La Importancia

del Gobierno de TI
en las Empresas Danilo Antúnez
Dedico este libro a mis padres y a mis hijos, que de forma
consciente o inconsciente han formado mi carácter,
conocimiento y experiencia, que en conjunto me han
llevado al éxito de forma significativa.
 PREFACIO
Las tecnologías emergentes, entre innovadoras a revolucionarias, habilitan,
en su gestión, la necesidad de algo más allá del manejo tradicional de una
empresa. La tecnología de la información, arraigada en los procesos más
importantes, necesita de una administración acorde a sus necesidades.

TI y sus proyecciones se han vuelto, independientemente de la industria,

un estándar en la ejecución de servicios, y en son de brindar normativas a
su realización, las organizaciones de gestión más importantes del mundo
crearon el estándar de Gobierno de TI.

Creada para brindar una perspectiva de unidad, el Gobierno de TI se

presenta como una ideología empresarial más que una estructura o marco de
trabajo.
Su propósito: Entregar a TI y las unidades de negocio una visión alineada.
Reconciliar a dos entidades que, en armonía, elevan la gestión de una
organización a la entrega y adquisición de valor empresarial.

El alineamiento de ambas entidades, con sus respectivas estrategias,

objetivos y recursos, es el éxito del Gobierno de TI. La alineación se
manifiesta en el entendimiento continuo de las estrategias empresariales,
en la priorización de los proyectos indicados, y en el manejo del valor
entregado por TI.

Los próximos textos exponen el Gobierno de TI en todas sus facetas,

desde sus principios a los marcos de trabajo, y el camino a lograr la valiosa
alineación entre TI y el negocio.
8
INDICE

Introducción a Gobierno de TI 13

Estableciendo los fundamentos de un Gobierno de TI 41

Elementos y Dominios de un Gobierno de TI 67

Entendiendo y Construyendo los Marcos de Control 89

Marcos de Gobierno de TI 103

Acta de Sarbanes-Oxley 137

Introducción a Basilea II 147

Efectividad y Futuro del Gobierno de TI 159

9
10
11
12
Introducción a Gobierno de TI

Introducción
a Gobierno de TI
¿Qué es el Gobierno de TI?

El Gobierno de TI es un marco de trabajo que provee una estructura

para asegurar que las organizaciones y sus inversiones de TI se apoyen
directamente en los objetivos de la empresa. La necesidad de este tipo de
marco de trabajo surge de las regulaciones Sarbanes-Oxley, una serie de
normativas para combatir fraudes financieros.

En el Gobierno general de un negocio, el Gobierno de TI juega un papel

fundamental. Esencialmente, el Gobierno de TI es una estructura diseñada
para alinear la estrategia de TI con la estrategia del negocio. Siguiendo este
marco de trabajo, las organizaciones son capaces de lograr sus objetivos con
resultados medibles. En este proceso, se toman en cuenta los deseos de las
partes interesadas y las necesidades de los empleados.

13
 Introducción a Gobierno de TI

El uso masivo de la tecnología ha creado una dependencia organizacional

hacia los recursos de TI. El Gobierno de TI consiste en el liderazgo, la
estructura organizacional y los procesos que asegurarán que TI sostiene y
extiende las operaciones y estrategias del negocio.
Actualmente, el uso del Gobierno de TI involucra modelos de alto nivel como
COBIT. La elección de un modelo de Gobierno de TI es el primer paso para
iniciar la transformación, a este le siguen la implementación del modelo y, si
se realiza exitosamente, la alineación estratégica.

Por medio del Gobierno de TI, los negocios aseguran la identificación

y evaluación exitosa de componentes importantes de TI y se supervisa
la implementación y extracción de los beneficios. Como conjunto de
procesos, el Gobierno de TI es una inversión, vigilancia y proceso de toma
de decisiones empresarial que se desempeña como una responsabilidad de
gestión organizacional.

Como parte importante, es un proceso en el que se basan las decisiones

sobre inversiones de tecnología. Esto cubre cómo se toman las decisiones,
quién toma las decisiones, quién es responsable y cómo se miden y
monitorean los resultados.

Principios del Gobierno de TI

El Gobierno de TI se rige bajo cinco principios:

- Principio del Riesgo: Las medidas y los controles se deben de ajustar a los
niveles de riesgo.

- Principio de la Idoneidad: Las necesidades de la organización definen las

características del Gobierno de TI.

14
Introducción a Gobierno de TI

- Principio del Comportamiento: La solución del Gobierno de TI define el

comportamiento de la organización.

- Principio del Despliegue: La solución de Gobierno se implementa de

manera gradual.

- Principio de la automatización: La tecnología habilita una solución de

Gobierno potenciadora.

Principios de
Gobierno de TI

Principio del
Riesgo

Principio de la Principio de
Automatización Idoneidad

Principio del Principios de Principio del

Comportamiento
despliegue
Gobierno de TI

15
 Introducción a Gobierno de TI

¿Qué organizaciones necesitan un Gobierno de TI?

- Las organizaciones sujetas a cumplimiento regulatorio.

- Las organizaciones que potencian sus modelos de negocio mediante la
eficiencia y la optimización.
- Las organizaciones que operan con TI diariamente.

¿Por qué se necesita el Gobierno de TI?

La falta de un Gobierno efectivo de TI habilita la falla perpetua de una

variedad de proyectos iniciados por TI, disminuyendo de manera notable el
valor del negocio.

La mayoría de las empresas cuentan con algún tipo de Gobierno de TI,

aunque usualmente el proceso es informal, lo cual vuelve inconsistente
a toda la empresa. Si hay un análisis final usualmente no es robusto y no
existen mecanismos formales para medir y monitorear los resultados de las
decisiones.

Muchas organizaciones implementan las iniciativas de Gobierno de TI

dentro de las unidades de TI y excluyen a los demás departamentos y sus
objetivos particulares.

La falta de un Gobierno de TI lleva a una coordinación inadecuada entre

los elementos liderado por TI y los elementos de cambio liderados por las
unidades de negocio.

Considerando que la mayoría de negocios, establecidos e insurgentes,

utilizan sistemas de TI, el impacto de un pobre Gobierno de TI no afecta

16
Introducción a Gobierno de TI

solo el mismo departamento, si no que impacta directamente los beneficios

potenciales de todo el negocio.

Un inadecuado Gobierno de TI causa un incremento de costos empresariales

a raíz de las ineficiencias en las operaciones a corto plazo, despliegues de TI
tácticos y el riesgo de violación de datos y requerimientos regulatorios.

Dejar el Gobierno de TI al azar o en procesos heredados deja a una empresa

vulnerable a riesgos. Las empresas deben priorizar la optimización de las
inversiones en TI, especialmente después de una reciente tendencia de
grandes organizaciones que llevan el rendimiento de TI al nivel de la junta
directiva.

Además del comité de auditoría convencional y el comité de compensación,

los consejos ahora forman comités de supervisión de TI para involucrarse
más con el rol de TI en la facilitación y ejecución de la estrategia de la
empresa.

Este compromiso de la administración demuestra que el Gobierno de TI no

puede existir por sí mismo, sino que debe ser un subconjunto del Gobierno
corporativo.

Es responsabilidad de la junta directiva y la gerencia ejecutiva, no solo de la

administración de TI.

El IT Governance Institute describe el Gobierno de TI como una parte

fundamental del Gobierno corporativo e incluye el liderazgo y las
estructuras y procesos organizacionales que aseguran que la tecnología
informática de la organización sostenga y cubra las estrategias y objetivos

17
 Introducción a Gobierno de TI

de la organización.

