar las TI para que se puedan alcanzar las metas de la empresa mediante contribuciones de valor añadido, que se responsabiliza de equilibrar el riesgo contra el retorno de inversión de los recursos de TI y sus procesos.

-- Korac-Kakabadse, N. (citado en Webb, P., Pollard, C. & Ridley, G.,2006)


Pág. 35




Principios Rou

ssey

, R. (

20

03

)

Bro

adb

ent,

M. (

20

02

, p

. 2)

IT G

ove

rnan

ce

Inst

itu

te (

20

07

, p.5

)

Web

b, P

., P

olla

rd, C

.&

Rid

ley,

G (

20

06

)

Kor

ac-K

akab

adse

, N.

Estructuras (+) (+)

Procesos (+) (+)

Supervisión, responsabilidad (+) (+) (+) (+)

Dirección (+) (+) (+)

Liderazgo (+)

Poder de decisión (+) (+)

Monitoreo (+)

Control (+) (+) (+)

Comunicaciones*

Comportamiento deseable (+)

Visión estratégica** (+) (+) (+) (+)

Valor de las TI (+) (+)

Gestión de riesgo (+) (+)

(+) Trata el tema* Comunicaciones: Apertura y transparencia** Estrategia: Alinear con la estrategia y alcanzar a los objetivos del negocio


Tabla 3. Principios de IT Governance por autor

Del análisis de estas definiciones se propone una definición de lo que significa un gobierno de

tecnologías de información o IT Governance:

2.1.1 ¿POR QUÉ LAS TI NECESITAN UN GOBIERNO?

El control sobre las TI cada vez se hace más estricto con relación a su creciente importancia, su

evolución constante y sus funciones dentro de las empresas. Anteriormente el departamento de TI servía estrictamente de soporte técnico. Con la automatización de procesos fue necesario administrar la infraestructura de TI para prevenir discontinuidad en el negocio. Con la madurez de las TI y su uso en múltiples aplicaciones organizacionales y de comunicaciones, el

departamento de TI pasó a ser proveedores de servicios sin embargo hoy en día es necesario escalar a un nivel superior (IT Governance). Las razones de este nuevo enfoque de control son las siguientes:

El gobierno de tecnologías de información establece una dirección que asegure el cumplimiento de la visión estratégica, haciendo reflejable y cuantificable el valor que devuelven las TI a la organización. Entregando responsabilidades a personas dentro de una estructura establecida en la misma que permita decidir para incentivar el comportamiento deseable de las TI y una adecuada gestión del riesgo.

Traducción a otros idiomas Ver Anexo 6.

Pág. 36




Soporte técnico Administración deInfraestructura

Administración deservicios de TI

Gobierno de TI

Evolución de la Administración de TIFuente: Elaboración autores

Tiempo

Mad

ure

z d

e la

s T

I

Figura 5. Evolución de los departamentos de TI en una empresa

Mayor control de indicadores de Gestión. En algunas empresas puede existir el caso que aunque se sigan los pasos acertados para lograr una verdadera gestión de las TI no

exista un sistema de información que permita a la directiva ver los resultados directos por inversión y más importante aún: su aporte a la estrategia global del negocio.

Entrega de Servicio. Los departamentos de TI en las organizaciones buscan cumplir con los requerimientos de información y servicios que existen en las distintas áreas que existen

en la organización.

Costos elevados de inversiones de tecnología. Las inversiones en TI suelen ser

elevadas y constantes.

De acuerdo a un estudio realizado por CETIUC (Figura 6) se puede observar el resultado de una encuesta, de una muestra de 130 empresas de diversos sectores industriales de

Chile, que indica la expectativa de variación del presupuesto establecido para TI de los Gerentes de Tecnología (CIO3). De acuerdo a estos resultados podemos inferir que la

inversión sobre la infraestructura tecnológica seguirá creciendo lo que hace muy necesario tener un control (gobierno) sobre las operaciones de TI.

20.3% 12.7% 69.9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2006

Disminuirá Se mantendrá Aumentará

Fuente: Adaptado de Centro de Estudios de Tecnologías de Información (CETIUC, 2006)

Figura 6. Expectativa de presupuesto para TI en el 2007

Información como principal activo o dependencia de información. La información que se genera del trabajo de los empleados, transacciones y operaciones diarias del negocio es el recurso más importante que puede tener una empresa. Los retos que presenta son debido a que la información es cada vez más fácil recopilar (exceso de

información y poco orden), es cada vez más difícil asociarle un precio (es un intangible invalorable), cada vez más vulnerable y de vital importancia a los servicios del negocio. El

Pág. 37




control de este activo mediante infraestructuras de información definidas, diccionarios de datos, procedimientos y políticas de seguridad y una correcta gestión de cambio llevan a

cualquier empresa a poder obtener el mayor beneficio de esta información.

El potencial de las TI para identificar oportunidades de negocio. Muchas industrias están saturadas en sus servicios y productos, lo que lleva a dificultar el descubrimiento de nuevas oportunidades para el negocio. Las tecnologías de información que presentan

información actualizada y confiable de las operaciones de TI podrían resultar en decisiones que optimicen procesos, reduzcan costos, presenten nuevos canales de ventas, etc. La

rápida introducción de nuevas tecnologías (i.e., servicios Web, tecnologías móviles, sistemas empresariales) crean amenazas y a su vez oportunidades.

Aprendizaje organizacional del valor de las TI. Muchas veces las TI se ven como

soporte y no como un servicio, por tal motivo las iniciativas de TI son incomprendidas en el negocio. Esto se debe a que la inversión en TI no se refleja en un análisis de flujo de caja. El gobierno efectivo crea mecanismos con los que las empresas pueden debatir el valor potencial.

No hay entrega de valor. El valor que se percibe de las TI no solo depende de tecnología de punta o de la magnitud de la inversión depositada en ellas. Standish Group

International estima que alrededor de $140 mil millones ($80 mil millones en proyectos fracasados) se gastan indebidamente en proyectos de TI4.

2.1.2 PROPUESTA DE IT GOVERNANCE

El IT Governance ofrece a las organizaciones un marco de trabajo referencial para escalar el

control de las TI directamente sobre los cargos ejecutivos. No dejar la totalidad de responsabilidad de control, inversiones y elecciones de tecnologías sobre expertos técnicos.

Efectos de una correcta implementación de un IT Governance

Tendencia en el tiempo

Aporte de las TI a la estrategia del negocio

Riesgos en las TI

Calidad de los servicios de TI

Costo de los servicios de TI

Tiempos de entrega


Tabla 4. Efectos en el tiempo de una implementación de IT Governance

La metodología presentada en la Figura 7 (IT Governance Institute, 2003) propone un modelo basado en los siguientes pilares:

Alineamiento estratégico, se enfoca en asegurar que los planes globales estratégicos

de la organización y los planes y operaciones de tecnología alineados, esto quiere decir que exista dependencia clara y cuantificable entre la estrategia y las acciones.

Entrega de valor, se concentra en optimizar costos y encontrar indicadores que reflejen

el valor que generan las TI tanto en los niveles operativos como gerenciales, probando de ésta manera el beneficio que generan las TI.

Pág. 38




Gestión de riesgo, apuntando a salvaguardar los recursos de TI, recuperación de desastres y continuidad de operaciones. Conocimiento y transparencia de los riesgos

existentes y un sistema de administración de riesgo que cubra posibles incidentes.

Gestión de recursos, optimizando el conocimiento y la inversión sobre los recursos de TI: sistemas, información, infraestructura, personas, procedimientos, políticas, etc.

Medición del Desempeño, seguimiento de la entrega del proyecto y monitoreo de los

servicios de TI y medición de intangibles.

Figura 7. Dominios del IT Governance

En la Tabla 5 se puede observar un estudio realizado a diferentes Gerentes de Sistemas en que se pedía establecer las prioridades de actividades específicas de TI. Se puede observar

resaltada la importancia de actividades que tienen mucho que ver con el IT Governance.

Prioridades estratégicas de los Gerentes de Sistemas (CIO)

Cuáles son las actividades prioritarias que tendrá el CIO para el 2006? 2006 2005

Entregar proyectos que habiliten el crecimiento del negocio 1 1

Asociar las estrategias y planes del negocio con las de TI 2 2

Construir habilidades de negocio en la organización de TI 3 9

Demostrar el valor del negocio de los sistemas de información 4 3

Aplicar métricas a la organización y los servicios de sistemas de información 5 *

Atraer, desarrollar y retener personal de TI 6 4

Mejorar la calidad de los servicios de TI 7 7

Mejorar IT Governance 8 *

Infraestructura tecnológica flexible 9 10

Consolidar la organización y las operaciones de las TI 10 8

*Preguntas nuevas para el 2006

Las posiciones más importantes del año

IT Governance/ Administración de las TI

Fuente: Adaptación de Gartner (2006)

Tabla 5. Prioridades de los CIO para el 2006

Gestión de Recursos de TI

Medición de Desempeño

Gestión de Riesgo

Entrega de Valor

Alineamiento Estratégico

IT

GOVERNANCE

Fuente: ITGI

Pág. 39




MEJORES PRÁCTICAS

COBIT es un marco de trabajo y una herramienta que habilita la implementación, medición y evolución de madurez para los procesos/operaciones más importantes que respectan a la administración de las tecnologías de información en cualquier organización.

La versión actual al momento de realizar este TFC del COBIT es la 4.1 (IT Governance Institute, 2007a) liberada en el 2007. La integridad y cobertura de este marco de referencia ha

llevado a utilizarlo como una de las referencias más importantes y fundamentales para la elaboración de este TFC. Para ver más información de COBIT y sus procesos ver Anexo 3.

En la Figura 8 se presenta los componentes más importantes de COBIT utilizados en este TFC.

Figura 8. Componentes del COBIT 4.1

El CISR ha definido las cinco áreas de decisiones más importantes que se toman relacionadas con la administración de gestión y uso de las TI en una organización (Weill, P. & Ross, J.,

2004a, p.11). Estas decisiones de TI son las siguientes

Principios de TI: decisiones de alto nivel del rol estratégico de las TI en el negocio.

Weill, P. & Ross, J., (2004a) definen estos principios como declaraciones que indican la posición de la empresa, las declaraciones pueden incluir lineamientos que involucren

fondos, comportamientos deseados, de infraestructura, de soluciones de TI, etc. La formalización de esta decisión de TI ha sido adopada como los Objetivos de Tecnologías de Información, en los que se establece el norte y las metas de hacia dónde se quiere llegar.

Arquitectura de TI: decisiones técnicas que guían a futuras decisiones para la satisfacción de las necesidades del negocio. Estas decisiones pueden incluir integración de los datos, estándares de TI, elección de tecnología.

Infraestructura de TI: decisiones basadas en servicios de TI que son las bases para las capacidades de las TI de la empresa.

Necesidades de aplicación de negocio: decisiones con respecto a requerimientos del negocio de desarrollo o adquisición de aplicaciones.

Priorización e inversión: decisiones de cuánto y dónde invertir en las TI, estas decisiones incluyen técnicas aprobación de gastos.

Objetivos de TI

Procesos de TI

Tareas Clave

Indicadores de desempeño

Niveles de Madurez

Cuadro de responsabilidades

34 Procesos divididos en 4 dominios

Madurez basada en SEI CMM


BSC basado en Kaplan & Norton

Pág. 40




En la Tabla 6 se ha creado una relación entre las principales decisiones de TI con las áreas de dominio definidas en el COBIT. El fin de esta tabla es ver el alcance del COBIT como

herramienta genérica.

Áreas de dominio de COBIT

Decisión

Pla

nif

icac

ión

y

Org

aniz

ació

n

Ad

qu

isic

ión

e

Imp

lem

enta

ción

Entr

ega

y S

opo

rte

Mon

itor

eo y

E

valu

ació

n

Principios de TI (+)

Arquitectura de TI (+)

Infraestructura de TI (+) (o) (o)

Necesidades de aplicación de negocio (+) (-)

Priorización e inversión (+) (+)

(+) Cubre completamente

(o) Cubre parcialmente

(-) No hay relación o relación insignificante

Fuente: Elaboración de autores

Tabla 6. Decisiones más importantes relacionadas con la áreas de COBIT

Utilizando COBIT 4.1 como la principal herramienta de referencia de los procesos de TI se haasociado los decisiones importantes de Weill, P. & Ross, J., (2004a) con los procesos de TI (ver Tabla 7).

Decisión Procesos de TI relacionados

Principios de TI PO1 PO3

Arquitectura de TI PO2

Infraestructura de TI PO3

Necesidades de aplicación de negocio AI1 AI2 AI3

Priorización e inversión PO1 PO5 AI5 DS6

Todo el Proceso de TI aplica para esta área de decisión de TI

Ciertas partes del Proceso de TI aplican

Fuente: Elaboración de autores

Tabla 7. Decisiones importantes de TI asociada a los procesos COBIT

Según estudios realizados por el MIT (Weill, P. & Ross, J., 2004b, p.8) las empresas con mejor

desempeño de TI mantienen un sistema de IT Governance con un enfoque de centralización de responsabilidades y por ende de las decisiones importantes mencionadas anteriormente. En la administración de TI se busca la concentración de poder5, es por esta razón que se habla de

que el poder de decisión deberá estar asignado en la Monarquía del Negocio y la Monarquía de TI, esto quiere decir que estas decisiones deberán ser la responsabilidad de cargos o comités

de alto rango dentro de la empresa (i.e., ejecutivos senior, comités estratégicos de TI).

El gobierno efectivo de TI ha demostrado (ver casos de éxito en este capítulo) que aporta al

acercamiento y entrega de resultado de los objetivos del negocio, de esta manera optimizando las inversiones de TI y gestionando los riesgos y oportunidades.

Pág. 41




2.1.3 ¿QUÉ PUEDEN HACER LAS EMPRESAS AL RESPECTO?

Las empresas que han demostrado tener mayor retorno de inversión y de valor de las TI han adoptado prácticas que incluyen:

Definir claramente la estrategia de de negocio y el rol que juega en ella las TI

Medir cuantitativamente el nivel de inversión y el valor recibido de las TI

Asignar claramente la responsabilidad 6 de los cambios organizacionales que sean

requeridos para obtener valor de TI

Esforzarse por optimizar la integración y la reutilización de los activos de TI

2.2 CASOS DE ÉXITO DE IMPLEMENTACIÓN DE IT GOVERNANCE

En el estudio ‘Global status report’ del ITGI (IT Governance Institute, 2006) se puede observar que la cantidad de proveedores de servicios de IT Governance han aumentado en un 200%. En

el mismo reporte se puede ver que el nivel de conocimiento de COBIT ha aumentado en aproximadamente un 50% desde el 2003 hasta el 2005, lo que se ve reflejado en el la Tabla 8

dónde se puede observar la reducción de problemas relacionados con TI.

“Compañías con un gobierno de TI efectivo tendrán más de 20% de superioridad en la rentabilidad que las firmas con un gobierno pobre […]. Estos actores de mayor desempeño han personalizado un diseño de gobierno de TI para sus estrategias. Tal como gobierno corporativo apunta a asegurar la calidad de las decisiones de los activos corporativos, el gobierno de TI se vincula con decisiones de la compañía y monitorea desempeño y responsabilidad. […] el gobierno de TI enseña cómo diseñar e implementar un sistema de derechos de decisión que transformarán las TI de una empresa de gasto a una inversión rentable.”

