Fundamentos de

Gobierno de TI

VERSIÓN ORIGINAL:
Edson Roberto Gaseta
Alexandre Cesar Motta
Jacomo Dimmit Boca Piccolini

VERSIÓN ADAPTADA AL ECUADOR

A partir de la versión de
ESR RENATA -Colombia
Fundamentos de
Gobierno de TI

Versión original:
Edson Roberto Gaseta
Alexandre Cesar Motta
Jacomo Dimmit Boca Piccolini

Versión adaptada
al Ecuador
A partir de la versión de
ESR RENATA - Colombia
Red Nacional de Tecnología Universidad Nacional de Colombia
Avanzada - RENATA Facultad de Ingeniería

Director Ejecutivo Decano

Lucas Giraldo Rios José Ismael Peña Reyes

Gerente de Comunicaciones Vicedecano Académico

Camilo Jaimes Ocazionez Oscar Germán Duarte

Director Instituto de Extensión

Gerente Administrativo y Financiero e Investigación
Jader Alexis Castaño Carlos Cortés

Gerente de Tecnología e Información Coordinadora Académica

Javier Enrique Lizarazo Rueda Jenny Marcela Sánchez-Torres

Autor versión adaptada y ampliada

Escola Superior de Mario Alberto Pérez Rodríguez
Redes - RNP Brasil
Título original “Fundamentos Traductor
de Governança de TI” Oscar Edwin Piamba Tulcán
Versión portuguesa RNP ©
Profesionales de apoyo
Autores versión portuguesa Ana Carolina Gómez Parra
Edson Roberto Gaseta
Alexandre Cesar Motta Diseño y diagramación
Jacomo Dimmit Boca Piccolini Andrés Camilo Gantiva Rueda

ISBN: (ebook)

Permisos de uso
Todos los derechos reservados para la versión en castellano son para RENATA.

Comentarios y preguntas
(versión ESR - Colombia)
Envíe sus comentarios y preguntas sobre esta publicación a:
RENATA - Escuela Superior de Redes – ESR Colombia.
E-mail: [email protected]
www.renata.edu.co
Bogotá D.C. - Colombia
Prólogo a la versión portuguesa
La Escuela Superior de Redes, ESR, es una unidad de la Rede Nacional
de Ensino e Pesquisa, RNP, responsable por la difusión del conocimiento
en Tecnologías de la Información y Comunicación, TIC. La ESR nace con
la propuesta de ser formadora y diseminadora de las competencias en
TIC para el cuerpo técnico – administrativo de las universidades federa-
les, escuelas técnicas y unidades federales de investigación. Su misión
fundamental es realizar la capacitación técnica del cuerpo funcional de
las organizaciones usuarias de la RNP, para el ejercicio de las competen-
cias aplicables al uso eficaz y eficiente de las TIC.

La ESR ofrece decenas de cursos en áreas temáticas como: administra-

ción y proyecto de redes, administración de sistemas, seguridad, me-
dios de soporte a la colaboración digital de gobierno de TI.

La ESR también participa en diversos proyectos de interés público, como

la elaboración y ejecución de planes de capacitación para la formación
de multiplicadores para proyectos educativos como: formación en el
uso de video conferencia para la Universidad Abierta de Brasil, UAB,
formación de soporte técnico de laboratorios del Proinfo y creación de
un conjunto de cartillas sobre redes inalámbricas para el programa Un
Computador por Alumno, UCA.

5
 [Fundamento de Gobierno de TI]

Prólogo a la versión en castellano

La Red Nacional Académica de Tecnología Avanzada, RENATA, tiene el
gusto de presentarle a la comunidad académica, científica, tecnológi-
ca y empresarial del país, la Escuela Superior de Redes (ESR) RENATA
Colombia, esfuerzo de colaboración con la Rede Nacional de Ensino y
Pesquisa, RNP Brasil e Instituciones de Educación Superior en Colombia,
como parte de nuestra estrategia STAR (Servicios de Tecnología Avan-
zada RENATA).

Nuestro objetivo es la formación de alto nivel en competencias TIC para

todo el personal técnico, administrativo y académico del país, tanto de
instituciones conectadas como no conectadas a RENATA de modo tal
que se permita incrementar y mejorar la eficiencia en el uso de las
tecnologías de la información y las comunicaciones para el trabajo co-
laborativo en Colombia.

Es también este el espacio para agradecerle a RNP y las universidades

del país que han participado en la construcción de este programa aca-
démico, junto con los profesores y técnicos que pusieron todo de sí para
llevar a buen puerto esta iniciativa.

RENATA los invita a todos a sacarle el mayor provecho a este proceso

formativo y a beneficiarse de todo el potencial y los Servicios de Tecno-
logía Avanzada RENATA, STAR.

RENATA es la red nacional de investigación y educación de Colombia

que conecta, articula e integra a los actores del Sistema Nacional de
Ciencia Tecnología e Innovación (SNCTI) entre sí y con el mundo, a tra-
vés del suministro de servicios, herramientas e infraestructura tecnoló-
gica para contribuir al mejoramiento del nivel de productividad, efecti-
vidad y competitividad de la producción científica y académica del país.

6
La metodología de la ESR
La filosofía pedagógica y la metodología que orientan los cursos de la
ESR son basadas en el aprendizaje como construcción del conocimien-
to por medio de la resolución de problemas típicos de la realidad del
profesional en formación. Los resultados obtenidos en los cursos de
naturaleza teórico-práctica son optimizados, pues el instructor, ayudado
por el material didáctico, actúa no solo como un expositor de conceptos
e información, pero si principalmente como orientador del alumno en la
ejecución de las actividades contextualizadas en las situaciones de su
cotidiano profesional.

El aprendizaje es entendido como una respuesta del alumno al desafío

de situaciones-problemas semejantes a las encontradas en la práctica
profesional, que son superadas por medio del análisis, síntesis, juzga-
miento, pensamiento crítico y construcción de hipótesis para la solución
del problema, en abordajes orientadas al desarrollo de competencias.

Así, el instructor tiene participación activa y dialogada como orientador

del alumno para las actividades en el laboratorio. Inclusive la presenta-
ción de la teoría al inicio de la sesión de aprendizaje no es considerada
una simple exposición de conceptos e información. El instructor busca
incentivar la participación de los alumnos continuamente.

Las sesiones de aprendizaje en las que se realizan la presentación de

contenidos y la realización de las actividades prácticas tienen formato
presencial y esencialmente práctico, utilizando técnicas de estudio diri-
gido individual, trabajo en equipo y prácticas orientadas al contexto de
actuación del futuro especialista que se pretende formar.

Las sesiones de aprendizaje se desarrollan en tres etapas, con mayor

dedicación a las actividades prácticas, conforme a la siguiente descrip-
ción:

Primera etapa: presentación de la teoría y solución de dudas (de 60

a 90 minutos).
El instructor presenta, de manera sintética, los conceptos teóricos co-
rrespondientes al tema de la sesión de aprendizaje, con ayuda de dia-
positivas en formato Power Point. El instructor formula interrogantes
sobre el contenido de las diapositivas en lugar de solo presentarlas,
animando al grupo a la participación y la reflexión. Eso evita que las
presentaciones sean monótonas y que el alumno se coloque en actitud
pasiva, lo que reduciría el aprendizaje.

7
 [Fundamento de Gobierno de TI]

Segunda etapa: actividades prácticas de aprendizaje (de 120 a 150

minutos)
Esta etapa es la esencia de los cursos de la ESR. La mayoría de las
actividades de los cursos es asincrónica y realizada en grupos de dos
alumnos, que siguen el ritmo de la guía de actividades propuesta en el
libro de apoyo. El instructor y el monitor circulan entre los grupos para
solucionar las dudas y ofrecer explicaciones complementarias.

Tercera etapa: discusión de las actividades realizadas (30 minutos)

El instructor comenta cada actividad, presentando una de las soluciones
posibles, prefiriendo aquellas que generan mayor dificultad y polémica.
Los alumnos son invitados a comentar las soluciones encontradas y el
instructor retoma tópicos que hayan generado dudas, estimulando la
participación de los alumnos. El instructor siempre estimula a los alum-
nos a encontrar soluciones alternativas a las sugeridas por él y por sus
colegas, en caso que existan, y a comentarlas.

Sobre el curso

El objetivo de este curso es dar a conocer los principios básicos de go-

bierno de TI, lo que permite que el estudiante identificar en su organiza-
ción los conceptos claves que se necesitan para implementar las buenas
prácticas de gobierno de TI, anclados en las áreas de modelos sólidos de
gobernabilidad que aseguren bases adecuadas y alineamiento estraté-
gico de las TI con los objetivos empresariales.

A quienes se destina
Gerentes técnicos de TI que deseen actualizar sus conocimientos sobre
modelos de gobierno de TI y su aplicación en las organizaciones.

8
Convenciones utilizadas en este libro

Los siguientes convenios tipográficos se utilizan en este libro:

Itálico Indica los nombres de archivos y referencias bibliográficas

relacionadas a lo largo del texto.
Indica ejemplos para una mejor comprensión de los concep-
tos presentados.

Indica preguntas que animen a la reflexión o presenta con-

tenido para apoyar la comprensión del tema en cuestión.

9
 [Fundamento de Gobierno de TI]

Sobre los autores de la versión

portuguesa
Edson Roberto Gaseta MBA en Gestión Empresarial de la ESAMC, Es-
pecialista en redes de computación del Instituto de computación de la
UNICAMP, especialista en CobiT e ITIL, especialista en infraestructura
ambiente Microsoft, especialista en seguridad en ambiente Microsoft (
Las Colinas – Texas – USA), Analista de Sistemas de la Fundación CPqD,
desde hace 26 años, gerente de proyectos de tecnologías de informa-
ción, profesor del curso de posgrado en seguridad de la información
de laq Facultad IBTA, profesor académico que ha impartido clases en
la Facultad de Hoyler, Universidad de SAO Marcos y Facultad Fleming.

Alexandre Cesar Motta Magíster en Administración con énfasis en pla-

neación organizacional y gestión de recursos humanos de la PUC- Rio.
MBA en Gerencia de Proyectos de la FGV-RJ. Economista de la PUC-Rio
con más de 10 años de experiencia profesional en cargos de coordi-
nación y dirección de importantes Instituciones de Educación Superior.
Profesor de cursos de pregrado y posgrado en las áreas de marketing,
recursos humanos, planeación organizacional y gerencia de proyectos.
Cuenta con experiencia como facilitador en programas de entrenamien-
to y desarrollo de competencias, habilidades técnicas y gerenciales en
la implementación de proyectos de consultoría en gestión de recursos
humanos, gerencia de proyectos y organización de empresas.

Jacomo Dimmit Boca Piccolini Con estudios de postgrado en el Instituto

de Computación y Economía de UNICAMP e Ingeniero de la Universidad
Federal de São Carlos. Sirve como Coordinador Académico de las áreas
de Seguridad y Gobierno de TI de la Escuela de Redes, ESR, de la Red
Nacional de Investigación y Educación, RNP. Con más de 12 años de
experiencia en seguridad, tiene certificaciones en materia de seguridad
y gobernanza de TI. También es director de investigación de Dragon
Research Group, Coordinador de Capacitación de FIRST.org, miembro del
Consejo de ISACA Brasilia y profesor invitado en los cursos de postgrado
en las disciplinas de la ciencia forense, sistemas de seguridad, manejo
de incidentes, la creación y gestión CSIRT.

10
Sobre el autor de la versión adaptada
y ampliada
Mario Albero Pérez Rodríguez, Especialista en Ingeniería de Software
de la Universidad Distrital Francisco José de Caldas e Ingeniero de Siste-
mas de la Universidad Nacional de Colombia. Ha realizado estudios en
las áreas de: Inteligencia Artificial y Sistemas Expertos en la Empresa,
Transmisión de Datos, ORACLE SQL forms y Terminales Portátiles y Mon-
taje de Superficies. Cuenta con una amplia experiencia en la Universidad
Nacional de Colombia: Profesor de tiempo completo desde el año 1996,
Director Nacional de Admisiones desde el 2005 a la fecha, así mismo
se ha desempeñado como Director Nacional de Informática y Comuni-
caciones, Director Académico Sede Bogotá, Director Departamento de
Ingeniería de Sistemas e Industrial y Coordinador Consultorio de Infor-
mática. Miembro activo del Comité Nacional de Programas Curriculares
de Pregrado y Posgrado de la Universidad Nacional de Colombia y del
Comité Nacional de Admisiones de la Universidad Nacional de Colombia.

Además, cuenta con experiencia en la asesoría y diseño de diversos

proyectos con entidades públicas y privada, entre las que se destacan:
DANE-FONADE, Superintendencia Bancaria, Empresa de Acueducto y
Alcantarillado de Bogotá, Contraloría General de la República, Organiza-
ción de Estados Iberoamericanos,OEI., Servicios Integrados para Compu-
tadores Ltda, SEMICOL LTDA y DISALTOS S.A.

11
 [Fundamento de Gobierno de TI]

Sobre la traducción para la

versión adaptada y ampliada

Oscar Edwin Piamba Tulcán, Doctor en Ingeniería Mecánica de la Uni-

versidad Federal Fluminense, Magíster en Ingeniería Mecánica de la
Universidad de los Andes con Especialización en Ciencias: Física  de la
misma Universidad e Ingeniero Mecánico de la Universidad Nacional de
Colombia. Vinculado como profesor a la Facultad de Ingeniería de la Uni-
versidad Nacional de Colombia desde el año 2000, se desempeña como
Director Nacional de Información Académica desde 2010. Participa como
docente en los programas de Doctorado en Ingeniería Mecánica, en el
Doctorado en Ciencia y Tecnología de Materiales y en los programas de
maestría y pregrado en Ingeniería Mecánica y Mecatrónica.

12
Tabla de contenido
1 Fundamentos de gobierno Tecnologías de
Información 16

1.1 Tendencias en el área de gobierno de TI 18

1.2 Fundamentos del gobierno de TI 20
1.3 Motivaciones para la implantación del gobierno de TI 23
1.4 Objetivos del gobierno de TI 24
1.5 Definición de negocio 26
1.5.1 Alineación estratégica 29
1.5.2 Entrega de Valor 29
1.5.3 Gerencia del riesgo 30
1.5.4 Gerencia de recursos 30
1.5.5 Gerencia del desempeño 30
1.6 Importancia del gobierno de TI 31
1.7 Beneficios del gobierno de TI 33

2 Relación entre gobierno de TI y gobierno

corporativo 38

2.1 Fundamentos del gobierno corporativo 40

2.2 Ley Sarbanes – Oxley (SOX) 43
2.3 Relación entre el gobierno de TI y el gobierno
corporativo 44
2.4 Alineamiento estratégico 47
2.5 Influencias del gobierno corporativo en las inversiones
de TI 49

3 Visión general de la implantación del gobierno

de TI con CobiT 52

3.1 Visión general del CobiT 4.1 53
3.2 Marco del CobiT 54
3.3 Principios del CobiT 54
3.4 Principios de gobierno y gerenciamiento 54
3.5 Dominios y procesos del CobiT5 56
3.5.1 Procesos del dominio Evaluar, Orientar y
Supervisar, EDM 56

13
 [Fundamento de Gobierno de TI]

3.5.2 Procesos del dominio Alinear, planificar y

organizar, APO 57
3.5.3 Procesos del dominio Construir, Adquirir e
Implementar, BAI 60
3.5.4 Procesos del dominio Entregar, Dar soporte y
Dar servicio, DSS 62
3.5.5 Procesos del dominio Supervisar, Evaluar y
Valorar, MEA 63
3.6 CobiT5. Implementación 65
3.7 El modelo de capacidad de los procesos de CobiT5 66

4 Herramientas de implantación de gobierno de TI 68

4.1 Visión General de ITIL 70

4.2 Visión general sobre la ISO/IEC 20000 76
4.3 Relación entre ITIL, ISO 20000 y CobiT 78
4.4 Visión General de la norma ISO 38500 80
4.5 Relación entre ISO 38500 y CobiT 82
4.6 Visión general del Val IT 84
4.6.1 Gobierno de valor, VG 86
4.6.2 Gerenciar el portafolio 86
4.6.3 Gerenciar las inversiones 86

5 Cuaderno de actividades 92

5.1 Guía de actividades 1 93

5.1.1 Actividad 1: organización privada 93
5.1.2 Actividad 2: organización pública, inclusión digital 96
5.1.3 Actividad 3: organización pública, factura electrónica 97
5.2 Guía de actividades 2 98
5.2.1 Actividad 1: definiendo insumos para alinear TI a los
negocios 98
5.2.2 Actividad 2: creando un proceso para alinear TI y
negocios 99
5.2.3 Actividad 3: definición de indicadores para monitoreo
de los negocios y de TI 100
5.3 Guía de actividades 3 102
5.3.1 Actividad 1: problemas en la evaluación de la
gestión de TI 102

14
 5.3.2 Actividad 2: soporte de TI a los negocios 104
5.4 Guía de actividades 4 105

6 Bibliografía 116

15
 [Fundamento de Gobierno de TI]

Fundamentos
de gobierno
Tecnologías de
Capítulo

01
Información

Presentar los principios fundamentales

Objetivos

del gobierno de Tecnologías de la

Información, TI, su importancia, objetivos
y beneficios.
Conceptos

Fundamentos de gobierno de TI y motivos

para su implantación.

16
 Introducción
-- Inversión en TI.
-- Organizaciones públicas y privadas.
-- Desafíos relacionados con TI, enfrentados por
las organizaciones públicas y privadas.

Las organizaciones privadas invierten recursos significativos en el área

de las TI. Esto con el fin de que el soporte a los negocios esté relaciona-
do con las inversiones que proporcionan mejoras en los servicios de TI.

Figura 1.
Inversión
en TI

Frecuentemente las organizaciones privadas no invierten adecuada-

mente en el sector de TI, a pesar de las altas cifras involucradas. Como
consecuencia, una gran mayoría de organizaciones aún no utilizan todo
el potencial que los recursos de las TI proporcionan para apalancar nue-
vos negocios y aumentar la competitividad en el mercado. De la misma
forma, las organizaciones públicas también invierten en TI para alcanzar
sus objetivos y, como las organizaciones privadas, éstas no utilizan todo
el potencial de las TI para cumplir su papel de órgano público.
17
 [Fundamento de Gobierno de TI]

Por tanto, el gran desafío de las organizaciones públicas y privadas es

gestionar adecuadamente la estructura de TI y direccionar las inver-
siones en TI, buscando alcanzar los mejores resultados en los servicios
prestados por las TI, por medio de un gobierno de TI bien planeado e Figura 2.
implementado. Desafío de
gobierno
de TI

En este capítulo se presentarán los principios fundamentales del go-

bierno de TI.

Ejercicio de nivelación: entendimiento de gobierno de TI

Usted ¿cómo define el gobierno de TI y de qué forma dicho gobierno

puede ayudar a apalancar los negocios y/o los servicios de su organi-
zación?

1.1 Tendencias en el área de gobierno de TI

La alta dirección de las organizaciones es cada día más consciente del
impacto que tiene la información en su negocio, que en últimas, es
el activo identificado como factor clave de éxito para el cumplimiento
de sus objetivos, agregar valor y una forma eficaz de obtener ventaja
competitiva dentro de su entorno. Es así que la comunidad gestora de
tecnología viene implementando metodologías que les permita admi-
nistrar los recursos que soportan la información alineada con la estra-
tegia de negocio.