El Gobierno de TI es, en muchos casos, una vía rápida para mejorar los
controles y procedimientos de información financiera.

Esto se debe a que resulta en informes financieros más transparentes y

repetibles, hace que la transición de las capacidades de generación de
informes por lotes a en tiempo real sea más rápida, salvaguarda los datos
financieros con protección de datos y mayor seguridad y aborda los aspectos
de cumplimiento de desastres relacionados con la recuperación.

Responsabilidades del Gobierno de TI

El Gobierno de TI es responsable de lo siguiente:

- Determinar las mejores prácticas y herramientas para TI.
- Definir la arquitectura tecnológica y sus estándares para la organización.
- Crear políticas de TI que apoyan las prioridades estratégicas.
- Establecer y comunicar una visión general de TI que apoye los objetivos
empresariales.
- Asegurar que las inversiones de TI sean de beneficio para toda la
organización.

¿Cuál es la diferencia entre Gobierno de TI y

Gerencia de TI?

El Gobierno de TI y la Gerencia de TI comparten un objetivo primordial, pero

ambos apuntan a diferentes audiencias y escenarios.

18
Introducción a Gobierno de TI

El Gobierno de TI:
- Contiene estrategias para el éxito organizacional.
- Evalúa y disminuye los riesgos en son de regulaciones y controles.
- Contiene un equipo experto e inexperto en tecnología.
- Se lidera por una junta de partes interesadas y gerentes de TI.
- Se enfoca en prioridades y políticas.

La Gerencia de TI:
- Involucra acciones y decisiones diarias.
- La prioridad es la entrega de servicios de TI.
- Equipo de expertos en tecnología.
- Involucra tareas de implementación y soporte.
- Trabaja para mantener los objetivos departamentales y organizacionales.v

“Quiero “Voy a “Voy a

implementar implementar compartir una
una conexion y administrar guía de como
Wi-Fi en mi la red” utilizar la red
casa” Wi-Fi”

Elementos de cadena de
responsabilidad y comunicación

Revisión Generación Acceso de

Impelementación regular del automática de administrador
de Firewall log de nuevas limitado a una
Firewall contraseñas persona

Elementos de políticas,
estándares y medidas de seguridad

19
 Introducción a Gobierno de TI

Las Cuatro Preguntas de Gobierno de TI

El Gobierno de TI involucra cuatro preguntas determinadas en las

áreas de alineación, arquitectura, entrega y valor.
La junta de Gobierno y la gerencia las procesan de la siguiente manera:

¿QUÉ HACE LA JUNTA DE GOBIERNO?

Realizar las Establecer Enfocarse en Realizar las

preguntas el Gobierno el riesgo y en preguntas
difíciles de TI el valor difíciles

¿CÓMO REACCIONA LA GERENCIA?

Estrategia en Alineación Un marco de Tarjeta de

cascada y Organizacional trabajo de puntuación
objetivos riesgo y control comercial
equilibrada

20
Introducción a Gobierno de TI

Áreas de Enfoque del Gobierno de TI

El Gobierno de TI, en su totalidad, tiene un enfoque y subsecuente efecto en

cuatro áreas: Alineación Estratégica, Entrega de Valor, Gestión de Recursos,
Gestión de Riesgos y Medidas de Rendimiento.

Alineación
Estratégica

Entrega
de Valor

Gestión
de Recursos

Gestión de
Riegos

Medidas de
Rendimiento

21
 Introducción a Gobierno de TI

Alineación estratégica

La alineación estratégica de TI es el conjunto del compromiso y las

responsabilidades de las estrategias, las inversiones y los procesos
de las unidades de TI alineadas a apoyar la funcionalidad general
de los objetivos empresariales. La ejecución de la alineación
estratégica requiere de la integración de los siguientes componentes
empresariales:

- Operaciones
- Financiero
- Recursos humanos
- Departamentos de TI

La alineación estratégica es una ejecución sistemática que, si bien se

reconoce su importancia, se omite en la mayoría de las organizaciones.
Para remediarlo, diversos marcos de trabajo han surgido para apoyar la
alineación.

SAM [Madurez de Alineación Estratégica (Luftman)] es un marco de

trabajo que brinda las herramientas asociadas a la evaluación del nivel de
madurez de las selecciones estratégicas.

Con el modelo de Luftman y otras variaciones SAM, la alineación estratégica

de TI busca garantizar un vínculo entre los planes de la línea de negocio y el
área de TI.

La alineación estratégica se logra cuando la unidad corporativa de la

empresa se comunica de manera efectiva con los líderes de la línea de

22
Introducción a Gobierno de TI

negocio y los líderes de TI sobre costos, informes e impactos.

Proceso
Optimizado

Nivel 5

Nivel 4:
Proceso
Mejorado

Proceso
Nivel 3:
Establecido

Nivel 2:
Proceso
Comprometido

Proceso
Nivel 1: Inicial

23
 Introducción a Gobierno de TI

Entrega de valor

Las grandes inversiones de TI pueden llegar a ser una preocupación para las
unidades de negocio, ¿Dónde están los beneficios?
El objetivo de un buen Gobierno de TI es asegurar que el negocio maximice
sus ganancias de las inversiones de TI. Esta tarea requiere cambios a los
procesos de negocio.

Generalmente, el valor de las operaciones de TI se reduce en, entre otras

cosas, reducir costos e incrementar la satisfacción del cliente.

Esencialmente, la entrega de valor implica asegurar que el departamento

de TI haga lo que se requiere para entregar los beneficios establecidos al
comienzo de un proyecto o inversión.
Su ejecución ideal recae en el desarrollo de un proceso que garantice el
seguimiento rápido de ciertas funciones cuando la propuesta de valor crezca,
y la eliminación de funciones cuando el valor disminuya.

Actualmente, el esfuerzo de calcular el valor derivado de TI se reduce a

calculaciones simples de ROI. Pocas organizaciones utilizan diferentes
métodos para medir dichas ganancias.

Para la medición y entrega de valor se necesita un método más comprensivo

y sistemático. Para ello, en un esfuerzo conjunto del Instituto de Gobierno
de TI (ITGI) y COBIT, se desarrolló el marco de trabajo VAL IT, especializado
específicamente para mejorar la entrega y la medición de valor.

24
Introducción a Gobierno de TI

Gestión de recursos

Una empresa puede administrar los recursos de manera más efectiva

organizando a su personal de manera más eficiente, es decir, en categorías
de:

- Habilidad
- Experiencia
- Especialidad

Esto hace posible que las organizaciones implementen empleados en varias

líneas de negocios en función de la demanda.

Gestión de riesgos

Esto requiere establecer un marco formal de riesgos para asegurarse de que

TI mida, acepte y administre los riesgos de manera precisa e informe sobre
lo que el departamento está manejando en términos de riesgo.

Medidas de desempeño

Esto requiere una estructura de construcción para medir el desempeño del

negocio. Un método de uso común establece una tarjeta de puntuación
comercial equilibrada de TI. Esto identifica las contribuciones de TI
realizadas para lograr los objetivos comerciales de la organización y el uso
responsable de los recursos y el desarrollo de las personas. Los resultados
vienen en medidas cualitativas y cuantitativas.

25
 Introducción a Gobierno de TI

Los Cuatro Pilares del Gobierno de TI

Arquitectura Empresarial
La arquitectura empresarial es la organización fundamental de un sistema y
la relación de sus componentes con el contexto que les rodea.