-- Weill, P. & Ross, J. (2004)


Pág. 42




Problemas de TI:

Cuales son los últimos problemas de TI en los últimos 12 meses 2003 2005

No se puede apreciar qué tan bien está el desempeño de las TI 41% 15%

Fallas operacionales de TI 40% 27%

Problemas de personal de TI 38% 35%

Alto costo de TI y bajo ROI7 35% 30%

Número de problemas e incidentes 38% **

Falta de conocimiento de los sistemas críticos 35% **

Problemas por la administración la data 34% **

Desconexión entre estrategia de negocio y estrategia de TI 28% 24%

Dependencias no administradas sobre entidades fuera del control directo 27% 23%

Errores en los sistemas críticos 24% 0%

Ningún problema de TI 7% 21%

Otros 5%

Incidentes de seguridad/privacidad * 21%

Las TI no alcanzan los requerimientos de regulaciones corporativas * 15%

*Preguntas nuevas para el 2005

** Preguntas del estudio 2003 únicamente

Los problemas en las TI se han reducido

Mayores problemas de TI

Fuente: Adaptación IT Governance Insitute (2006, 2003)

Tabla 8. Problemas relacionados con tecnologías de información

2.2.1 CASO 1: UPS

United Postal Services, es una de las más grandes empresas de mensajería del mundo. En 1986 UPS se veía perdiendo terreno ante FedEx y su posibilidad de rastreo de paquetes. Una inversión de más de $11 mil millones en un lapso de 10 años en centros de datos, expertos tecnológicos, creación de una red global, bases de datos y aplicaciones integradas. Sin

embargo, UPS no invirtió únicamente dinero, invirtió esfuerzo de la directiva y esfuerzo en definir el escenario claro para la alineación estratégica de las inversiones de TI con los

objetivos del negocio, de esta manera generando mayor valor y beneficios e implementando procesos de IT Governance que habiliten y aseguren decisiones de TI efectivas8. Las raíces del sistema de IT Governance implementado en UPS se encuentran en un Comité de Dirección

(Steering Committee) que define el rol de las TI en la organización y una clara dirección tecnológica. En la búsqueda de una organización de TI totalmente alineada con la estrategia de

negocio, UPS tomó la decisión de crear un Comité de Gobierno de TI (IT Governance Committee) para controlar las operación de TI día a día, manejar procesos de priorización de

proyectos y de aprobación de presupuestos, estándares de TI, y la creación de políticas para normar las operaciones.9

Pág. 43




2.2.2 CASO 2: CANADIAN TIRE FINANCIAL SERVICES10

CTFS es una empresa que labora desde 1961 y actualmente presta servicios financieros a más de 3 millones de clientes a través de su tarjeta “Canadian Tire Options Mastercard®” con más

de 1700 empleados. La necesidad de implementar un sistema de IT Governance surge por requerimientos de certificación CEO/CFO11 canadiense. Para poder implementar exitosamente un IT Governance y alcanzar los requerimientos de la certificación CEO/CFO se recomendó la

utilización de COBIT como herramienta principal por el reconocimiento internacional y por su facilidad de medición de cumplimiento de controles internos. Una vez implementado COBIT en

CTFS se logró lo siguiente:

Facilidad de creación de planes de trabajo de la auditoría interna de tecnologías de

información. Basándose en las áreas de proceso y entregando resultados escalables.

La herramienta fue utilizada para evaluar el riesgo de TI basándose en objetivos de control

establecidos y procesos de evaluación de riesgo.

Capacidad de analizar y evaluar áreas críticas del negocio, sus sistemas y aplicaciones asociadas a cada una de las unidades del negocio.

Entregar a administradores, auditores y usuarios con un sistema de métricas e indicadores clave para medir el desempeño de las TI.

La implementación de un sistema de IT Governance basado en los procesos de COBIT permitió a CTFS tener un nivel de respuesta muy aceptable para los requerimientos y retos de la certificación anual de CEO/CFO.

Pág. 44




NOTAS DEL CAPÍTULO 2 1 Involucrado o también participante. De la palabra en inglés stakeholder que quiere decir cualquier persona o grupo a quien afecta como riesgo o beneficio.2 ICA (International Council for Information Technology in Government Administration) es una organización sin fines de lucro establecida para el intercambio de información concerniente a sistemas computacionales y gobernabilidad. http://www.ica-it.org/3 Cargo en inglés Chief Information Officer (CIO), equivalente a una Gerencia de Sistemas o Gerencia de Tecnologías4 Standish Group International, Inc. es una firma de investigación. El dato representa a información de empresas de Estados Unidos, obtenido de http://www.standishgroup.com/press/article.php?id=25 A diferencia de un sistema democrático, para la administración de las TI es necesario regresar a los antiguos sistemas monárquicos, que se basan en darle el poder absoluto a un individuo (o en este caso a un grupo selecto). Esto se debe al origen del Gobierno Corporativo: hacer responsable (accountable) a las personas de arriba para que ellos ‘respondan’ a los accionistas de toda decisión tomada.6 La traducción viene del término accountability que en inglés quiere decir: alguien que tenga la responsabilidad máxima de algo y debe ser capaz de dar razón por ello.7 ROI por las siglas en inglés (return on investment), se refiere al retorno de inversión expresado en porcentaje que representa la cantidad monetaria de8 Caso de éxito obtenido de Weill, P. & Ross, J. (2004) p. 199 UPS Pressroom, obtenido de http://www.pressroom.ups.com/mediakits/factsheet/0,2305,1043,00.html10 El caso de éxito de la empresa CTFS fue obtenido de ISACA en http://www.isaca.org/11 Regulación Canadiense generada por la Canadian Securities Administrators (CSA) en repuesta a la legislación Sarbanes & Oaxley. Esta regulación presiona sobre el cumplimiento de controles internos y la confiabilidad de reportes financieros.

Pág. 45

Capítulo 3: Modelo para la Implementación de Gobierno de TI utilizando el IT BSC



Capítulo 3Modelo para la Implementación de IT Governance

utilizando el IT BSC1

Para que IT Governance sea efectivo, el modelo de implementación deberá ser diseñado de

una manera interactiva y ágil; no es la implementación aislada de ciertos mecanismos (i.e., comité de dirección, SLAs, comité de arquitectura, comité de gobierno de TI, etc.) en respuesta a requerimientos que vayan surgiendo. Tal como afirman Weill y Ross (2004b), no existe una fórmula exacta 100% demostrada o que esté aplicada de una manera estándar en los departamentos de TI de las empresas.

3.1 ¿DÓNDE ES APLICABLE LA METODOLOGÍA?

Toda organización, grande o pequeña, necesita una manera de asegurar que las funciones de TI apoyen a la estrategia y objetivos de la organización. El nivel de sofisticación que se aplique de IT Governance dependerá, entre otros, de los siguientes factores:

Misión, visión y valores del negocio

Tamaño de la empresa

Tecnologías implementadas, Inversión en TI (nuevas tecnologías, mantenimiento)

Dependencia de los procesos críticos del negocio a las TI

Personal de TI

Usuarios de los servicios de TI

Regulaciones y normas legales

El esquema de jerarquías, roles y responsabilidades

Requerimientos especiales para gestionar las TI

Industria

En general, mientras más grande y mayor regulada sea la empresa, mayor detalle de IT

Governance deberá existir.

Además, esta metodología propuesta solamente será efectiva si se cuenta con una estrategia de negocio sólida, formalmente estructurada y respaldada por la alta dirección.

“En nuestro estudio de casi 300 empresas alrededor del mundo, no identificamos una única mejor fórmula para gobernar las TI. Sin embargo, una cosa está clara: el gobierno efectivo de las TI no pasa por accidente. Empresas de alto desempeño diseñan cuidadosamente el gobierno (de TI). Los gerentes a través de la empresa toman decisiones día a día para poner en práctica aquel diseño.”

-- Weill, P. & Ross, J. (2004b)


Pág. 46




3.2 LA METODOLOGÍA MITG

El marco de trabajo presentado aquí (Figura 10) se obtuvo de varias herramientas de implementación de IT Governance, i.e. COBIT (IT Governance Institute, 2007), ITIL (Office of Government Commerce, 2003), Decisión Rights (Weill, P. & Ross, J., 2004a) BSC (Kaplan y Norton., 1996 b) integrando conceptos y reduciendo su complejidad sin alterar el resultado

esperado. Se pone mayor énfasis al Balanced Scorecard y como referencia a los procesos del COBIT que servirán de base y guía para iniciativas. Sin embargo, a diferencia de lo establecido por Luc Kordel (Kordel, 2004), esta metodología no busca la implementación del marco de

trabajo COBIT como único objetivo para alcanzar IT Governance en una empresa, pensamos que la implementación de COBIT no necesariamente es la respuesta a las necesidades de

gobierno que pueda tener una empresa para las TI. En contraste se propone la creación de una estrategia propia basada en varios estándares internacionalmente aceptados que utilicen los

procesos de COBIT como un marco referencial.

Figura 9. Visión de la metodología

La metodología se presenta en tres fases:

Identificar necesidades. Un proyecto para implementar IT Governance, es un proyecto a largo plazo que requiere que la necesidad de un programa/iniciativa haya sido considerada y visualizada. En esta fase, se definirán procedimientos claramente establecidos para darle fundamentos y solidez al proyecto. El entendimiento de la estrategia de negocio, los objetivos estratégicos y los riesgos asociados son las tareas

principales de esta fase.

Construir el IT BSC. En esta fase se deberá establecer claramente cuál es la estrategia

de implementación y control para lograr lo establecido en el plan. Se deberá crear el IT BSC para la empresa, integrarlo con los objetivos de negocio; además de realizar la

evaluación de desempeño para tener una fotografía del estado de la organización.

COBIT

PMBOK

6 Sigma

TQMISO17799

BS15000

COSO

PRINCE

ALCANZAR

IT GOVERNANCE

SEI CMMI

Marco de trabajo para la industria

Procesos COBIT


MOFHP ITSM

ITIL BSC

Marco de trabajo propio

Pág. 47




Implementar Solución. Esta fase tiene que ver con la planificación y ejecución de los proyectos requeridos para realizar los cambios requeridos.

Figura 10. ‘Road Map’ o Camino de implementación de IT Governance

3.2.1 RECONOCIMIENTO DE LA NECESIDAD DE ITG

DESCRIPCIÓN

Convencer al directorio de la importancia de implementación de un sistema de IT Governance para la organización.

ACTIVIDADES

Analizar los beneficios de un IT Governance dentro de la organización

Analizar los riesgos de no tener bajo control las TI.

Presentaciones del concepto de IT Governance a la alta dirección. Para realizar este paso se creó una plantilla para guiar en los conceptos necesarios para esta actividad (ver Apéndice 2).

Reconocer lanecesidadde un ITG

1

1. Identificar Necesidades

2. Construir el IT BSC

3. Implementar Solución

Reconocer la necesidad de un ITG

Entenderestrategia

del negocio

Elaborar Mapa Estratégico y definir

Indicadores

Evaluación de

desempeño

Analizar gaps entre lo deseado

y lo actual; y definir cambios requeridos

Implementar cambios

Evaluación de cambios

implementados

2

5 6

87 9

1

Planificar la

iniciativa

3

MITG


Formalizar una estrategia

de TI

4

Pág. 48




Obtener el apoyo de los ejecutivos de la organización para el seguimiento de las iniciativas presentadas.

ENTREGABLES

Identificación del auspiciante (sponsor en inglés) del proyecto.

Identificación de los encargados del proyecto.

Establecimiento de los objetivos del proyecto y su aporte a la estrategia global del negocio.

3.2.2 ENTENDER Y AFINAR LA ESTRATEGIA DE NEGOCIO

DESCRIPCIÓN

Analizar y estudiar la planificación estratégica de la Empresa. Asegurar que los encargados de

la implementación conozcan y entienda los objetivos del negocio y cómo las TI deberían entregar valor al negocio a través de los Objetivos del Negocio.

ACTIVIDADES

Estudiar Plan Estratégico del Negocio.

Obtener procesos críticos al giro del negocio.

Analizar el impacto de los objetivos de negocio sobre TI.

ENTREGABLES

Comprensión de la dirección de la organización.

Procesos críticos del negocio.

3.2.3 PLANIFICAR LA INICIATIVA

DESCRIPCIÓN

Planificar la iniciativa de la implementación de IT Governance, disponer de los recursos (i.e., colaboración de ejecutivos, documentación de la estrategia) y afirmar el apoyo para la

ejecución de las diferentes tareas.

Planificarla

Iniciativa

3

Entender y afinar estrategia

del negocio

2

Pág. 49




ACTIVIDADES

Asegurar un compromiso con los recursos necesarios por parte de la organización a favor de la iniciativa

Elaboración de un Plan de Gestión de Proyecto2

ENTREGABLES

Definición de una política de IT Governance

Definición de la dirección del programa.

Cronogramas de revisión y de entregas

3.2.4 FORMALIZAR LA ESTRATEGIA DE TI

DESCRIPCIÓN

Un BSC es la herramienta más importante que tiene el Gerente de Sistemas (CIO) para hacer la asociación de objetivos estratégicos del negocio con las diferentes actividades que se realizan

de TI. Esto hace que la entrega de valor a las iniciativas de TI se vea reflejada de una manera escalonada hacia los objetivos del negocio (para ver más información del BSC ver Anexo 1). En

este paso se formaliza la Estrategia de TI mediante la creación de un IT BSC (ver Anexo 2 para más información del IT BSC). Se deberán definir perspectivas que le permitan reflejar las áreas importantes de las estrategias emprendidas. Se recomienda utilizar perspectivas genéricas

como base (ver Anexo 2 para mayor detalle), sin embargo cada empresa podrá crear o modificar las perspectivas de acuerdo a las necesidades de su estrategia organizacional.

Tomando en cuenta las perspectivas implementadas en la organización, la definición de objetivos de TI se deberá realizar en base a dos ideas clave: un conocimiento profundo del

negocio, y un conocimiento de TI (sus operaciones y mejores prácticas). Además de esto hay parámetros básicos que todo objetivo estratégico definido deberá cumplir. Se ha incluido una

lista básica utilizando parámetros establecidos en la metodología para la definición de objetivos estratégicos SMART 3 . Utilizando las preguntas ahí establecidas se deberá verificar que el Objetivo de TI cumpla.

Para ayudar a la definición de los objetivos de TI se creó el documento DT01-ObjetivosTI (Ver Apéndice 3).

ACTIVIDADES

Presentar el concepto de IT BSC a la directiva y al comité de estrategia de TI.

Recoger información de los objetivos de negocio, objetivos de TI y métricas establecidas (en caso que ya exista).

Definir o modificar las perspectivas del IT BSC (las cuatro perspectivas están explicadas en el Anexo 2)

Formalizar la Estrategia

De TI

4

Pág. 50




Definir los objetivos de tecnología de información basados en los objetivos del negocio.Como guía al momento de establecer los objetivos de TI se recomienda utilizar objetivos

de TI genéricos obtenidos de diversas industrias (ver Anexo 4).

Identificar la relación entre los objetivos de TI con los objetivos de negocio

ENTREGABLES

Perspectivas justificadas para el IT BSC

Objetivos de TI.

Contribución y asociación de TI a los objetivos de negocio.

Creación de la estructura de organizacional necesaria para cumplir con los objetivos establecidos

SELECCIÓN DE OBJETIVOS UTILIZANDO LA HERRAMIENTA SMART

Parámetro

SMART EMARA

Descripción

Specific Específico Los objetivos deberán especificar detalladamente qué es lo que se busca alcanzar.

Preguntas clave:

¿Qué es lo que se va a hacer?

¿Qué estrategias se van a usar?

¿Está claro quién está involucrado?

¿Está claro el resultado que se espera?

¿El cumplimiento de este objetivo llevará al resultado que s espera?

Measurable Medible Se deberá poder medir el logro de los objetivos de una manera directa y desambigua de una manera cuantitativa y comparable.

¿Está claro el resultado que se espera?

¿Qué tan difícil es obtener estas mediciones?

Achievable Alcanzable Los objetivos que se establezcan y sus FCE son factibles y realizables desde una visión de negocio.

¿Están claras las limitaciones y restricciones?

¿Se pueden alcanzar con los recursos disponibles?

¿Se ha realizado o conseguido este resultado anteriormente?

Realistic/

Relevant

Realista/

Relevante

Son realistas considerando los recursos disponibles

¿Habiendo logrado el objetivo, estaré más cerca de mis objetivos estratégicos? ¿de mi visión?

Time bound

A Tiempo Que tengan un límite de tiempo para ser alcanzados

¿Se pueden alcanzar con los recursos disponibles?

¿Existe una fecha límite para el logro de estos objetivos?

Fuente: Adaptación de Ambler (2006)

Tabla 9. Acrónimo SMART de parámetros para definir objetivos estratégicos

Pág. 51




3.2.5 ELABORAR MAPA ESTRATÉGICO Y DEFINIRINDICADORES

DESCRIPCIÓN

ACTIVIDADES

Establecer las relaciones de causa-efecto entre los objetivos utilizando mapas estratégicos (mapa estratégico).

Construir los indicadores de desempeño clave para monitorear si la estrategia es exitosa.

Establecer los valores esperados de los sistemas de métricas esperados

ENTREGABLES

Mapa estratégico de los objetivos

Indicadores para cada objetivo de TI

MAPAS ESTRATÉGICOS

Para establecer la relación causa y efecto de los objetivos de tecnologías de información, se utilizarán mapas estratégicos. Para ver mayor detalle de los mapas estratégicos ver Anexo 1.