Dentro de este contexto, la iniciativa del Consejo de Dirección de In-

formation Systems Audit and Control Association, ISACA, ha sido unir y
reforzar todos los activos intelectuales de ISACA y su base de conoci-
miento en CobiT. La tendencia actual es migrar hacia la implementación
de CobiT 5, que como un producto de la mejora estratégica de ISACA,
18
está impulsando las nuevas guías sobre el gobierno y la administración
de la información, así como todos los activos tecnológicos de las orga-
nizaciones.

Los principios fundamentales de CobiT 5 están basados en: un marco

integrador, generadores de valor para los interesados o participantes,
enfoque al negocio y su contexto para toda la organización. Está funda-
mentado en facilitadores y estructurado de manera separada para el
gobierno y la gestión.

Los procesos de gobierno permiten que las múltiples partes interesadas

tengan una lectura organizada del análisis de opciones, identificación
del norte a seguir y la supervisión del cumplimiento y avance de los
planes establecidos.

Los procesos de gestión están orientados hacia la utilización eficiente

de los recursos físicos y humanos, así como a la estandarización de
procesos y prácticas para lograr el objetivo misional de la organización.

Dada1 la importancia que toma cada día la seguridad en la información,

tanto en el contexto interno como externo, el gobierno en TI está evo-
lucionando en varios frentes como los descritos por ISACA para CobiT 5.

CobiT 5 es el marco de negocio para el gobierno y la gestión de las TI.

Esta versión evolutiva incorpora las últimas ideas en la gestión em-
presarial y técnicas de gestión, establece los principios globalmente
aceptados, prácticas, herramientas analíticas y modelos para ayudar a
aumentar la confianza en la información y el valor de los sistemas de
información. CobiT 5 se construye y amplía CobiT 4.1 mediante la inte-
gración de otros marcos, normas y recursos, incluyendo Val2 de ISACA,
Information Technology y Risk Information Technology, Information Te-
chnology Infrastructure Library, ITIL®, y las normas relacionadas con las
normas ISO.3

Los beneficios que promete ofrecer CobiT 5 son los siguientes:

»» Mantener la información de alta calidad para apoyar las decisio-

nes de negocio
»» Lograr los objetivos estratégicos y obtener los beneficios de ne-
gocio a través del uso efectivo e innovador de TI

2 Estructura de procesos que ayuda a las organizaciones en la priorización de las inversiones en TI,
así como en la evaluación del retorno que trae para el negocio.

3 isaca.org
19
 [Fundamento de Gobierno de TI]

»» Lograr la excelencia operativa a través de la aplicación eficaz y

fiable de la tecnología
»» Mantener los riesgos relacionados con TI a un nivel aceptable
»» Optimizar los servicios y la tecnología de los gastos de TI
»» Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y políticas

En resumen, el gobierno de TI se está enfocando en mitigar las ame-

nazas empresariales relacionadas con la tecnología. Las organizaciones
deben integrar el riesgo tecnológico de forma mucho más agresiva en
la Gestión de Riesgos Empresariales, ERM, (por sus siglas en inglés) si
quieren reducir pérdidas futuras y mejorar el desempeño del negocio,
tal como lo indica la nueva guía de la asociación global de TI, ISACA.

1.2 Fundamentos del gobierno de TI

El gobierno de TI es definido como la estructura de relación y procesos
para dirigir y controlar una organización con el fin de alcanzar los objeti-
vos corporativos, adicionando valor al negocio y equilibrando los riesgos
en relación con el retorno de la inversión en TI y sus procesos. Tales es-
tructuras y procesos buscan garantizar que las TI contribuyan a que los
objetivos y las estrategias de la organización alcancen su valor máximo,
de forma tal que controlen la ejecución y la calidad de los servicios de
las TI en beneficio de la organización.

Básicamente, tener una estructura de relación y procesos garantiza que

las acciones de gobierno de las TI sean compartidas con los directivos
de la organización (pública o privada) estableciendo los procesos ne-
cesarios para soportar el uso de las TI en las actividades diarias de los
usuarios y de los clientes, que forman el público interno y externo.

El gobierno de TI gana fuerza en el actual escenario de competitividad

en el mundo de los negocios. Un mundo en donde es cada vez mayor
la necesidad de adopción, por el área de la TI, de mecanismos que per-
mitan establecer objetivos, evaluar el resultado y examinar, de forma
concreta y detallada, si las metas fueron alcanzadas. El ambiente de las
organizaciones se apoya en la tecnología, que está en constante muta-
ción, exigiendo modelos más ágiles y flexibles de gestionar.

Los negocios en las organizaciones están siempre en transformación

y las TI igualmente están en constante proceso de cambio. Por eso, es
necesario designar criterios de decisión de la mejor manera posible,
buscando mantener la alineación entre el negocio y las TI.
20
 Proceso
Secuencia de tareas (o actividades) que al ser
ejecutadas transforman insumos (entradas)
en un resultado con valor agregado (salida).
La ejecución de un proceso consume recursos
materiales y/o humanos para agregar valor al
resultado del proceso. Los insumos son materia
prima, productos o servicios provenientes de
proveedores internos o externos que alimen-
tan el proceso. Los resultados son productos o
servicios que van a satisfacer las necesidades
de los clientes internos o externos.

Figura 3.
Gobierno de
TI y ambiente
de negocios

Internamente, el gobierno de TI busca asignar los derechos de decisión

en los asuntos de valor real, con la finalidad de alcanzar los objetivos
del negocio.

Considerada por muchos como una especie de caja negra, el área de las
TI tiene sus acciones poco conocidas dentro de las organizaciones. En la
mayoría de ellas no existe alineación entre las estrategias de las TI con
las estrategias del negocio. Es un área con enorme cantidad de recur-
sos, lenguaje propio y difícil de entender para la organización.

21
 [Fundamento de Gobierno de TI]

Figura 4.
Alineación de
los objetivos
del negocio
y de la TI
por medio
del gobierno
de TI

Un gobierno de TI adecuado es necesario para el conocimiento más am-

plio de los objetivos del sector de TI. Las nuevas prácticas de gobierno
posibilitan que el área de TI se adecúe a la estrategia del negocio de las
organizaciones.

En Colombia, el concepto de gobierno de TI tiene una historia que inicia

con el documento CONPES 2790 de 1995, el documento establece una
estrategia para hacer uso eficiente y eficaz de los recursos públicos en
el cual se incluye la creación de la Unidad de Eficiencia de la Consejería
Presidencial para el Desarrollo Institucional. A partir de esa unidad es
creada más tarde la estrategia gobierno en línea.

La Directiva Presidencial 10 de 2002, en el numeral 1.1.3, literal b, esta-

blece que las entidades del estado deberán crear un sistema que ga-
rantice el acceso permanente a la información por parte del ciudadano.

La Ley 790 de 2002 en su artículo 14, establece que el gobierno nacional

promoverá el desarrollo de tecnologías y procedimientos denominados
gobierno electrónico o en línea, en las entidades de la rama ejecutiva
del orden nacional y, en consecuencia, impulsará y realizará los cambios
administrativos, tecnológicos e institucionales relacionados con los si-
guientes aspectos: a) desarrollo de la contratación pública con soporte
electrónico; b) desarrollo de portales de información, prestación de ser-
vicios, y c) participación ciudadana y desarrollo de sistemas intra-gu-
bernamentales de flujo de información.

El documento CONPES 3248 de 2003, incorpora el gobierno electrónico

como una reforma transversal con la finalidad de definir una política y
un conjunto de instrumentos adecuados para el manejo de la informa-
22
ción en el sector público. Esta política confiere sentido a la incorporación
y al uso de las TI en el desarrollo de las operaciones de las entidades
estatales, tanto en sus actividades internas como en sus relaciones con
otras entidades públicas y privadas, con los ciudadanos y con el sector
productivo lo que hace imperioso el establecimiento de gobierno de TI.

1.3 Motivaciones para la implantación del

gobierno de TI
Son muchos los motivos para la implantación de un gobierno de TI. La
siguiente tabla presenta las principales razones que tienen las organiza-
ciones para la implantación de un gobierno de TI.

Tabla 1. Principales razones para la implementación de un gobierno de TI

Motivos Información Riesgos

Gastos altos con TI. »» Devaluación y desactua- »» Disminuir el lucro de la
lización muy rápida de organización.
recursos de TI. »» Pérdida del desempeño
»» Asignación inadecuada de las funciones de TI
de los recursos de TI. y de los negocios de la
»» Demora en el proceso de organización.
selección, adquisición y
entrega de las soluciones
de TI.
»» Presupuesto insuficiente
para TI.
»» Desalineación entre las »» Infraestructura de TI so- »» Flujo de información
necesidades del nego- breestimada o subesti- bloqueado debido a los
cio y la infraestructura mada. procesos no implemen-
de TI de la organiza- »» El tiempo de implemen- tados por TI.
ción. tación de las soluciones »» Falta de alineación en-
de TI no alcanza la ex- tre las áreas de TI y de
pectativa de los usuarios negocios, generando
de las áreas de negocios baja eficiencia opera-
de la organización. cional.

»» Decisiones de TI toma- »» El área de TI no es vista »» Servicios proporciona-

das de forma aislada. en la organización como dos sin la calidad de-
estratégica. seada.
»» Falta de integración en- »» Desconocimiento de
tre las áreas del negocio las necesidades de los
y las TI. nuevos servicios de TI
para la atención ade-
cuada del negocio.

23
 [Fundamento de Gobierno de TI]

Continuación tabla 1. Principales razones para la

implementación de un gobierno de TI

Motivos Información Riesgos

»» La seguridad de la in- »» Falta de disponibilidad »» La información puede
formación no existe o de información sobre los no ser confiable o ín-
no es difundida ade- propietarios de los da- tegra, pues no existe
cuadamente en la or- tos de los sistemas y de control sobre ella, ge-
ganización. los permisos necesarios nerando pérdidas signi-
para la manipulación de ficativas para la organi-
los datos. zación.
»» Falta de definición de »» Pérdida de credibilidad.
una política de seguridad.
»» La contratación de ser- »» Los contratos con terce- »» El vencimiento del
vicios de terceros no ros no son firmados de contrato puede causar
atiende las necesidades forma adecuada, aca- interrupción en el ser-
de TI. rreando dificultades en la vicio de TI.
relación. »» Los servicios de TI es-
»» La estrategia para la ter- tratégicos están bajo
cerización de los servi- el control de terceros,
cios de TI no atiende las ocasionando proble-
necesidades de los clien- mas de continuidad en
tes y de los objetivos del los servicios de TI.
negocio. »» Pérdida del control de
los servicios de TI.

Un gobierno de TI eficaz requiere una cantidad significativa de tiempo

y atención de la administración. La creciente dependencia de las orga-
nizaciones en relación con la TI muestra que son válidos los esfuerzos
para implantar un gobierno de TI. Un gobierno de TI adecuado armoniza
las decisiones administrativas y la utilización de TI alineadas a los obje-
tivos del negocio.

1.4 Objetivos del gobierno de TI

El área de TI de una organización enfrenta los siguientes desafíos dia-
rios:

»» Mantener los recursos de TI funcionando. Las organizaciones

necesitan garantizar la continuidad de los servicios de TI dispo-
nibles para el público interno y externo.
»» Entrega de valor. El área de TI debe garantizar la entrega de
los servicios acordados, con los beneficios esperados, buscando
disminuir los costos y aumentar el valor de TI.
»» Administrar los costos. Las organizaciones necesitan admi-
24
 nistrar las inversiones de TI implantando procesos eficientes
y asignando los recursos humanos y técnicos necesarios para
mantener las TI funcionando.
»» Complejidad tecnológica. Las organizaciones necesitan admi-
nistrar y mantener toda la estructura tecnológica, que puede
ser diversa y compleja, adaptando los cambios con rapidez y
proporcionando los servicios de forma transparente para los
usuarios.
»» Alinear las TI a los negocios. En muchas organizaciones existe
una distancia entre lo que el usuario espera de los servicios de
TI y lo que realmente las TI pueden proporcionar, siendo nece-
sario alinear las TI a los negocios.
»» Conformidad con leyes y regulaciones. Las organizaciones ne-
cesitan cumplir las leyes y regulaciones que están asociadas a
los servicios de TI tales como seguridad y privacidad de la infor-
mación y de las relatorías financieras.
»» Seguridad de la información. Las organizaciones necesitan ga-
rantizar una seguridad adecuada para todo el ambiente y para
los servicios de TI.

En este sentido, el principal objetivo del gobierno de TI es alinear las TI a

las necesidades del negocio de una organización, garantizar la continui-
dad de los servicios de las TI para los negocios y equilibrar las inversio-
nes necesarias para el ambiente de TI, siempre atendiendo los objetivos
estratégicos de la organización. Es decir que el principal objetivo del go-
bierno de TI es alinear la estrategia de TI con la estrategia del negocio.

El principal objetivo del gobierno de TI es alinear la estrategia de TI con

la estrategia empresarial.

Objetivos

»» Garantizar que las TI soporten y maximicen los objetivos y las

estrategias de la organización por medio de la implementación
de una estructura de procesos.
»» Controlar, medir y auditar la ejecución y calidad de los servicios
de TI.
»» Viabilizar el acompañamiento de contratos con prestadores de
servicios de TI.
»» Definir condiciones para el ejercicio eficaz de la gestión de TI
con base en conceptos consolidados de calidad.
25
 [Fundamento de Gobierno de TI]

»» Alinear la estrategia de TI con la del negocio.

»» Aumentar la capacidad y agilidad para nuevos modelos de ne-
gocio o ajustes en los modelos actuales.
»» Hacer explícita la relación entre el aumento de costos de TI y el
aumento en el valor de la información.
»» Mantener los riesgos del negocio bajo control por medio de una
gestión de riesgos más eficaz.
»» Hacer explícita la importancia de las TI para la continuidad de
los negocios.
»» Medir y mejorar continuamente el desempeño de las TI.

1.5 Definición de negocio

Un negocio puede ser definido como un producto o servicio que cual-
quier organización pretende ofrecer, buscando entregar el resultado es-
perado por el cliente o usuario de forma que satisfaga sus necesidades.
Para alinear las TI a los negocios de la organización es necesario tener
un entendimiento claro de los negocios que la organización pretende
realizar.

Figura 5.
Relación
entre TI y
objetivo del
negocio

Es importante establecer la diferencia entre la definición del negocio

para organizaciones privadas y organizaciones públicas. Para una or-
ganización privada del sector financiero, por ejemplo, un elemento im-
portante para su negocio puede ser garantizar un mayor número de
transacciones de pago de títulos, aumentando el lucro de la institución.
Entonces, el objetivo estratégico para este negocio es buscar el mayor
número de personas que hagan el pago de sus títulos a través de este
banco. La TI tiene el papel fundamental de mantener los recursos nece-
sarios para que el objetivo del negocio sea alcanzado.

26
Para el Ministerio de Agricultura, parte de su negocio es garantizar el
control para que todo agente económico que compre y/o comercialice
leche cruda en el territorio nacional realice los reportes de información.

El objetivo estratégico de este negocio es garantizar que todo agente

comercializador de leche haga parte de la Resolución 000017 de enero
de 2012 por la cual “se establece el Sistema de Pago de la leche Cruda
al proveedor” con el fin de que todo agente económico que compre y/o
comercialice leche cruda en el territorio nacional informe, a la unidad de
Seguimiento de Precios, sobre el sistema de pago al proveedor, dentro
de los diez días hábiles del mes siguiente al mes en que realice la com-
pra...”.La TI tiene como papel garantizar los recursos necesarios para
que el objetivo del negocio sea alcanzado.

Tabla 2. Ejemplo de objetivo de negocio en organizaciones públicas y privadas

Organización privada Organización pública

(sector financiero) (sector pecuaria)
»» Mayor número de transacciones de »» Registrar e identificar todo agente co-
pago de títulos, aumentando el lucro mercializador de leche cruda, permi-
de la institución. tiendo garantizar el sistema de pagos al
»» Objetivo estratégico del negocio: bus- proveedor dentro de los 10 días hábiles
car el mayor número de pago de tí- del mes siguiente en que se realice la
tulos. compra.
»» Objetivo estratégico del negocio: pro-
veer a los agentes información para un
control efectivo de los pagos a provee-
dores.
»» Soporte al negocio: Resolución 17 de
enero de 2012 del Ministerio de Agri-
cultura.

El Ministerio de Agricultura brinda en http://leche.minagricultura.gov.

co/ información sobre los objetivos del negocio y sobre el sistema de
captura de información.

27
 [Fundamento de Gobierno de TI]

Foco del gobierno de TI

IT Governance Institute, ITGI., – www.itgi.org – establece como principa-

les focos del gobierno de TI:

»» Alineación estratégica: garantizar la alineación estratégica

entre las TI y los objetivos de los negocios de la organización.
»» Entrega de valor: el área de la TI debe garantizar la integridad
de los servicios acordados con los beneficios esperados,
procurando disminuir los costos y aumentar el Valor de las TI.
»» Gerencia del riesgo: proceso de evaluación de los riesgos
identificados, categorizarlos y determinar el costo de eventuales
pérdidas organizacionales asociadas al riesgo.
»» Gerencia de recursos: optimización de las inversiones y gestión
adecuada de los recursos (aplicaciones, personas, información,
infraestructura) esenciales para proveer los subsidios que la
organización necesita para cumplir con sus objetivos.
»» Gerencia del desempeño: acompañamiento y monitoreo de
la implementación de la estrategia de TI alineada al negocio,
del avance de los proyectos, de la utilización de recursos, del
desempeño de los procesos y de la entrega de los servicios,
utilizando mediciones e indicadores de desempeño.

Figura 6.
Focos del
gobierno
de TI

28
 1.5.1 Alineación estratégica
La alineación estratégica se logra a partir de la definición de los obje-
tivos del negocio de la organización y de los objetivos estratégicos de
TI. Después de esta definición es necesario relacionar los objetivos del
negocio con los objetivos estratégicos de la TI, estableciendo la alinea-
ción estratégica.

Figura 7.
Alineación
entre los
objetivos
de TI y del
negocio

1.5.2 Entrega de valor

El área de TI debe garantizar la entrega de los servicios acordados, con

los beneficios esperados, procurando disminuir los costos y aumentar el
valor de las TI. Esta garantía está asociada al retorno sobre las inversio-
nes en TI, que deben soportar los objetivos del negocio. Normalmente
las inversiones en TI son altas y deben garantizar su retorno. Una orga-
nización invierte altos valores, por ejemplo, para implantar un sistema
de gestión empresarial que proporcione una optimización en las activi-
dades de la organización, aumentando su rentabilidad y competitividad.
El área de TI debe garantizar que la implantación del sistema de gestión
esté alineada con la estrategia de la organización, proporcionando lo
que fue acordado. Un ejemplo es la garantía de que los pedidos estén
automatizados con la línea de producción, proporcionando un mayor
control de los productos de la organización. Si eso no ocurre, la TI no
está entregando el valor esperado.

29
 [Fundamento de Gobierno de TI]

1.5.3 Gerencia del riesgo

Proceso para evaluar los riesgos identificados, categorizar la gravedad

de los riesgos y determinar el costo de eventuales pérdidas organiza-
cionales asociadas. Las organizaciones deben mapear los riesgos posi-
bles y tratar de forma adecuada cada uno de ellos.