La arquitectura empresarial tiene como objetivo la creación de un ambiente

unificado de TI en toda la organización y sus departamentos. Dentro de ese
objetivo, la arquitectura de una organización busca promover los elementos
esenciales del Gobierno de TI (alineación, estandarización, utilización de
activos de TI).

En su realización, la arquitectura empresarial establece un mapa de los

procesos de negocio y los activos de TI para poder identificar la manera en la
que el negocio se exprese en TI.

Existen diversos marcos de trabajo para crear una arquitectura empresarial,

tanto para uso gubernamental como empresarial. El marco de trabajo
TOGAF, creado por un consorcio, es el más reconocido.

Una arquitectura empresarial adecuada cumplirá la labor de minimizar

los costos de un soporte a largo plazo y habilitar a TI a ser reactivo a las
necesidades de un negocio. Sin embargo, los beneficios de las estrategias a
largo plazo no siempre coinciden con las metas de proyectos en particulares.
Para su solución, las empresas pasan de un modelo de etapas a un conjunto
de herramientas integrado a los flujos de trabajo.

26
Introducción a Gobierno de TI

La mayoría de marcos de trabajo de arquitectura contienen los siguientes

elementos:

Arquitectura Empresarial Arquitectura de Información

Documentación que Ubicación y acceso a la

delinea los procesos información clave.
más importantes del
negocio.

Arquitectura de Sistemas Arquitectura de Tecnología

de Aplicación de Infraestructura

Mapa de las relaciones Arquitectura de la gama

entre las aplicaciones de software,
de software. almacenamientos y
redes empresariales.

Manejo de portafolio

El manejo de portafolio se define como el proceso de supervisar y mantener

todos los recursos de TI en son de su inversión y viabilidad financiera.
Un portafolio de TI se crea para desarrollar y medir el valor empresarial de
TI.

Este se desarrolla alrededor de herramientas que miden los costos, riesgos y

beneficios de la implementación de un determinado recurso de TI.

La clave para el manejo de un proyecto clave con la utilización de pocos

recursos recae en el desarrollo de un proceso que genere portafolios y aporte
suficiente valor al negocio. El proceso debe de ser ágil para reducir costos.

27
 Introducción a Gobierno de TI

No debe de ser muy limitado pues los tomadores de decisiones se verían

incapaces de obtener la información que requieren. En cambio, si el proceso
es demasiado complejo, los accionistas se verán con la necesidad de librarse
de la tarea. Un manejo de portafolios ideal es completo en su información,
pero sobre todo accesible.

Manejo de proyectos

En el manejo de proyectos, el producto se entrega, comúnmente, en

partes incompletas tanto en presupuesto como en funcionalidades. El
manejo efectivo de proyectos mejora el éxito de un departamento, y el
establecimiento de un Gobierno a nivel de proyectos es ideal para que esto
suceda. Para ello, se debe incluir una oficina de manejo de proyectos (PMO).
La oficina de manejo de proyectos es una entidad organizada a la cual se le
asignan responsabilidades relacionadas al manejo centralizado y coordinado
de los proyectos.

¿Por qué se necesita?

Los departamentos de TI suelen tener dificultades a la hora de entregar

proyectos a tiempo y dentro de un presupuesto, lo cual, a la hora maximizar
el valor de TI, es un detractor importante.

La entidad busca mejorar la eficiencia de TI, reducir costos y optimizar la

entrega de proyectos en características de tiempo y presupuesto. Además,
brinda una estructura de estandarización de prácticas de manejo de
proyectos junto a las metodologías recomendadas.

28
Introducción a Gobierno de TI

Las áreas de Gobierno PMO

Manejo de
Proyectos

Seguro de
Calidad
PMO DE
GOBIERNO Diseño y
Desarrollo

Manejo de
Cambios

29
 Introducción a Gobierno de TI

Manejo de Proyectos:
- Forma de Iniciación de Proyecto.
- Procedimiento de Proyecto.
- Plan de Proyecto.
- Estatus de Proyecto.
- Documento de Revisión de Proyecto.
- Firma de Proyecto.
- Hojas de tiempo.
- Cierre de Proyecto Diseño y Desarrollo.

Diseño y Desarrollo
- Especificación de requerimiento de sistemas.
- Diseño de base de datos.
- Documento de especificaciones técnicas.
- Documento de diseño.
- Plan de desarrollo.
- Pasos de despliegue Manejo de cambios.

Manejo de Cambios
- Rastreo de cambios.
- Matriz de trazabilidad.
- Carta de mantenimiento.

Seguro de Calidad:
- Lista de revisión de código.
- Informes de defectos.
- Casos de prueba.
- Nota de lanzamiento.
- Lista de verificación de la unidad de prueba.

30
Introducción a Gobierno de TI

Riesgo y seguridad de información

La emergencia de TI en el mercado general y el surgimiento de nuevas

plataformas en la nube ha causado que la información de una empresa
quede fuera de sus sistemas de seguridad. Por ello y el riesgo de ataques, el
Gobierno de TI de planes, políticas y marcos de control es ideal para que una
organización proteja adecuadamente su información.

Un Gobierno efectivo de TI requiere de un sistema de manejo de seguridad.

Este contiene las políticas y los procedimientos que cubren los aspectos
físicos y técnicos necesarios para una seguridad rígida.

La seguridad de la información se basa en tres

principios:

- Disponibilidad de la información y correcto funcionamiento de los

canales de comunicación.
- Integridad de la información frente a modificaciones sin autorización y
consistencia de la misma.
- Confidencialidad de la información con el acceso de solo personal
autorizado.

La normativa ISO 27001 es el estándar internacional para un sistema de

manejo de seguridad.

31
 Introducción a Gobierno de TI

La Importancia del Gobierno de TI

Muchas organizaciones dependen de la implementación de sus sistemas

de información y comunicaciones. Estos habilitan la eficiencia de sus
operaciones y transforman sus planes en acciones. Aun así, un Gobierno
inadecuado sobre estos elementos no dará los resultados esperados, y el
cambio de un plan estratégico a una acción estratégica no se podrá realizar.

Los siguientes problemas pueden surgir de un Gobierno

inadecuado:

- La entrega de programas y proyectos incompletos

- Se excede del presupuesto establecido y se reduce el alcance del proyecto
- Se acorta el proyecto para cumplir con la fecha limite
- Los problemas se ignoran y permanecen

Un Gobierno de TI permite, entre otras cosas, que las

unidades de TI entreguen mayor valor a la empresa
mediante la facilitación de decisiones de TI, que a su vez
mejora las inversiones realizadas. Sus efectos son los
siguientes:

- TI se vuelve más ágil y efectivo en los costos.

- Menos riesgo dentro de TI.
- TI es capaz de apoyar las metas estratégicas del negocio.
- Brinda ventaja competitiva al negocio.

Las buenas prácticas de un Gobierno de TI permiten que TI se maneje como

un negocio, garantizando así que los activos se mantengan movilizados para

32
Introducción a Gobierno de TI

la realización de iniciativas empresariales.

El fin de un Gobierno de TI es brindar estados estandarizados a las empresas,

tanto en TI como en sus servicios. Los marcos de control y mejora continua
como lo son ITIL, COBIT, ISO-9000 y CMMI permiten que lo mencionado
anteriormente se vuelva una realidad.

El Gobierno de TI reduce los riesgos de operaciones y marcos de control

involucrados en el manejo de finanzas, ejecutivos y líneas de producto.