Los objetivos serán colocados en un diagrama que demuestre claramente las entradas y las salidas de los demás objetivos.

ESTABLECER INDICADORES

Para medir el desempeño y el crecimiento de cada objetivo de TI definido anteriormente, es necesario definir Indicadores. Esta metodología propone utilizar los procesos de TI definidos en

el COBIT 4.1 (IT Governance Institute, 2007a) como referencia para la construcción de los indicadores.

a. Asociación a los Procesos de TI del COBIT

Las asociaciones entre los objetivos de TI con los procesos de TI servirán para la creación de indicadores. En la Figura 11 se puede ver un ejemplo de la asociación mencionada. En esta metodología se recomienda hacer este paso tomando en cuenta el enlace que se presenta en el

Anexo 6.

Elaborar Mapa Estratégico

Y definir Indicadores

5

Pág. 52




Figura 11. Ejemplo de asociación con los Procesos de TI

Existen procesos de TI calificados como los más importantes (ver Anexo 5), que puede que no sean tomados en cuenta al momento que se realice la asociación de los objetivos de TI con los

procesos de TI. Esto quiere decir que de acuerdo a las mejores prácticas de varias industrias hay procesos que no se están considerando. Si así fuera el caso, lo más importante analizar

aquellos procesos para reafirmar la estrategia de TI.

b. Definición de los Indicadores

Los indicadores definidos para cada objetivo de TI son diferentes en cada empresa. Permiten la medición de aspectos que reflejan el nivel de cumplimiento de cada uno de los objetivos de TI.

Para encaminar la edificación de los indicadores en el IT BSC de cada organización es recomendable comenzar observando los KGI (indicadores de objetivos), KPI (indicadores de

procesos), KAI (indicadores de actividades) de los Procesos de TI del COBIT. Sin embargo, también se podrá utilizar fuentes tales como ITIL, ISO 17999, y demás estándares de procesos para definir tanto indicadores como niveles esperados. Una vez analizados se podrán

personalizar para las necesidades. En la Figura 12 se pueden observar ejemplos de indicadores.

Objetivos de TI Procesos de TI

F1 Alinear de las TI acorde con la estrategia de negocio.

PO1 PO4 ME1

C1 Asegurar que los servicios de TI estén disponibles cuando sean requeridos.

DS3 DS4 DS8

C2 Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.

DS1 DS8 PO8

F2 Transparentar el costo y los beneficios de TI de PO5 DS1 DS6

Procesos de TI del COBIT

Objetivos de TI


Pág. 53




Figura 12. Los indicadores de desempeño para los Objetivos de TI

Los indicadores deberán ser detallados utilizando el siguiente esquema:

Indicador Nombre y código del indicador

Tipo de Indicador Lead (indicadores de desempeño, sirven para ver la eficacia de una estrategia mientras es aplicada ) o Lag (indicadores de resultado, sirven para medir el resultado de una estrategia planteada)

Objetivo de TI A qué objetivo de TI afecta directamente este indicador

Descripción Detalle del indicador

Frecuencia de medición Periodicidad de medición (diario, mensual, anual, etc.)

Unidades de medida %, #, minutos, KBPS, etc.

meta (corto y largo plazo)

A dónde se busca llevar este objetivo

Responsable Quien está encargado de hacer que el indicador cumpla su meta

Herramienta para medir Es necesario alguna herramienta, hardware, software para obtener la medida

Fuente De dónde sale la información

Tabla 10. Tabla de parámetros para los indicadores

Indicadores de un Objetivo de TI KGI + KPI + KAI

Fuente: Elaboración autores, indicadores obtenidos de COBIT 4.1 (IT Governance Institute, 2007a)

(KGI) Key Goal Indicators, indicadores por los objetivos de TI.

(KPI) Key Process Indicators, indicadores por proceso de TI para alcanzar el objetivo de TI.

(KAI) Key Activity Indicators, indicadores por las actividades realizadas para alcanzar el proceso.

Pág. 54




3.2.6 EVALUACIÓN DE DESEMPEÑO

DESCRIPCIÓN

Este paso tiene la función de medir los indicadores de cada objetivo de TI establecidoanteriormente. Estos indicadores variarán dependiendo del enfoque de la estrategia de tecnologías de información de cada organización.

ACTIVIDADES

Revisión de los indicadores de desempeño individualmente para establecer el cumplimiento

de las metas establecidas.

ENTREGABLES

Indicadores medidos

El proceso de evaluación se puede observar en la Figura 13, en donde se describen los pasos a

seguir incluyendo el levantamiento de información y la evaluación de los indicadores.

Figura 13. Flujograma de Auditoría de revisión

3.2.7 ANALIZAR GAPS ENTRE LO DESEADO Y LO ACTUAL

DESCRIPCIÓN

Este paso revisa de una manera global y detallada todos los aspectos que se observaron en los resultados de los indicadores. Teniendo en cuenta las metas establecidas en cada indicador se proponen y discuten las actividades que llevarían a alcanzarlos.

ACTIVIDADES

Buscar las causas de las diferencias entre el valor esperado y el real

Definición de actividades para llegar al estado deseado

Analizar gaps entre lo deseado y lo

actual.

7

Evaluación de

desempeño

6

Inicio Identificar fuentes y responsables

Documentación formal Fin

Procedimientos no

documentados

IntegraciónInformación recolectada Revisión de

indicadores


Levantamiento de información

Pág. 55




Creación de planes de proyecto para cada iniciativa

ENTREGABLES

Tabla de indicadores completas

Proyectos de TI.

3.2.8 IMPLEMENTAR CAMBIOS

DESCRIPCIÓN

Todo proyecto propuesto en el paso anterior deberá ejecutarse para mejorar los indicadores de desempeño procurando no afectar negativamente ningún otro elemento.

ACTIVIDADES

Ejecución de los respectivos proyectos de cambio

ENTREGABLES

La correcta implementación de cada proyecto y su respectiva documentación

Entregables dependiendo de cada proyecto

3.2.9 EVALUACIÓN DE DESEMPEÑO

DESCRIPCIÓN

Los cambios implementados serán evaluados volviendo a medir los indicadores definidos, en el caso que los indicadores no muestren señal de mejora se deberá reevaluar la acción propuesta poniendo en duda su efectividad. En el caso que el indicador cumpla su meta, pero no impacte significativamente (de la manera esperada) a la estrategia se deberá reevaluar el indicador propuesto.

ACTIVIDADES

Evaluación de indicadores y comparar el resultado con la meta propuesta

Analizar el cambio en los indicadores desde la última evaluación

Analizar la efectividad de los proyectos de cambio y de los indicadores

ENTREGABLES

Reporte de efectividad de los indicadores

Reporte de efectividad de los proyectos

Evaluación de

desempeño

9

Implementar cambios

8

Pág. 56




NOTAS DEL CAPÍTULO 3 1 Ver glosario de IT Balanced Scorecard (IT BSC)2 Un Plan de Gestión de Proyecto incluye actividades de administración de integración, alcance, tiempo, costo, recursos humanos, comunicaciones, riesgo y adquisición. Ver PMBOK3 SMART, acrónimo que representa las palabras Smart, Measurable, Achievable, Realistic, Time oriented.Obtenido de Ambler G. (2006).

Pág. 57

Capítulo 4: Aplicación del Modelo de Implementación de IT Governance



Capítulo 4Aplicación del Modelo de Implementación de IT

Governance

4.1 DE LA APLICACIÓN DEL MODELO

El modelo presentado en el capítulo anterior se presenta como un marco referencial para la implementación de un correcto nivel de control sobre las tecnologías, IT Governance. Debido al

alcance definido en este TFC, únicamente se aplicarán ciertas etapas (Figura 14) definidas en el capítulo anterior. De esta manera soportando la metodología planteada y cumpliendo con los objetivos propuestos del TFC. Los pasos que se aplicarán serán los 4, 5, 6 y 7.

Figura 14. Etapas de la metodología escogidas

4.2 PRESENTACIÓN DE MODELO DE EVALUACIÓN

En comunicación con el coordinador del Departamento de Sistemas de la empresa ABC se

planteó crear un IT BSC con el fin de obtener indicadores de desempeño y crear un mecanismo que permita demostrar el valor que entregan las TI, de manera que pueda contar con mayores

1. Identificar Necesidades

2. Construir el IT BSC

3. Implementar Solución

Reconocer la necesidad de un ITG

Entenderestrategia

del negocio

Elaborar Mapa Estratégico y definir

Indicadores

Evaluación de

desempeño

Analizar gaps entre lo deseado

y lo actual; y definir cambios requeridos

Implementar cambios

Evaluación de cambios

implementados

2

5 6

87 9

1

Planificar la

iniciativa

3

MITG



de TI

4

Pág. 58




recursos y apoyo gerencial para los proyectos propuestos por el Departamento. Nuestra visita a la empresa ABC tendría como resultado realizar una evaluación y dar recomendaciones a la

empresa.

4.3 APLICACIÓN DEL MODELO

4.3.1 FORMALIZAR LA ESTRATEGIA DE TI

El proceso comenzó con un primer levantamiento de información donde se obtuvo, entre otrascosas, las funciones establecidas para el Departamento de Sistemas de la empresa ABC (Figura 15). Sin embargo, los objetivos no mostraban una estrategia clara formalmente definida, más bien parecían metas y acciones de TI. En base a esto se propuso la formalización de objetivos

de TI basándose en objetivos genéricos más importantes encontrados en el estándar COBIT (ver Anexo 4).

Figura 15. Actividades genéricas del departamento de Sistemas1


de TI

4

Fuente: Empresa ABC

Difuminadas para preservar la seguridad de la información

Pág. 59




Teniendo en cuenta las actividades funcionales más importantes, una lista de objetivos de TI

genéricos (Anexo 4) y los procesos de COBIT (Anexo 3) se llegó a crear una lista de objetivos que cumplan con los requisitos de la organización (ver proceso en la Figura 16).

Figura 16. Proceso de Definición de objetivos estratégicos de TI

La ventaja de usar los objetivos genéricos es su facilidad de asociación con las 4 perspectivas del IT BSC y con los procesos del COBIT (los procesos de TI fueron usados posteriormente para definir las métricas iniciales.)

En la Tabla 11 se presentan los objetivos de TI formalmente definidos para la empresa ABC con la descripción.

Objetivos de TI

Alinear de las TI acorde con la estrategia de negocio.

Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.

Asegurar que los servicios de TI estén disponibles cuando sean requeridos.

Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.

Reducir defectos y retrabajo en las soluciones implementadas.

Adquirir y mantener una infraestructura de TI integrada y estandarizada.

Optimizar los recursos y capacidades de TI.

Innovar los procesos de negocio usando la tecnología.

Asegurar la calidad, la eficiencia, la mejora continua y capacidad de adpaptación para futuros cambios.

Actividades funcionales de ABC

Procesos de TI de COBIT

Objetivos de TI definidos formalmente


Análisis

Formalización

Objetivos de TI Genéricos

Consulta

Pág. 60




Objetivos de TI Descripción del Objetivo

Alinear de las TI acorde con la estrategia de negocio.

Este objetivo busca que las actividades que se realicen en el área de TI (Departamento de Sistemas, Informático, etc.) estén alineadas, es decir que todas las funciones tengan un impacto positivo en la estrategia global del negocio (i.e., misión, visión, objetivos estratégicos).

Asegurar que los servicios de TI estén disponibles cuando sean requeridos.

Todos los servicios, i.e. correo electrónico, atención a usuarios, soporte a los sistemas, software utilizado, servidores, etc. que utilicen deberían estar disponibles según lo que cada área lo requiera para el funcionamiento normal del negocio.

Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.

Para darle la continuidad necesaria al negocio es necesario que todos los sistemas implementados en las diferentes áreas de negocio sirvan tal y como fueron pensados. Esto quiere decir que su funcionalidad, el tiempo de respuesta y la disponibilidad de los servicios de TI deberán cumplir con los requerimientos del negocio.

Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

Crear y mantener un modelo de costos que permita tareas de asignación de costos2 a las diferentes áreas de negocio.

Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.

Este objetivo busca el establecimiento de un procedimiento formal de análisis de costo y beneficio que refleje claramente factores de retorno de inversión para los proyectos de TI.

Innovar los procesos de negocio usando la tecnología.

Todos los procesos deberán ser optimizados en eficiencia y luego ser automatizados. Este objetivo de TI busca una constante actualización en tecnologías que aseguren esto para la organización.

Establecer el marco para la adaptación para futuros cambios en las TI.

La creación de políticas, procedimientos y normas de TI que sean flexibles y abiertas para permitir que todo cambio en los objetivos del negocio sea respondido de una manera ágil.

Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.

Este objetivo de TI busca la formalización y aplicación de un procedimiento global de administración de cambios que refleje el valor en cada solución implementada.

Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.

Los proyectos emprendidos por el área de sistemas deberían contar con planes de proyectos basados en el estándar PMBOK para controlar presupuestos, recursos y tiempo para cada actividad.

Reducir defectos y retrabajo en las soluciones implementadas.

Este objetivo busca la implementación de un procedimiento basado en una metodología que permita el incremento en la calidad de los proyectos desarrollados.

Adquirir y mantener una infraestructura de TI integrada y estandarizada.

La creación de estándares de TI flexibles e integrados que permita la reusabilidad de los recursos y beneficios de los activos de TI.

Optimizar los recursos y capacidades de TI.

Los recursos que usan las diferentes tareas y actividades del departamento de sistemas deberán manejarse bajo un modelo de costos.

Adquirir y mantener habilidades que respondan a las estrategias de TI

El personal de TI deberá ser constantemente capacitado para dominar las tecnologías implementadas y para estar preparado para futuros cambios en la infraestructura.

Investigar y desarrollar tendencias de TI

Este objetivo busca que el departamento de Sistemas, basándose en la experiencia y el conocimiento del negocio, sea capaz de hacer propuestas de optimización de procesos basadas en investigaciones que fomenten la creatividad.


Tabla 11. Descripción de los objetivos de TI

Pág. 61




4.3.2 ELABORAR MAPA ESTRATÉGICO Y DEFINIR INDICADORES

Como primer paso se analizó y se estableció la relación de cada uno de los objetivos de TI a las

perspectivas escogidas. El resultado de esto se puede observar en la Figura 17.

Figura 17. Objetivos de TI de la empresa ABC

Se procedió a crear el mapa estratégico para analizar las relaciones causa efecto, revisando que todos los objetivos estén alineados y satisfagan las distintas perspectivas.

Elaborar el Mapa Estratégico y

Definir Indicadores

5

CONTRIBUCIÓN CORPORATIVA

F1 Alineación de las TI acorde con la estrategia de negocio.

F2 Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

F3 Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.

ORIENTACIÓN DE CLIENTES



EXCELENCIA OPERACIONAL P1 Entregar proyectos a tiempo y con el

presupuesto establecido, cumpliendo estándares de calidad acordados.

P2 Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.

P3 Reducir defectos y retrabajo en las soluciones implementadas.

P4 Adquirir y mantener una infraestructura de TI integrada y estandarizada.

P5 Optimizar los recursos y capacidades de TI.

IT BSC

ORIENTACIÓN FUTURA

D1 Innovar los procesos de negocio usando la tecnología.

D2 Establecer el marco para la adaptación para futuros cambios en las TI.

D3 Adquirir y mantener habilidades que respondan a las estrategias de TI

D4 Investigar y desarrollar de tendencias de TI


Pág. 62




Figura 18. Mapa estratégico de los objetivos de TI de ABC

Una vez obtenido el mapa estratégico, observando que no falte ningún objetivo y que la estrategia de TI quede clara, se procedió a identificar los procesos de TI del COBIT asociados a

los objetivos (ver Tabla 11).


EXCELENCIA OPERACIONAL

ORIENTACIÓN FUTURA


Los requerimientos del negocio

son traducidos a soluciones automáticas efectivas y

eficientes.

CONTRIBUCIÓN CORPORATIVA

Asegurar que los servicios

de TI estén disponibles cuando sean requeridos.

Innovar los procesos de negocio usando la

tecnología.

Alineación de las TI acorde

con la estrategia de negocio.

Transparentar el costo y los

beneficios de TI de acuerdo a los niveles acordados de

servicio.

Mejorar la eficiencia del costo-

beneficio de TI y su contribución a la rentabilidad del negocio.

Asegurar la satisfacción de los

clientes y los usuarios finales a través de los servicios de TI y

sus niveles de servicios.

Establecer el marco para

la adaptación para futuros

cambios en las TI.