Una organización financiera, por ejemplo, tiene una gran preocupación

sobre los riesgos asociados a fraudes electrónicos. Estas organizaciones
invierten para conocer estos riesgos, para evaluar la vulnerabilidad aso-
ciada a cada uno de ellos y para proveer medidas para resolverlos. Un
fraude electrónico puede comprometer la reputación de toda la organi-
zación y causar pérdidas significativas.

Una organización pública, por ejemplo, que controla el pago de pensio-

nes al ciudadano, tiene que preocuparse por que el pago esté hecho a
la persona correcta. Los fraudes, en este caso, pueden estar asociados
a personas que recibían el beneficio suplantando a una persona que ya
falleció y que una vez dada la novedad los familiares no la reportan al
fondo de pensiones correspondiente. En este caso, el organismo público
debe tener una estructura de TI para intercambiar información con los
fondos de pensión, para verificar si el beneficio o derecho que recibe un
ciudadano específico debe continuar o debe ser cancelado.

1.5.4 Gerencia de recursos

Optimización de la inversión y de la gestión adecuada de recursos (apli-

caciones, personas, información e infraestructura), esenciales para pro-
veer los subsidios que la organización necesita para cumplir con sus
objetivos.

1.5.5 Gerencia del desempeño

Acompañamiento y monitoreo de implementación de la estrategia de TI

alineada al negocio, del avance de los proyectos, de la utilización de los
recursos, del desempeño de los procesos y de la entrega de los servi-
cios, utilizando mediciones e indicadores de desempeño.

30
1.6 Importancia del gobierno de TI
Sin un gobierno de TI claramente definido, las decisiones sobre TI en
una organización pueden no satisfacer adecuadamente las necesidades
del negocio.

Afirmaciones que validan la importancia del gobierno de TI:

»» El área de TI es muy cara, no cumple ningún plazo, dificulta cual-

quier idea y nunca entrega lo que es solicitado.
»» Es importante incentivar la colaboración entre los profesionales
de los negocios y de las TI, pues estas TI son las principales
fuentes de innovación en una organización.
»» La TI no está alineada con las estrategias de la organización.

Estos aspectos están relacionados entre sí, y para que sean soluciona-
dos es preciso establecer mecanismos de integración entre las áreas
de la organización. En su libro “Gobierno de TI”, Peter Weill y Jeanne W.
Ross definen cinco decisiones de TI:

»» Principios de TI: declaraciones de alto nivel sobre cómo las TI

deben ser usadas en la organización.
»» Infraestructura de TI: estructura básica de TI (técnica y humana)
compartida por toda la organización en la forma de servicios
confiables, coordinados de manera centralizada (red, soporte,
mesa de ayuda, datos comunes etc.)
»» Arquitectura de TI: conjunto integrado de soluciones técnicas
que direccionan la organización hacia la satisfacción de las ne-
cesidades del negocio. La arquitectura es un conjunto de políti-
cas y reglas que gobiernan el uso de las TI y definen un camino
de migración para el modelo del negocio (datos, tecnología y
aplicaciones).
»» Necesidad de aplicaciones del negocio: aplicaciones del negocio
que deben ser adquiridas o desarrolladas.
»» Priorización e inversiones: decisiones sobre cómo, cuándo y
dónde invertir en TI, incluyendo aprobación de proyectos y téc-
nicas de justificación.

Estableciendo respuestas adecuadas para estas cinco decisiones, las

organizaciones pueden dirigir sus acciones para la implantación del go-
bierno de TI.

Mesa de ayuda: servicios de apoyo a usuarios para el soporte y solu-

ción de problemas técnicos de informática, telefonía y TI (pre y post
venta). Este apoyo puede ser brindado internamente (por profesionales
31
 [Fundamento de Gobierno de TI]

responsables del mantenimiento de equipos e instalaciones dentro de

la organización) o externamente (prestación de servicios a usuarios).

Figura 8.
Decisiones
de TI

Ejercicio de refuerzo: determinando las cinco decisiones

de TI

Una Institución de Educación Superior, IES, está iniciando sus activida-

des de enseñanza. Por medio de un levantamiento previo, los cursos
escogidos para ser ofrecidos son: sistemas de información, ingeniería
eléctrica, pedagogía, administración de organizaciones y gestión de re-
des de computadoras.
La IES apuesta a que la TI es una aliada importante para atraer alumnos.
Tomando como base de esta institución determine:

»» Los principios de TI:

»» La infraestructura de TI:

»» La arquitectura de TI:

»» La necesidad de aplicaciones del negocio:

»» Priorización e inversiones:

32
1.7 Beneficios del gobierno de TI
Beneficios esperados con la implantación de gobierno de TI:

»» Ofrecer a la organización una visión completa de su ambiente

de TI y al mismo tiempo compararlo con escenarios alternativos
que optimicen el retorno de las inversiones ya hechas y de las
que serán realizadas.
»» Facilitar que la organización tome decisiones, con la mayor pre-
cisión posible, sobre su estructura de TI.
»» Propiciar que las organizaciones tengan a su alcance toda la in-
formación necesaria sobre la situación actual de su estructura
de TI y de las necesidades futuras.
»» Facilitar la planeación de TI, inclusive con estimaciones de pre-
supuesto para proyectos prioritarios.
»» Disponer más tiempo de los involucrados para la realización de
actividades clave, foco del crecimiento del negocio, en lugar de
gastar tiempo en la solución de problemas de TI.
»» Evaluar objetivamente la madurez en relación con patrones in-
ternacionales, al mismo tiempo que son definidas las inversio-
nes que traerán mayor retorno.
»» La definición de procesos, indicadores, métodos y controles de
los aspectos priorizados permite un gerenciamiento más estruc-
turado y un día a día más confortable y productivo de los pro-
fesionales de TI.
»» Simplificación de las decisiones de compra por el hecho de que
la información que direcciona la adquisición está disponible
dentro de un contexto estratégico.
»» Más facilidad para desarrollar, comparar o entregar a terceros
las soluciones de TI.
»» Más habilidad para tratar problemas críticos de la organización
tales como los de seguridad y los de gestión del riesgo.

Además de los beneficios citados, el gobierno de TI capacita a la or-

ganización para implementar nuevos modelos de negocio y modificar
prácticas existentes, disminuyendo los riesgos intrínsecos a un mundo
interconectado y de la dependencia de entidades fuera del control de
la organización. Se suma a lo anterior el impacto de la TI sobre la con-
tinuidad del negocio dado que, debido a la creciente dependencia de
todos los aspectos del negocio con respecto a la TI, la TI debe garantizar
su capacidad de construir y de mantener los conocimientos, necesarios
para sustentar y expandir el negocio de la organización.

Actualmente, un porcentaje cada vez mayor del valor de mercado de la

organización migró de bienes tangibles (productos, instalaciones, bie-
33
 [Fundamento de Gobierno de TI]

nes de capital, etc.) a bienes intangibles (información, confianza, ex-

periencia, conocimiento, reputación, patentes, marcas, etc.) Muchos de
estos bienes intangibles están íntimamente ligados a TI, pudiendo des-
aparecer de la noche a la mañana, al contrario de los bienes tangibles.

Las organizaciones se han tornado cada vez más dependientes de las

TI para ejecutar su negocio básico, al punto de no poder sobrevivir sin
una infraestructura de TI que funcione adecuadamente, necesitando la
implementación adecuada de los procesos de gobierno de TI.

Una de las preguntas más comunes que las organizaciones buscan res-
ponderse es: ¿cuándo la TI se vuelve crítica para la organización? Esta
pregunta puede ser respondida de la siguiente forma:

»» Los objetivos del negocio de la organización no pueden ser rea-

lizados sin el soporte continuo, efectivo y eficiente de las TI.
• Las organizaciones no pueden existir sin un área de TI, como
por ejemplo compañías aéreas, bancos, comunicaciones,
medios, gobierno, etc.
• La organización depende de modelos de negocio basados
en TI. Por ejemplo: gestión de la cadena de abastecimiento,
control del cobro de impuestos gubernamentales, etc.

»» Existe una posibilidad de que los costos de TI erosionen la ren-

tabilidad de la organización y, posiblemente, su viabilidad (im-
pacto de las TI en los negocios)
• El porcentaje del recaudo de la organización frente al gasto
en las TI es significativamente mayor que la media del mer-
cado o muestra una tendencia de crecimiento anormal.
• Los valores gastados en TI son comparables con los lucros
de la organización.
• Las funciones del negocio se tornan no lucrativas o inca-
paces de soportar el flujo actual de recaudos si no fuesen
automatizados por TI.
• La organización necesita tener conformidad con leyes y re-
gulaciones o niveles contractuales de servicio que no pue-
den ser alcanzados sin el uso efectivo y eficiente de servi-
cios de TI.

Todas estas respuestas pueden ser fácilmente contempladas en la im-

plantación del gobierno de TI, que es fundamental para alinear el área
de TI a los negocios, de forma tal que se logre direccionar correctamente
las iniciativas de TI, normalizar los procesos, crear sistemas orientados
a servicios y utilizar adecuadamente los recursos de las TI disponibles,
con planeación adecuada, aumento de la competitividad de la organiza-
34
ción, disminución de los costos y aumento de los recaudos, convirtiendo
a la TI en una aliada de los negocios de la organización.

Ejercicio de refuerzo: acciones para el gobierno de TI

Escenario 1
Una organización es formada a partir de la fusión de otras organizacio-
nes y posee infraestructura de TI operacional. En esta organización hay
un documento con los objetivos estratégicos del negocio aunque éste
no se ha divulgado, de modo que el área de TI no tiene conocimiento
de los objetivos estratégicos del negocio. Por eso, la organización posee
sistemas sectorizados, o sea, verticalizados, sin ninguna integración con
sus demás sectores.

Otro hecho importante es que la organización posee un área central

de TI, responsable de todos los servicios operacionales, pero algunas
direcciones poseen su propia área de TI, ocasionando varios problemas
de integración y, consecuentemente, desperdicio de recursos y falta de
objetividad para alcanzar los objetivos del negocio. Las áreas de TI des-
centralizadas en otras direcciones definen sus propios procesos para
las actividades y poseen sistemas, cultura y procedimientos diferentes.

Escenario 2
Determinada organización pasó mucho tiempo utilizando TI apenas
como una ventanilla de servicios (compra y mantenimiento de recursos
de TI y soporte a sistemas y servicios) en donde entran y salen pedidos
sin una alineación con el negocio, de modo que el sector de TI se con-
virtió en un área aislada de la organización.

Nuevas necesidades competitivas exigen que la TI esté alineada a los

negocios, permitiendo establecer diferenciales para los clientes internos
y externos de la organización. En este caso, la organización debe utilizar
el gobierno de TI como un orientador tecnológico enfocado en las nece-
sidades del negocio, estableciendo una nueva cultura de operación, con
nuevos procesos y procedimientos.

Escenario 3
Una organización posee un área de TI operacional, apenas trabajan-
do como soporte a servicios, desarrollo y mantenimiento de sistemas
departamentales, con un gran número de profesionales externos. La
organización no posee catálogo de servicio, no controla los servicios
prestados y no posee información estadística para ajustar los recursos
existentes en el área de TI. La organización posee un mapa de objetivos
35
 [Fundamento de Gobierno de TI]

estratégicos del negocio para los departamentos pero no existe una

alineación con el área de TI.

Los departamentos contratan servicios de desarrollo y mantenimiento

de sistemas para atender las demandas locales sin control por parte del
área de TI, ocasionando problemas de integración y de falta de disponi-
bilidad de información.

Con la información descrita anteriormente, ¿cuál debe ser el procedi-

miento para migrar el escenario de estas organizaciones buscando el
gobierno de TI?

Paso 1: entender claramente los objetivos del negocio de la organiza-

ción.
Paso 2:
Paso 3:
Paso 4:
Paso 5:
Paso 6:

Lo aprendido

»» Comprensión de los aspectos y procesos básicos que forman el

alcance del gobierno de TI.
»» Alineación entre los objetivos de la TI y los objetivos de negocio.
»» Desafíos enfrentados para la implantación del gobierno de TI.
»» Directrices del gobierno para la implantación del gobierno de TI.

36
37
 [Fundamento de Gobierno de TI]

Relación entre
gobierno de
TI y gobierno
Capítulo

02
corporativo

Presentar los principios fundamentales

Objetivos

del gobierno corporativo y su relación

con el gobierno de TI.
Formar conciencia acerca de la importan-
cia del alineamiento estratégico entre las
TI y los negocios.
Conceptos

Fundamentos de gobierno corporativo,

fundamentos de la Ley SOX, alineamien-
to estratégico.

38
Introducción
El gobierno corporativo es uno de los procesos fundamentales para el
desarrollo seguro de las organizaciones públicas y privadas, dado que:

»» Provee mayor control sobre la administración de las operacio-

nes de negocios.
»» Direcciona las inversiones necesarias para el mantenimiento del
equilibrio organizacional.
»» Ayuda a fortalecer las organizaciones.
»» Refuerza competencias para enfrentar nuevos niveles de com-
plejidad.
»» Amplía las bases estratégicas de la creación de valor.
»» Es factor de armonización de intereses al contribuir para que los
resultados corporativos se tornen menos volátiles.
»» Aumenta la confianza de los inversionistas en las organizacio-
nes privadas y la confianza de la sociedad en las organizaciones
públicas.
»» Fortalece el mercado de capitales y actúa como factor coadyu-
vante del crecimiento económico.

Gobierno: el acto de gobernar es el ejercicio de la autoridad, del control

y de la administración. Es la manera por la cual el poder es ejercido en
la administración de los recursos de una organización buscando planear,
formular e implementar políticas y cumplir funciones.

39
 [Fundamento de Gobierno de TI]

Figura 9.
Sistema de
gobierno
corporativo

Ejercicio de nivelación: implantación de gobierno de TI

Desde su punto de vista, ¿cómo está preparándose su organización para

implantar el gobierno de TI? Si ya está implantado, comparta informa-
ción sobre el proceso de implantación y los resultados alcanzados.

2.1 Fundamentos del gobierno corporativo

El gobierno corporativo es un conjunto de responsabilidades y prácticas
ejercidas por la dirección de las organizaciones públicas y privadas con
el objetivo de:

»» Proveer direccionamiento estratégico: las organizaciones po-

seen metas y objetivos establecidos, siendo necesario estable-
cer las estrategias necesarias para alcanzarlos.
»» Garantizar que los objetivos de la organización sean alcanza-
dos: definir los indicadores necesarios para monitorear el logro
de los objetivos, como indicadores financieros, sociales y de ca-
40 lidad.
 »» Garantizar que los riesgos de la organización sean administra-
dos adecuadamente: las inversiones y las nuevas oportunida-
des de negocios deben ser evaluados y los riesgos deben ser
previstos, con medidas para actuar en caso de la ocurrencia del
riesgo.
»» Garantizar que los recursos de la organización sean utilizados
con responsabilidad: todos los recursos, humanos, físicos, fi-
nancieros y lógicos deben ser utilizados con responsabilidad.

Es importante tener en mente que el gobierno corporativo es el medio

a través del cual las organizaciones son dirigidas y monitoreadas. Las
decisiones de la organización son responsabilidad del gobierno corpo-
rativo, proporcionando:

»» Transparencia en las operaciones financieras y de negocios:

las organizaciones deben mantener transparentes sus operacio-
nes de negocio con otras organizaciones, así como las inversio-
nes financieras asociadas a tales operaciones.
»» Precisión de las demonstraciones financieras: los informes fi-
nancieros como el Balance General, BG, y el estado de resulta-
dos, PYG, deben ser claros, precisos y fidedignos.

Balance general
Es el estado financiero de una organización u organización, en un mo-
mento de tiempo determinado.

Estado de resultados
Estado de resultados es el documento contable que muestra ordenada
y detallada las operaciones que ocurren en un periodo determinado y el
beneficio correspondiente.

El gobierno corporativo ha adquirido mayor importancia con los escán-

dalos ocurridos en los Estados Unidos en 2001 y 2002, en los que gran-
des organizaciones como Enron y WorldCom fueron acusadas de frau-
des contables y otras irregularidades, siendo declaradas sus quiebras.

Enron, gigante del sector de energía y la séptima mayor organización

de Estados Unidos, pidió concordato en diciembre de 2001, después de
haber sido objeto de una serie de denuncias de fraudes contables y
fiscales. Con una deuda de 13.000 millones de dólares, el grupo arras-
tró consigo a la firma auditora Arthur Andersen. WorldCom, segundo
mayor proveedor de servicios de telefonía de larga distancia y de datos
en los Estados Unidos, registró como inversiones (activos en su balance
41
 [Fundamento de Gobierno de TI]

patrimonial) lo que eran gastos (informe de resultados), distorsionando

significativamente los datos de sus cuentas. Después de los escándalos,
el gobierno americano implementó una legislación que aumentó consi-
derablemente la responsabilidad de la administración de las organiza-
ciones y consecuentemente del gobierno corporativo.

Se debe tener en mente que un gobierno corporativo adecuado propor-

ciona más credibilidad a las organizaciones, contribuyendo a aumentar
su valor y longevidad facilitando el acceso al capital. Eso significa que
las organizaciones necesitan definir sus “tomadores” de decisiones y los
procesos mediante los cuales las decisiones son tomadas. El gobierno
corporativo no vale para cualquier decisión adoptada en una compañía
ni para deliberaciones sin gran relevancia; sus prácticas son válidas para
decisiones importantes, de valor considerable para las organizaciones.

Existen varias publicaciones auxiliares para la implantación de un con-

junto de buenas prácticas de gobierno corporativo. En Colombia, me-
diante la Circular Externa 007 de febrero de 2011, la Superintendencia
Financiera de Colombia, modificó la Circular Externa 028 de 2007 sobre
la adopción del Código de Mejores Prácticas Corporativas de Colom-
bia-Código País-, para contribuir con la implantación de un modelo de
gobierno corporativo en las organizaciones colombianas. El gobierno
corporativo no debe ser asumido como un modismo, por el hecho de
poseer fundamentos sólidos, que deben ser definidos a partir de prin-
cipios éticos aplicados en la conducción de las operaciones del negocio,
tanto de organizaciones públicas como privadas.

De acuerdo con el G7 (grupo de las 30 naciones industriales más avan-

zadas del mundo), “el gobierno corporativo es uno de los más nuevos
e importantes pilares de la arquitectura económica global. También de
acuerdo con la Organización para Cooperación y Desarrollo Económico,
OCDE, “el gobierno corporativo es uno de los instrumentos determinan-
tes del desarrollo sostenible, en sus tres dimensiones: la económica, la
ambiental y la social”.

IBCG: institución Brasileña reconocida como la principal referencia en la

difusión de las mejores prácticas de gobierno en América Latina.

G7: grupo de los 7, es un grupo internacional que reúne los sietes paí-
ses más industrializados y desarrollados económicamente del mundo.
Estados Unidos, Japón, Alemania, Reino Unido, Francia, Italia y Canadá
(además de Rusia). Durante las reuniones, los dirigentes máximos de
cada Estado miembro discuten asuntos de alcance internacional.

42
OCDE: organización internacional de 31 países que aceptan los principios
de democracia representativa y de la economía de libre mercado. Sus
miembros poseen economías de alta rentabilidad con un elevado Índice
de Desarrollo Humano (IDH), siendo considerados países desarrollados.