La característica colaborativa de un Gobierno lleva a mejores decisiones y

crea un estado de control.

Las ventajas de un Gobierno de TI

Las organizaciones que implementen resoluciones de Gobierno de TI y sus

respectivos procesos obtienen las siguientes ventajas:

- Alineación de TI con las metas de la empresa.

- Mayor efectividad de proyectos TI.
- Manejo efectivo de proyectos y portafolios.
- Reducción de riesgos TI.
- Apoyo en la medición de desempeño.
- Optimización de operaciones TI.
- Integración de TI dentro de la cultura de la organización.
- Mejor entrega de proyectos TI.

33
 Introducción a Gobierno de TI

Desventajas de un Gobierno Corporativo

Incluso siendo una empresa privada, las leyes del Gobierno federal
aplican con el propósito de controlar el abuso de recursos dentro de las
organizaciones.

Separación de gestión y de propiedad

Los oficiales y directores que lideran las operaciones diarias y toman las
decisiones políticas no necesariamente se identifican como una parte
interesada. Esto es potencialmente un problema en empresas grandes
dentro de la bolsa de valores. Los activos, en este caso, recaen bajo el mando
de la junta directiva cuando los accionistas no tienen interés de control.

Por esta separación de propiedad y directores, pueden surgir conflictos

de interés entre el deber de un director de maximizar las ganancias de los
accionistas y maximizar sus propias ganancias.

Intercambio ilegal de acciones

Ya que los ejecutivos, directores y empleados pueden tener acceso

a información de la empresa que no se encuentra públicamente, el
intercambio de acciones dentro de la empresa, aunque no prohibido, es
bastante regulado.

El intercambio ilegal se realiza específicamente cuando un director o

empleado vende acciones a otro individuo que no posee el conocimiento de
información clasificada. Incluso aplica a auditores externos o reguladores
del Gobierno. En este caso, para realizar un intercambio, se debe de reportar

34
Introducción a Gobierno de TI

a la Comisión de Seguridad e Intercambio.

Reportes financieros engañosos

Un informe financiero veraz puede ser presentado de una manera engañosa

a los inversores. Causando así una inversión riesgosa enmascarada por
supuestos beneficios.

Costos de regulación

Cumplir con estas leyes corporativas puede ser muy costoso, por lo que
legisladores establecieron el acta de intercambio de 1933, la cual requiere
que toda organización que planee entrar a la bolsa de valores debe de
presentar informes de costos de cumplimiento a los inversores.

El acta de Sarbanes-Oxley de 2002, por ejemplo, requiere que toda empresa

pública implemente controles internos para asegurar la veracidad y
exactitud de los informes financieros.

Valores del Gobierno de TI

Para una implementación exitosa de un Gobierno de TI se

deben de considerar los siguientes valores:

- Transparencia de decisiones y derechos dentro de la estructura.

- Comunicación entre unidades y departamentos de manera consistente.
- Cumplimiento de las responsabilidades de los departamentos y comités.
- Resultados sobre implementación y manejo de proyectos.
- Representación adecuada de todos los departamentos.

35
 Introducción a Gobierno de TI

- Soporte continuo de reuniones y comunicación por parte de todo

empleado.

36
37
38
39
40
Estableciendo los fundamentos de un Gobierno de TI

Estableciendo los fundamentos

de un Gobierno de TI
Ahora que el concepto de Gobierno de TI se encuentra definido, proseguimos
a establecer los procesos que servirán como bases para la implementación de
un Gobierno de TI.

Este se encuentra dividido en tres partes:

- Entender los objetivos de un Gobierno de TI

- Entender como problemas de estructura afectan el Gobierno de TI
- Entender la madurez del Gobierno de TI.

Hay cuatro objetivos que impulsan el proceso; Valor de TI y su alineación,

roles de responsabilidad, medida de desempeño y manejo de riesgos.

41
 Estableciendo los fundamentos de un Gobierno de TI

Gobierno
de TI

Valor de TI Medida
y su alineación de Desempeño

Manejo Roles de
de Riesgos Responsabilidades

Valor de TI y su alineación

Establecer los valores del departamento de TI y alinear el trabajo a una sola

meta es un objetivo principal del Gobierno de TI. El establecimiento de
estructuras y sistemas alrededor de las inversiones de TI trae a la directiva
el impulso de aprobar y presupuestar proyectos alineados a los objetivos
estratégicos de la empresa.

42
Estableciendo los fundamentos de un Gobierno de TI

Valor de TI y su alineación

Establecer los valores del departamento de TI y alinear el trabajo a una sola

meta es un objetivo principal del Gobierno de TI. El establecimiento de
estructuras y sistemas alrededor de las inversiones de TI trae a la directiva
el impulso de aprobar y presupuestar proyectos alineados a los objetivos
estratégicos de la empresa.

Medición de desempeño

Las responsabilidades en el Gobierno de TI representan su valor en hojas de

puntaje. Este documento de balance consiste de cuatro enunciados: Valor de
TI, Usuario, Excelencia de operación y orientación futura.

Dos de los enunciados miden el valor de TI y el manejo de riesgos, que

a su vez son dos objetivos de Gobierno de TI. La perspectiva de Valor de
TI contiene medidas específicas al alineamiento y valor de TI, mientras
la perspectiva de excelencia operacional mide el manejo de riesgos con
procesos de TI.

Manejo de riesgos

Por el aumento de valor en actividades de TI, los riesgos de este aumentan

en importancia y se presentan como prioridad a la hora de mitigarlos. Los
riesgos pueden ser ataques a la seguridad de la empresa, desde hackers a
robos de identidad y violación a la privacidad, o en temas de proyectos, como
recuperación de sistemas en medio de apagones y fallas de proyectos.

43
 Estableciendo los fundamentos de un Gobierno de TI

Roles de responsabilidad

La responsabilidad del Gobierno de TI, específicamente la integridad y

credibilidad de su información financiera y controles, recae sobre los
directores ejecutivos, según lo establecido en la legislación Sarbanes-Oxley.
En cambio, los gerentes de TI se encuentran a cargo del retorno de inversión
y credibilidad de información y control de TI.

Las Estructuras Organizacionales en El Gobierno

de TI

Antes de crear y administrar un Gobierno de TI, es necesario entender las

estructuras y el marco del mismo. Las cuatro estructuras organizacionales
principales de TI son:
- Centralizada.
- Descentralizada.
- Federada.
- Basada en proyectos.

Definidos por sus procesos de toma de decisiones, cada tipo de estructura

presenta diferentes desafíos a la hora de implementar un Gobierno de TI.

La estructura centralizada: se define por el mando de un solo CIO (gerente

de información) sobre todos los sistemas, presupuestos y toma de decisiones
de TI.

Esta estructura es más fácil de manejar y requiere de menos esfuerzo para

implementar, aunque el sistema está en riesgo de caer en una autocracia,
donde los grupos operadores y otras unidades de negocio no tienen voz

44
Estableciendo los fundamentos de un Gobierno de TI

en las decisiones. En este caso, el CIO coordina junto al CEO y el equipo

ejecutivo todas las operaciones y procesos del Gobierno de TI.

La estructura descentralizada: contiene cada función de TI en diferentes

unidades de Gobierno de TI. Los grupos realizan su trabajo de manera
independiente sin comunicación con otros grupos o ejecutivos de la
corporación. En muchos casos utilizan sus propias organizaciones para el
desarrollo de aplicaciones y presupuestos y no existe un proceso formal para
la conexión entre unidades de negocio o unidades corporativas.