Entregar proyectos a tiempo y

con el presupuesto establecido, cumpliendo estándares de

calidad acordados.

Reducir defectos y retrabajo en las soluciones

implementadas.

Adquirir y mantener una

infraestructura de TI integrada y estandarizada.

Optimizar los recursos y

capacidades de TI.

Investigación y desarrollo de

tendencias de TI

Capacitar permanentemente al

personal de TI

Pág. 63




Objetivos de TI Procesos de TI

F1 Alinear de las TI acorde con la estrategia de negocio. PO1 PO4 ME1


DS3 DS4 DS8


DS1 DS8 PO8

F2 Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

PO5 DS1 DS6

F3 Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.

PO5 ME1 DS6

D1 Innovar los procesos de negocio usando la tecnología. PO4 (*)

D2 Establecer el marco para la adaptación para futuros cambios en las TI.

PO5 DS6 ME1

P2 Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.

AI1 AI2 AI6

P1 Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.

PO8 PO10

P3 Reducir defectos y retrabajo en las soluciones implementadas. PO8 AI4 AI6 AI7 DS10

P4 Adquirir y mantener una infraestructura de TI integrada y estandarizada.

AI3 PO3 AI2

P5 Optimizar los recursos y capacidades de TI. DS3 AI5 AI3

D3 Adquirir y mantener habilidades que respondan a las estrategias de TI

(*)

D4 Investigar y desarrollar de tendencias de TI (*)

(*) Procesos creados que no pertenecen a los Procesos de TI del COBIT.


Tabla 12. Objetivos de TI Asociados a los Procesos de TI

CREACIÓN DE INDICADORES DE DESEMPEÑO

Posteriormente se construyeron los indicadores usando como base los procesos de TI asociados a los objetivos previamente seleccionados. Debido a la gran cantidad de métricas se realizó un

filtro para seleccionar las que reflejen mejor los objetivos iniciales.

Per

spec

tiva

Objetivos deTI

Pro

ceso

s TI

Código Indicadores de Desempeño

F1PO1.1% de objetivos de TI que apoyan a los objetivos estratégicos del negocio

F1PO1.2 % de Iniciativas en el plan táctico que apoyan a los objetivos de TI

F1PO1.3 % de proyectos de TI que están relacionados con los planes tácticos.

F1PO1.4Retraso en días en la actualización de objetivos de TI con respecto a modificaciones a los objetivos del negocio

PO1 F1PO1.5% de participación de ejecutivos fuera del departamento de TI en los proyectos/iniciativas de TIC

ontr

ibuc

ión

corp

orat

iva

F1. Alinear las TI acorde con la estrategia de negocio.

PO4 F1PO4.1 Frecuencia de revisión de un marco general de procesos de TI

Pág. 64




Per

spec

tiva

Objetivos deTI

Pro

ceso

s T

I


F1PO4.2Frecuencia de revisión de documentación de roles y responsabilidades del personal de TI

F1PO4.3% de involucrados que están satisfechos con el nivel de repuesta del departamento de TI

F1PO4.4% de cargos que están formalmente documentados incluyendo responsabilidades, tareas y descripciones de autoridad.

F2PO5.1% de proyectos propuestos formalmente que no cuentan con el análisis costo-beneficio

F2PO5.2 % de gasto en TI expresado en valor para el negocio

F2PO5.3 # de proyectos desviados en su presupuesto

F2PO5.4 % de inversiones en TI que resultan en los beneficios preestablecidos

F2PO5.5 Frecuencia de los reportes de beneficio

F2PO5.6% de proyectos para los cuales existe y está disponible información de desempeño (e.g., costos, cronogramas, riesgo)

PO5 F2PO5.7 % de servicios de TI cuyo costo está registrado

F2DS1.1% de Servicios de TI que están plasmados en SLAs de acuerdo al portafolio de servicios

F2DS1.2% de clientes que están satisfechos que el servicio cumpla con los niveles acordados

F2DS1.3 % de niveles de servicio que son medidos/monitoreados

DS1 F2DS1.4# de reuniones formales de revisión de los SLAs con los responsables de negocio por año.

F2DS6.1Frecuencia de revisión de los costos de TI y la asociación a los servicios de TI en el portafolio

F2DS6.2% de facturas por servicio aceptadas por las diferentes áreas del negocio

F2DS6.3 % de varianza entre los presupuestos, pronósticos y costos reales

F2DS6.4% de costos de TI que están asignados de acuerdo al modelo de costos que ha sido implementado

F2DS6.5% de usuarios de negocio involucrados en la definición de modelos de costo.

F2DS6.6 Frecuencia de revisión/actualización del modelo de costos

F2. Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

DS6 F2DS6.7 % de servicios de TI cuyo costo está registrado

F3PO5.1 % de la reducción del costo de los servicios de TI

F3PO5.2 # de desviaciones del presupuesto

F3PO5.3 % de proyectos con revisión post-proyecto

PO5 F3PO5.4% de proyectos para los cuales existe y está disponible información de desempeño (e.g., costos, cronogramas, riesgo)

F2ME1.1# de cambios realizados a los indicadores de desempeño y a los valores esperados

F2ME1.2 Nivel de satisfacción de involucrados con los procesos de medición

F2ME1.3 % de procesos críticos monitoreados

F2ME1.4 # de acciones de mejoramiento dirigidas por actividades de monitoreo

ME1 F2ME1.5 # de metas de desempeño alcanzadas (indicadores de control)

F3DS6.1Frecuencia de revisión de los costos de TI y la asociación a los servicios de TI en el portafolio

F3. Mejorar la eficiencia del costo-beneficio de TI y su contribución a la rentabilidad del negocio.

DS6

F3DS6.2% de costos de TI que están asignados de acuerdo al modelo de costos que ha sido implementado

Pág. 65




Per

spec

tiva

Objetivos deTI

Pro

ceso

s T

I


F3DS6.3% de usuarios de negocio involucrados en la definición de modelos de costo.

F3DS6.4 Frecuencia de revisión/actualización del modelo de costos

F3DS6.5 # de servicios cuyos costos son asignados manualmente

C1DS3.1# de horas perdidas por usuario (por mes) por falta de disponibilidad de los servicios de TI

C1DS3.2 Tasa de falla de transacciones

C1DS3.3% de tiempo de respuesta establecido en los SLAs que no se ha cumplido

DS3 C1DS3.4 % de activos incluidos en las revisiones de capacidad

C1DS4.1# de procesos críticos del negocio soportados por TI que no está incluida en el plan de continuidad del negocio

DS4 C1DS4.2 Frecuencia de revisión del plan de continuidad de TI

C1. Asegurar que los servicios de TI estén disponibles cuando sean requeridos.

DS8 C1DS8.2% de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado.

PO8 C2PO8.4 % de involucrados participando en encuestas de calidad

C2DS1.1% de Servicios de TI que están plasmados en SLAs de acuerdo al portafolio de servicios

C2DS1.2% de clientes que están satisfechos que el servicio cumple con los niveles acordados

C2DS1.4 % de niveles de servicio que son medidos

C2DS1.5 Frecuencia de revisión de niveles de servicios

C2DS1.6# de reuniones formales de revisión de los SLAs con los responsables de negocio por año.

DS1 C2DS1.7 % de niveles de servicio que son reportados automáticamente

C2DS8.1# de llamadas de soporte para capacitación o para responder preguntas

C2DS8.2 Satisfacción del usuario con el soporte de primer nivel

Orie

ntac

ión

a Clie

ntes

C2. Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.

DS8 C2DS8.3% de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado.

P1PO8.1% de proyectos de TI revisados y firmados por Aseguramiento de Calidad que cumplan con las metas de calidad y objetivos

P1PO8.2 % de proyectos con revisiones de Aseguramiento de Calidad

PO8 P1PO8.3% de personal de TI con entrenamiento de conciencia/gestión de calidad

P1PO10.1 % de proyectos a tiempo y bajo presupuesto

P1PO10.2 % de proyectos que cumplen con las expectativas de los involucrados

P1PO10.3% de proyectos que siguen estándares y practicas de la gestión de proyectos.

P1PO10.4 % de gestores de proyectos certificados o entrenados.

P1PO10.5 % de proyectos que reciben revisiones post-implementación

P1. Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.

PO10 P1PO10.6 % de involucrados participando en proyectos (índice de involucración)

P2AI1.1 % de involucrados satisfechos con el estudio de factibilidad

Exce

lenc

ia O

pera

cion

al

P2. Los requerimientos del negocio son

AI1

P2AI1.2 % del portafolio de aplicaciones inconsistente con la arquitectura.

Pág. 66




Per

spec

tiva

Objetivos deTI

Pro

ceso

s T

I


P2AI1.3% de proyectos del plan anual de TI sujetos a un estudio de factibilidad

AI2 P2A2.1 % de proyectos de desarrollo a tiempo y bajo presupuesto

P2AI6.1Cantidad de retrabajo de las aplicaciones causado por especificaciones de cambios inadecuadas

P2AI6.3% de cambios insatisfactorio a la infraestructura debido a especificaciones de cambios inadecuadas

traducidos a solucionesautomáticas efectivas y eficientes.

AI6 P2AI6.7 Proporción de solicitudes de cambio aceptadas y rechazadas

P2PO8.1 % de defectos descubiertos antes de producción

P2PO8.2% de reducción en el número de incidentes de alta severidad por usuario por mes.

P2PO8.3% de proyectos de TI revisados y firmados por Aseguramiento de Calidad que cumplan con las metas de calidad y objetivos

P2PO8.4

% de Procesos de TI que son revisados formalmente por Aseguramiento de Calidad periódicamente, y que cumplan con las metas de calidad y objetivos.

P2PO8.6% de personal de IT con entrenamiento de conciencia/gestión de calidad

PO8 P2PO8.7% de procesos de TI y proyectos con participación activa de involucrados en el aseguramiento de calidad.

AI4 P3AI4.5Disponibilidad, completitud y precisión de la documentación de usuarios y operacional

P3AI6.1Cantidad de retrabajo de las aplicaciones causado por especificaciones de cambios inadecuadas

P3AI6.4% de cambios insatisfactorio a la infraestructura debido a especificaciones de cambios inadecuadas

AI6 P3AI6.8 % de cambios que siguen procesos formales de controles de cambios

P3AI7.1# de errores encontrados durante auditorias internas o externas relacionadas con los procesos de instalación y acreditación

P3AI7.2Retrabajo después de implementación por causa de una inadecuada prueba de aceptación

P3AI7.4Caída de aplicaciones o correcciones a datos causados por pruebas inadecuadas

P3AI7.5Grado de envolvimiento de los involucrados en los procesos de instalación y acreditación

P3AI7.6 % de proyectos con planes de pruebas documentados y aprobados

AI7 P3AI7.8% de errores encontrados durante revisiones de Aseguramiento de Calidad de funciones de instalación y acreditación

P3DS10.1 % de problemas registrados y rastreados

P3DS10.2 % de problemas recurrentes (dentro de un lapso de tiempo)

P3DS10.3 % de problemas resueltos dentro del tiempo requerido

P3DS10.7Tiempo promedio entre el registro de un problema y la identificación de la causa

P3DS10.8 % de problemas de la cual un análisis de su causa ha sido realizado

P3. Reducir defectos y retrabajo en las soluciones implementadas.

DS10 P3DS10.9Frecuencia de reportes o actualizaciones a un problema , basado en la severidad del problema

P4. Adquirir y mantener una AI3 P4AI3.3

% de componentes de infraestructura adquiridos fuera del proceso de adquisición.

Pág. 67




Per

spec

tiva

Objetivos deTI

Pro

ceso

s T

I


P4PO3.1 Frecuencia de revisión de estándares de TI por el comité de estándares

P4PO3.2 % de incumplimiento a los estándares definidos para las TI

P4PO3.5 Frecuencia de reuniones mantenidas por la junta de arquitectura de TI

PO3 P4PO3.6Frecuencia de revisiones/actualizaciones al plan de infraestructura tecnológica

AI2 P4AI2.6% de proyectos de aplicaciones de software con apropiadas revisiones y aprobaciones de cumplimiento con estándares de desarrollo

infraestructura de TI integrada y estandarizada.

AI5 P4AI5.1% de adquisiciones que cumplen con las políticas y procedimientos de adquisición vigentes

C3DS3.2 Tasa de falla de transacciones

DS3 C3DS3.4 % de activos incluidos en las revisiones de capacidad

AI5 C3AI5.3 % de reducción de costos de los servicios entregados

P5. Optimizar los recursos y capacidades de TI.

AI3 C3AI3.1% de plataformas que no están alineadas con la arquitectura de TI definida y los estándares tecnológicos

D1BP1.1 % de procesos de negocio soportados por las TI

BP1 D1BP1.2% de proyectos propuestos por parte del departamento de TI para mejorar los procesos del negocio

D1PO4.1 Frecuencia de revisión de un marco general de procesos de TI

D1. Innovar los procesos de negocio usando la tecnología.

PO4 D1PO4.2 Frecuencia de revisión de la organización de TI

D2PO5.3 Frecuencia de actualización del portafolio de TI

D2PO5.4 % de gasto en TI expresado en valor para el negocio

D2PO5.10% de proyectos para los cuales existe y está disponible información de desempeño (e.g., costos, cronogramas, riesgo)

PO5 D2PO5.11 % de servicios de TI cuyo costo está registrado

D2DS6.1Frecuencia de revisión de los costos de TI y la asociación a los servicios de TI en el portafolio

DS6 D2DS6.5% de usuarios de negocio involucrados en la definición de modelos de costo.

D2ME1.1# de cambios realizados a los indicadores de desempeño y a los valores esperados

D2. Establecer el marco para la adaptación para futuros cambios en las TI.

ME1 D2ME1.3 % de procesos críticos monitoreados

D3BP2.1 # de capacitación por personal de TI por año

D3BP2.2 Nivel de satisfacción con la pericia y habilidades del personal de TI

D3. Adquirir y mantener habilidades que respondan a las estrategias de TI BP2 D3BP2.3 Puntuación de personal en pruebas de evaluación por año

Orie

ntac

ión

Futu

ra

D4. Investigar y desarrollar de tendencias de TI BP3 D3BP3.1 % de presupuesto invertido en investigación y desarrollo


Tabla 13. IT BSC para ABC

Pág. 68




SELECCIÓN DE INDICADORES

De estos indicadores se seleccionaron 26 estratégicos, (el resto son indicadores de diagnóstico) para medir inicialmente a la empresa ABC. A continuación se presentan los indicadores de desempeño seleccionados:

Indicador F1PO1.1 - Objetivos de TI que apoyan a los objetivos estratégicos del negocio

Tipo de Indicador Lag

Objetivo de TI F1. Alinear las TI acorde con la estrategia de negocio.

Descripción Se deberá analizar los objetivos de negocio establecidos. Posteriormente se deberán buscar los que tengan una asociación cuantitativa con los objetivos de TI que se pueda demostrar. Se calculará el total de objetivos de TI asociados a objetivos del negocio sobre el total de objetivos de TI.

Frecuencia de medición Cada vez que se modifican los objetivos estratégicos del negocio

Unidades de medida %


Corto plazo: 100%

Largo plazo: 100%

Responsable Coordinador de Sistemas

Fuente Plan de Negocios, que incluya los objetivos estratégicos del negocio

Plan Estratégico de TI, que incluya los objetivos de TI

Indicador F1PO1.2 - Iniciativas en el plan táctico que apoyan a los objetivos de TI



Descripción Se deberá analizar los objetivos de TI definidos. Posteriormente se deberán buscar los que tengan una asociación cuantitativa con las iniciativas del plan táctico que se pueda mostrar. Se calculará el total de iniciativas del plan táctico asociadas a los objetivos de TI sobre el total de objetivos de TI.

Frecuencia de medición Cada vez que se modifican los objetivos de TI



Corto plazo: Por definir (esto se debe a que no es posible definir una menta sin saber primero el valor actual del parámetro, esto llevaría a forzar algo que quizás no sea alcanzable)

Largo plazo: 100% de alineación


Fuente Plan táctico de TI,

Plan Estratégico de TI

Indicador F1PO1.5 - Participación de ejecutivos fuera del departamento de TI en los proyectos/iniciativas de TI



Descripción Las personas que conforman los equipos para los proyectos de iniciativas del departamento de sistemas deberá estar conformado por ejecutivos de las áreas que hacen los requerimientos.

Frecuencia de medición Cada proyecto de TI iniciado



Por definir


Fuente Project Charter, proyectos de TI, actividades y responsabilidades del proyecto.