Ejercicio de nivelación: ejemplo del gobierno corporativo

El Balance General, BG, y el estado de resultados, PYG, son documentos

que todas las organizaciones producen. Algunas organizaciones dejan
disponibles estos documentos en su página web. Haga una búsqueda
en internet para obtener un mejor conocimiento sobre estos dos docu-
mentos, registrando abajo sus impresiones.

2.2 Ley Sarbanes – Oxley (SOX)

Ley creada en 2002 por dos senadores americanos, como repuesta a
los fraudes financieros en Estados Unidos, que avalaron el mercado de
capitales, iniciados por las organizaciones Enron y WorldCom.

La Ley busca restablecer la confianza de los inversores, reforzando las

prácticas de gobierno corporativo presentes en todas las operaciones
que puedan afectar los informes financieros, de tal forma que los pro-
teja contra fraudes. Las organizaciones con acciones en la bolsa y sus
subsidiarias tienen, obligatoriamente, que adecuarse a las exigencias de
la Ley Sarbanes–Oxley (SOX).

La Ley SOX establece que todos los procedimientos financieros estén

documentados y que existan controles rígidos a las operaciones que
afectan los informes financieros. Además de eso, debe haber transpa-
rencia en las decisiones financieras y castigos severos para los principa-
les responsables de las organizaciones, en caso de irregularidades. La
Ley SOX convierte a los ejecutivos explícitamente en responsables por
establecer, evaluar y monitorear la eficacia de la estructura de controles
internos de las compañías.

La Ley está dividida en capítulos y secciones, siendo las secciones más

importantes para el gobierno corporativo las siguientes:

»» Sección 302: directores ejecutivos y directores financieros de-

ben declarar personalmente que son responsables por la divul-
43
 [Fundamento de Gobierno de TI]

gación de los informes financieros. Cada informe trimestral debe

contener la certificación de ejecución de todas las validaciones
referentes a los controles de informes financieros.

»» Sección 304: determina una evaluación anual de los controles

y procedimientos internos para la emisión de relatorías finan-
cieras. Además de eso, una auditoría externa debe emitir una
relatoría distinta que certifique la afirmación de la administra-
ción sobre la eficacia de los controles internos y de los procedi-
mientos ejecutados para la emisión de los informes financieros.

Es importante establecer el vínculo entre gobierno corporativo y la Ley

Sarbanes-Oxley, para demostrar que el efecto del gobierno corporativo
agrega valor y credibilidad a las organizaciones. Entender los conceptos
principales del gobierno corporativo es importante para que los profe-
sionales del área de TI puedan aplicar el gobierno de TI de forma ade-
cuada y eficiente.

2.3 Relación entre el gobierno de TI y el

gobierno corporativo
Como vimos, el gobierno de TI es una estructura de relaciones y proce-
sos para dirigir y controlar la organización, para que sus objetivos sean
alcanzados, adicionando valor al negocio y equilibrando los riesgos en
relación con el retorno de las actividades del sector de TI y sus procesos.

Figura 10.
Relación entre
gobierno
corporativo
y gobierno
de TI

44
 La relación entre los dos gobiernos debe ser constante, o sea, para cual-
quier cambio en la dirección de la organización debe existir un alinea-
miento con el área de TI. Como muestra la Figura 10 el gobierno de
TI está subordinado al gobierno corporativo. Siendo así, las acciones
Figura 11. deben estar alineadas con el gobierno corporativo, pues la eficiencia
Alineamiento operacional de la organización está directamente asociada al área de
entre el TI. Este concepto es conocido como el alineamiento entre el gobierno
gobierno corporativo y el gobierno de TI, representado en la siguiente figura.
corporativo
y el gobierno
de TI

La estrategia de negocios trata los siguientes puntos:

»» Alcance del negocio: determina el objetivo que pretende alcan-

zarse por la estrategia del negocio, como por ejemplo, disminuir
la cantidad de contribuyentes que no pagan impuestos.
»» Ventajas competitivas: determinan los diferenciales de la orga-
nización, con respecto a otras organizaciones, que hacen posi-
ble cumplir las determinaciones del alcance del negocio.
»» Gobierno de negocio: determinan como medir y controlar las
acciones asociadas al alcance del negocio y las ventajas com-
petitivas. Está asociado a la forma como los administradores
utilizan la información disponible para la toma de decisiones.

La estrategia de TI trata los siguientes temas:

»» Alcance de tecnología: determina las principales tecnologías de

soporte al alcance del negocio actual, así como las tecnologías
que brindan nuevas oportunidades, como la provisión de sis-
temas de información que hagan posible el acceso rápido a la
información necesaria para la toma de decisiones, por ejemplo.
»» Competencia sistémica: determina las características vitales y
puntos fuertes de TI que ofrecen ventajas a la organización para
45
 [Fundamento de Gobierno de TI]

que el alcance de tecnología sea conseguido, como por ejem-

plo, mantener altos índices de disponibilidad de los sistemas con
bajo tiempo de respuesta.
»» Gobierno de TI: determina como direccionar las acciones para
que los objetivos de la tecnología y de la competencia sisté-
mica sean conseguidos, como por ejemplo, creando indicadores
que demuestren como la TI está contribuyendo a conseguir los
objetivos del negocio.

¿Cómo las TI pueden ayudar a conseguir los objetivos estratégicos del

negocio?

La estrategia de TI debe estar alineada con las estrategias del negocio,

siendo definidas por el gobierno corporativo. Según la figura anterior, el
gobierno corporativo está asociado directamente con la estrategia de
negocio, que determina las acciones estratégicas que deben ser segui-
das.

La relación entre el gobierno corporativo y el gobierno de TI debe ser

constante. Las inversiones realizadas en TI deben estar orientadas hacia
el alcance de los objetivos de la organización, sea pública o privada. Un
error recurrente en las organizaciones es que el área de tecnología ca-
mina de modo independiente al área del negocio, o viceversa, causando
problemas en muchas ocasiones irrecuperables.

Ejercicio de refuerzo: definiendo las estrategias de

negocios y de TI

Una alcaldía decide aumentar su recaudo e invertir en obras de mejora

para la población. En este contexto determine:

Para la estrategia de negocios:

Alcance del negocio:
Ventajas competitivas:
Gobierno del negocio:

Para la estrategia de TI:

Alcance de tecnología:
Competencia sistémica:
Gobierno de TI:

46
 2.4 Alineamiento estratégico
La planeación estratégica de una organización es una composición:

»» De los objetivos.
»» De las estrategias mediante las cuales la organización alcanzará
sus objetivos.
»» Del ambiente en el que la organización pretende operar, de las
tecnologías utilizadas y del grado de interacción entre las áreas
internas.

El principal objetivo del gobierno de TI en relación con el alineamiento

estratégico (definido por el gobierno corporativo) debe ser el de coordi-
nar y aplicar los recursos tecnológicos de forma que atienda, de la mejor
manera posible, la planeación establecida por el gobierno corporativo.

Los objetivos y las estrategias del gobierno de TI deben estar integrados

y alineados con la planeación estratégica de la organización. Siendo así,
el área de tecnología es capaz de determinar las priorizaciones nece-
sarias entre varios proyectos de TI, haciendo posible el alcance de las
metas establecidas por el gobierno corporativo. La integración de las
estrategias tecnológicas y de los negocios puede ser gráficamente re-
presentada en la siguiente figura.

Figura 12.
Planeación
estratégica
de negocios

47
 [Fundamento de Gobierno de TI]

En la parte superior está representada la planeación estratégica de

negocios, definida en el gobierno corporativo, que esencialmente se
desagrega en los objetivos y estrategias de varias áreas internas de
la organización. La planeación de los sistemas de información y de su
tecnología es subsidiada por la definición de los objetivos y de las estra-
tegias de la organización, desdoblados en las estrategias de TI definidas
por el gobierno de TI. La información es brindada por los sistemas de
información y soportada por la infraestructura y gestión tecnológica.

Las estrategias son desarrolladas buscando calidad, productividad y

efectividad en la atención de las necesidades de la administración de la
organización, adecuándose a una política de costos controlados, cum-
plimiento de plazos predefinidos y atención a las soluciones, cambios
y evoluciones de las tecnologías disponibles en el mercado. A su vez,
los objetivos estratégicos son fragmentados en objetivos operacionali-
zados por los procesos del negocio. La Figura 13 representa la relación
entre los procesos del negocio que son soportados por los recursos de
TI y operacionalizados por los procesos de TI.

Es posible observar una fuerte relación entre los recursos y los procesos
de TI, determinados en el gobierno de TI y, los procesos y objetivos de
negocios, determinados por el gobierno corporativo. Una falla en esta
cadena puede causar un serio impacto de los negocios, sea en una or-
ganización pública o privada.

Figura 13.
Procesos de
negocios y TI
48
Ejercicio de refuerzo: alineamiento estratégico

Para entender mejor el alineamiento estratégico es necesario determi-

nar cómo las TI soportarán el negocio por medio de un objetivo especí-
fico, recursos y procesos. Siendo así, a partir del mismo contexto abor-
dado en el ejercicio de refuerzo (anterior): definiendo las estrategias
de negocios de TI, determine cómo realizar un alineamiento entre TI y
negocios relacionado con el aumento del recaudo en un municipio, con
base en los siguientes puntos:

»» Proceso de negocio
»» Objetivos de TI
»» Recursos de TI
»» Procesos de TI

2.5 Influencias del gobierno corporativo en las

inversiones de TI
Las inversiones en tecnología de la información son determinantes para
que una organización alcance sus objetivos de negocio. Tomando como
base una organización del sector público o privado, uno de los objetivos
financieros sería “gerenciar y optimizar las inversiones y gastos con TI”.

La gerencia y la optimización de las inversiones y gastos con TI re-

presentan un objetivo válido para organizaciones públicas y privadas,
aunque con significados diferentes. Para una organización privada, este
objetivo puede expresarse en el aumento de la rentabilidad de los ac-
cionistas y consecuentemente del margen de lucro, generando mayor
eficiencia operacional.

Para una organización pública, que no busca el lucro y no posee ac-

cionistas, este objetivo puede significar mayor eficiencia operacional y
un uso más eficiente de la tecnología, reduciendo el gasto público. De
cualquier forma, los dos tipos de organización tienen que realizar inver-
siones en TI que aseguren el cumplimiento de los objetivos del negocio,
con eficiencia y calidad. Entonces, ¿cómo invertir adecuadamente?

Uno de los problemas básicos enfrentado por las organizaciones está

relacionado con la capacidad del área de tecnología para soportar las
actividades relacionadas con el negocio. Para que las inversiones sean
realizadas de manera adecuada, es necesario un proceso de realimen-
49
 [Fundamento de Gobierno de TI]

tación entre el área de negocios y de TI. Una estrategia que puede ser
adoptada y que ha sido realizada por diversas organizaciones, es definir
un proceso de monitoreo de los negocios, asociado con el área de tec-
nología.

Figura 14.
Monitoreo de
los negocios

La gerencia del negocio monitorea todas las operaciones de negocio con

el fin de gerenciar los impactos originados por el desempeño y la dis-
ponibilidad de las operaciones. El desempeño y la disponibilidad están
asociados directamente con la infraestructura tecnológica. De la misma
forma, el gobierno de TI monitorea toda la infraestructura tecnológica
asociada con la cantidad de operaciones realizadas por el negocio. Eso
significa que si existe un aumento en la cantidad de operaciones del ne-
gocio, el monitoreo realizado por el área de TI conseguirá identificarlo y
prever la necesidad de incrementar la capacidad de infraestructura para
soportar el crecimiento en el volumen de las operaciones del negocio.

La gerencia del negocio y de TI garantiza que los cambios en las ope-

raciones del negocio sean comunicados al área de tecnología y que
los cambios y necesidades de tecnología sean comunicados al área de
negocio. La adopción de procesos e indicadores de esta naturaleza ga-
rantiza una inversión más adecuada en el área de TI. De esta forma,
ella no tendrá una capacidad mayor a su necesidad real (generando
50
ociosidad e inversión innecesaria) ni capacidad inferior a la requerida
(comprometiendo el negocio). La inversión debe ser realizada conside-
rando el alineamiento entre las áreas de negocios y de TI, garantizando
el gobierno corporativo, quien determina la línea que debe seguirse y el
volumen de recursos a invertir.

Lo aprendido

»» La importancia del gobierno de TI para el gobierno corporativo.

»» Cómo la Ley SOX influye en las decisiones del gobierno corpo-
rativo y de TI.
»» Cómo alinear los objetivos de TI a los objetivos de negocio de
una organización.
»» Cómo determinar:
• Objetivo de negocio
• Objetivo de tecnología
• Recursos de TI
• Procesos de TI

51
 [Fundamento de Gobierno de TI]

Visión
general de la
implantación del
Capítulo
gobierno de TI

03
con CobiT
Objetivos

Presentar los fundamentos básicos de la

implantación de gobierno de TI con CobiT
5.
Conceptos

Visión general y requisitos de implanta-

ción de gobierno de TI con el CobiT 5.

52
Introducción
En la búsqueda de la realización de un buen gobierno de TI, las organi-
zaciones se apoyan en herramientas que orienten las acciones para la
obtención de resultados de mejora de los procesos de tecnología, así
como en la adecuación de una infraestructura tecnológica que dé sus-
tentabilidad a los objetivos del negocio de la organización.

El mercado ofrece una serie de herramientas para ayudar en la cons-

trucción del gobierno de TI, entre ellas se destaca el CobiT.

CobiT 5, es una herramienta que apoya también la auditoría del área de

tecnología, brindando un diagnóstico de cuánto el área de tecnología
está atendiendo adecuadamente sus funciones y requisitos, en alinea-
ción con los objetivos del negocio.

3.1 Visión general del CobiT 5

El CobiT significa «Control Objectives for Information and Related Te-
chnology». Es una herramienta enfocada al gobierno de TI, creada y
mantenida por la Information Systems Audit and Control Association,
ISACA, que atiende los requisitos de control y auditoría de TI. Actual-
mente están disponibles las versiones 4.1 y 5. ISACA brinda un reposi-
torio de conocimiento para los asociados y mantiene el IT Governance
Institute, ITGI.

Links:
»» ISACA: www.isaca.org
»» ITGI: www.itgi.org

El CobiT 5 es el único marco de negocio para el gobierno y la gestión de

las TI de la organización. CobiT 5 ayuda a maximizar el valor de la infor-
mación mediante la incorporación de las últimas ideas en la gobernanza
empresarial y técnicas de gestión, y proporciona principios globalmente
53
 [Fundamento de Gobierno de TI]

aceptados, prácticas, herramientas analíticas y modelos para ayudar a

aumentar la confianza en los sistemas de valor e información.

3.2 Marco del CobiT54

El CobiT 5 contribuye a:

»» Crear un valor óptimo a partir de la TI, al mantener un equilibrio

entre la realización de beneficios y la optimización de los niveles
de riesgo y utilización de los recursos.
»» Permite que las tecnologías de la información se gobiernen y
administren de una manera holística a nivel de toda la organi-
zación, incluyendo el alcance completo de todas las áreas de
responsabilidad funcionales y de negocios, considerando los in-
tereses relacionados con la TI de las partes interesadas: interna
y externa.
»» Los principios (cinco) y habilitadores (siete) de CobiT 5 son ge-
néricos y útiles para las organizaciones de cualquier tamaño,
bien sean comerciales, sin fines de lucro o en el sector público.

3.3 Principios del CobiT5 4

El CobiT4 se base en cinco principios, los cuales serán profundizados en
el documento “Fundamentos de CobiT4”

1. Satisfacer las necesidades de las partes interesadas

2. Cubrir la organización de forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holístico
5. Separar el gobierno de la gestión

3.4 Principios de gobierno y gerenciamiento

El marco de CobiT4 realiza una clara distinción entre gobierno y gestión.
Estas dos disciplinas engloban diferentes tipos de actividades, requieren
estructuras organizativas diferentes y sirven para diferentes propósitos.
(Ver Figura 15)

La posición de CobiT4 sobre esta fundamental distinción entre gobierno

y gestión es:
54
4 Información tomada de HYPERLINK “http://www.isaca.org” www.isaca.org
 Gobierno

El gobierno asegura que se evalúan las necesidades, condiciones y op-

ciones de las partes interesadas para determinar que se alcanzan las
metas corporativas equilibradas y acordadas; estableciendo la dirección
a través de la priorización y la toma de decisiones; y midiendo el ren-
dimiento y el cumplimiento respecto a la dirección y metas acordadas.
En la mayoría de las organizaciones, el gobierno es responsabilidad del
consejo de administración bajo la dirección de su presidente.

Gestión

La gestión planifica, construye, ejecuta y controla actividades alineadas

con la dirección establecida por el cuerpo de gobierno para alcanzar las
metas empresariales. En la mayoría de las organizaciones, la gestión es
responsabilidad de la dirección ejecutiva bajo la dirección del CEO.

Figura 15
Proceso de
gobierno y
gerenciamiento

Fuente: tomado de CobiT 5 InfoSec- Spanish

55
 [Fundamento de Gobierno de TI]

Ejercicio de refuerzo - definición de proceso

¿Cuál es su conocimiento sobre procesos de TI y procesos de negocio?

3.5 Dominios y procesos del CobiT 5

Las siguientes tablas muestran el detalle de los procesos relacionados
con los siguientes dominios: Evaluar, Orientar y Supervisar, EDM, Ali-
near, Planear y Organizar, APO, Construir, Adquirir e Implementar, BAI,
Entregar, Dar Soporte y Dar Servicio, DSS y Supervisar, Evaluar y Valorar,
MEA.

3.5.1 Procesos del dominio Evaluar, Orientar y Supervisar,

EDM

»» EDM01. Asegurar el establecimiento y mantenimiento del

marco de referencia de gobierno. Analizar y articular los re-
querimientos para el gobierno de las TI de la organización y
pone en marcha y mantiene efectivas las estructuras, procesos
y prácticas facilitadoras, con claridad de las responsabilidades y
la autoridad para alcanzar la misión, las metas y objetivos de la
organización
»» EDM02. Asegurar la entrega de beneficios. Optimizar la contri-
bución al valor del negocio desde los procesos de negocio, de
los servicios TI y activos de las TI resultado de la inversión hecha
por TI a unos costos aceptables
»» EDM03. Asegurar la optimización del riesgo. Asegurar que el
apetito y la tolerancia al riesgo de la organización son entendi-
dos, articulados y comunicados y que el riesgo para el valor de
la organización relacionado con el uso de las TI es identificado
y gestionado.
»» EDM04. Asegurar la optimización de recursos. Asegurar que
las adecuadas y suficientes capacidades relacionadas con las TI
(personas, procesos y tecnologías) están disponibles para so-
portar eficazmente los objetivos de la organización a un costo
óptimo.
»» EDM05. Asegurar la transparencia hacia las partes interesa-
das. Asegurar que la medición y la elaboración de informes en
cuanto a conformidad y desempeño de las TI de la organización
son transparentes, con aprobación por las partes interesadas
56 de las metas, las métricas y las acciones correctivas necesarias.
 Tabla 3. Evaluar, Orientar y Supervisar

Dominio
Evaluar, Orientar y Supervisar, EDM
Procesos
EDM01 Asegurar el establecimiento y mantenimiento del marco de
referencia de gobierno
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la optimización del riesgo
EDM04 Asegurar la optimización de recursos
EDM05 Asegurar la transparencia hacia las partes interesadas

3.5.2 Procesos del dominio Alinear, planificar y organizar,

APO

»» APO01. Gestionar el marco de gestión de las TI. Aclarar y man-

tener el gobierno de la misión y la visión corporativa de las TI.
Implementar y mantener mecanismos y autoridades para la
gestión de la información y el uso de las TI en la organización,
para apoyar los objetivos de gobierno en consonancia con las
políticas y los principios rectores.
»» APO02. Gestionar la estrategia. Proporcionar una visión holís-
tica del negocio actual y del entorno de TI, la dirección futura, y
las iniciativas necesarias para migrar al entorno deseado. Apro-
vechar los bloques y componentes de la estructura empresarial,
incluyendo los servicios externalizados y las capacidades rela-
cionadas que permitan una respuesta ágil, confiable y eficiente
a los objetivos estratégicos.
»» APO03. Gestionar la arquitectura empresarial. Establecer una
arquitectura común compuesta por los procesos de negocio, la
información, los datos, las aplicaciones y las capas de la arqui-
tectura tecnológica de manera eficaz y eficiente para la realiza-
ción de las estrategias de la organización y de las TI, mediante
la creación de modelos clave y prácticas que describan las líneas
de partida y las arquitecturas objetivo. Definir los requisitos para
la taxonomía, las normas, las directrices, los procedimientos, las
plantillas y las herramientas y proporcionar un vínculo para es-
tos componentes. Mejorar la adecuación, aumentar la agilidad,
mejorar la calidad de la información y generar ahorros de costos
potenciales mediante iniciativas tales como la reutilización de
bloques de componentes para los procesos de construcción.