Estos se dirigen con sus propios CIO, por lo que las decisiones se
implementan únicamente en una unidad a diferencia de en toda la empresa.
Por esta razón, existe la duplicación de aplicaciones o información y la falta
de retroalimentación grupal. La tarea en este caso es la de crear un proceso
de Gobierno de TI a nivel empresarial que permita compensar los problemas
de una unidad descentralizada.

La estructura federada: se caracteriza por su tipo hibrido de unidad central

que maneja toda la infraestructura y unidades de la empresa en ambientes
compartidos. Esta estructura intenta combinar los beneficios de elementos
centralizados y descentralizados, lo cual presenta sus propios desafíos.

Las unidades de negocio se encargan de sus propias aplicaciones y recursos

de desarrollo, por lo que aumenta su productividad, pero presenta problemas
de balance a la hora de inversiones de infraestructura y sus estándares.

Las estructuras en base proyectos: son una novedad. Se caracterizan

por sus recursos centralizados en una sola ubicación e informes a un CIO
corporativo. En este caso, difieren de la estructura centralizada

45
 Estableciendo los fundamentos de un Gobierno de TI

en el desarrollo de aplicaciones. En lugar de un grupo de desarrollo de

aplicaciones tradicional, una estructura se construye alrededor de grupos
de recursos o grupos de competencia que contienen recursos similares. El
gerente de línea tradicional es remplazado por un administrador de recursos
para cada grupo de recursos.

La estructura se desempeña a base del manejo de recursos y personal

calificado para las necesidades del proyecto. Por esta razón, esta estructura
necesita un mecanismo solido de Gobierno que permita ser eficaz, logrado
a través de una toma de decisiones y financiación exitosa por parte de los
gerentes. El desafío en este caso es en la selección y financiación adecuada
de proyectos.

Madurez de Gobierno de TI

Para evaluar la madurez del Gobierno de TI, se utilizan modelos de

evaluación conocidos como etapas de crecimiento. El concepto de la
madurez es un objetivo móvil y dinámico que se define como un proceso
específico para definir, manejar y medir el desarrollo de una entidad.

El estado óptimo de un nivel de madurez se alcanza de diferentes maneras.

La distinción de las organizaciones a cada sistema de madurez se asocia
con los indicadores utilizados dependiendo del nivel de desarrollo de una
organización.

Los modelos de madurez se definen con una serie de niveles secuenciales

que forman un camino lógico o anticipado, desde el inicio a la última etapa
de madurez.

46
Estableciendo los fundamentos de un Gobierno de TI

Las evaluaciones al modelo de madurez resultan en una guía para la mejora

de procesos. La mejora de procesos es una forma de optimizar el enfoque
para organizar y mejorar los procesos del negocio. Una de las maneras
de mejorar los procesos es ejecutarlos en cumplimiento de las normas
legislativas, por ejemplo.

La mejora de un proceso suele resultar en un rediseño que busca satisfacer

las necesidades y expectativas de las partes interesadas. Esto significa el
cambio o incluso desarrollo desde cero de un proceso determinado. La
reingeniería de un proceso inicia desde la determinación de cómo debe
ser cambiado para cumplir las demandas. Un ejemplo común de ello es la
transición de un servicio presencial a uno en línea, el cual se lleva a cabo
con el proceso descrito en la norma de ISO/IEC 15504:

47
 Estableciendo los fundamentos de un Gobierno de TI

en el desarrollo de aplicaciones. En lugar de un grupo de desarrollo de

aplicaciones tradicional, una estructura se construye alrededor de grupos
de recursos o grupos de competencia que contienen recursos similares. El
gerente de línea tradicional es remplazado por un administrador de recursos
para cada grupo de recursos.

La estructura se desempeña a base del manejo de recursos y personal

calificado para las necesidades del proyecto. Por esta razón, esta estructura
necesita un mecanismo solido de Gobierno que permita ser eficaz, logrado
a través de una toma de decisiones y financiación exitosa por parte de los
gerentes. El desafío en este caso es en la selección y financiación adecuada
de proyectos.

Madurez de Gobierno de TI

Para evaluar la madurez del Gobierno de TI, se utilizan modelos de

evaluación conocidos como etapas de crecimiento. El concepto de la
madurez es un objetivo móvil y dinámico que se define como un proceso
específico para definir, manejar y medir el desarrollo de una entidad.

El estado óptimo de un nivel de madurez se alcanza de diferentes maneras.

La distinción de las organizaciones a cada sistema de madurez se asocia
con los indicadores utilizados dependiendo del nivel de desarrollo de una
organización.

Los modelos de madurez se definen con una serie de niveles secuenciales

que forman un camino lógico o anticipado, desde el inicio a la última etapa
de madurez.

48
Estableciendo los fundamentos de un Gobierno de TI

Modelo de Madurez de Gobierno de TI

49
 Estableciendo los fundamentos de un Gobierno de TI

Ad hoc

Las empresas que aún no cuentan con procesos formales de Gobierno

de TI se encuentran en esta primera etapa de madurez, donde la
gerencia no ve la necesidad de un Gobierno. Las inversiones de TI se
realizan provisionalmente. Es muy común en organizaciones altamente
descentralizadas.

Fragmentado

En esta etapa, la empresa hace un intento en formalizar los procesos de

Gobierno, pero de manera fragmentada, con unas unidades teniendo sus
beneficios y otras no. Las decisiones de TI en este caso son optimizadas,
pero existe una falta de coordinación en temas de inversión entre las
unidades del negocio y las corporativas.

Consistente

Las empresas tienen procesos formalizados a través de la empresa de

manera exitosa, con coordinación de aceptación de procesos y decisión de
inversión recayendo en la perspectiva empresarial.

Mejores Prácticas

En esta última etapa, los procesos de Gobierno son implementados y

optimizados en toda la empresa. La organización cuenta con un portafolio
completo de manejo de procesos para maximizar la toma de decisiones. Los
ejecutivos son participantes activos en el proceso de Gobierno, que a su vez
toma parte de la estrategia de la empresa.

50
Estableciendo los fundamentos de un Gobierno de TI

La estrategia que elija la empresa para alcanzar el estado de Gobierno de TI

será diferente en cada organización, aunque se recomienda que se alcance a
realizar decisiones con el input de cada departamento, director y unidades
pequeñas de negocio

Los nuevos comités de Gobierno pueden tomar decisiones, o se pueden

tomar decisiones dentro de las estructuras de organización existentes.
El objetivo es, las decisiones deben hacerse utilizando las opiniones de
diferentes disciplinas fuera de los departamentos tradicionales y límites de
la jerarquía de gestión.

Una vez que estos comités se junten, se crean los objetivos y prioridades
de alto nivel de Gobierno . Estos funcionaran como guía a la hora de tomar
decisiones. Los objetivos pueden ser soporte a una visión de datos de
clientes o subcontratar funciones secundarias de IT, siempre y cuando estén
bien definidas.

Una vez se hayan establecido las metas para el

Gobierno de TI se prosigue a los siguientes pasos:

- Establecer nuevas estructuras organizacionales para servicios importantes

de TI, como centros de calidad u oficinas de administración de
proyectos.
- Implemente sistemas de reporte que permitan que las acciones de TI sean
visibles y manejables.
- Desarrolle medidas que conectan el desempeño de TI a objetivos de la
organización junto a monitoreo de proyectos y sus elementos.
- Garantizar un manejo adecuado de los recursos de TI.
- Automatizar tareas y operaciones y tareas rutinarias de TI.