Pág. 69




Indicador F1PO4.3 - Involucrados que están satisfechos con el nivel de repuesta del departamento sistemas

Tipo de Indicador Lead


Descripción Se deberá realizar una encuesta de satisfacción sobre la respuesta que entrega TI a los involucrados.

Frecuencia de medición Semestralmente



Corto plazo: Por definir

Largo plazo: 100%


Herramienta para medir Encuesta de satisfacción sobre desempeño de TI

Fuente Percepción de los involucrados

Indicador F1PO4.4 - Cargos que están formalmente documentados incluyendo responsabilidades, tareas y descripciones de autoridad.


Objetivo de TI F2. Transparentar el costo y los beneficios de TI de acuerdo a los niveles acordados de servicio.

Descripción Se deberá realizar una comparación entre el total de cargos actuales y los que tengan documentación disponible.

Frecuencia de medición Anualmente



Corto plazo: 100%

Largo plazo: 100%


Fuente Documento de cargos, tareas y responsabilidades del departamento de TI. Recursos Humanos.

Indicador F2PO5.1 - Proyectos propuestos formalmente que no cuentan con el análisis costo-beneficio



Descripción Se deberá calcular los proyectos propuestos que contengan análisis costo-beneficio sobre el total de proyectos propuestos de TI.

Fórmula:

Proyectos que tienen análisis costo-beneficio/D1BP1.2





Largo plazo: 0%


Fuente Plan de Proyecto

Indicador F2PO5.3 - Proyectos desviados en su presupuesto


Objetivo de TI F2. Transparentar el costo y los beneficios de TI de acuerdo a los niveles

Pág. 70




acordados de servicio.

Descripción Se deberá realizar una comparación entre presupuesto establecido para un proyecto y los valores reales. Posteriormente se calculará el total de proyectos bajo presupuesto sobre el total de proyectos.


Unidades de medida #


Corto plazo: 0

Largo plazo: 0


Herramienta para medir Presupuesto vs. Gasto real

Fuente Plan de proyecto

Indicador F2PO5.6 - Proyectos para los cuales existe y está disponible información de desempeño (e.g., costos, cronogramas)



Descripción Se deberá identificar los proyectos que contienen información de desempeño. Posteriormente se calculará el total de proyectos identificados sobre el total de proyectos.





Largo plazo: 100%


Herramienta para medir e.g., Microsoft Project

Fuente Documentación de Proyecto (un Registro o SW donde se registre el seguimiento del proyecto)

Indicador F2DS1.1 - Servicios de TI que están plasmados en SLAs de acuerdo al portafolio de servicios



Descripción Se deberá realizar una asociación entre los servicios de TI disponibles en el portafolio de TI y los SLA’s. Posteriormente se calculará el total de servicios que tienen asociados SLA’s sobre el total de servicios.





Largo plazo: 100%


Fuente Portafolio de Servicios de TI, SLA’s

Indicador F2DS6.7 - Servicios de TI cuyo costo está registrado



Descripción Se deberá revisar los servicios de TI que tengan costos registrados. Se calculará el total de servicios con costos registrados sobre el total de servicios ofrecidos en el portafolio de servicios.

Pág. 71







Corto plazo: 90%

Largo plazo: 100%


Fuente Portafolios de servicios de TI, Modelo de Costos

Indicador C1DS4.1 - Procesos críticos del negocio soportados por TI que no esténincluidos en el plan de continuidad del negocio


Objetivo de TI C1. Asegurar que los servicios de TI estén disponibles cuando sean requeridos.

Descripción Se deberá revisar los procesos críticos del negocio. Posteriormente se revisará el plan de continuidad de negocio y contarán los procesos que no están soportados en el plan.



meta (corto y largoplazo)

Corto plazo: reducción al # de procesos actuales

Largo plazo: 0


Herramienta para medir -

Fuente Procesos críticos del negocio, Plan de Continuidad de Negocio, DRP

Indicador C2DS1.1 - Servicios de TI que están plasmados en SLAs de acuerdo al portafolio de servicios


Objetivo de TI C2. Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.

Descripción Se deberá realizar una asociación entre los servicios de TI disponibles en el portafolio de TI y los SLA’s. Posteriormente se calculará el total de servicios que tienen asociados SLA’s sobre el total de servicios.





Largo plazo: 100%


Fuente Portafolio de Servicios de TI, SLA’s

Indicador C2DS8.1 - Llamadas de soporte para capacitación o para responder preguntas


Objetivo de TI C2. Asegurar la satisfacción de los clientes y los usuarios finales a través de los servicios de TI y sus niveles de servicios.

Descripción Se deberá revisar el registro de llamadas catalogadas bajo consultas y capacitación.




Por definir


Fuente Registro de llamadas (incidentes)

Pág. 72




Indicador P1PO10.1 – Proyectos a tiempo y bajo presupuesto


Objetivo de TI P1. Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.

Descripción Se deberá realizar una comparación entre el tiempo y presupuesto establecido para un proyecto y los valores reales. Posteriormente se calculará el total de proyectos a tiempo y bajo presupuesto sobre el total de proyectos.





Largo plazo: 100%


Fuente Bitácora de Proyecto, Plan de Proyecto.

Indicador P1PO10.2 – Proyectos que cumplen con las expectativas de los involucrados


Objetivo de TI P1. Entregar proyectos a tiempo y con el presupuesto establecido, cumpliendo estándares de calidad acordados.

Descripción Se deberá realizar una encuesta a los involucrados del proyecto, sobre el grado de satisfacción en relación a un proyecto culminado. Posteriormente se revisará el total de proyectos dónde los involucrados se encuentren satisfechos, sobre el total de proyectos.



Meta (corto y largo plazo)


Largo plazo: 100%


Herramienta para medir Encuesta de satisfacción de los proyectos de TI.

Fuente Involucrados de proyectos, proyectos de TI.

Indicador P2A2.1 - Proyectos de desarrollo a tiempo y bajo presupuesto


Objetivo de TI P2. Los requerimientos del negocio son traducidos a soluciones automáticas efectivas y eficientes.

Descripción Se deberá realizar una comparación entre el tiempo y presupuesto establecido para un proyecto de desarrollo y los valores reales. Posteriormente se calculará el total de proyectos de desarrollo a tiempo y bajo presupuesto sobre el total de proyectos.





Largo plazo: 100%


Fuente Plan de Proyecto, bitácora de proyectos,

Indicador P3AI4.5 – Disponibilidad de la documentación de usuarios y operacional


Objetivo de TI P3. Reducir defectos y retrabajo en las soluciones implementadas.

Descripción Se deberá realizar una comparación entre el total de aplicaciones y procesos de TI y las que tengan documentación disponible.

Pág. 73







Corto plazo: 100% de la disponibilidad de la documentación

Largo plazo: cumplimiento de parámetros de calidad para la documentación


Fuente Documentación de Aplicaciones, Manuales de Usuario, Manual de Procedimientos.

Indicador P3AI7.1 - Errores encontrados durante auditorias internas o externas relacionadas con los procesos de instalación y acreditación



Descripción Se deberá realizar una revisión de los procesos de instalación y acreditación y secomparará el proceso realizado.




Corto plazo: encontrar errores y crear planes de corrección

Largo plazo: 0% de errores

Responsable Encargado de Auditoria, Coordinador de Sistemas

Herramienta para medir Auditoría de controles generales de TI

Fuente Procesos de instalación y acreditación, Controles generales de TI (cambios a programas)

Indicador P3AI7.6 - Proyectos con planes de pruebas documentados y aprobados



Descripción Se deberá realizar una comparación entre los proyectos con plan de pruebas documentados y aprobados, y el total de proyectos de TI.




Corto plazo: 100% de los proyectos deberán tener planes de prueba

Largo plazo: 100% de los proyectos deberán tener aprobaciones de las pruebas


Fuente Plan de pruebas de proyectos

Indicador P3DS10.1 - Problemas registrados y rastreados



Descripción Se deberá realizar una comparación entre el total de problemas registrados y los que fueron rastreados para conocer su causa.

Fórmula:

Problemas rastreados hasta su causa / problemas registrados




Corto plazo: 100% de los problemas deberán ser formalmente documentados

Largo plazo: sistema de Help Desk implementado


Fuente Bitácora de problemas, Registros de resolución de problemas

Pág. 74




Indicador P4PO3.6 - Frecuencia de revisiones/actualizaciones al plan de infraestructura tecnológica


Objetivo de TI P4. Adquirir y mantener una infraestructura de TI integrada y estandarizada.

Descripción Se deberá medir el número de revisiones/actualizaciones realizadas al plan tecnológico de infraestructura durante un periodo específico.




Por definir


Fuente Plan de infraestructura tecnológica, bitácoras de reuniones

Indicador D1BP1.1 - Procesos de negocio soportados por las TI


Objetivo de TI D1. Innovar los procesos de negocio usando la tecnología.

Descripción Se deberá realizar una comparación entre el total de procesos de negocios y los soportados por TI.




Por definir


Herramienta para medir -

Fuente Documentación procesos de negocio/mapa tecnológico

Indicador D1BP1.2 - Proyectos propuestos por parte del departamento de TI para mejorar los procesos del negocio


Objetivo de TI D1. Innovar los procesos de negocio usando la tecnología.

Descripción La cantidad de proyectos propuestos por el departamento de sistemas dividido para el total de proyectos.




Por definir


Herramienta para medir Investigación de iniciativas demostrables de proyectos que hayan surgido del departamento de TI

Fuente Bitácora de Proyectos de TI

Indicador D2PO5.10 - Proyectos para los cuales existe y está disponible información de desempeño (e.g., costos, cronogramas, riesgo)


Objetivo de TI D2. Establecer el marco para la adaptación para futuros cambios en las TI.

Descripción Se deberá identificar los proyectos que contienen información de desempeño. Posteriormente se calculará el total de proyectos identificados sobre el total de proyectos.



Pág. 75






Largo plazo: 100%


Herramienta para medir e.g., Microsoft Project

Fuente Documentación de Proyecto (un Registro o SW donde se registre el seguimiento del proyecto)

Indicador D3BP2.1 - Capacitación por personal de TI por año


Objetivo de TI D3. Adquirir y mantener habilidades que respondan a las estrategias de TI

Descripción Se deberá revisar el total de capacitaciones realizadas al personal de TI durante un periodo.




La capacitación está en relación directa con los cambios en las tecnologías deinformación que afecten a los usuarios.


Fuente Planes de Capacitación

Indicador D3BP3.1 - Presupuesto invertido en investigación y desarrollo


Objetivo de TI D4. Investigar y desarrollar tendencias de TI

Descripción Se deberá calcular el total de capital invertido en investigación y desarrollo sobre el total del presupuesto del año.




Corto plazo: presupuesto fijado únicamente para este medio

Largo plazo: por definir


Fuente Presupuesto General

4.3.3 EVALUACIÓN DESEMPEÑO

Para entrar al paso número 6 de la metodología propuesta fue necesario recopilar los

requerimientos para cada indicador escogido en la sección anterior. Se creó una lista con las fuentes de información de las que se mide los indicadores propuestos (ver Figura 19).

Evaluación Desempeño

6

Pág. 76




Figura 19. Lista de requerimientos entregada en la empresa ABC

4.3.4 ANALIZAR GAPS ENTRE LO DESEADO Y LO ACTUAL

De la información recibida se evaluaron los indicadores y se obtuvieron los siguientes resultados:

Objetivo Indicador Meta esperada

Valor resultante

% de cumplimiento

F1. F1PO1.1 100% 100% 100%

F1. F1PO1.2 100% 80% 80%*

F1. F1PO1.5 - - -

F1. F1PO4.3 100% - -

F1. F1PO4.4 100% 0% 0%*

F2. F2PO5.1 100% - -

F2. F2PO5.3 0 - -

F2. F2PO5.6 100% 0% 0%*

F2. F2DS1.1 100% 0% 0%*

F2. F2DS6.7 90% 0% 0%*

F3. F3PO5.3 70% 75% 0%

C1 C1DS4.1 - - -

C2. C2DS1.1 100% - -

C2. C2DS8.1 - - -

Analizar gaps entre lo deseado y lo

actual.

7

Pág. 77




Objetivo Indicador Meta esperada

Valor resultante

% de cumplimiento

P1. P1PO10.1 100% - -

P1. P1PO10.2 - - -

P2. P2A2.1 100% - -

P3. P3AI4.5 100% - -

P3. P3AI7.1 0% - -

P3. P3AI7.6 100% - -

P3. P3DS10.1 - - -

P4. P4PO3.6 - - -

D1. D1BP1.1 100% 100% 100%

D1. D1BP1.2 - - -

D2. D2PO5.10 - - -

D3. D3BP2.1 - 4

D3. D3BP3.1 - - -

(*) Recomendación


Tabla 14. Resultados de la evaluación de los indicadores

PROPUESTAS EN BASE A LA EVALUACIÓN DE DESEMPEÑO

En base a las observaciones que se pudieron realizar, proponemos que la empresa ABC cumplalas siguientes iniciativas para mejorar su desempeño de TI:

Formalizar la estrategia de negocio, que todas las áreas de la empresa conozcan la estrategia de negocio y cómo las tareas habituales ayudan a alcanzarla.

Formalizar la estrategia de TI, que el departamento de TI (Sistemas, Tecnología, etc.) cuente con una estrategia formalizada en un documento que vaya acorde a la estrategia del negocio.

Generar documentación de los indicadores seleccionados.

Definir estándares de documentación de proyectos que incluya: planes de proyectos,

participantes de los proyectos con sus roles, análisis de costo beneficio (casos de negocio).

Generar y mantener disponible documentación de uso y operación de los sistemas críticos

del negocio.

PROBLEMAS EN LA EVALUACIÓN DE DESEMPEÑO

A pesar de que se pudo evaluar y emitir recomendaciones de mejora del desempeño de TI de la empresa ABC, sería inconsecuente emitir una opinión favorable o no sobre el

comportamiento de administración de TI. Esto se debe a que fue imposible en el transcurso de este TFC tanto por el alcance inicial propuesto y por restricciones de la empresa ABC poder

evaluar la completitud del IT BSC propuesto.

Pág. 78




NOTAS DEL CAPÍTULO 4 1 Empresa ABC – Organization Models 2007, Information System Direction (E&P Account). difuminadas para preservar la seguridad de la información de la empresa ABC2 El término Cost Allocation quiere decir que para cada servicio de TI se registren los costos asociados de tal manera que se vean la utilización de recursos por cada área que utiliza estos servicios.

Pág. 79

Capítulo 5: Conclusiones del TFC



Capítulo 5Conclusiones

Las conclusiones expresadas en este capítulo son opiniones de los autores basadas en la experiencia obtenida durante la elaboración de este TFC, su carrera universitaria y su experiencia profesional.

DE LA INVESTIGACIÓN

Después una investigación ardua y extensa acerca de temas relacionados con el manejo de las

empresas y en especial de las TI, se ha llegado a las siguientes conclusiones:

Para toda empresa medianamente grande, que lucha por crecer competitivamente en el

mercado, las TI son la base que sostienen las operaciones de su negocio, convirtiéndose de esta manera en uno de los activos más importantes y diferenciadores.

Es imprescindible realizar inversiones estratégicas para satisfacer los nuevos servicios demandados por consumidores más exigentes cuyo conocimiento de las TI presenta muchas oportunidades de negocio.

Es necesario mantener un control adecuado de las TI, de manera que se obtenga el valor esperado y su riesgo disminuya.

Existen innumerables metodologías, artículos y publicaciones que hablan de la implementación y de la administración efectiva de las TI. La metodología y bibliografía

utilizada entregan una gama muy amplia que busca englobar las ideas más populares y difundidas en este aspecto.

En muchos países, incluyendo Ecuador, las regulaciones financieras para empresas cada vez son más rigurosas. El impacto de estas regulaciones sobre las operaciones tecnológicas de las empresas resulta en la necesidad de tener un control efectivo.

No se encontraron publicaciones nacionales del tema de IT Governance.

Muchos administradores de empresas y miembros de juntas directivas de estas organizaciones no están familiarizados con temas de administración en las tecnologías de información.

DEL IT GOVERNANCE

De las diferentes definiciones encontradas en libros, papers y demás documentos que tratan el

tema de IT Governance, se puede concluir lo siguiente:

IT Governance es un elemento del Corporate Governance y como tal deberá formar parte

de la agenda de la alta directiva.

El fin del IT Governance es dominar los recursos de TI para lograr los objetivos planteados.