57
 [Fundamento de Gobierno de TI]

»» APO04. Gestionar la innovación. Mantener un conocimiento de

la tecnología de la información y las tendencias relacionadas con
el servicio, identificar las oportunidades de innovación y planifi-
car la manera de beneficiarse de la innovación en relación con
las necesidades del negocio. Analizar cuáles son las oportunida-
des para la innovación empresarial o qué mejora puede crearse
con las nuevas tecnologías, servicios o innovaciones empresa-
riales facilitadas por TI, así como a través de las tecnologías ya
existentes y por la innovación en procesos empresariales y de
las TI. Influir en la planificación estratégica y en las decisiones
de la arquitectura de organización.
»» APO05. Gestionar el portafolio. Ejecutar el conjunto de direc-
ciones estratégicas para la inversión alineada con la visión de
la arquitectura empresarial, las características deseadas de in-
versión, los portafolios de servicios relacionados, considerar las
diferentes categorías de inversión y recursos y las restricciones
de financiación.
»» APO06 Gestionar el presupuesto y los costos. Gestionar las ac-
tividades financieras relacionadas con las TI tanto en el negocio
como en las funciones de las TI, abarcando presupuesto, costo
y gestión del beneficio, y la priorización del gasto mediante el
uso de prácticas presupuestarias formales y un sistema justo y
equitativo de reparto de costos a la organización. Consultar a las
partes interesadas para identificar y controlar los costos totales
y los beneficios en el contexto de los planes estratégicos y tácti-
cos de las TI, e iniciar acciones correctivas cuando sea necesario.
»» APO07 Gestionar los recursos humanos. Proporcionar un en-
foque estructurado para garantizar una óptima estructuración,
ubicación, capacidades de decisión y habilidades de los recur-
sos humanos. Esto incluye la comunicación de las funciones y
responsabilidades definidas, la formación y planes de desarro-
llo personal y las expectativas de desempeño, con el apoyo de
gente competente y motivada.
»» AP008 Gestionar las relaciones. Gestionar las relaciones entre
el negocio y TI de modo formal y transparente, enfocándolas
hacia el objetivo común de obtener resultados empresariales
exitosos, apoyando los objetivos estratégicos y dentro de las
restricciones del presupuesto y los riesgos tolerables. Basar la
relación en la confianza mutua, usando términos entendibles,
lenguaje común y voluntad de asumir la propiedad y responsa-
bilidad en las decisiones claves.
»» AP009 Gestionar los acuerdos de servicio. Alinear los servicios
basados en TI y los niveles de servicio con las necesidades y
expectativas de la organización, incluyendo identificación, es-
pecificación, diseño, publicación, acuerdo y supervisión de los
58 servicios TI, niveles de servicio e indicadores de rendimiento.
 »» APO10 Gestionar los proveedores. Administrar todos los ser-
vicios de las TI prestados por todo tipo de proveedores para
satisfacer las necesidades del negocio, incluyendo la selección
de los proveedores, la gestión de las relaciones, la gestión de
los contratos y la revisión y supervisión del desempeño, para
una eficacia y cumplimiento adecuados
»» APO11 Gestionar la calidad. Definir y comunicar los requisitos
de calidad en todos los procesos, procedimientos y resultados
relacionados de la organización, incluyendo controles, vigilancia
constante y el uso de prácticas probadas y estándares de mejo-
ra continua y esfuerzos de eficiencia.
»» APO12 Gestionar el riesgo. Identificar, evaluar y reducir los ries-
gos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecidos por la dirección ejecutiva de la organi-
zación.
»» APO13 Gestionar la seguridad. Definir, operar y supervisar un
sistema para la gestión de la seguridad de la información.

Tabla 4. Alinear, planificar y organizar

Dominio
Alinear, planificar y organizar, APO
Procesos
APO01 Gestionar el marco de gestión de las TI.
APO02 Gestionar la estrategia.
APO03 Gestionar la arquitectura empresarial.
APO04 Gestionar la innovación.
APO05 Gestionar el portafolio.
APO06 Gestionar el presupuesto y los costos.
APO07 Gestionar los recursos humanos.
APO08 Gestionar las relaciones.
APO09 Gestionar los acuerdos de servicio.
APO10 Gestionar los proveedores.
APO11 Gestionar la calidad.
APO12 Gestionar el riesgo.
APO13 Gestionar la seguridad.

59
 [Fundamento de Gobierno de TI]

3.5.3 Procesos del dominio: Construir, Adquirir e

Implementar, BAI

»» BAI01 Gestión de programas y proyectos. Gestionar todos los

programas y proyectos del portafolio de inversiones de forma
coordinada y en línea con la estrategia corporativa. Iniciar, plani-
ficar, controlar y ejecutar programas y proyectos y cerrarlos con
una revisión post-implementación.
»» BAI02 Gestionar la definición de requisitos. Identificar solucio-
nes y analizar requerimientos antes de la adquisición o crea-
ción para asegurar que estén en línea con los requerimientos
estratégicos de la organización y que cubren los procesos de
negocios, aplicaciones, información/datos, infraestructura y ser-
vicios. Coordinar con las partes interesadas afectadas la revisión
de las opciones viables, incluyendo costos y beneficios relacio-
nados, análisis de riesgo y aprobación de los requerimientos y
soluciones propuestas.
»» BAI03 Gestionar la identificación y construcción de soluciones.
Establecer y mantener soluciones identificadas en línea con los
requerimientos de la organización que abarcan el diseño, de-
sarrollo, compras/contratación y asociación con proveedores/
fabricantes. Gestionar la configuración, preparación de pruebas,
realización de pruebas, gestión de requerimientos y manteni-
miento de procesos de negocio, aplicaciones, datos/informa-
ción, infraestructura y servicios.
»» BAI04 Gestionar la disponibilidad y la capacidad. Equilibrar las
necesidades actuales y futuras de disponibilidad, rendimiento y
capacidad con una provisión de servicio efectiva en costos. In-
cluye la evaluación de las capacidades actuales, la previsión de
necesidades futuras basadas en los requerimientos del negocio,
el análisis del impacto en el negocio y la evaluación del riesgo
para planificar e implementar acciones para alcanzar los reque-
rimientos identificados.
»» BAI05 Gestionar la facilitación del cambio organizativo. Maxi-
mizar la probabilidad de la implementación exitosa en toda la
organización del cambio organizativo de forma rápida y con
riesgo reducido, cubriendo el ciclo de vida completo del cambio
y todos las partes interesadas del negocio y de las TI.
»» BAI06 Gestionar los cambios. Gestionar todos los cambios de
una forma controlada, incluyendo cambios estándar y de man-
tenimiento de emergencia en relación con los procesos de
negocio, aplicaciones e infraestructura. Esto incluye normas y
procedimientos de cambio, análisis de impacto, priorización y
autorización, cambios de emergencia, seguimiento, reporte, cie-
rre y documentación.
60
»» BAI07 Gestionar la aceptación del cambio y la transición.
Aceptar formalmente y hacer operativas las nuevas soluciones,
incluyendo la planificación de la implementación, la conversión
de los datos y los sistemas, las pruebas de aceptación, la comu-
nicación, la preparación del lanzamiento, el paso a producción
de procesos de negocio o servicios TI nuevos o modificados,
el soporte temprano en producción y una revisión post-imple-
mentación.
»» BAI08 Gestionar el conocimiento. Mantener la disponibilidad
de conocimiento relevante, actual, validado y fiable para dar so-
porte a todas las actividades de los procesos y facilitar la toma
de decisiones. Planificar la identificación, recopilación, organiza-
ción, mantenimiento, uso y retirada de conocimiento.
»» BAI09 Gestionar los activos. Gestionar los activos de las TI a
través de su ciclo de vida para asegurar que su uso aporta va-
lor a un costo óptimo, que se mantendrán en funcionamiento
(acorde a los objetivos), que están justificados y protegidos físi-
camente, y que los activos que son fundamentales para apoyar
la capacidad del servicio son fiables y están disponibles. Admi-
nistrar las licencias de software para asegurar que se adquiere
el número óptimo, se mantienen y despliegan en relación con
el uso necesario para el negocio y que el software instalado
cumple con los acuerdos de licencia.
»» BAI10 Gestionar la configuración. Definir y mantener las defini-
ciones y relaciones entre los principales recursos y capacidades
necesarias para la prestación de los servicios proporcionados
por TI, incluyendo la recopilación de información de configura-
ción, el establecimiento de líneas de referencia, la verificación
y auditoría de la información de configuración y la actualización
del repositorio de configuración.

61
 [Fundamento de Gobierno de TI]

Tabla 5. Construir, Adquirir e Implementar

Dominio
Construir, Adquirir e Implementar, BAI
Procesos
BAI01 Gestionar programas y proyectos.
BAI02 Gestionar la definición de requisitos.
BAI03 Gestionar la identificación y construcción de soluciones.
BAI04 Gestionar la disponibilidad y la capacidad.
BAI05 Gestionar la introducción del cambio organizativo.
BAI06 Gestionar los cambios.
BAI07 Gestionar la aceptación del cambio y la transición.
BAI08 Gestionar el conocimiento.
BAI09 Gestionar los activos.
BAI10 Gestionar la configuración.

3.5.4 Procesos del dominio de Entregar, Dar Soporte y

Dar Servicio, DSS

»» DSS01 Gestionar operaciones. Coordinar y ejecutar las activida-

des y los procedimientos operativos requeridos para entregar
servicios de las TI tanto internos como externalizados, incluyen-
do la ejecución de procedimientos operativos estándar predefi-
nidos y las actividades de monitorización requeridas.
»» DSS02 Gestionar peticiones e incidentes de servicio. Proveer
una respuesta oportuna y efectiva a las peticiones de usuario
y la resolución de todo tipo de incidentes. Recuperar el servicio
normal; registrar y completar las peticiones de usuario; y regis-
trar, investigar, diagnosticar, escalar y resolver incidentes.
»» DSS03 Gestionar problemas. Identificar y clasificar problemas y
sus causas raíz y proporcionar resolución en tiempo para pre-
venir incidentes recurrentes. Proporcionar recomendaciones de
mejora.
»» DSS04 Gestionar la continuidad. Establecer y mantener un plan
para permitir al negocio y a TI responder a incidentes e interrup-
ciones de servicio para la operación continua de los procesos
críticos para el negocio y los servicios TI requeridos y mantener
la disponibilidad de la información a un nivel aceptable para la
organización.
»» DSS05 - Gestionar servicios de seguridad. Proteger la infor-
mación de la organización para mantener aceptable el nivel de
riesgo de seguridad de la información de acuerdo con la política
62
 de seguridad. Establecer y mantener los roles de seguridad y
privilegios de acceso de la información y realizar la supervisión
de la seguridad.
»» DSS06 - Gestionar controles de procesos de negocio. Definir
y mantener controles apropiados de proceso de negocio para
asegurar que la información relacionada y procesada dentro de
la organización o de forma externa satisface todos los requeri-
mientos relevantes para el control de la información. Identificar
los requisitos de control de la información y gestionar y operar
los controles adecuados para asegurar que la información y su
procesamiento satisfacen estos requerimientos.

Tabla 6. Entregar, Dar Soporte y Dar Servicio

Dominio
Entregar, Dar Soporte y Dar Servicio, DSS
Procesos
DSS01 Gestionar operaciones.
DSS02 Gestionar peticiones e incidentes de servicio.
DSS03 Gestionar problemas.
DSS04 Gestionar la continuidad.
DSS05 Gestionar servicios de seguridad.
DSS06 Gestionar controles de procesos de negocio.

3.5.5 Procesos del dominio de Supervisar, Evaluar y

Valorar, MEA

»» MEA01 - Supervisar, evaluar y valorar el rendimiento y la con-

formidad. Recolectar, validar y evaluar las métricas y objetivos
de negocio de las TI y de procesos. Supervisar que los procesos
se están realizando según el rendimiento acordado y conforme
a los objetivos y métricas y se proporcionan informes de forma
sistemática y planificada.
»» MEA02 - Supervisar, evaluar y valorar el sistema de control
interno. Supervisar y evaluar de forma continua el entorno de
control, incluyendo tanto autoevaluaciones como revisiones ex-
ternas independientes. Facilitar a la dirección la identificación de
deficiencias e ineficiencias en el control y el inicio de acciones
de mejora. Planificar, organizar y mantener normas para la eva-
luación del control interno y las actividades de aseguramiento.
63
 [Fundamento de Gobierno de TI]

»» MEA03. Supervisar, evaluar y valorar la conformidad con los

requerimientos externos. Evaluar el cumplimiento de requisitos
regulatorios y contractuales tanto en los procesos de las TI como
en los procesos de negocio dependientes de las tecnologías de
la información. Obtener garantías de que se han identificado, se
cumple con los requisitos y se ha integrado el cumplimiento de
las TI en el cumplimiento de la organización general.

Tabla 7. Supervisar, Evaluar y Valorar

Dominio
Supervisar, Evaluar y Valorar, MEA
MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
MEA02 Supervisar, evaluar y valorar el sistema de control interno.
MEA03 Supervisar, evaluar y valorar la conformidad con los requeri-
mientos externos.

Ejercicio de refuerzo - trabajando con los procesos de

CobiT

En una organización, después de una auditoría, se constató que:

* El área de TI, en virtud de la falta de planeación y de alineamiento

de soporte a las estrategias, actúa en posición reactiva, resolviendo los
diversos problemas que surgen en todo momento y atendiendo las ne-
cesidades de sus clientes, siempre clasificadas como emergencias.

*No existen políticas, normas, procesos ni procedimientos definidos

para las actividades operacionales y de gestión de TI. Las actividades
del área están en un estado en donde los procedimientos y las tareas
son ejecutadas por los profesionales, cada cual contribuyendo con tales
actividades con el conocimiento personal, pero sin una acción estanda-
rizada y controlada. Por tal motivo, la responsabilidad por el éxito o no
en las acciones es del individuo que las ejecuta.

*No existe un “catálogo de servicios”, siendo que las solicitudes son

atendidas por la mesa de ayuda.

Utilizando los conocimientos adquiridos hasta aquí, ¿cuáles serían los

procesos de CobiT utilizados para ayudar a modificar este escenario?
Determine el motivo de selección de cada proceso.
64
 Tabla 8. Ejemplo procesos de CobiT

Procesos Justificación
EDM

3.6 CobiT 5. Implementación

CobiT 5 cuenta con una guía completa de implementación en la que se
resaltan los siguientes aspectos

»» Posicionamiento del Gobierno de IT en la organización, GEIT.

»» Adopción de los primeros pasos para mejorar GEIT.
• Factores de éxito y retos para la implementación.
• Habilitación del cambio de comportamiento y organizacio-
nal relacionado con el GEIT.
• Implementación de una mejora continua que incluye la ha-
bilitación del cambio y la gestión del programa.
• Uso de CobiT 5 y sus componentes.

65
 [Fundamento de Gobierno de TI]

Figura 16.
Implementación
del CobiT 5

Fuente: tomado de CobiT 5 InfoSec- Spanish

3.7 El modelo de capacidad de los procesos de

CobiT 5
El conjunto de productos de CobiT 5 incluye un modelo de capacidad de
procesos, basado en la norma internacionalmente reconocida ISO/IEC
15504 de Ingeniería de Software -Evaluación de Procesos. Este modelo
alcanzará los mismos objetivos generales de evaluación de procesos y
apoyo a la mejora de procesos, es decir, que proporcionará un medio
para medir el desempeño de cualquiera de los procesos de gobierno
(basado en EDM) o de gestión (basado en PBRM), y permitirá identificar
áreas de mejora.

Sin embargo, el nuevo modelo es diferente del modelo de madurez de

66 CobiT 4.1 en su diseño y uso.
Figura 17. Fuente: tomado de CobiT 5 framework Spanish (figura 19 página 42)
Resumen
del modelo
capacidad
de procesos
de CobiT 5

Existen seis niveles de capacidad que se pueden alcanzar por un pro-

ceso, incluida la designación de “proceso incompleto”, si las prácticas
definidas en el proceso no alcanzan la finalidad prevista:

»» 0 Proceso incompleto: El proceso no está implementado o no

alcanza su propósito. A este nivel, hay muy poca o ninguna evi-
dencia de ningún logro sistemático del propósito del proceso.
»» 1 Proceso ejecutado (un atributo): El proceso implementado al-
canza su propósito.
»» 2 Proceso gestionado (dos atributos): El proceso ejecutado
descrito anteriormente está ya implementado de forma ges-
tionada (planificado, supervisado y ajustado) y los resultados
de su ejecución están establecidos, controlados y mantenidos
apropiadamente.
»» 3 Proceso establecido (dos atributos): El proceso gestionado
descrito anteriormente está ahora implementado usando un
proceso definido que es capaz de alcanzar sus resultados de
proceso.
»» 4 Proceso predecible (dos atributos): El proceso establecido
descrito anteriormente ahora se ejecuta dentro de límites defi-
nidos para alcanzar sus resultados de proceso.
»» 5 Proceso optimizado (dos atributos): El proceso predecible
descrito anteriormente es mejorado de forma continua para
cumplir con las metas empresariales presentes y futuros.
67
 [Fundamento de Gobierno de TI]

Herramientas de
Capítulo
implantación de

04
gobierno de TI

Presentar una visión general de las he-

rramientas complementarias al CobiT 4.1
Objetivos

en la construcción del gobierno de TI y la

estructura básica de las herramientas ITIL
V3, ISO 20000, ISO 38000 y Val IT.

Visión general de ITIL, visión general de la

Conceptos

implantación de gobierno de TI con ITIL,

visión general de ISO 20000, relación en-
tre ITIL, ISO 20000 y CobiT, visión general
de la norma ISO 38500, relación entre ISO
38500 y CobiT, visión general de Val IT.

68
Introducción
Como vimos, el mercado ofrece una serie de herramientas para ayudar
en la construcción del gobierno de TI. Además de CobiT, otras cuatro
herramientas ayudan a las organizaciones a prepararse para el gobierno
de TI.