51
 Estableciendo los fundamentos de un Gobierno de TI

La automatización de procesos le permite invertir más recursos a actividades

estratégicas a expensas de los gastos diarios.
Si el Gobierno de TI adopta la línea de lenguaje y pensamiento de los
manejadores de operaciones y finanzas, las iniciativas de avance se
implementarán más rápido. El equipo de Gobierno de TI debe utilizar
métricas de igualación de gastos y tasa de rendimiento, en caso de que los
directores financieros piensan acerca de las inversiones en términos de
periodo de recuperación y la tasa interna de retorno (TIR).

Los equipos de Gobierno de TI tienen la tarea de mejorar los retornos de la

inversión y los gastos totales de propiedad utilizando tácticas avanzadas que
incluyen gastos capitales, tasas de descuento y factores de riesgo. Los que
apoyan el Gobierno de TI pueden volver la idea más aceptable a través de
la demostración de cómo ayuda al cumplimiento de metas financieras y el
traslado de recursos capitales a recursos virtuales.

El Gobierno de TI es de beneficio para los ejecutivos, propietarios de

acciones, unidades de negocio y los gerentes de IT y otros departamentos a
lo largo de la empresa. En su implementación, todos los mencionados ven su
importancia.

La Madurez del Gobierno de TI y Recursos

Humanos en las PYMES

Las PYMES juegan un papel importante en desarrollar la economía global.

El desarrollo de las PYMES afecta directamente el crecimiento de un país, ya
que las mismas proveen la mayor cantidad de empleos.

52
Estableciendo los fundamentos de un Gobierno de TI

La presencia de TI en las PYMES radica de la simple estructura de las

mismas, la falta de especialización de actividades y el manejo ajustado de
los recursos de personal, finanzas y material. Por ello, es especialmente
importante utilizar un marco de Gobierno de TI que utilice los recursos de
manera óptima.

El siguiente es el diagrama del modelo de madurez para las PYMES:

Los planes de TI no suelen estar alineados con las

estrategias del negocio.

De manera ad hoc, TI reconoce la importancia de

evaluación de usuario, TI analiza las necesidades y
requerimientos caso por caso.

No existe un mecanismo estendarizado para evaluar la

contribución de TI al negocio, por lo cual la alineación
estratégica es inadecuada.

53
 Estableciendo los fundamentos de un Gobierno de TI

NIVEL 2
MANEJADO
Y Si bien TI no se encuentra integrado en el negocio, los
ESTABLECIDO planes estratégicos de TI se encuentran alineados a los
del negocio. Existe una dependencia operacional de TI
con un enfoque en la automatización de tareas
repetitivas.

54
Estableciendo los fundamentos de un Gobierno de TI

PORTAFOLIO ESTRATÉGICO

Aquellos proyectos que pueden automatizar tareas

repetitivas buscando reducir costos son partes de un
portafolio emergente.

El portafolio incluye solicitudes de usuario con más

énfasis. Se hace omisión a las evaluaciones estratégicas.

El portafolio se orienta a operaciones y no a una

contribución estratégica.

Los portafolios no se articulan siempre a entregar los

niveles esperados de servicio.

Punto de Vista de Recursos Humanos: Las capacidades de recursos humanos de

TI deben acompañar las necesidades de desarrollo de proyectos y programas. En
caso de necesitarlo, se debería tercerizar el servicio

55
 Estableciendo los fundamentos de un Gobierno de TI

PORTAFOLIO ESTRATÉGICO

Ya que los planes de TI se encuentran alineados a los

planes de negocio, el portafolio se vuelve un elemento
estratégico.

NIVEL 2
MANEJADO
Y
ESTABLECIDO

56
Estableciendo los fundamentos de un Gobierno de TI

PROYECTOS

Los proyectos implementados son aquellos que tienen

costos menores y automatización de procesos
repetitivos.

Los proyectos tienden a ser seleccionados por la

presión de usuarios y no por su valor empresarial.

NIVEL 1
AD HOC

Los proyectos implementados no toman en cuenta la

arquitectura de TI. No suelen proveer valor al negocio.

Punto de Vista de Recursos Humanos: A causa de las características del proyecto

implementado, es importante que recursos humanos se entrene en las tecnologías
del negocio.

57
 Estableciendo los fundamentos de un Gobierno de TI

PROYECTOS

Los proyectos son seleccionados acorde a las

estrategias y prioridades del negocio.

Se establece que proyectos se van a implementar

tomando en cuenta las necesidades del usuario y las
estrategias del negocio.
NIVEL 2
MANEJADO
Y
ESTABLECIDO
Los proyectos seleccionados deben estar dentro del
rango de aquellos que contribuyen a las estrategias del
negocio.

58
Estableciendo los fundamentos de un Gobierno de TI

OPERACIONES

Las operaciones se controlan individualmente.

No hay una visión clara del futuro de los servicios.

NIVEL 1
AD HOC

La contribución al negocio es entregada por el servicio

completo.

Los servicios se manejan de manera AD HOC.

Punto de Vista de Recursos Humanos: La calidad de los servicios se mide en

términos operacionales y no en el contexto estratégico. El personal se debe
entrenar en la calidad de servicios de TI.

59
 Estableciendo los fundamentos de un Gobierno de TI

OPERACIONES

Las operaciones deben de satisfacer las

necesidades de diferentes usuarios de los servicios de
NIVEL 2 TI.
MANEJADO
Y
ESTABLECIDO
Las operaciones deben satisfacer las necesidades del
negocio establecidas a través de las estrategias de TI.

La cualidad de los servicios recae en la implementación

de estándares.
Los planes de entrenamiento de recursos humanos son
implementados.

60
Estableciendo los fundamentos de un Gobierno de TI

Alcanzando el Gobierno de TI

Las diversas opciones de estrategias abren las puertas a diferentes enfoques

para alcanzar el Gobierno de TI, por lo que su realización es diferente en
cada organización. Se recomienda enfocarse en un proceso de toma de
decisiones que involucre personal desde los departamentos a la gerencia.
Las decisiones, sea desde comités recién creados o estructuras ya existentes,
se deben tomar mediante el aporte de diferentes disciplinas y roles dentro
de la organización.
Al juntar los comités que toman decisiones, los objetivos y prioridades del
Gobierno de TI de alto nivel se establecen, guiando las actividades de toma
de decisiones.

Una vez establecidos los objetivos, se prosigue a:

- Establecer nuevas estructuras de TI para servicios importantes.
- Procesar el manejo de demandas, portafolios y reportes para brindar
visibilidad y manejo a TI.
- Desarrollar medidas para relacionar el desempeño de TI con los objetivos
del negocio.
- Garantizar el manejo adecuado de los activos de TI.
- Implementar la automatización de procesos para operaciones rutinarias de
TI.

Las Estrategias de Manejo Financiero

Si los comités de Gobierno adoptan los lenguajes y prácticas de los

operadores financieros, las iniciativas del Gobierno de TI avanzaran más
rápido.

61
 Estableciendo los fundamentos de un Gobierno de TI

Los comités de Gobierno se encargan de brindar una mejora al retorno

de inversión mediante técnicas de costos de capital, valor en riesgo, y
oportunidades de costos.