Pág. 80




Alcanzar un IT Governance es un proceso complejo, a largo plazo, que requiere de esfuerzo y aprendizaje para alcanzar un nivel deseable.

De todas las definiciones de IT Governance se redactó una definición propia: “El gobierno de tecnologías de información establece una dirección que asegure el cumplimiento de la visión estratégica, haciendo reflejable y cuantificable el valor que devuelven las TI a la organización. Entregando responsabilidades a personas dentro de una estructura

establecida en la misma que permita decidir para incentivar el comportamiento deseable de las TI y una adecuada gestión del riesgo.”

DE LOS ESTÁNDARES INTERNACIONALES

COBIT

COBIT es un marco de trabajo y una herramienta que habilita la implementación, medición y evolución de madurez de los procesos/operaciones más importantes concernientes a la

administración de las tecnologías de información en cualquier organización.

Se propone usar COBIT como una referencia, en especial para definir los indicadores y

proponer iniciativas. La aplicación de los 34 procesos de COBIT puede resultar una tarea compleja y consumidora de recursos, por eso se recomienda priorizar, adaptar y utilizar lo que convenga a la organización una vez que se tenga clara la estrategia de TI.

IT BSC

Se cree firmemente que el IT BSC es la herramienta adecuada para monitorear y transmitir la

estrategia de TI a un conjunto de acciones e indicadores que midan su eficacia. El IT BSC permitirá a la empresa la delegación de metas específicas para cada uno de los indicadores a

las personas correspondientes. Esto permitirá un control directo para poder dirigir las acciones.

Es importante cumplir con los principios tres principios de un BSC:

Relaciones Causa – Efecto

Mezcla adecuada de Indicadores de Desempeño y resultado

Alineación Financiera o en el caso del IT BSC alineación corporativa.

Decisión Rights

En muchas organizaciones no hay una definición clara de quién toma las decisiones

importantes respecto a las TI, por ejemplo:

¿Qué estándar de desarrollo usamos?

¿Dónde queremos llevar nuestra infraestructura de comunicación en 5 años?

¿Deberíamos comprar estos Blackberry para los vendedores?

¿Invertir $50.000 en nuevos servidores vale la pena?

Es necesario establecer quién toma la decisión final en estos aspectos, ya sean estos los comités de tecnología, de arquitectura, de infraestructura, de dirección tecnológica, los mismos

gerentes de sistemas/TI o quizás más arriba en el organigrama como los gerentes ejecutivos.

La asignación responsabilidad no está estandarizada, lo que sí está claro es que el modelo de

IT Governance implementado debería definirla.

Pág. 81




DE LA EVALUACIÓN DE DESEMPEÑO EN LA EMPRESA ABC

Existieron muchas razones por las cuales no fue posible realizar el levantamiento de la información requerida para alimentar los indicadores. A continuación se establecen las razones más importantes en orden de prioridad:

Objetivos de Negocio no formalizados: El documento que contenía los objetivos de negocio

no reflejaban una estrategia de negocio a largo plazo, sino más bien parecían las metas del año. La evaluación en la empresa ABC comenzó mal al no contar con esa información al principio y seguir con las siguientes fases.

Inexistencia de la información: No se mantienen registros formales y organizados de donde se pueda obtener información.

Información altamente confidencial: Por la modalidad de este TFC y el rol de Consultoresque hicieron los autores en su realización, algunos niveles de información no fueron liberados.

Dificultad de levantamiento de información.- La evaluación completa de los indicadores

requieren una revisión extensa de documentación.

Estos factores mencionados, sumados a la limitación de tiempo, impidieron que se pueda cumplir con los últimos objetivos planteados para el TFC:

Aplicar la metodología propuesta en una empresa

Obtener un análisis preliminar y presentar los resultados en reportes tipo Hallazgo y

Recomendación.

En este sentido, fue posible la evaluación de algunos de los indicadores que entregaron como resultado algunas recomendaciones de optimización que le permitirá a la empresa ABC acercarse más al IT Governance. Sin embargo, no fue posible la evaluación integral de

indicadores de la metodología propuesta que permitieran concluir de una manera imparcial sobre la eficiencia de la empresa ABC.

Por cuestiones de tiempo, explicadas anteriormente, no se planteó la implementación las

etapas iniciales de la metodología, lo que incidió en la carencia de colaboración y asignación de recursos. Esto no quiere decir que la metodología no funcione, más bien demuestra que es

preciso darle la importancia necesaria a la fase inicial de la metodología propuesta en el Capítulo 3. De la evaluación se aprendieron lecciones que son la pauta para analizar que falló en la aplicación de la metodología y reforzar las recomendaciones.

FALLAS ENCONTRADAS EN LA APLICACIÓN DE LA METODOLOGÍA MITG

El proyecto debió partir por vender la idea a la directiva. En muchos casos de implementación de IT Governance la iniciativa nace directamente del área de Sistemas sin

embargo es necesario que el directorio se involucre en el proyecto totalmente.

Desde el inicio del proyecto existió incertidumbre con respecto a los Objetivos Estratégicos

del negocio. Fue más bien al final del proyecto que se tuvo acceso a Objetivos semi-formales que debieron ser procesados para ser utilizados de una manera práctica. La

Pág. 82




empresa a la que se esté aplicando la metodología deberá tener formalmente definida su estrategia, sin esto es prácticamente imposible continuar con el proceso.

Falta de comunicación y entendimiento. Claramente hay que hablar el mismo ‘idioma’1. Cada empresa es diferente y mantienen distintos estándares, metodologías, conceptos, formatos y documentos, por lo que no se puede solicitar documentos idénticos en todas ellas.

Dificultad en la evaluación de indicadores de desempeño. La medición de indicadores es una tarea que puede tomar mucho tiempo, en especial si no se cuenta con documentación

adecuada. Los indicadores de un BSC suelen ser muy complejos de medir, debido a que en muchos casos se quiere medir algo intangible como nivel de satisfacción, porcentaje de completitud, etc.

RECOMENDACIONES PARA PROYECTOS DE IMPLEMENTACIÓN DE ITGOVERNANCE

A continuación se presentarán recomendaciones generales útiles para cualquier empresa, las

que serán presentadas a la empresa ABC en privado para mantener la integridad de la compañía.

Asignar recursos para el proyecto. Entre estos el más importante es tiempo, si es posible designar responsables y crear fases con cronogramas.

Contar con una Estrategia de Negocio bien definida. Se recomienda no iniciar un proyecto de IT Governance si no se cuenta con una estrategia de negocio bien definida y transmita

a la organización. Como mínimo se requiere lo siguiente:

o Misión y visión de la organización que representen el verdadero sentimiento de lo que la empresa quiere ser. Es un requerimiento muy importante que los

lineamientos a seguir para lograr los objetivos de la organización, no existan nada más en forma teórica, tal como en postres o en la intranet lo primordial

de la misión y visión de la empresa es que realmente se tomen acciones para alcanzarlas.

o Definición formal de Objetivos Estratégicos del negocio, esto incluye factores críticos de éxito, definición detallada de cada objetivo, metas a corto y largo plazo y recursos asignados para la consecución de los objetivos.

Formalizar la estrategia de TI: es muy importante dedicarle tiempo a esta tarea, ya que es el punto de partida para la dirección e iniciativas del departamento de TI. Es recomendable elaborar declaraciones escritas de la visión de las tecnologías de información en la organización.

Crear perspectivas específicas para el departamento de TI. Esta metodología propone usar las 4 perspectivas genéricas, pero cada organización deberá especificar las que se adecuen

a su realidad.

Definir indicadores estratégicos: se pueden definir centenares de indicadores, lo importante es priorizar y utilizar los estratégicos, es decir los que permitan medir el

Pág. 83




alcance de los objetivos definidos. Es importante contar con una mezcla adecuada de indicadores de desempeño y de resultado2.

Comunicar el IT BSC a todo el departamento: es de vital importancia que los trabajadores comprendan la estrategia y el sistema implementado para gestionarla. Además resulta motivador el percibir cómo su trabajo se encuentra alineado a los objetivos definidos. Se recomienda implementar dashboards 3 (tablero de control automático) para que los

encargados de TI puedan ver el desempeño de los recursos y el resultado de los indicadores para tomar acciones al respecto.

La medición de los indicadores resulta una de las tareas más complejas y largas de la metodología. Se recomienda dedicarle el tiempo necesario la primera vez, dejando establecido mecanismos para mediciones futuras.

PRONÓSTICOS Y TENDENCIAS

Se confía que el IT Governance será un componente primordial de las empresas ecuatorianas. No será una moda efímera que durante los próximos años será reemplazada por futuras

tendencias; puesto que los conceptos del IT Governance serán la base para nuevas metodologías y la mejora de las actuales.

Se ha podido observar que las empresas ecuatorianas no tienen una madurez de IT

Governance, los departamento de Sistemas todavía se encuentran en el nivel de proveedores de servicios. Sin embargo, en ciertas empresas existe la tendencia de implementar de

iniciativas de control de TI, en especial en empresas que están impactadas por normativas de sus sedes multinacionales.

Hasta ahora las razones por las cuales las empresas adoptan mejores prácticas son por políticas administrativas de las compañías de países desarrollados y por regulaciones estatales.

Sin embargo se cree que habrá una tendencia en la promoción de estos conceptos y se comience a tomar conciencia de su vital importancia en las empresas competitivas.

Una de las situaciones más importantes es el hecho ya mencionado que los administradores no

están empapados en temas de administración de tecnologías de información, esto hace fácil delegar la responsabilidad al departamento técnico. Sin embargo, iniciativas de carreras que

mezclen conceptos de administración de empresas, finanzas y ciencias de administración de TI harán evolucionar los niveles de madurez de TI de las empresas.

Pág. 84




NOTAS DEL CAPÍTULO 5

1 Con ‘idioma’ nos referimos a una comunicación clara, donde el mensaje captado es el mismo que el emitido. No existen mal interpretaciones. 2 Para mayor información sobre BSC, los indicadores de desempeño y de resultado ver Anexo 13 Herramienta automática basada en el IT BSC que permite a los dueños de los procesos evaluar el desempeño constantemente de los indicadores de los que están encargados.

Pág. 85

Referencias y Bibliografías



Referencias

Pág. 87

Referencias



Referencias y Bibliografía

Gobierno Corporativo

Kaen F. (2003). A blueprint for corporate governance: Strategy, accountability, and de preservarion of shareholder value. American Management Association.

Estrategia de Negocio

Ambler G. (2006). Setting SMART Objectives. The Practice of Leadership. [en línea] obtenido junio 2007 de http://www.thepracticeofleadership.net/2006/03/11/setting-smart-

objectives/

Gray (2004), Is there a relationship between corporate governance and IT governance. ITGI

Kaplan, R. & Norton, D. (1992). The Balanced Scorecard – Measures that drive performance. Harvard Business Review.

Kaplan, R. & Norton, D. (1996a). The Balanced Scorecard Translating strategy in action. Harvard Business School Press.

Kaplan, R. y Norton, D. (1996b). Strategy Maps: Converting Intangible Assets into Tangible Outcomes. Harvard Business School Press, Boston.

CETIUC (2006). Estudio Nacional Sobre Tecnologías de Información. PUCE, Chile.

Estrategia de TI

Saull, R. (2000). The IT Balanced Scorecard -- A Roadmap to Effective Governane. Information

Systems Control Journal.

Gartner (2006). Growing IT’s Contribution: The 2006 CIO Agenda. Gartner, Inc.

IT Service Management and IT Governance - Review, Comparative Analysis and their Impact on Utility Computing (HP Labs)

Van Grembergen, W. (2000). The Balanced Scorecard and IT Governance. Information Systems Control Journal, Volume 2.

Van Grembergen, W. & Van Bruggen (1997). Measuring and Improving Corporate Information through the Balanced Score Card. University of Antwerp.

Van Grembergen, W. & De Haes (2005). Measuring and Improving IT Governance through the

Balanced Scorecard. Information Systems Control Journal, Volume 2.

Van Grembergen, W., De Haes, S. & Moons, J. (2005). Linking Business Goals to IT Goals and

Cobit Processes. Information Systems Control Journal, Volume 4.

Van Grembergen, W. (2004). Strategies for Information Technology Governance, Idea Group

Publishing.

IT Governance general

Broadbent, M. (2002). CIO Futures - Lead with effective governance. ICA 36th Conference

http://www.thepracticeofleadership.net/2006/03/11/setting-smart-objectives/

http://www.thepracticeofleadership.net/2006/03/11/setting-smart-objectives/

Pág. 88




Guldentops, E., Van Grembergen, W. & De Haes, S. (2002). Control and Governance Maturity Survey: Establishing a Reference Benchmark and a Self-assessment Tool. Information

Systems Control Journal, Volume 6.

Hill, P. & Turbit, K. (2006). Combine ITIL and COBIT to Meet Business Challenges. BMC Software.

IT Governance- Toward a Unified Framework Linked to and Driven by Corporate Governance

IT Governance Institute (2007a). COBIT 4.1. ISACA Press

IT Governance Institute (2007b). IT Governance Implementation Guide. ITGI.

IT Governance Institute (2006). IT Governance global status report – 2006. ITGI.

IT Governance Institute (2004). IT Governance global status report. ITGI.

IT Governance Institute (2003) Board Briefing on IT Governance 2 edition. ITGI.

Kordel, L. (2004). IT Governance Hands-on: Using Cobit to implement IT Governance. Information Systems Control Journal, Volume 4

Nuñez, H. (2006) YITGC What is IT Governance? Your IT Governance Coach. [En línea] obtenido febrero 2007 de

http://youritgovernancecoach.typepad.com/governance/2006/10/what_is_it_gove.html

Nuñez, H. (2007). Podcast: YITGC0703 Implementing CobiT: Where do we start? Min 5:14.

Your IT Governance Coach. [En línea] obtenido junio 2007 de http://youritgovernancecoach.typepad.com/governance/2007/03/yitgc_implement.html

Sallé, M. (2004). IT Service Management and IT Governance: Review, Comparative Analysis

and their Impact on Utility Computing. HP Laboratories

Simonsson M. & Jonson P. (2006). Assessment of IT Governance: A Prioritization of Cobit

Symons, C. (2005) Best Practices: IT Governance Framework structures, processes, and communication. Forrester Research, Inc.

Webb, P., Pollard, C. & Ridley, G (2006) Attempting to Define IT Governance: Wisdom or Folly?Proceedings of the 39th Hawaii International Conference on System Sciences.

Weill, P. & Ross, J. (2004a). IT governance – How top performers manage IT decision rights for superior results. Harvard Business School Press.

Weill, P. & Ross, J. (2004b). IT governance on one page. MIT Sloan School of Management,

Center for Information Systems Research.

Van Grembergen, W. (2007) Prioritising and Linking Business and IT Goals in the Financial

Sector. Proceedings of the 40th Hawaii International Conference on System Sciences.

Operaciones de TI

Project Management Institute (2004). A guide to the Project Management Body of Knowledge. Project management Institute, Inc.

Office of Government Commerce (2003). IT Infrastructure Library. Service Support, Service Delivery.

Otros

http://youritgovernancecoach.typepad.com/governance/2006/10/what_is_it_gove.html

http://youritgovernancecoach.typepad.com/governance/2007/03/yitgc_implement.html

Pág. 89

Referencias



Blacio (2005). Incremento de la eficiencia operacional de una empresa comercializadora de GLP Mediante la Aplicación del Balanced Scorecard. Tesis de Maestría en Administración de

Empresas. Universidad Santa María.

CETIUC, Centro de Estudios de Tecnologías de Información de la Pontificia Universidad Católica de Chile. http://www.cetiuc.cl/

ITGI, Information Tecnology Governance Institute. http://www.itgi.org

ISACA, Information Systems Audit and Control Association

Six Degrees Project, Proyecto de código libre que promueve la gobernabilidad y gestión.

http://groups.google.com/group/six-degrees-project

http://www.cetiuc.cl/

http://www.itgi.org/

http://groups.google.com/group/six-degrees-project

Pág. 91

Glosario y Definiciones



Glosario

Pág. 93

Glosario



Glosario

C

COBIT (Control Objectives for Information and related Technologies)

Originalmente liberado como un marco de trabajo para procesos de TI y control que los asociaba a los requerimientos del negocio, fue utilizado inicialmente por la comunidad de auditoría. Con la adición de guías de gestión en 1998 COBIT se fue utilizando más y más como

un marco de trabajo para la gestión que proveía las herramientas de gestión tal como métricas y modelos de madurez para complementar el marco de control. Con la liberación COBIT 4.0 se convirtió en un marco de trabajo completo para IT Governance.