»» ITIL – herramienta que ayuda al área de TI a administrar mejor

los asuntos de tecnología, estableciendo un conjunto de prácti-
cas y procesos para la gerencia de los servicios de TI.
»» ISO 20000 – la ISO 20000 es la primera norma que trata los
asuntos relativos a la gerencia de servicios de TI, siendo un con-
junto de mejores prácticas compatibles con ITIL.
»» ISO 38500 – la ISO 38500 es la primera norma que direcciona
las organizaciones a implantar el gobierno de TI, basado funda-
mentalmente en CobiT.
»» Val IT - estructura de procesos que ayuda a las organizaciones
en la priorización de las inversiones en TI, así como en la eva-
luación del retorno que trae para el negocio.

Los próximos tópicos brindarán una visión específica de cada una de las
herramientas mencionadas.

Ejercicio de nivelación - gerencia de servicios de TI

Las áreas de TI de las organizaciones se están estructurando para im-

plantar procesos y herramientas que soporten la gerencia de servicios
de TI. ¿Cuál es su conocimiento sobre gerencia de servicios de TI?

69
 [Fundamento de Gobierno de TI]

4.1 Visión general de ITIL

ITIL es un conjunto de mejores prácticas para la gerencia de servicios de
TI, organizadas en la forma de una librería. El principal objetivo de ITIL
es establecer un puente entre el negocio y la tecnología por medio del
mejoramiento continuo de los procesos de planeación, implementación
y soporte de servicios de TI.

La arquitectura central de ITIL está basada en el ciclo de vida de servicio,

que enfatiza la importancia de la coordinación y control por medio de
varias funciones, procesos y sistemas necesarios para el gerenciamien-
to del ciclo de vida de los servicios de TI.

ITIL tiene la visión de que las acciones derivadas del área de TI están
fundamentadas en los servicios de TI. Estos, a su vez, deben ser defi-
nidos con el propósito de atender los requisitos de los negocios de la
organización. La figura 18 muestra el ciclo de vida de servicios.

Figura 18.
Ciclo de vida
de servicios

70
Dados los requisitos del negocio del cliente, el ciclo es iniciado. De acuer-
do con los requisitos del negocio, son definidas las especificaciones del
servicio. Brindadas las especificaciones, el proyecto del servicio es ela-
borado de acuerdo con el proyecto y es desarrollado el servicio. Durante
el proceso de desarrollo pueden ocurrir revisiones de especificación;
terminado el desarrollo, el servicio se entrega. Una vez entregado, el
servicio es puesto en operación; allí, son identificadas las oportunidades
para su optimización. Eventualmente, optimizaciones pueden generar
nuevas especificaciones para la revisión del servicio. Este puede ser
retirado de operación después de su ciclo de uso.

Ejercicio de nivelación – entendiendo el concepto del

servicio

En su organización, ¿cómo es entendido el concepto del servicio?

Un servicio de TI está relacionado con la entrega de valor para los usua-

rios, viabilizando los resultados esperados, sin responsabilidad directa
sobre costos específicos y riesgos.

ITIL está dividido en cinco libros y cada libro está asociado con el ciclo
de vida del servicio.

»» Diseño del Servicio (Service Design), Transición de Servicio (Ser-

vice Transition) y Operación de Servicio (Service Operation) son
fases progresivas de ciclo de vida que representan trasforma-
ción.
»» Estrategia de Servicio (Service Strategy) representa políticas y
objetivos.
»» Mejoramiento Continuo de Servicio (continual Service Improve-
ment) representa aprendizaje y mejora.

Para entender mejor ITIL es necesario comprender lo que es el “ciclo de

vida de servicios de TI”. Vamos a pensar en el ejemplo de un servicio
cualquiera de TI, desde su concepción hasta su fin; a esto lo llamamos
“ciclo de vida de gestión del servicio”. Existen diversas personas y áreas
de la organización involucradas en el ciclo de vida de un servicio, des-
de la planeación, diseño, construcción, pruebas, versiones, operación,
mejoramiento, etc. Diferentes niveles de la organización y personas con
papeles diferentes realizan la toma de decisiones, el desarrollo y la en-
trega de los servicios. 71
 [Fundamento de Gobierno de TI]

ITIL se propone realizar la integración de las necesidades del negocio

con la TI. El diagrama de ciclo de vida del servicio es mostrado en la
siguiente figura:

Figura 19.
Diagrama de
ciclo de vida
del servicio
de ITIL

Estrategia del servicio

El centro del ciclo de vida del servicio es la estrategia del servicio. Ésta
define la gerencia del servicio no solamente como una capacidad orga-
nizacional sino también como una estrategia, a través de principios que
orientan las prácticas de gerencia del servicio, orientando el desarrollo
de políticas, guías y procesos.

La estrategia del servicio es la visión de ITIL que alinea negocio y TI,

de modo que cada cual obtenga lo mejor del otro. Asegura que cada
etapa del ciclo de vida del servicio se mantenga enfocada en el negocio
y esté relacionado con todos los elementos de procesos complemen-
tarios. También aborda temas como la elaboración de estrategias, im-
plementación, redes de valor, portafolio de servicios, gerenciamiento,
72 gestión financiera y ROI.
ROI: Return On Investment (Retorno Sobre la Inversión) es usado para
evaluar los resultados de las inversiones hechas, inclusive en TI y los
beneficios retornados al negocio.

En la etapa inicial, el área de TI inicia la estrategia de servicio adminis-

trando los requisitos del negocio (gestión de demandas), y traduciendo
esto en una estrategia para entregar el servicio (estrategia del servicio),
validando los costos para mantener estos servicios (gestión financiera)
e introduciendo los servicios dentro del portafolio de servicios (gestión
del portafolio de servicios). En este momento la TI aún no retorna valor
al negocio.

Diseño del servicio

El diseño del servicio define cómo implementar servicios de TI, inclu-

yendo arquitectura, procesos, políticas y documentación para alcanzar
los requisitos de los negocios actuales y futuros. Proveer principios y
métodos para transformar objetivos estratégicos en portafolios de ser-
vicios y activos estratégicos, culminando con el desarrollo de una solu-
ción del servicio diseñada para suplir las necesidades del negocio.

El diseño del servicio contempla las estrategias, políticas y la implemen-

tación. Se basa en los cinco aspectos principales del diseño de servicios:
disponibilidad, capacidad, continuidad, gerencia de nivel de servicios y
outsourcing. También están presentes la información sobre gerencia de
proveedores y de seguridad de la información.

Cuando la estrategia está completa, TI inicia la segunda fase, el diseño

del servicio, por medio de la definición de requisitos para los niveles de
servicio (gestión de niveles de servicios), análisis de la disponibilidad y
capacidad requerida (gestión de capacidad y disponibilidad), selección
de los proveedores que realizarán el soporte de los servicios (gestión de
proveedores), provisión de continuidad de servicios (gestión de conti-
nuidad de los servicios), validación y proyecto de los requisitos de segu-
ridad (gerencia de seguridad) e introducción del servicio en el catálogo
de servicios (gestión de catálogo de servicios).

Transición del servicio

Incluye la gerencia y la coordinación de los procesos, sistemas y fun-

ciones para armar el paquete, construir, probar y distribuir una actuali-
zación en el ambiente de producción. También se relaciona con la pla-
neación y gerencia de los recursos para garantizar la inclusión de un
nuevo servicio o un cambio de un servicio existente, en el ambiente de 73
 [Fundamento de Gobierno de TI]

producción, dentro de los costos definidos, calidad y plazos estimados,

con el objetivo de aumentar la satisfacción del usuario.

En la transición del servicio, el servicio está listo para ser implementado

en el ambiente de producción. El proveedor de servicios define el plan
de transición (planeación de transición y soporte) y evalúa, aprueba,
implementa y planea el cambio (proceso de gestión de cambios).

Después de la implementación del cambio, el servicio es probado (va-

lidación y prueba del servicio) en un ambiente de homologación. Si la
prueba es satisfactoria, el servicio es documentado (gestión del cono-
cimiento) y sus componentes son incluidos en el banco de datos de ac-
tivos y de configuración (gestión de activos y configuración). La última
actividad a realizar es la liberación al ambiente de producción (gestión
de liberación de instalación) y, posterior al “go-live” y la implementa-
ción, se debe ejecutar una revisión (gestión de evaluación).

Operación del servicio

La operación del servicio concreta la entrega de valor para el negocio.

Provee prácticas de gerencia de servicios en operación direccionando la
forma entregar y soportar los servicios de manera efectiva y eficiente,
garantizando la entrega de Valor para el usuario final. Incluye todas las
actividades necesarias para entregar y soportar los servicios, involu-
crando:

»» Personas
»» Procesos
»» Tecnología
»» Servicios

En la operación del servicio, el servicio comienza a ser administrado

y soportado para que alcance el nivel de servicio acordado a través
de la gerencia de los llamados de los usuarios (service desk y gestión
de solicitudes), monitoreando las alertas y eventos del servicio (ges-
tión de eventos), restaurando las interrupciones no programadas de los
servicios (gestión de incidentes), evitando las causas de los inciden-
tes y reduciendo la duración de los mismos (gestión de problemas),
administrando de manera segura la utilización del servicio (gestión de
acceso), manteniendo el producto del software (gestión de aplicación),
ejecutando las actividades diarias (gestión de operación) y soportando
la infraestructura (gestión técnica).

74
 Mejoramiento continuo del servicio

El propósito es alinear y realinear continuamente los servicios de TI con

los cambios que los negocios necesitan, brindando un vínculo entre
estrategia, diseño, transición y operación de servicio. El mejoramiento
continuo del servicio se enfoca en los procesos de identificación e intro-
ducción de mejoras a la gerencia del servicio y cuestiones relacionadas
con la eliminación de servicios. Es accionada durante todas las fases del
ciclo de vida, responsable por medir los servicios y procesos (medición
de servicios) y documentar los resultados (reporte de servicios) para
que la calidad del servicio y la madurez de los procesos (mejoramiento
del servicio) sean mejoradas. Las mejoras deben ser implementadas
en la próxima fase del ciclo de vida del servicio, siendo iniciadas nue-
vamente en la estrategia del servicio, de modo que vuelve a comenzar
el ciclo.

La figura 20 presenta todos los componentes de ITIL.

Figura 20.
Componentes
de ITIL 75
 [Fundamento de Gobierno de TI]

4.2 Visión general sobre la ISO/IEC 20000

La ISO/IEC 20000 es la norma ISO para la certificación de organizacio-
nes en la gestión de servicios de TI, con base en las mejores prácticas
de ITIL. La norma ISO 20000 hace énfasis en los asuntos relacionados
con la gestión de TI por medio de un abordaje de central de servicios.
Para eso considera la capacidad de los sistemas, las necesidades para
administrar los cambios, presupuesto financiero, control y distribución
de aplicativos.

La norma ISO 20000 se enfoca en los asuntos relacionados con la ges-

tión de TI, por medio de un abordaje de central de servicios que permite
identificar y clasificar los problemas. La norma también considera la
capacidad del sistema, lo que es necesario para administrar cambios en
los sistemas, presupuesto financiero, control y distribución de sistemas
y aplicativos.

La ISO 20000, norma internacional originada de la norma inglesa BS

15000, está perfectamente alineada con el abordaje de la gestión por
procesos, definida por ITIL.

La ISO 20000 presenta dos partes principales:

1. La ISO 20000-1 es la especificación formal; define los requisitos

para que las organizaciones presten servicios de calidad aceptable
a sus clientes (internos o externos), incluyendo:
»» Requisitos para un sistema de gestión.
»» Planeación e implementación de la gestión de servicio.
»» Planeación e implementación de nuevos servicios o alteración
de los servicios existentes.
»» Procesos de prestación del servicio.
»» Procesos de relación.
»» Procesos de resolución.
»» Procesos de control.

2. La ISO 20000-2, por otro lado, es el código de prácticas que descri-

be las buenas prácticas para procesos de gestión de servicios. Este
código es particularmente útil para organizaciones que se preparan
para auditorías de acuerdo con la ISO 20000-1 o que planean me-
joras en el servicio.

76
 La ISO 20000 está compuesta de los siguientes procesos:

Proceso entrega de servicios

»» Gerencia de capacidad.
»» Gerencia de niveles de servicios.
»» Gerencia de seguridad de la información.
»» Gerencia de continuidad y disponibilidad de servicios.
»» Gerencia financiera de TI.

Procesos de control
»» Gerencia de configuraciones.
»» Gerencia de cambios.

Procesos de liberación
»» Gerencia de liberación.

Procesos de resolución
»» Gerencia de incidentes.
»» Gerencia de problemas.

Procesos de relación
»» Gerencia de relación con el negocio.
»» Gestión de proveedores.

La siguiente figura presenta la estructura que debe seguirse para la

certificación en ISO 20000.

Figura 21.
Estructura
para la
certificación
en ISO 20000

77
 [Fundamento de Gobierno de TI]

La ISO 20000 es utilizada para:

»» Promover la adopción de un abordaje por procesos en el área

de TI.
»» Alinear los servicios de TI con las necesidades del negocio.
»» Mostrar la calidad de los servicios de TI.
»» Reducir los costos por medio de estructuras optimizadas y
transparentes.
»» Establecer el mejoramiento continuo de los servicios de TI en la
organización.
»» Cumplir los requisitos contractuales.
»» Reducir los riesgos operacionales de TI.

4.3 Relación entre ITIL, ISO 20000 y CobiT

Las herramientas presentadas son las más utilizadas en la implemen-
tación de gobierno de TI. Existe una semejanza muy grande entre ellas
aunque cada una tiene su particularidad.

El CobiT es una herramienta con mayor alcance para el gobierno de TI,

pues direcciona todos los asuntos relacionados con el área de TI hacia
los objetivos del negocio de la organización. Los objetivos de control de
los procesos proporcionan una visión de cómo se encuentra el área de
tecnología y cómo debe ser direccionada en el sentido del alineamiento
con los negocios de la organización. El CobiT combina una visión estra-
tégica alineada con una visión operacional de TI.

ITIL es una herramienta que en su versión 3 también tiene un propó-

sito de integrar la TI a los negocios. Se basa en el ciclo de vida de los
servicios de TI, es una herramienta usada principalmente en la parte
operacional más que en la estratégica, a pesar de que sus componentes
son estratégicos.

La ISO 20000 está basada en la certificación del área de TI y sus proce-

sos están alineados tanto con CobiT como con ITIL. Una estrategia de las
organizaciones para alcanzar la certificación es implantar los procesos
de ITIL o CobiT y después usar las directrices de la norma para adecuar-
se a la certificación.

Los procesos de las tres herramientas son equivalentes y en la mayoría

de las ocasiones con el mismo principio. La siguiente tabla presenta la
relación entre las herramientas desde el punto de vista de los procesos.
78
 Tabla 9. Relación entre las herramientas desde
el punto de vista de los procesos

CobiT ITIL/ISO 20000

PO4 – definir proceso, organización Gerencia de relaciones con el negocio
y relaciones de TI
PO5 – administrar la inversión en TI Gerencia financiera TI

AI5 – obtener recursos de TI Gerencia de proveedores

AI6 – administrar cambios Gerencia de cambios

AI7 – autorizar e instalar Gerencia de liberación

cambios y soluciones
DS1 –definir y administrar Gerencia de niveles de servicios
niveles del servicio
DS3 – administrar desempeño y capacidad Gerencia de capacidad

DS4 – asegurar la continuidad Gerencia de continuidad y

de los servicios disponibilidad de los servicios

DS5 – asegurar seguridad de sistemas Gerencia de seguridad de información

DS8 – administrar central de Gerencia de incidencias
servicios e incidentes
DS9 – gerencia de configuración Gerencia de configuraciones

DS10 – administrar problemas Gerencia de problemas

Ejercicio de refuerzo - aplicación de la norma ISO 20000

¿Cómo puede ser aplicada la norma ISO 20000 en su organización?

79
 [Fundamento de Gobierno de TI]

4.4 Visión general de la norma ISO 38500

La norma ISO 38500 es utilizada para ayudar a las organizaciones con un
conjunto de principios para la evaluación, la gerencia y el monitoreo del
uso de TI. La norma establece los siguientes principios:

»» Responsabilidad
»» Estrategia
»» Adquisición
»» Desempeño
»» Conformidad
»» Comportamiento humano

El objetivo principal de la norma, que es consultiva, es ayudar a las

organizaciones con un conjunto de principios para la evaluación, el ge-
renciamiento y el monitoreo del uso de TI. Estos principios son alineados
con modelos de mejores prácticas, como CobiT 4.1.

La norma es consultiva y trata sobre el uso efectivo de TI para alcanzar

los objetivos del negocio de la organización, el retorno de las inversio-
nes en TI que la organización realiza, dónde gastar, cómo gastar, cómo
invertir y en dónde invertir. La norma también tiene como finalidad in-
formar y orientar, a todos los involucrados en la organización, en los
proyectos y en la implementación de un sistema de políticas, procesos
y estructuras que soportan el gobierno de TI.

La norma puede ser aplicada a todos los tipos y tamaños de organiza-

ción, públicas o privadas, pequeñas, medias o grandes.

La norma está estructurada de la siguiente forma:

»» Alcance, aplicaciones y objetivos.

»» Estructura para un buen gobierno corporativo de TI.
»» Guía para el gobierno corporativo de TI

La norma establece seis principios para un buen gobierno de TI:

»» Responsabilidad: todos en la organización deben comprender

y aceptar su responsabilidad relacionada con TI. La responsabi-
lidad debe permear toda la estructura organizacional, iniciando
por las capas de más alto nivel.
»» Estrategia: la planeación estratégica de la organización debe
tener en cuenta la capacidad de las TI para soportar adecuada-
mente las funciones del negocio, observando la capacidad ac-
tual y proyectando la capacidad futura dentro de las estrategias
80 adoptadas.
»» Adquisición: las adquisiciones de TI deben ser de acuerdo con
las estrategias definidas para atender plenamente al negocio,
realizando un análisis apropiado y continuo, con decisiones cla-
ras y transparentes. Debe existir un equilibrio adecuado entre
los beneficios, oportunidades, costos y riesgos, tanto en el corto
como en el largo plazo.
»» Desempeño: las acciones y actividades de TI deben dar soporte
a los negocios de la organización y a la disponibilidad de ser-
vicios, entregando el nivel de calidad de los servicios de TI ne-
cesarios para responder a los requisitos actuales y futuros del
negocio, garantizando el desempeño adecuado.
»» Conformidad: las acciones y actividades de TI deben ser confor-
mes con la legislación y reglamentos aplicables. Las políticas y
las prácticas están claramente definidas y están implementadas
y aplicadas de acuerdo con lo establecido por la organización.
»» Comportamiento humano: las políticas, prácticas y decisiones
de TI deben tener en cuenta el comportamiento de las perso-
nas, incluyendo las necesidades de capacitación periódica para
que todos puedan ejecutar las actividades de las que son res-
ponsables. Los cambios en TI deben ser ampliamente comu-
nicados con el debido soporte para minimizar los efectos que
puedan causar.

81
 [Fundamento de Gobierno de TI]

4.5 Relación entre ISO 38500 y CobiT

La relación entre los seis principios de ISO 38500 y CobiT es mostrada
en la siguiente tabla.