62
Estableciendo los fundamentos de un Gobierno de TI

63
64
65
66
Elementos y Dominios de un Gobierno de TI

Elementos y Dominios de un
Gobierno de TI
Los conceptos y herramientas importantes en este caso son las estructuras,
procesos y bases de control. Las unidades organizativas que toman
decisiones son un área importante para la investigación y estudio inmersos
en los sistemas estratégicos de la información, en este caso la estructura
organizacional es muy importante para agilizar la estrategia.

Los expertos afirman que aun cuando la estructura facilita el éxito de una
estrategia, no es la estrategia en sí. Del mismo modo, el Gobierno de TI no es
una estructura en sí, sino que es facilitada por una estructura aplicable.

La mayoría de los artículos de Gobierno de TI se enfocan en la definición y

clasificación de estructuras disponibles
o planeadas para el Gobierno de TI.

Tres modelos básicos de un Gobierno de TI son:

- Centralizado
- Descentralizado
- Federado

67
 Elementos y Dominios de un Gobierno de TI

La adquisición de un modelo centralizado indica la autoridad de sistemas de

información corporativa como IS en las decisiones en temas de TI. El modelo
descentralizado toma una variedad de configuraciones, pero demuestra el
posicionamiento de IS en divisiones lejos de los puestos corporativos.

Por otro lado, el modelo federado es un híbrido que posiciona IS en unidades

de negocio y en puestos ejecutivos
Recientemente cinco decisiones importantes de TI fueron definidas:
Principios de TI, arquitectura de TI, estrategia de infraestructura de TI,
priorización e inversión en IT, necesidades de aplicaciones de negocio. Estas
son seis ideas de Gobierno que definen las personas que toman parte en
las decisiones que incluye los monarcas de negocio, monarca de TI, feudal,
federal, duopolio y anarquía.

Marcos de control

Una definición general de los marcos de control es que son un set de

procesos, políticas y procedimientos que permiten una organización
la medición, el monitoreo y evaluación de sus estándares definidos
anteriormente.

Muchos factores impulsan la implementación de un marco de control:

- Control de regulación o finanzas.

- Control de las decisiones acerca de las inversiones de TI.
- Creando una alineación estratégica.
- Seguridad.

68
Elementos y Dominios de un Gobierno de TI

Los marcos presentes se diferencian dependiendo de su enfoque. Unos se

enfocan en controlar las perspectivas financieras o controlar la adquisición,
obtención y despliegue, o incluso alinear el departamento de TI con la
estrategia del negocio.

El marco de COBIT ha sido desarrollado para regular controles de IS. La

herramienta de SAC se utiliza en auditorias de IS y tecnología. Por otro lado,
el marco de COSO se utiliza para brindar información a los especialistas de
evaluación de sistemas de control - SAS 55 y su variación 78 trabajan con
auditores externos y en los efectos de controles internos en enunciados
financieros.

El portafolio de aplicaciones brinda una manera de coordinar sistemas de

información presentes o proyectados y medir la contribución de cada una
al negocio. Esta fue desarrollada al inicio para monitorear el desempeño y
poder apoyar a las organizaciones en la evaluación del éxito. Actualmente
funciona para medir y monitorear los procesos de TI.

Las necesidades que dictan el mantenimiento adecuado de controles

internos son el manejo de riesgos y reducción de riesgos. Los avances
de tecnología e IS han permitido que una nueva ola de riesgos, como las
relacionadas al fraude, se hagan presente en las empresas. Dejando a un
lado los riesgos económicos asociados al fraude causados por despliegues
inadecuados de TI, el proceso de planeación de TI presenta sus propios
riesgos. Existe un aumento de necesidad para un proceso efectivo y
estructurado de planeación TI que exige a los gerentes a realizar más con
menos.

69
 Elementos y Dominios de un Gobierno de TI

Los requerimientos de auditoria se cruzan continuamente con los marcos

de control para la entrega de procesos e información que los auditores
necesitan. La tecnología de la información y el almacenamiento de archivos
electrónicos ha creado problemas a los auditores que intentan evaluar la
integridad de la información financiera dentro de esos sistemas. En este
caso, es importante para las empresas que manejen los problemas tales
como la identificación de riesgos y oportunidades junto a la capacidad de
responder a ellos. Esto permite a la empresa mantener una ventaja en el
futuro. Los profesionales consideran este proceso como parte del modelo
de Gobierno corporativo, donde TI y su Gobierno brindan apoyo en su
desarrollo. Las empresas administran los recursos que brindan información
útil para alcanzar las metas con procesos de TI.

Paralelamente a como la estrategia de IS debe de estar lado a lado con

la estrategia de negocio, el Gobierno de TI debe de estar alineado con el
Gobierno de TI de su corporación.

Este incluye una movilización de comités, mecanismos presupuestarios,

balances y cheques, realización de reportes etc. Debe haber un modelo
de responsabilidades dentro de los procesos y un aprendizaje entre
implementaciones a través de cambio iterativos. Esto asegurara un mejor
ambiente para compartir y reutilización de activos TI. Si los procesos se
muestran efectivos, la organización tendrá un Gobierno efectivo de TI. Cabe
notar que las políticas y procedimientos no componen el Gobierno de TI;
solo son mecanismos que brindan soporte en la operación de TI, pero no
juegan un papel en su definición. Por ello, los expertos han optado por quitar
a las políticas y procedimientos como parte de la definición de un Gobierno
de TI.

70
Elementos y Dominios de un Gobierno de TI

El Gobierno de TI representa sus componentes esenciales de la

siguiente manera:

- El Gobierno de TI brinda valor y un mejor manejo de riesgos.

- La entrega de valor a la empresa es probablemente su característica más
importante.
- Brindar valor empresarial solo es posible si existe una alineación de
estrategia y recursos.
- Las mediciones de desempeño brindan una clara visión de un éxito o un
fracaso.

Tabla de Puntaje (BSC)

¿Cómo se comprueba la efectividad del Gobierno de TI?

¿Qué medición se utiliza para identificar si hay controles
adecuados?

La tabla de puntaje (balanced score card) provee un recurso para tomar

decisiones estratégicas a través del monitoreo de las áreas de TI y el negocio.
Mediante esta herramienta, las organizaciones son capaces de alinear las
actividades organizacionales y monitorear las comunicaciones internas y
externas.

El balanceo de medidas financieras y no financieras permite identificar

el proceso y efectividad de la implementación de Gobierno de TI. En el
desarrollo de un modelo de Gobierno de TI.

71
 Elementos y Dominios de un Gobierno de TI

El siguiente diagrama demuestra la misión y

estrategia de cada perspectiva:

Valor de TI Orientación a futuro

- Asegurar Gobernanza de TI.
- Alineación de TI con objetivo
de negocio.
- Entrega de Valor.
- Manejo de Costos.
- Manejo de Riesgos.
- Lograr sinergia
intraempresarial.

Orientación a Usuario Excelencia Operacional

-Midiéndose a las expectativas
del negocio. - Realización de funciones de
TI con mayor credebilidad e
Proveedor de Servicios impacto.
-Costos competitivos - Proceso maduro interno de
demostrativos. TI.
- Entrega de buen servicio. - Manejar desempeño de
servicio operacional.
Contribución Estratégica - Realizar economías de escala.
-Impacto positivo en procesos - Desarrollar plataformas
de negocio. estandar de tecnología.

72
Elementos y Dominios de un Gobierno de TI

Perspectiva Representación

Valor de TIE l valor del negocio de las inversiones de TI.

Orientación a Futuro Recursos humanos y tecnológicos necesarios

para entregar servicios de TI.