I

IT (Information Technologies)

El estudio, diseño, desarrollo, implementación, soporte y administración de sistemas de información basados en computadoras, particularmente aplicaciones software y hardware de

computadoras (ITAA). Las Tecnologías de Información tienen que ver con el uso de computadoras y software para convertir, procesar, almacenar, proteger, transmitir y recibir

información.

IT Balanced Scorecard (IT BSC)

Modelo de gestión estratégica y de toma de decisiones basado en el BSC (Kaplan y Norton) que se enfoca en un tablero de control que entrega a los top managers (gerentes de alto nivel) una

visión global del estado de cumplimiento de los objetivos de tecnologías de información planteados en una empresa.

IT Governance

El gobierno de tecnologías de información establece una dirección que asegure el cumplimiento de la visión estratégica, haciendo reflejable y cuantificable el valor que devuelven las TI a la

organización. Entregando responsabilidades a personas dentro de una estructura establecida dentro de la organización que permita decidir para incentivar el comportamiento deseable de las TI así mismo una adecuada gestión del riesgo.

ITGI

Information Technology Governance Institute, es una organización creada para asegurar que los responsables de la administración empresarial tengan las herramientas e información

necesarias para que las TI entreguen el valor esperado.

G

Pág. 94




Gap

La diferencia entre lo deseado y lo actual.

Gobernabilidad (Governance)

El termino gobernabilidad tiene que ver con los sistemas y procesos por los cuales una organización funciona. Frecuentemente se establece un gobierno para administrar los procesos y sistemas.

Gobernabilidad Corporativa (Corporate Governance)

Gobernabilidad se refiere al arte o la manera de gobernar, hablamos de una gobernabilidad

corporativa o “corporate governance”. Esta se encuentra definida como el conjunto de responsabilidades y prácticas ejercidas por la Junta Directiva y Gerentes Ejecutivos bajo el fin

de proveer dirección estratégica. Asegurando la consecución de objetivos, la gestión apropiada de riesgos y verificando que los recursos empresariales se empleen óptimamente.

“The ethical corporate behavior by directors or others charged with governance in the creation and preservation of wealth for all stakeholders” – Roussey

Gobierno de TI

Ver IT Governance

S

SLA

Service Level Agreements, o Acuerdos de Niveles de Servicios, es un documento entre un proveedor de un servicio y un cliente donde se especifica detalladamente los servicios entregados, responsabilidades, desempeño, disponibilidad, garantías, entre otros.

T

TI (Tecnologías de Información)

Ver IT (Information Tecnologies)

TFC

Trabajo de fin de carrera. Requisito de la Universidad Santa María para obtener la aprobación de título de Pregrado.

Pág. 95

Anexos



Anexos

Pág. 97

Anexos



Anexo 1Balanced Scorecard (Cuadro de Mando Integral)

BALANCED SCORECARD (BSC)

También conocido como Cuadro de Mando Integral (CMI) y Tablero de Control Integrado (TCI). La idea del Balanced Scorecard nació a principios de los años 90, con la idea de buscar métodos alternativos, a los indicadores financieros de la época, para medir el desempeño de las empresas. Se realizó un estudio, liderado por Robert Kaplan y David Norton, para buscar un

modelo de medición de desempeño que considere factores críticos en las organizaciones exitosas. En 1992 Kaplan y Norton (Kaplan, R. & Norton, D. 1992) hicieron conocer el concepto

de BSC, como un sistema de gestión que integra objetivos y métricas en cuatro perspectivas genéricas. Durante los años venideros trabajaron en calidad de consultores para distintas

organizaciones, integrando y mejorando el BSC. En 1996 (Kaplan, R. & Norton, D. 1996a.) publicaron el libro: “The Balanced Scorecard Translating strategy in action” que ha servido de base para implementar estrategias de centenares de organizaciones.

El término Balanced Scorecard se refiere a un conjunto de perspectivas que reflejan de manera sistémica la complejidad del negocio, objetivos con relaciones causa – efecto e indicadores que

miden el logro de los objetivos propuestos. En conjunto es visto como un sistema para definir, implementar y controlar la estrategia de una organización.

Las cuatros perspectivas generales de un BSC son Financiera, Clientes, Procesos Internos de Negocio y Aprendizaje y Crecimiento. Un BSC puede contar con diferente número de

perspectivas, el objetivo es que refleje el dinamismo de la organización y la interacción con su entorno. A continuación veremos las perspectivas genéricas:

PERSPECTIVA FINANCIERA

Las medidas financieras resumen las consecuencias económicas de las acciones tomadas. Entre las medidas más frecuentes se encuentran VAN, TIR, EVA.

PERSPECTIVA CLIENTES

En esta perspectiva se identifica los segmentos del mercado en que se piensa competir y las métricas para el desempeño de las unidades de negocio de los segmentos identificados.

PERSPECTIVA DE PROCESOS INTERNOS DEL NEGOCIO

Se identifican los procesos críticos dónde la organización deberá sobresalir para entregar valor a los distintos segmentos de clientes y para cumplir los objetivos financieros.

PERSPECTIVA DE APRENDIZAJE Y CRECIMIENTO

Identifica la infraestructura que la organización deberá construir para lograr un crecimiento y

aprendizaje a largo plazo acorde a los objetivos planteados.

Pág. 98




BENEFICIOS Y RIESGOS

Los beneficios por implementar un BSC en una organización varían de acuerdo a los objetivos propuestos por ellos, sin embargo las organizaciones que lo implementan además de cumplir

sus objetivos obtienen los siguientes beneficios:

Alineación de objetivos departamentales y personales a la estrategia

Traducción de la visión y estrategias en acciones.

Obtención de claridad y consenso alrededor de la estrategia

Comunicación y enlazar objetivos y medidas estratégicos

Retroalimentación y aprendizaje estratégico

Redefinición de la estrategia en base a resultados.

Integración de información de diversas áreas de negocio.

Desarrollo de liderazgo

Educación a la organización

Alineación de programas e inversiones

Mejora del sistema de indicadores actuales

Desarrollo de habilidades de comunicación y mejora del trabajo en equipo

Mejor entendimiento de los asuntos de otros departamentos

Mayor enfoque en los intangibles, no sólo aspectos financieros.

Responsabilidades individuales claras con sentido de pertenencia colectivo

Resaltan las debilidades y áreas de oportunidad

Sin embargo no todo BSC es implementado correctamente, y lo más preocupante es que no

siempre la organización esta consciente de esto. Existen ciertos riesgos que pueden llevar al BSC de ser una herramienta para alcanzar las estrategias de negocio, a desviarlas. Entre los riesgos podemos encontrar:

Falta de soporte e involucramiento de la alta gerencia

Falta de una estrategia bien definida

Objetivos y métricas no alineados a las diferentes perspectivas

Ver al BSC como un sistema de medición mas no de gestión.

Mala comunicación del BSC a la organización

Definición ambigua de objetivos

Usar solo indicadores de resultado

PRINCIPIOS DEL BSC

Para que un BSC se encuentre alineado a la estrategia se necesita que siga tres principios: Relaciones causa-efecto, indicadores de desempeño y alineación financiera.

Pág. 99

Anexos



RELACIONES CAUSA-EFECTO

“Cada medida seleccionada para el Balanced Scorecard deberá ser un elemento de una cadena de relaciones causa-efecto que comunique el significado de la estrategia de la unidad de

negocio a la organización” Kaplan, R. & Norton, D. (1996a) p. 149.

INDUCTORES DE DESEMPEÑO

Los indicadores deberán reflejar la estrategia de las unidades de negocio. Un BSC deberá tener una mezcla adecuada de inductores de desempeño y medidas de resultado.

Medidas de resultado sin inductores de desempeño no comunican como los resultados son alcanzados. El siguiente ejemplo ayuda a clarificar esta idea:

Una tienda de ropa define como indicador “porcentaje de retención de clientes”, como el

porcentaje de clientes del periodo actual sobre el número de clientes del periodo anterior. Lamedida de resultado será visible después de un periodo, en el que se podrá medir la eficiencia

de una acción propuesta. Sin embargo con un inductor de desempeño como una “encuesta de satisfacción del cliente”, se podrá conocer antes del periodo si las acciones propuestas se

encuentran bien orientadas. Los resultados de los indicadores de desempeño deberán reflejar los índices de resultado.

De la misma manera inductores de desempeño sin medidas resultantes pueden habilitar las mejoras a corto plazo pero fallan revelar si las mejoras operacionales han sido trasladadas a los objetivos planteados.

Otros nombres comunes para estos indicadores son:

leading indicator – lagging indicador

lead – lag,

indicador causa – indicador efecto,

indicador de desempeño - indicador resultante.

ALINEACIÓN FINANCIERA

Las mejoras operacionales son muy importantes para poder competir hoy en día. Se les ha dado mucho énfasis a metodologías como reingeniería de procesos, TQM (Total Quality

Management), empowerment, etc. Sin embargo estas no deben ser vistas como un fin, sino con el medio para lograr los objetivos propuestos. Por esto es muy importante que estas mejoras se encuentren relacionadas a objetivos financieros y sus respectivas métricas. Así se percibirá el valor que agrega al negocio.

MAPA ESTRATÉGICO

Un mapa estratégico (Kaplan, R. y Norton, D., 1996b) sirve para tener una idea clara de la

estrategia de la organización mediante el uso de un diagrama causa – efecto del BSC entre los objetivos de las diferentes perspectivas. A continuación un ejemplo:

Pág. 100




Figura 20. Ejemplo 1 de mapa estratégico

APRENDIZAJE Y CRECIMIENTO

INTERNA

CLIENTES

Incrementar la confianza de

los clientes como asesores financieros

Ampliar los

medios de

ingreso

Fuente: Metro Bank Strategy pg 152 The Balanced Scorecard Translating strategy into action (Kaplan & Norton 1996a)

Incrementar la productividad del empleado

Desarrollar habilidades

estratégicas

Alinear metas personales

Desarrollar nuevos

productos

Ventas complementarias

de producto

Cambiar a canales

apropiados

Minimizar problemas

Proveer respuesta

rápida

Incrementar la satisfacción de

los clientes mediante ejecución superior

Mejorar la

eficiencia operativa

Mejorar los

ingresos

Entender

segmentos de

clientes

Acceso a Información

Estratégica

FINANCIERA

Pág. 101

Anexos



Figura 21. Ejemplo 2 de mapa estratégico



Satisfacción del

cliente

Fidelizar Clientes

Integrar al cliente

Generar ventaja competitiva en

nuestros clientes

Lograr que nuestros clientes aumenten su rentabilidad

Ser percibidos como líderes

en innovación continua

Cumplimiento de

promesas

Integrar las TICs emergentes en los procesos

de producción

Calidad en procesos de desarrollo

Aumento de calidad en

productos y servicios

Eficiencia en procesos

productivos

Innovación y optimización

continua

Certificación ISO y

IEEE

Fuente: iWolf S.A., trabajo universitario creado en la materia ‘Sistemas de Gestión’ 2005

Pág. 103

Anexos



Anexo 2IT Balanced Scorecard (CMI para las TI)

RELACIÓN CON EL BSC TRADICIONAL

En el 1997 dos investigadores (Van Grembergen & Van Bruggen, 1997) propusieron un marco de trabajo publicado en Amberes (Universiteit Antwerpen) para evaluar las tecnologías de información y los sistemas de información basándose en el concepto de BSC. Ellos aseguraban que el primer paso para la efectiva administración de las TI sería la medición.

BSC IT BSC

Perspectiva financiera Perspectiva de contribución corporativa

Perspectiva de clientes Perspectiva de orientación al cliente

Perspectiva de procesos internos de negocio

Perspectiva de excelencia operacional de los procesos de ti

Perspectiva de aprendizaje y desarrollo Perspectiva de orientación futura

Fuente: Saull (2000)

Tabla 15. Relación entre las perspectivas del BSC y del IT BSC

De la misma manera que el BSC original se divide en perspectivas el IT BSC se divide en perspectivas similares (Tabla 15). A continuación explicamos las cuatro perspectivas genéricas

del IT BSC:

CONTRIBUCIÓN A LA EMPRESA

Esta perspectiva representa la percepción de la directiva y ejecutivos del negocio de las iniciativas y actividades de las TI. Deberá buscar la entrega de valor de las TI, alineamiento con los objetivos del negocio, costos, riesgos y sinergia entre líneas de negocio.

ORIENTACIÓN AL CLIENTE1

Esta perspectiva es la que nos permitirá explotar las oportunidades de negocio y maximizar la

eficiencia de las operaciones de TI.


La excelencia operacional Entregar productos y servicios eficientemente.

ORIENTACIÓN FUTURA

Desarrollar la infraestructura con base a retos futuros de la estrategia de negocio.

Pág. 104




Figura 22. IT Balanced Scorecard

1 El ‘cliente’ se refiere a las áreas de negocio que soportan sus procesos con los diferentes servicios de tecnologías de información que presta el departamento de TI.

ORIENTACIÓN

FUTURA (D)IT BSC

ORIENTACIÓN DE

CLIENTES (C)

CONTRIBUCIÓN

CORPORATIVA (F)

EXCELENCIA

OPERACIONAL (P)


Indicadores de desempeñoMetas (Corto y largo plazo)Iniciativas

Objetivos de Procesos de TIObjetivos de TI







Pág. 105

Anexos



Anexo 3Procesos de Tecnologías de Información según COBIT 4.1

Los procesos de tecnologías de información se presentan en el COBIT (IT Governance Institute, 2007a).

PLANNING & ORGANIZING ACQUISITION & IMPLEMENTATION

PO1 Define a strategic IT plan. AI1 Identify automated solutions.

PO2 Define the information architecture. AI2 Acquire and maintain application software.

PO3 Determine technological direction. AI3 Acquire and maintain technology infrastructure.

PO4 Define the IT processes, organizationand relationships.

AI4 Enable operation and use.

PO5 Manage the IT investment. AI5 Procure IT resources.

PO6 Communicate management aims and direction.

AI6 Manage changes.

PO7 Manage IT human resources. AI7 Install and accredit solutions and changes.

PO8 Manage quality.

PO9 Assess and manage IT risks.

PO10 Manage Projects

DELIVERY & SUPPORT MONITORING & EVALUATING

DS1 Define and manage service levels. ME1 Monitor and evaluate IT performance.

DS2 Manage third-party services. ME2 Monitor and evaluate internal control.

DS3 Manage performance and capacity. ME3 Ensure regulatory compliance.

DS4 Ensure continuous service. ME4 Provide IT governance.

DS5 Ensure systems security.

DS6 Identify and allocate costs.

DS7 Educate and train users.

DS8 Manage service desk and incidents.

DS9 Manage the configuration.

DS10 Manage problems.

DS11 Manage data.

DS12 Manage the physical environment.

DS13 Manage operations.

Fuente: IT Governance Institute (2007a)

Tabla 16. Procesos de TI del COBIT 4.1

Pág. 107

Anexos



Anexo 4Objetivos de TI genéricos por perspectiva en el IT BSC

En la Tabla 17 se presentan los objetivos obtenidos que recopila Van Grembenger (Van Grembenger, W., 2007) asociándolos a las perspectivas genéricas del IT BSC.

CONTRIBUCIÓN CORPORATIVA EXCELENCIA OPERACIONAL

Respond to business requirements in alignment with the business strategy.

Ensure that IT services and infrastructure can properly resist and recover from failures due to error, deliberate attack or disaster.

Ensure transparency and understanding of IT cost, benefits, strategy, policies and service levels.

Ensure that critical and confidential information is withheld from those who should not have access to it.

Respond to governance requirements in line with board direction.

Maintain the integrity of information and processing infrastructure.

Ensure IT compliance with laws, regulations and contracts.

Ensure that automated business transactions and information exchanges can be trusted.

Improve IT’s cost-efficiency and its contribution to business profitability.

Deliver projects on time and on budget, meeting quality standards.

Account for and protect all IT assets. Define how business functional and control requirements are translated in effective and efficient automated solutions.

Establish clarity of business impact of risks to IT objectives and resources.

Reduce solution and service delivery defects and rework.

Drive commitment and support of executive management (New)

Optimise the use of information.

Protect the achievement of IT objectives. Acquire and maintain an integrated and standardised IT infrastructure.

Acquire and maintain integrated and standardizedapplication systems.

Ensure mutual satisfaction of third-party relationships.

ORIENTACIÓN DE CLIENTES ORIENTACIÓN FUTURA

Make sure that IT services are available as required.