Tabla 10. Relación entre la ISO 38500 y CobiT

Principios de la norma ISO 38500

Comportamiento
Responsabilidad

Conformidad
Desempeño
Adquisición
Estrategia

humano
Procesos de CobiT

PO1. Definir un plan estratégico de TI   X        

PO2. Definir la arquitectura

  X        
de la información
PO3. Determinar las
  X        
directrices de tecnología
PO4. Definir los procesos, la
X       X X
organización y las relaciones de TI

PPO5.Gerenciar las inversiones de TI   X X      

PO6. Comunicar metas y

X          
directrices gerenciales
PO7. Gerenciar los recursos
X         X
humanos de TI

PO8. Gerenciar la calidad            

PO9. Evaluar y gerenciar

  X        
los riesgos de TI

PO10. Gerenciar proyectos     X      

AI1. Identificar soluciones

  X X      
automatizadas
AI2. Adquirir y mantener
    X      
software aplicativo
AI3. Adquirir y mantener
    X      
infraestructura de tecnología

82
 Continuación de tabla 10. Relación entre la ISO 38500 y CobiT

Principios de la norma ISO 38500

Comportamiento
Responsabilidad

Conformidad
Desempeño
Adquisición
Estrategia

humano
Procesos de CobiT

AI4. Habilitar operación y uso           X

AI5. Adquirir recursos de TI     X      

AI6. Administrar cambios            

AI7. Instalar y homologar

    X      
soluciones y cambios
DS1. Definir y administrar
    X     X
niveles de servicios
DS2. Administrar servicios
X   X X    
externalizados
DS3. Administrar el desempeño
      X    
y la capacidad
DS4. Asegurar la continuidad
      X    
de los servicios
DS5. Garantizar la seguridad
      X    
de los sistemas

DS6. Identificar y asignar costos       X    

DS7. Educar y entrenar los usuarios           X

DS8. Administrar la mesa de

      X    
servicio y las incidencias

DS9. Administrar la configuración       X    

DS10. Administrar los problemas       X    

DS11. Administrar los datos       X    

DS12. Administrar el ambiente físico       X    

DS13. Administrar las operaciones       X    

83
 [Fundamento de Gobierno de TI]

Continuación de tabla 10. Relación entre la ISO 38500 y CobiT

Principios de la norma ISO 38500

Comportamiento
Responsabilidad

Conformidad
Desempeño
Adquisición
Estrategia

humano
Procesos de CobiT

ME1. Monitorear y evaluar

X       X  
el desempeño de TI
ME2. Monitorear y evaluar
        X  
los controles internos
ME3. Asegurar la conformidad
        X  
con requisitos externos

ME4. Proveer gobierno de TI X     X    

La ventaja de usar un modelo de proceso como el CobiT es su énfasis

en la obtención de resultados específicos, facilitando de esta forma la
implantación de gobierno de TI.

Ejercicio de refuerzo - aplicación de la norma ISO 38500

¿Cómo puede ser aplicada la norma ISO 38500 en su organización?

4.6 Visión general del Val IT

Val IT es una guía de procesos y prácticas para apoyar a los ejecutivos
de la organización para entender sus papeles y responsabilidades, rela-
cionadas con las inversiones en TI.

El modelo Val IT está enfocado en cuatro asuntos:

1. Estrategia:
»» ¿Las inversiones en estrategia de TI están alineadas con la vi-
sión de la organización?
84
 »» ¿Las inversiones son consistentes con los principales objetivos
del negocio?
»» ¿Las inversiones contribuyen a conseguir los objetivos estraté-
gicos de la organización?
»» ¿Las inversiones contribuyen a la entrega de valor de los ser-
vicios de TI, con los costos deseados y dentro de un margen
aceptable de riesgo?

2. Arquitectura de TI:
»» ¿Las inversiones están alineadas con la arquitectura de TI de la
organización?
»» ¿Las inversiones son consistentes con los principios de arquitec-
tura de TI de la organización?
»» ¿Las inversiones contribuyen con el uso consciente de la arqui-
tectura de TI?
»» ¿Las inversiones en arquitecturas de TI están alineadas con
otras iniciativas de la organización?

3. Valor de TI:
»» ¿La organización conoce claramente los beneficios esperados
por las inversiones en TI?
»» ¿La organización tiene clara su responsabilidad para alcanzar los
beneficios de las inversiones en TI?
»» ¿La organización tiene métricas para medir el valor que la TI
agrega a los negocios?

4. Entregar:
»» ¿La organización tiene claridad sobre los aportes de los servicios
de TI para dar soporte a los negocios?
»» La organización tienen competencia y disponibilidad de recursos
para aportar:
• ¿La capacidad requerida por el negocio?
• ¿Los cambios organizacionales requeridos para soportar el
negocio?

Básicamente el Val IT hace énfasis en las decisiones de inversiones en

TI (¿la organización está invirtiendo de forma estratégica?), y en la ob-
tención de los beneficios esperados (¿la organización está obteniendo
los beneficios esperados?)

El CobiT hace énfasis en la ejecución (¿la organización está haciendo las

cosas del modo correcto?)

85
 [Fundamento de Gobierno de TI]

4.6.1 Gobierno de valor, VG

Optimizar el valor en la organización de las inversiones en TI de la si-

guiente forma:

»» Establecer el gobierno, el monitoreo y un estructura de control.

»» Proveer una dirección estratégica para las inversiones.
»» Definir un portafolio de inversiones.

4.6.2 Gerenciar el portafolio

Garantizar que la organización tenga un portafolio de inversiones de TI

alineado a los objetivos estratégicos de la organización, de la siguiente
forma:

»» Establecer y gerenciar perfiles de recursos.

»» Definir los límites de las inversiones en TI.
»» Evaluar, priorizar, seleccionar, aplazar o rechazar una nueva in-
versión en TI.
»» Gerenciar completamente el portafolio de inversiones.
»» Monitorear y presentar los resultados del desempeño del porta-
folio de inversiones en TI.

4.6.3 Gerenciar las inversiones

Garantizar que la organización administre las inversiones de TI dentro

de los criterios de costos establecidos y con el conocimiento de los ni-
veles de riesgo asociados a las inversiones de TI, de la siguiente forma:

»» Identificar los requisitos del negocio.

»» Comprender claramente el programa de inversiones en TI.
»» Analizar alternativas de inversiones en TI.
»» Definir el programa de inversiones en TI y detallar claramente
los planes del negocio y los beneficios asociados.
»» Gerenciar el programa inversiones en TI por medio de un ciclo
de vida económica.
»» Monitorear y presentar los resultados del desempeño del pro-
grama inversiones en TI.

El objetivo del modelo Val IT, creado por Information Technology Gover-
nance Institute, ITGI, es apoyar las organizaciones en la gerencia de las
86
inversiones en TI, de forma que el valor generado por la TI para sopor-
tar los negocios sea plenamente conocido. El Val IT contiene una guía,
procesos y prácticas para auxiliar a los ejecutivos en la comprensión de
sus papeles y responsabilidades, relacionadas con las inversiones en TI.

El modelo Val IT está enfocado en cuatro ejes que provocan la reflexión

sobre el presente de la organización en relación a las inversiones en TI,
considerando las siguientes preguntas:

Estrategia:

»» ¿Las inversiones en estrategia de TI están alineadas con la

visión de la organización?
»» ¿Las inversiones son consistentes con los principales objetivos
del negocio?
»» ¿Las inversiones contribuyen a los objetivos estratégicos de la
organización?
»» ¿Las inversiones contribuyen ala entrega de Valor de los ser-
vicios de TI con los costos deseados y dentro de un margen
aceptable de riesgo?

Arquitectura de TI:

»» ¿Las inversiones están alineadas con la arquitectura de TI de la

organización?
»» ¿Las inversiones son consistentes con los principios de arquitec-
tura de TI de la organización?
»» ¿Las inversiones contribuyen para el uso consciente dela arqui-
tectura de TI?
»» ¿Las inversiones en arquitecturas de TI están alineadas con
otras iniciativas de la organización?

Valor de TI:

»» ¿La organización conoce claramente los beneficios esperados

por las inversiones en TI?
»» ¿La organización tiene clara su responsabilidad para alcanzar los
beneficios de las inversiones en TI?
»» ¿La organización tiene métricas para medir el Valor que la TI
agrega a los negocios?

87
 [Fundamento de Gobierno de TI]

Entrega:

»» ¿La organización tiene claridad sobre los aportes de los servicios

de TI para soporte a los negocios?
»» La organización tiene competencia y disponibilidad de recursos
para aportar:
»» ¿La capacidad requerida por el negocio?
»» ¿Los cambios organizacionales requeridos para soportar el ne-
gocio?
»» Básicamente el Val IT hace énfasis en las decisiones de inver-
siones en TI (¿la organización está invirtiendo de forma estra-
tégica?) y en la obtención de los beneficios esperados (¿la or-
ganización está obteniendo los beneficios esperados?) El CobiT
hace énfasis en la ejecución (¿la organización está haciendo las
cosas del modo correcto?)
»» La siguiente figura muestra la relación entre Val IT y CobiT.

Figura 22.
Relación
entre el Val
IT y CobiT

Para obtener el retorno de las inversiones de TI, el Val IT debe ser apli-
cado en las organizaciones a través de los procesos presentados a con-
tinuación.

Gobierno de Valor, VG

Optimizar el valor en la organización de las inversiones en TI de la si-

guiente forma:
»» Establecer el gobierno, el monitoreo y una estructura de control.
»» Proveer una dirección estratégica para las inversiones.
»» Definir un portafolio de inversiones.
88
 Administrar el Portafolio, PM

Garantizar que la organización tenga un portafolio de inversiones de TI

alineado con los objetivos estratégicos de la organización, de la siguien-
te forma:
»» Establecer y administrar perfiles de recursos.
»» Definir los límites de las inversiones en TI.
»» Evaluar, priorizar, seleccionar, aplazar o rechazar una nueva in-
versión en TI.
»» Administrar completamente el portafolio de inversiones.
»» Monitorear y presentar los resultados del desempeño del porta-
folio de inversiones en TI.

Gerenciar inversiones

Garantizar que la organización administre las inversiones de TI dentro

de los criterios de costos establecidos y con el conocimiento de los
niveles de riesgo asociados con las inversiones de TI, de la siguiente
forma:
»» Identificar requisitos del negocio.
»» Comprender claramente el programa de inversiones en TI.
»» Analizar las alternativas de inversiones en TI.
»» Definir el programa de inversiones en TI y detallar claramente
los planes del negocio, así como los beneficios asociados.
»» Administrar el programa de inversiones en TI por medio de un
ciclo de vida económica.
»» Monitorear y presentar los resultados del desempeño del pro-
grama de inversiones en TI.

La figura 23 muestra la relación entre los procesos del Val IT.

Figura 23.
Procesos
del Val IT
89
 [Fundamento de Gobierno de TI]

Ejercicio de refuerzo - aplicación del Val IT

¿Cómo puede ser aplicado Val IT en su organización?

Lo aprendido

»» Conceptos básicos de ITIL V.3

»» Definición de servicio de TI.
»» Comprensión del ciclo de vida de servicios de TI.
»» Aplicación de ITIL v3 en la implantación de gobierno de TI.
»» Conceptos básicos de la norma ISO 20000.
»» Comprensión dela estructura y de los procesos de la ISO 20000.
»» Relación entre CobiT, ITIL e ISO 20000.
»» Conceptos básicos de ISO 38500 y del Val IT.

90
91
 [Fundamento de Gobierno de TI]

Capítulo
Cuaderno de

05
actividades

92
5.1 Guía de actividades 1
5.1.1 Actividad 1: organización privada

Una organización bancaria tiene como requisito de negocio la recepción

de facturas. Para el negocio bancario, a mayor volumen de facturas re-
cibidas mayor rentabilidad y dinero entra en la caja del banco. El banco
clasifica esta recepción como una línea de negocio y define los procesos
necesarios para atender esta línea de negocio. Cada operación de pago
es caracterizada como una transacción.

Para que este requisito de negocio sea atendido, los recursos de TI de-
ben soportar todas las transacciones de recepción. La premisa del requi-
sito de negocio es atender el mayor número de transacciones posibles,
sin interrupciones, con el menor riesgo posible para el negocio. Luego,
los recursos de TI deben atender y entregar lo que el negocio solicita.

Para que los recursos de TI atiendan el requisito del negocio, los pro-
cesos de TI deben ser implementados para garantizar que los recursos
sean adecuadamente operados y estén disponibles, ofreciendo la infor-
mación necesaria para que la organización controle y tome las decisio-
nes necesarias.

A partir de este caso, describa los pasos necesarios para que el área de
TI atienda los requisitos del negocio establecidos.

Paso 1:

Paso 2:

Paso 3:

Paso 4:

Paso 5:
93
 [Fundamento de Gobierno de TI]

Paso 6:

Paso 7:

El gobierno de TI está orientado para el entendimiento entre las áreas

del negocio y de TI, realizando efectivamente el alineamiento estraté-
gico.

Suponga que esta misma institución bancaria tiene como meta aumen-
tar el número de transacciones de pagos en un millón diariamente, y
esta meta no fue comunicada al área de TI. El área del negocio se pre-
para para alcanzar esta meta aumentando el número de sucursales y
puestos de recepción, se trata de un cambio en el requisito del negocio
sin el conocimiento del área de TI. Siendo así, los recursos de TI pueden
no ser adecuados para atender el nuevo requisito y, consecuentemen-
te, las entregas solicitadas por el requisito del negocio pueden no ser
concretadas. En este caso faltó la alineación entre el área del negocio
y el área de TI.

Describa los pasos necesarios para resolver el problema narrado ante-

riormente.

Paso 1:

Paso 2:

Paso 3:

Paso 4:

Paso 5:

Paso 6:

Paso 7:

De acuerdo con la información obtenida en la solución del punto 2 des-

criba, para cada uno de los siguientes ítems, lo que debería ser previsto
para atender las necesidades del negocio.

Requisitos del negocio:

Recursos de TI e infraestructura de TI:

Personas:
94
Procesos de TI:

Información para la organización:

95
 [Fundamento de Gobierno de TI]

5.1.2 Actividad 2: organización pública, inclusión digital

La alcaldía de un municipio decide brindar acceso gratuito a internet

para sus ciudadanos. Actualmente el municipio posee una población fija
de 350.000 habitantes y una población flotante de 15.000. El requisito de
negocio de esta alcaldía, por lo tanto, es brindar acceso gratuito a Inter-
net para toda la población. Este requisito de negocio está directamente
relacionado con la planeación estratégica de la alcaldía, atendiendo una
meta estratégica de inclusión digital, divulgada en el plan de gobierno
del alcalde durante su campaña electoral. Es importante para la admi-
nistración pública que este requisito de negocio sea atendido en favor
de la población y del contribuyente. La premisa es que en 12 meses la
alcaldía atienda a 150.000 personas, en diversas regiones de la ciudad.

Con la información brindada, describa los pasos necesarios para la ali-

neación del área de TI al requisito de negocio establecido para el mu-
nicipio.

Paso 1:

Paso 2:

Paso 3:

Paso 4:

Paso 5:

Paso 6:

Paso 7:

96
5.1.3 Actividad 3: organización pública, factura
electrónica

Tomando como base la alcaldía de una ciudad que está implantando el

servicio de factura electrónica y partiendo del principio de que la ciudad
posee 5.000 organizaciones emitiendo facturas diariamente, determi-
ne para cada uno de los focos de gobierno de TI lo que debe hacerse
para que la alcaldía consiga implementar este servicio sin perjudicar la
captación del municipio y de las organizaciones. Debe considerarse que
la premisa más importante del gobierno de TI es el alineamiento entre
las directrices y los objetivos estratégicos de la organización con las
acciones de la TI.

Considere las cinco áreas de foco del gobierno de TI (alineación estraté-

gica, entrega de valor, gerencia del riesgo, gerencia de recursos y me-
dición de desempeño) y describa las acciones para cada una de ellas.

97
 [Fundamento de Gobierno de TI]

5.2 Guía de actividades 2

5.2.1 Actividad 1: definiendo insumos para alinear TI a
los negocios

Una Institución de Educación Superior, IES, a través de su instituto de

veterinaria y agropecuario, conocedora del constante crecimiento de las
actividades del agro-negocio en el país, está desarrollando servicios de
consultoría junto a órganos públicos del área. En el campo de la pecua-
ria, los órganos reguladores se han preocupado por controlar adecuada-
mente los rebaños, buscando el aumento de las exportaciones de carne
y derivados. Con el aumento de las inversiones en tecnología, la univer-
sidad ha auxiliado un órgano público en la identificación de los animales
en el campo, a través del desarrollo de un código que al ser ingresado
en un sistema informático permite el rastreo del animal desde su naci-
miento hasta el momento del sacrificio, garantizando su procedencia y
facilitando el proceso de exportación de su carne. Tomando como base
que el órgano público asesorado por la universidad busca proveer el
abastecimiento agropecuario y que su visión de futuro es “ser recono-
cido por la calidad y agilidad en la implementación de políticas y en la
prestación de servicios para el desarrollo sustentable del agro-negocio”,
identifique para el órgano:

El alcance del negocio:

Las ventajas competitivas:

El gobierno del negocio:

El alcance de tecnología:

La competencia sistémica:

El gobierno de TI:

98
5.2.2 Actividad 2: creando un proceso para alinear TI y
negocios

Mantener la estrategia de TI alineada y ajustada a las necesidades del

negocio de una organización es imprescindible para alcanzar el gobier-
no de TI. El alineamiento del área de TI con las áreas del negocio es
un ejercicio de constante aproximación. Siendo así, es importante que
exista un proceso continuo de alineamiento estratégico entre las TI y el
negocio. La importancia de ese proceso está en que un alineamiento
adecuado resulta en la obtención del máximo retorno de las inversiones
en TI y da el soporte necesario para que la organización alcance sus
objetivos y metas. El desafío de todo eso es la implementación de ese
proceso, pues raramente las organizaciones poseen un plan estratégico
de negocios y de TI bien definido. La falta de este plan de negocios y
de TI provoca acciones e inversiones puntuales, no siempre alineadas.
Una buena práctica de gobierno de TI muestra que la participación de
gerentes de TI (o el profesional responsable por el área) en ese proceso
es extremadamente necesaria. Por otro lado, el área de TI se esconde
en la organización y no muestra claramente sus capacidades y lo que
ella realmente representa dentro de la organización. En este sentido es
importante que el proceso de alineamiento estratégico sea definido.

Con la información anterior, y con el conocimiento adquirido en esta

sección, elabore un proceso descriptivo de cómo debería ocurrir el ali-
neamiento entre la TI y el negocio.

99
 [Fundamento de Gobierno de TI]

5.2.3 Actividad 3: definición de indicadores para

monitoreo de los negocios y de TI

Toda organización necesita crear indicadores para monitorear los nego-

cios y la TI. El monitoreo de las funciones del negocio está directamente
asociado con el desempeño de la organización, brindando ayuda para la
mejora o aumento de las funciones del negocio existentes. El área de TI
soporta casi la totalidad de las funciones del negocio por medio de la in-
fraestructura y sistemas. Crear indicadores que orienten las acciones de
la TI y del negocio es fundamental para cualquier organización. Toman-
do como base las funciones o servicios del negocio de su organización,
establezca una relación entre las funciones del negocio y los servicios
de TI que los soporte y cree indicadores de negocios e indicadores de TI
que permitan monitorear los servicios esenciales para la organización.

Utilice el ejemplo de la siguiente tabla como referencia para ejecutar la

actividad.