Acquire and maintain IT skills that respond to the IT strategy.

Ensure minimum business impact in the event of an IT service disruption or change.

Help innovate new business processes with the use of technology (New)

Ensure satisfaction of end users with service offerings and service levels.

Ensure that IT demonstrates cost-efficient service quality, continuous improvement and readiness for future change.

Ensure seamless integration of applications into business processes.

Create IT agility.

Ensure proper use of application functionality by providing end-user training and documentation (New)

Ensure proper use and performance of the applications and technology solutions.

Optimise the IT infrastructure, resources and capabilities.

Fuente: Adaptación de Van Grembenger, W. (2007)

Tabla 17. Objetivos de TI genéricos

Mediante un correo electrónico se le preguntó a Steven De Haes, investigador de la Universidad de Antwerp Management School. La pregunta para obtener una respuesta sobre la procedencia

Pág. 108




de los Objetivos de TI genéricos mostrados en COBIT y la manera en que se realizaron asociaciones con los Procesos de TI.

En este comunicado (Figura 23) De Haes precisa sobre el origen de los Objetivos de TI (Generic IT Goals) y la asociación con cada uno de los Procesos de TI del COBIT. El comunicado indica que para hacer el levantamiento de los Objetivos de TI se realizaron entrevistas cualitativas en 8 diferentes industrias, en las cuales se entrevistaron a los CEO

(Gerentes Generales) y a los CIO (Gerentes de Sistemas).

Figura 23. Correo de consulta a experto1

1 De Haes, comunicación personal, 5 de Marzo de 2007

Pág. 109

Anexos



Anexo 5Priorización de los Procesos de TI

Algunos autores Guldentops, E., Van Grembergen, W. & De Haes, S. (2002), Van Grembenger, W. (2007), Nuñez, H. (2007), y otros más afirman que sí existen procesos de TI que son más importantes que otros. Por este motivo han existido publicaciones de procesos de TI más

importantes desde el 2002.

Figura 24. Procesos más importantes que no aparecen en el IT BSC

En 2002, Guldentops, E., Van Grembergen, W. & De Haes, S., realizaron una encuesta a 20 expertos utilizando el método Likert 1 dónde determinaron que los procesos de TI más importantes (sin orden).

Procesos de TI de COBIT más importantes

PO1 Define a strategic IT plan.

PO3 Define the information architecture.

PO5 Manage the IT investment.


PO10 Manage projects.

AI1 Identify automated solutions.

AI2 Acquire and maintain application software.

AI7 Install and Accredit Solutions and Changes

AI6 Manage changes.

DS1 Define and manage service levels.

DS4 Ensure continuous service.


DS10 Manage problems.

DS8 Manage Service Desk and incidents

DS11 Manage data.

ME1 Monitor and evaluate IT performance.

Fuente: Adaptación de Guldentops, E., Van Grembergen, W. & De Haes, S., (2002)

Tabla 18. Procesos de TI más importantes 20021

1 La escala de Likert utiliza parámetros para medir el nivel de desacuerdo.

Procesos de TI priorizados

Expertos ISACAObjetivos de TI

Procesos de TI

Procesos COBIT

Fuente: Elaboración Propia

Pág. 110




Un estudio similar realizado por Van Grembergen (2007), basándose en el método Delphi y el coeficiente de Kendall para medir la correlación, reveló que los procesos más importantes de TI

son:


PO1 Define a strategic IT plan.

DS4 Ensure continuous service.

DS1 Define and manage service levels.

PO4 Define the IT processes, organization and relationships.

PO5 Manage the IT investment.

ME4 Provide IT governance.


AI6 Manage changes.


ME1 Monitor and evaluate IT performance.

Fuente: Van Grembergen, W. (2007)

Tabla 19. Procesos de TI más importantes 2007

Un consultor también nos provee su priorización basada en años de experiencia en

evaluaciones e implementaciones de IT Governance, Nuñez, H. (2007).


PO1 Clear IT Strategy

PO10 Manage Projects

AI6 Manage changes

DS5 Systems Security

ME1 Evaluate IT performance

PO9 Assessing IT Risk

DS11 Manage Data

ME3 Regulatory Requirements

ME4 Effective IT Governance

Fuente: Nuñez, H. (2007)

Tabla 20. Procesos de TI más importantes de acuerdo a un consultor experto

Para integrar estos estudios y la experiencia hemos propuesto los Procesos de TI en la Figura 25. En esta figura se encuentran los procesos ordenados por secuencia de implementación, además se puede observar la relación de la importancia por los procesos.

1 Este cuadro fue realizado originalmente con la versión COBIT 3.0. Para la integración con el resto del documento ha debido ser modificado para estar de acuerdo con los procesos en la versión COBIT 4.1

Pág. 111

Anexos



DS8

AI1

PO4

PO3

ME4

DS11

DS4

PO10

ME1

DS1

PO5

PO9

DS5

AI6

PO1


Clear IT Strategy

Manage changes

Systems Security

Assessing IT Risk

Manage the IT investment.

Define and manage service levels.

Evaluate IT performance

Manage Projects

Ensure continuous service.

Manage Data

Effective IT Governance

Define technological direction.

Define the IT processes, organization and relationships.

Identify automated solutions.

Manage Service Desk and incidents

Importancia de Proceso

Figura 25. Los quince Procesos de TI del COBIT más importantes

Pág. 113

Anexos



Anexo 6Asociación de Objetivos de TI con los Procesos

Este anexo muestra la asociación entre los objetivos genéricos de TI con los procesos definidos en el COBIT 4.1.

Generic IT Goals IT Process

Respond to business requirements in alignment with the business strategy.PO1, PO2, PO4, PO10, AI1, AI6, AI7, DS1, DS3, ME1

Respond to governance requirements in line with board direction. PO1, PO4, PO10, ME1, ME4

Ensure satisfaction of end users with service offerings and service levels.PO8, AI4, DS1, DS2, DS7, DS8, DS10, DS13

Optimise the use of information. PO2, DS11

Create IT agility. PO2, PO4, PO7, AI3

Define how business functional and control requirements are translated in effective and efficient automated solutions. AI1, AI2, AI6

Acquire and maintain integrated and standardised application systems. PO3, AI2, AI5

Acquire and maintain an integrated and standardised IT infrastructure. AI3, AI5

Acquire and maintain IT skills that respond to the IT strategy. PO7, AI5

Ensure mutual satisfaction of third-party relationships. DS2

Ensure seamless integration of applications into business processes. PO2, AI4, AI7

Ensure transparency and understanding of IT cost, benefits, strategy, policies and service levels.

PO5, PO6, DS1, DS2, DS6, ME1, ME4

Ensure proper use and performance of the applications and technology solutions. PO6, AI4, AI7, DS7, DS8

Account for and protect all IT assets. PO9, DS5, DS9, DS12, ME2

Optimise the IT infrastructure, resources and capabilities. PO3, AI3, DS3, DS7, DS9

Reduce solution and service delivery defects and rework. PO8, AI4, AI6, AI7, DS10

Protect the achievement of IT objectives. PO9, DS10, ME2

Establish clarity of business impact of risks to IT objectives and resources. PO9

Ensure that critical and confidential information is withheld from those who should not have access to it. PO6, DS5, DS11, DS12

Ensure that automated business transactions and information exchanges can be trusted. PO6, AI7, DS5

Ensure that IT services and infrastructure can properly resist and recover from failures due to error, deliberate attack or disaster.

PO6, AI7, DS4, DS5, DS12, DS13, ME2

Ensure minimum business impact in the event of an IT service disruption or change. PO6, AI6, DS4, DS12

Make sure that IT services are available as required. DS3, DS4, DS8, DS13

Improve IT’s cost-efficiency and its contribution to business profitability. PO5, DS6

Deliver projects on time and on budget, meeting quality standards. PO8, PO10

Maintain the integrity of information and processing infrastructure. AI6, DS5

Ensure IT compliance with laws, regulations and contracts. DS11, ME2, ME3, ME4

Ensure that IT demonstrates cost-efficient service quality, continuous improvement and readiness for future change. PO5, DS6, ME1, ME4

Fuente: IT Governance Institute (2007a) p. 171

Tabla 21. Asociación de objetivos genéricos de TI con los procesos de COBIT

Pág. 115

Anexos



Anexo 7Traducciones de citas en el texto

DEL CAPÍTULO 2

“IT Governance is the term used to describe how those persons entrusted with governance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied within the entity will have an immense impact on whether the entity will attain its vision, mission or strategic goals”

-- Roussey (citado en IT Governance Institute, 2003)

“We define IT governance as specifying the decision rights and accountability framework to encourage desirable behavior in using IT.”

-- Broadbent, M. (2002, p. 2)

“IT governance is the strategic alignment of IT with the business such that maximum businessvalue is achieved though the development and maintenance of effective IT control and

accountability, performance management, and risk management.”

Webb, P., Pollard, C. & Ridley, G (2006)

“IT governance is the responsibility of executives and the board of directors, and consists of

the leadership, organizational structures and processes that ensure that the enterprise’s IT sustains and extends the organisation’s strategies and objectives.”

-- IT Governance Institute (2007a)

“Firms with superior IT governance have more than 25% higher profits than firms with poor governance given the same strategic objectives. These top performers have custom designed

IT governance for their strategies. Just as corporate governance aims to ensure quality decisions about all corporate assets, IT governance links IT decisions with company objectives

and monitors performance and accountability. […] IT Governance shows how to design and implement a system of decision rights that will transform IT from an expense to a profitable investment.”

-- Weill, P. & Ross, J. (2004a)

“IS/IT governance concentrates on the structure of relationships and processes to develop, direct and control IS/IT resources in order to achieve the enterprise’s goals through value adding contributions, which account for balancing risk versus return over IS/IT resources and

its processes”

-- Korac-Kakabadse, N. (citado en Webb, P., Pollard, C. & Ridley, G.,2006)

“Information technology governance establishes direction that ensures the company’s strategic

vision, making the value that IT delivers viewable and quantifiable. Delivering responsibilities using an established structure that allows decision making to incentive desirable behavior for TI

along with adequate IT risk management.”

-- Baldeón & Pinoargote

Pág. 116




DEL CAPÍTULO 3

“In our study of almost 300 enterprises around the World, we did not identify a single best formula for governing IT. However, one thing is clear: effective IT governance doesn’t happen by accident. Top performing enterprises carefully design governance. Managers throughout the enterprise make daily decisions putting that design into practice.”

-- Weill, P. & Ross, J. (2004b)

Pág. 117

Apéndice



Apéndices

Pág. 119

Apéndice



Apéndice 1Antecedentes de la empresa ABC

EMPRESA ABC

La compañía ABC nació en el año de 1956. Desde su creación, su labor fue la de industrializar el procesamiento de GLP, implantando en nuestro país el sistema de almacenamiento, distribución y utilización de tipo doméstico de éste derivado del petróleo.

El estado asumió en el año 1973 la responsabilidad de comercializar el GLP, responsabilidad que hoy mantiene a través de Petrocomercial1 que proporciona el producto a las compañías comercializadoras, lo que hace que el precio esté fuertemente subsidiado por Estado, quien a

su vez también fija los márgenes de todos los elementos del canal (Adaptado de Blacio, 2005).

Comenzó con la planta de Guayaquil y con el devenir de los años se han creado nuevos centros

de trabajo como son las plantas de: Montecristi, Bellavista, Santo Domingo, Pifo y centros logísticos en: Esmeraldas, Quito, Shushufindi, Cuenca, Loja, Durán, Quevedo y Ambato.

Esto ha permitido que ABC se convierta en una compañía líder en el ámbito de la comercialización de gas licuado de petróleo en el Ecuador.

43.2

5%

38.6

2%

37.1

4%

35.9

7%

37.6

4%

33.3

6%

30.9

9%

32.8

4%

35.8

3%

36.1

9%

9.27

% 14.2

0%

15.3

1%

17.4

8%

17.6

5%

14.1

2%

16.1

9%

14.7

1%

10.7

2%

8.53

%

2001 Barriles:8'051.060

2002 Barriles:8'338.455

2003 Barriles:8'851.423

2004 Barriles:4'446.482

2005 Barriles:10'288.333

ABC Competidor 1 Competidor 2 Demás comercializadoras

Fuente: Elaboración autores.

Figura 26. Participación de mercado en Ecuador 2001-0052

La comercialización de GLP, gas licuado de petróleo, se situó en los 8.338.455 barriles, y la participación de las empresas se estructuró de la siguiente manera: ABC 38.62%, Competidor 1

30.99%, Competidor 2 14.20% y las demás comercializadoras con el 16.19%.

PRODUCTOS

ABC comercializa el GLP a través de dos sistemas: Ventas por canal y Ventas Directas.

Pág. 120




Ventas por canal comercializa cilindros 15 y 45Kg, a través de distribuidores a nivel nacional.

Ventas Directas comercializa GLP a través de tanques estacionarios, instalados en las industrias, comercios o viviendas.

El mercado ecuatoriano de GLP se compone básicamente de dos sectores, que se diferencian por el tipo de consumidor o usuario final:

Un mercado en donde se aplica el subsidio al GLP para consumo doméstico, mediante la distribución de este producto en cilindros de 15 kilos.

Por otra parte, está el mercado al cual no se aplica el subsidio, ya que está dirigido al sector industrial y comercial.

TAMAÑO DE LA EMPRESA

La empresa ABC cuenta con un aproximado de 150 empleados en sus diferentes áreas. El departamento de Sistemas cuenta con 5 personas.

1 Petrocomercial es una de las tres empresas de la empresa estatal ecuatoriana Petroecuador. Petrocomercial está dedicada al transporte y comercialización de los productos refinados, para el mercado interno.2 Los datos fueron obtenidos de Ministerio de Energía y Minas, ESTADÍSTICAS HIDROCARBURIFERAS. Disponible en http://www.menergia.gov.ec/secciones/hidrocarburos/HidroEstadisticas.html

Pág. 121

Apéndice



Apéndice 2Plantilla de presentación introductoria

Para presentar el proyecto de IT Governance a una organización es necesario exponer las siguientes ideas al directorio:

La necesidad de IT Governance

Gobierno Corporativo

Áreas de Enfoque de IT Governance

o Alineación estratégica

o Entrega de valor

o Administración de recursos

o Administración de riesgos

o Evaluación de desempeño de TI

Factores críticos de éxito

Involucrados, su participación y sus responsabilidades

Metodologías de IT Governance disponibles:

o Marco de trabajo COBIT

o IT BSC

o Indicadores de desempeño de TI

Pág. 123

Apéndice



Apéndice 3DT01–ObjetivosTI

Este documento de trabajo se definió para ayudar en la definición de los objetivos estratégicos de TI. Incluye plantillas para escribirlos y asociarlos con las perspectivas definidas.

En esta tabla se definen las perspectivas que se utilizaran en el BSC.

Se ingresan las descripciones de los objetivos de TI incluyendo la asociación a la perspectiva que corresponda.

Pág. 124




Cada objetivo de TI deberá cumplir con estos parámetros para ser considerado como válido.

Pág. 125

Apéndice



Cada objetivo de TI deberá ser ingresado en una burbuja de acuerdo a sus perspectiva y colocado su relación causa-referencia.

Pág. 126




Pág. 127

Apéndice



Pág. 128




Pág. 129

Apéndice



Apéndice 4Base Bibliográfica

Este documento (RF00 Base Bibliográfica.xls) sirvió como base de datos que permitió registrar la información más importante de cada referencia bibliográfica obtenida. A pesar que no todas las referencias recolectadas fueron utilizadas para la generación de este documento, su

influencia afectó indirectamente en el resultado de este TFC.

La siguiente información se recolectó por cada ítem:

DOC RF: código del documento (RF01…)

Título, Sitio Web: Título

Fecha Publicación

Autor

Imprenta/Publisher

Comentario Autor: datos adicionales remarcables del autor

Tipo de referencia: física, digital, etc.

Tipo Artículo: libro, paper, investigación, tesis, etc.

Extraíble de Referencia: datos importantes

Temas Keywords e.g. Riesgos del IT Governance, Importancia del COBIT

Fecha revisada

Comentarios: para qué parte del TFC servirá

Importancia: grado de importancia o relevancia del 1 al 5

Páginas del ítem

Categoría: IT Governance, ITIL, BSC, Governance, Estrategia, etc.

Pág. 130




Figura 27. Fragmento de la Base Bibliográfica

Documents

Memoria-iig2007-baldeon-pinoargote.pdf