100
 Tabla 11. Definición de indicadores para monitoreo de los negocios y de TI

Servicios de TI Servicios de TI
Función de
que soportan que soportan
negocio Indicador de TI
la función de la función de
negocio negocio
1. Venta de Link de Transacción de Porcentaje de
producto por comunicación. ventas efectuadas disponibilidad
la Internet en determinado del link de
periodo. comunicación.

Sistema de Transacción de Porcentaje de

ventas en línea. ventas efectuadas disponibilidad de la
en determinado infraestructura de TI.
periodo
Infraestructura de Transacción de Porcentaje de
TI (servidores, ventas efectuadas transacciones
activos de en determinado no efectivas en
red, sistemas periodo determinado
operacionales). periodo.
Banco de datos. Estadística de Porcentaje de
crecimiento. disponibilidad del
banco de datos.
2.

3.

4.

101
 [Fundamento de Gobierno de TI]

5.3 Guía de actividades 3

5.3.1 Actividad 1: problemas en la evaluación de la
gestión de TI

En una organización pública, después de una evaluación de gestión de

TI basada en el CobiT 4.1, fueron detectados los siguientes hechos:

»» No hay rutinas de medición de ambiente tecnológico, lo que

resulta en que cualquier problema sólo es tratado después de la
interrupción o pérdida de la calidad de un servicio.
»» No hay documentación operacional de los sistemas en produc-
ción.
»» No hay trabajo de planeación de desempeño y capacidades que
posibiliten dimensionar los servidores necesarios para algún
servicio.
»» No hay una rutina de verificación del uso de los recursos de
los servidores, o sea, en el caso de que un servidor alcance su
límite de capacidad de procesamiento, el problema sólo será
verificado cuando algún usuario reclame.
»» Se presenta la falta de una rutina de medición de disponibilidad
de ambiente tecnológico, llevando a la infraestructura existen-
te a estar bajo la condición de problemas potenciales que sólo
podrán ser identificados cuando ocurran o sean notificados por
los usuarios.
»» Se presenta reclamo constante por parte de los usuarios sobre
la velocidad de los sistemas, siempre identificados como “pro-
blemas de red”.
»» La política de backup no fue definida por la organización, que
sólo definió la retención de cintas pero por parte del servicio
externo, responsable por el ambiente.

Con base en ese diagnóstico, responda las siguientes preguntas:

1. ¿Cuáles serían los principales problemas enfrentados por los nego-

cios de esta organización?
2. Asocie los siete criterios de información y los cuatro recursos de TI
(obtenidos en el ejercicio de refuerzo “definiendo criterios de infor-
mación y recursos”) para cada uno de los hechos citados.

102
 Tabla 12. Ejercicio criterios de información y recursos de TI

Ítems de evaluación
Recursos de TI Criterios de información
(hechos citados)

¿Cuáles procesos del CobiT serían recomendados para ayudar a corregir

los hechos presentados?

Tabla 13. Ejercicio procesos de CobiT

Ítems de evaluación
Procesos de CobiT
(hechos citados)

103
 [Fundamento de Gobierno de TI]

5.3.2 Actividad 2: soporte de TI a los negocios

Partiendo de la siguiente figura, establezca para su organización cinco

objetivos de negocio y determine los procesos y recursos de TI y pro-
cesos de negocios e información asociadas necesarias para alcanzar los
objetivos establecidos. Figura 24.
Ejercicio
soporte de TI
a los negocios

Tabla 14. Ejercicio objetivo de negocio, procesos y recursos de TI

Procesos Recursos Información Procesos de Objetivos de

de TI de TI generada negocios negocios
Objetivo de
negocio 1
Objetivo de
negocio 2
Objetivo de
negocio 3
Objetivo de
negocio 4
Objetivo de
negocio 5

104
5.4 Guía de actividades 4
Actividad 1: creando una planeación estratégica

Tomando como base su organización, haga un esbozo de planeación

estratégica, teniendo en cuenta todas las etapas definidas.

Introducción

Esta guía debe ser utilizada para documentar una planeación estraté-
gica de TI, siguiendo las ocho etapas definidas para la realización de la
actividad de la sesión 4 –herramientas de implantación de gobierno de
TI y contemplando todo el conocimiento adquirido durante el curso.

Etapa 1
Planear la estrategia de TI
Tabla 15. Pasos para planear la estrategia de TI

Pasos Documentar

»» Establecer las metas de la »» Alcance del proyecto de planeación

planeación estratégica de TI. »» Objetivo del proyecto
»» Crear una lista de los principales »» Restricciones
involucrados en el proyecto. »» Principales agentes de decisión
»» Realizar una reunión de de TI y personas más involucradas
lanzamiento del proyecto. Convergencia de tecnologías
»» Elaborar un informe preliminar. y estrategias del negocio
»» Cronograma
»» Informe preliminar con las principales
definiciones del proyecto.

»» Alcance del proyecto de planeación

»» Objetivo del proyecto
»» Restricciones
»» Principales agentes de decisión de TI y personas más involu-
cradas
»» Convergencia de tecnologías y estrategias del negocio
»» Cronograma
»» Informe preliminar con las principales definiciones del proyecto

105
 [Fundamento de Gobierno de TI]

Etapa 2
Conocer las estrategias del negocio

Tabla 16. Pasos para las estrategias del negocio

Pasos Documentar

»» Describir la organización. »» Descripción de la organización

»» Conducir un análisis de la organización. »» Prioridades de la organización
»» Documentar la visión, misión y »» Misión y visión de la organización
principales valores de la organización. »» Principales negocios de la organización
»» Definir el negocio principal »» Principales unidades del negocio
de la organización. y sus metas y objetivos
»» Obtener las principales inversiones »» Presupuesto para inversión en TI
y presupuesto de TI. »» Objetivos estratégicos
»» Enumerar los objetivos de la organización
estratégicos dela organización.

»» Descripción de la organización
»» Prioridades de la organización
»» Misión y visión de la organización
»» Principales negocios de la organización
»» Principales unidades del negocio y sus metas y objetivos
»» Presupuesto para inversión en TI
»» Objetivos estratégicos de la organización

Etapa 3
Conocer y evaluar la situación actual del ambiente
tecnológico

Tabla 17. Pasos para conocer y evaluar la situación del ambiente tecnológico

Pasos Documentar

»» Documentar la estructura »» Organigrama de TI

organizacional de TI. »» Conocimientos del equipo de TI
»» Documentar la infraestructura »» Lista de proveedores
tecnológica de hardware y software. »» Inventario de software
»» Levantar los principales »» Inventario de hardware
proyectos de TI. »» Principales proyectos de TI en
»» Entender el ambiente de TI.

106
Principales procesos de TI

»» Organigrama de TI
»» Conocimientos del equipo de TI (planilla de ejemplo)

Tabla 18. Ejercicio Conocimientos del equipo de TI

Conocimiento
java Linux Windows SQL ASP
Nombre

Roberto

Carol

Juan

lista de proveedores

Tabla 19. Ejercicio lista de proveedores

Principales servicios o
Nombre del proveedor
productos que provee

107
 [Fundamento de Gobierno de TI]

Inventario de Software

Tabla 20. Ejercicio inventario de Software

Nombre del software/Sistema Principales áreas que atiende

Inventario de Hardware

Tabla 21. Ejercicio inventario de hardware

Principales sistemas/Sof-
Identificación de HW
tware que soporta

principales proyectos de TI en ejecución

Tabla 22. Ejercicio principales proyectos de TI en ejecución

Nombre del proyecto Finalidad

108
Principales procesos de TI

Tabla 23. Ejercicio principales procesos de TI

Nombre del proyecto Finalidad

Etapa 4
Proponer un nuevo ambiente tecnológico
Tabla 24. Pasos para proponer un nuevo ambiente tecnológico

Pasos Documentar

»» Analizar los puntos fuertes y »» Preguntas para direccionamiento

débiles del ambiente tecnológico. »» Madurez de los procesos de TI
»» Enumerar las oportunidades »» Puntos fuertes y débiles de TI
tecnológicas. »» Definir acciones para la evolución de TI
»» Documentar los resultados

Preguntas para direccionamiento

Documentar las respuestas

Gobierno de responsabilidad

»» ¿Está claro lo que la TI está ejecutando?

»» ¿Las inversiones de TI son trasparentes?
»» ¿La TI soporta los negocios con los niveles del servicio adecua-
dos?
»» ¿La TI participa de las decisiones estratégicas de la organiza-
ción?

109
 [Fundamento de Gobierno de TI]

Alineamiento entre TI y negocios

»» ¿Los objetivos de TI están alineados con los objetivos del nego-

cio de la organización?
»» ¿Los recursos de TI son adecuados para soportar el negocio?
»» ¿Cuáles riesgos del negocio están asociados a los riesgos de TI?

Conocimiento del equipo de TI

»» ¿El equipo de TI tiene el conocimiento necesario para atender

los requisitos del negocio?
»» ¿Los recursos externalizados son administrados correctamente?

Procesos y gerencia de proyectos

»» ¿Los usuarios están satisfechos con los servicios de TI?

»» ¿Con qué frecuencia los proyectos de TI fallan al entregar lo
prometido?
»» ¿Existe una práctica efectiva para administrar los proyectos de
TI?
»» ¿Los servicios de TI poseen acuerdos de niveles del servicio?

Presupuesto

»» ¿La TI tiene los recursos suficientes para soportar los negocios?

»» ¿Con qué frecuencia los proyectos de TI exceden el presupuesto
planeado?
»» Madurez de los Procesos de TI.

Tabla 25. Ejercicio madurez de los procesos

Nombre del proceso Madurez

110
Puntos fuertes y débiles de TI

Tabla 26. Ejercicio puntos fuertes y débiles de TI

Nombre del proceso Madurez

Definir acciones para la evolución de TI

Tabla 27. Ejercicio acciones para la evolución de TI

Acción 1 Ejemplo: el costo de TI será monitoreado

para que la organización pueda invertir
correctamente sus recursos financieros.

Acción 2

Etapa 5
Realizar un análisis entre la situación actual y la propuesta
para el ambiente tecnológico

Tabla 28. Ejercicio análisis situación actual y la

propuesta para el ambiente tecnológico

Pasos Documentar

»» Analizar las diferencias entre las »» Situación actual

condiciones actuales y futuras. »» Situación futura deseada
»» Documentar las diferencias y »» Recomendaciones para el
las posibles soluciones. direccionamiento futuro

111
 [Fundamento de Gobierno de TI]

»» Situación actual
»» Situación futura deseada
»» Recomendaciones para el direccionamiento futuro

Etapa 6
Proponer una visión estratégica de TI y un modelo de
gobierno

La visión estratégica de TI se aplica a todos los niveles estratégicos de

la organización. Es necesario que la organización defina los objetivos
de TI y establezca el alineamiento con los procesos y objetivos del ne-
gocio para que los proyectos y acciones de TI puedan ser priorizados
de acuerdo con la estrategia corporativa. También establezca el alinea-
miento entre la visión, los objetivos y las acciones específicas de TI y los
objetivos estratégicos del negocio.

Tabla 29. Ejercicio visión estratégica de TI y modelo de gobierno

Pasos Documentar

Definir la visión estratégica de TI Objetivos estratégicos de TI

Alineamiento entre los objetivos
estratégicos de TI y los objetivos
estratégicos del negocio

Objetivos estratégicos de TI

Objetivo 1

Objetivo 2

Objetivo 3

Objetivo 4

Objetivo 5

Objetivo 6

112 Objetivo 7
Alineamiento entre los objetivos estratégicos de TI y del
negocio

Objetivo de negocio

Objetivo de

Objetivo de

Objetivo de

Objetivo de

Objetivo de
negocio 4

negocio 5
negocio 3
negocio 2
negocio 1
Objetivos

 
Objetivo 1
       
 
Objetivo 2
       
 
Objetivo 3
       
 
Objetivo 4
       
 
Objetivo 5
       

Etapa 7
Definir un modelo de decisiones estratégicas de TI

Tabla 30. Ejercicio modelo de decisiones estratégicas de TI

Pasos Documentar

Definir indicadores para medir Indicadores de TI

la consecución de los objetivos Lista de proyectos priorizados
estratégicos de TI.
Definir los proyectos prioritarios de
TI de corto, mediano y largo plazo.

113
 [Fundamento de Gobierno de TI]

Indicadores de TI

Nombre del indicador Descripción

Indicador 1

Indicador 2

Lista de proyectos priorizados

Prioridad Nombre del proyecto

Prioridad 1

Prioridad 2

Prioridad 3

Prioridad 4

114
Etapa 8
Publicar, promover y mantener las estrategias de TI

Tabla 31. Ejercicio publicar, promover y mantener las estrategias de TI

Pasos Documentar

Presentar el plan para la alta Plan de comunicación

dirección de la organización
Elaborar plan de comunicación.

Plan de comunicación

Tipo de Público
Medio utilizado Periodicidad
comunicación objetivo
Cuando sea
Presentación Reunión Ejecutivos
necesario

115
 [Fundamento de Gobierno de TI]

Bibliografía

ANDRADE, Adriana; ROSSETTI, José Paschoal. Governança corporativa:

fundamentos, desenvolvimento e tendencias. São Paulo: Atlas, 2004.

FERNANDES, Aguinaldo Arangon; ABREU, Vladimir Ferraz de. Implantando

a governança de TI: da estratégia á gestão dos processos e serviços. Rio
de Janeiro: Brasport, 2006.

Harvard Business Review. Experiências de governance corporative. Rio de

Janeiro: Campus, 2001.

ISO/IEC 38500 08. Governança corporativa de tecnología da informação.

Rio de Janeiro: ABNT, 2008.

LAHTI, Christian B.; PETERSON, Roderick. Sarbanes-Oxley: conformidade

TI usando CobiT e ferramentas open source. Rio de Janeiro: Editora Atla
Books, 2006.

NBR ISO/IEC 20000: 1/08. Tecnología de la información: servicios de ges-

tión (parte 1): especificación. Rio de Janeiro: ABNT, 2008.

NBR ISO/IEC 20000: 2/08. Tecnología de la información: servicios de ges-

tión (parte 2): especificación Rio de Janeiro: ABNT, 2008.

WEILL, Peter; Jeanne W. Governança de TI: tecnología da informação. São

Paulo: M. Books, 2006.

CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1: Overview of International

IT Guidance, 2° edição:
https://www.isaca.org/KnowledgeCenter/Research/ResearchDelivera-
bles/Pages/COBIT-Mapping-of-ITIL-V3-With-COBIT-4-1.aspx

Framework CobiT 4.1: www.itgi.org

IT Governance Institute ®: www.itigi.org

IT Governance Institute TM. Modelo CobiT 4.1: http://www.isaca.org/

Know-ledge-Center/cobit/Documentos/cobit41-portuguese.pdf.

Val ITand Related: http://www.isaca.org/bookstore/Pages/Val-IT-and-Re-

lated.aspx

Val IT Framework 2.0: http://www.isaca.org/knowledge-Center/Research/

ResearchDeliverables/Pages/Val-IT-Framework-2.0.aspx.
116
Lista de tablas

Tabla 1. Principales razones para la implementación de un

gobierno de TI 23
Tabla 2. Ejemplo de objetivo de negocio en organizaciones públicas
y privadas 27
Tabla 3. Evaluar, Orientar y Supervisar, EDM 57
Tabla 4. Alinear, planificar y organizar 59
Tabla 5. Construir, Adquirir e Implementar, BAI 62
Tabla 6. Entregar, Dar soporte y Dar servicio 63
Tabla 7. Supervisar, Evaluar y Valorar 64
Tabla 8. Ejemplo procesos del CobiT 65
Tabla 9. Relación entre las herramientas desde el punto de
vista de los procesos 79
Tabla 10. Relación entre la ISO 38500 y CobiT 82
Tabla 11. Definición de indicadores para monitoreo de los negocios
y de TI 101
Tabla 12. Ejercicio criterios de información y recursos de TI 103
Tabla 13. Ejercicio procesos de CobiT 103
Tabla 14. Ejercicio objetivo de negocio, procesos y recursos de TI 104
Tabla 15. Pasos para planear la estrategia de TI 105
Tabla 16. Pasos para las estrategias del negocio 106
Tabla 17. Pasos para conocer y evaluar la situación del ambiente
tecnológico 106
Tabla 18. Ejercicio Conocimientos del equipo de TI 107
Tabla 19. Ejercicio lista de proveedores 107
Tabla 20. Ejercicio inventario de Software 108
Tabla 21. Ejercicio inventario de hardware 108
Tabla 22. Ejercicio principales proyectos de TI en ejecución 108
Tabla 23. Ejercicio principales procesos de TI 109
Tabla 24. Pasos para proponer un nuevo ambiente tecnológico 109
Tabla 25. Ejercicio madurez de los procesos 110
Tabla 26. Ejercicio puntos fuertes y débiles de TI 111
Tabla 27. Ejercicio acciones para la evolución de TI 111
117
 [Fundamento de Gobierno de TI]

Tabla 28. Ejercicio análisis situación actual y la propuesta para el

ambiente tecnológico 111
Tabla 29. Ejercicio visión estratégica de TI y modelo de gobierno 112
Tabla 30. Ejercicio modelo de decisiones estratégicas de TI 113
Tabla 31. Ejercicio publicar, promover y mantener las estrategias
de TI 115

118
Lista de figuras

Figura 1. Inversión en TI 17
Figura 2. Desafío de gobierno de TI 18
Figura 3. Gobierno de TI y ambiente de negocios 21
Figura 4. Alineación de los objetivos del negocio y de la TI por
medio del gobierno de TI 22
Figura 5. Relación entre TI y objetivo del negocio 26
Figura 6. Focos del gobierno de TI 28
Figura 7. Alineación entre los objetivos de TI y del negocio 29
Figura 8. Decisiones de TI 32
Figura 9. Sistema de gobierno corporativo 40
Figura 10. Relación entre gobierno corporativo y gobierno de TI 44
Figura 11. Alineamiento entre el Gobierno Corporativo y el
Gobierno de TI 45
Figura 12. Planeación estratégico de negocios 47
Figura 13. Procesos de negocios y TI 48
Figura 14. Monitoreo de los negocios 50
Figura 15. Proceso de gobierno y gerenciamiento 55
Figura 16. Implementación del CobiT5 66
Figura 17. Resumen del modelo capacidad de procesos de CobiT5 67
Figura 18. Ciclo de vida de servicios 70
Figura 19. Diagrama de ciclo de vida del servicio de ITIL 72
Figura 20. Componentes de ITIL 75
Figura 21. Estructura para la certificación en ISO 20000 77
Figura 22. Relación entre el Val IT y CobiT 88
Figura 23. Procesos del Val IT 89
Figura 24. Ejercicio soporte de TI a los negocios 104

119
Planeación y Gestión
Estratégica de las TI
Versión ESR-Colombia
Escuela Superior de Redes, ESR - Colombia

Se publicó en el mes de julio de 2014,

Publicado por RENATA,
Universidad Nacional de Colombia,
Facultad de Ingeniería
Bogotá D. C., Colombia.
En su diagramación se utilizaron caracteres DaxlinePro

Esta versión está adaptada para Ecuador gracias a CEDIA.

 www.cedia.org.ec

FUNDAMENTOS
DE GOBIERNO
DE TI

Calle La Condamine 12-109 “Casa Rivera”

Teléfono (+593) 7 405 1000 Ext. 4220
[email protected] • Cuenca - Ecuador
/FundacionCEDIA @FundacionCEDIA