Excelencia Operacional Los procesos de TI empleados para entregar

y desarrollar las aplicaciones.

Orientación a Usuario La evaluación del usuario de TI .

Acompañando la tabla de puntaje, se debe crear una Tabla de Causa y Efecto

condicional para relacionar los puntajes. Se presenta de la siguiente manera:

SI ENTONCES
La experiencia de Habrá mejor calidad
personal de TI se en los sistemas
mejora (Orientación desarrollados
a Futuro) (Excelencia
Operacional)

ENTONCES ENTONCES
Se satisfacen las Habrá mejor apoyo
expectativas del a los procesos del
usuario (Orientación negocio (Valor de TI)
a Usuario)

73
 Elementos y Dominios de un Gobierno de TI

La tabla de puntaje se puede aplicar a los siguientes elementos

organizacionales:
- Unidades de Negocio
- Estrategia de TI
- Operaciones de TI
- Desarrollos de TI

Con la unión de estas tablas de puntaje, el proceso se vuelve un

habilitador de negocio:

Tabla de Puntaje de Tabla de Puntaje de

Operaciones de TI Desarrollo de TI

Tabla de Puntaje de
Estrategia de TI

Tabla de Puntaje de
Unidades de Negocio de TI

74
Elementos y Dominios de un Gobierno de TI

Dominios de Gobierno de TI

Alineación Estratégica

El dominio de la alineación estratégica contiene elementos pre

determinados gracias a su naturaleza de código. Todas las referencias que
componen la información de análisis de contenido contienen estos términos
predeterminados en la alineación estratégica de
TI.

La alineación estratégica se enfoca en la manera en la que brinda apoyo a la

estrategia empresarial y como sus operaciones se alinean con operaciones
existentes.

El procedimiento de código lleva a reconocer los intercambios de TI

mientras apoya la metodología de negocio. El arreglo entre termino pre
caracterizados como “Técnica de TI” y “procedimiento de negocio” aparecen
en diez de las once referencias. Otro término “ventaja competitiva” no
aparece en relación con temas de alineación, pero los estrategas lo definen
como parte del proceso de cumplimiento.

Consecuentemente, el término “ventaja competitiva” se codifica como un

concepto emergente.

Los resultados de codificación demuestran que la responsabilidad de la junta

para la alineación de TI con la organización conlleva estrategia e inversión.
Dos de las referencias definen la alineación entre TI y el negocio, y también
hay una parte de código para el monitoreo del estado de importancia de TI.
La alineación se representa como una base de la estructura. Dos referencias

75
 Elementos y Dominios de un Gobierno de TI

describen la alineación entre un comité de estrategia y el equipo de

auditoría.

Los directivos del comité de estrategia TI tienen como trabajo brindar un

Gobierno sobre TI. La codificación demuestra la presencia del comité de TI
en los cinco conceptos.

La alineación contiene cinco conceptos:

- Identificación y análisis de las necesidades del negocio

- El desarrollo de estrategias y objetivos de TI
- Fijación los recursos y el manejo de portafolios
- Manejo de la demanda de producto
- Comunicación

La importancia de la alineación reside en evitar los siguientes

problemas:

- El negocio no puede alcanzar todo su potencial

- Las oportunidades no se aprovechan por falta de apoyo por parte de TI
- Precios de operación elevados por la falta de automatización
- Uso inadecuado de recursos de TI
- Hay dificultad en mantener trabajadores de alta calidad en TI
- Mayor gasto de recursos de manera general
- Devaluación de valor en el mercado

La Entrega de Valor en TI

El proceso de código busca identificar las discusiones de TI y brindar apoy

76
Elementos y Dominios de un Gobierno de TI

en la entrega de valor para el negocio. Una vez que TI entrega valor al

negocio, la alineación está realizada.

Seis referencias codificadas demuestran que la gerencia puede probar

valor en la organización a través del establecimiento de procesos y buenas
prácticas.

Los resultados del código muestran que el comité de estrategia de TI debería

de trabajar de cerca con el grupo de estrategia para realizar el alineamiento
a TI. Luego, la junta directiva es responsable de monitorear las inversiones y
sus retornos.

Estos resultados de codificación muestran que el comité de estrategia de TI

debe trabajar junto al grupo de estrategia para entregar valor y alinearse
con TI. Después de que esto se haya logrado, la codificación dice que la junta
es responsable de monitorear las inversiones de TI para obtener retornos
satisfactorios.

La gestión de la junta para la entrega de valor implica dos áreas:

arquitectura de TI y gestión de proyectos de TI.

La arquitectura de TI incluye el software, el hardware y los sistemas

heredados de la organización de TI. Los resultados de codificación en
esta área muestran que las responsabilidades de supervisión de la junta
están alineadas con los términos predefinidos “funcionalidad apropiada” y
“resultados esperados”. En la gestión de proyectos de TI, los resultados de
codificación revelan que las responsabilidades de gestión de la junta están
alineadas con los términos “a tiempo” y “Dentro del presupuesto”. No se
identifican conceptos emergentes para este dominio.

77
 Elementos y Dominios de un Gobierno de TI

La entrega de valor es un componente importante dentro del Gobierno de TI

y garantiza que el valor se obtenga por la inversión. Esto implica seleccionar
y
administrar las inversiones sabiamente desde el inicio hasta el final y
asegurarse de que TI brinde la calidad adecuada dentro del tiempo y
presupuesto fijado. Debe analizar cómo se gestionan los costos reales y
cómo se determina el retorno de la inversión.

La entrega del valor debe cubrir lo siguiente:

- Identificación de los impulsores del valor del proyecto.
- Identificación de los controladores del valor del servicio.
- Gestión de proyectos.
- Evaluación comparativa externa.

Priorización y Categorización de Inversiones

En la entrega de valor de un Gobierno de TI es fundamental obtener las

inversiones discrecionales y su planificación y ejecución en línea. La
categorización de las mismas puede incluir:
- Inversiones transaccionales
- Inversiones Informativas
- Inversiones Estratégicas
- Inversiones de Infraestructura

La priorización debe potenciarse a identificar los momentos oportunos de

ejecución.
Por ejemplo, las organizaciones pueden decidir acatar proyectos que
generan más ROI.

78
Elementos y Dominios de un Gobierno de TI

Metodología y Mejores Practicas

Es importante definir los objetivos del negocio basándose en la dirección

estratégica del mismo. Este se realiza mediante una inversión de programa
conjunto en detrimento de proyectos independientes para alcanzar los
objetivos del negocio.

Para asegurar una entrega de valor, se deben de acatar proyectos con casos
de negocio convincentes. Estos casos, presentados en documentos, deben
de asimilar información de todas las áreas para ser lo suficientemente
convincentes.

Con el objetivo de verificar la relevancia de cada proyecto, se debe establecer

un comité que evalúe los mismos y determine el control adecuado de los
recursos de TI.

Toda planificación de programa debe seguir las áreas de un Gobierno de

TI (alineación estratégica, entrega de valor, manejo de riesgos, manejo de
recursos, medición de desempeño) y beneficiar sus procesos de realización,
por lo cual se utiliza una cadena de resultados.

Cadena de Resultados

En la mayoría de las organizaciones, los casos de negocio suelen ser un solo

documento utilizado para una función: adquirir fondos.

Estos se mantienen estáticos y no se actualizan durante o al finalizar el

proyecto. Además, es muy inusual que se realice un proceso de manejo de
beneficios, es decir, una cadena de resultados.

79
 Elementos y Dominios de un Gobierno de TI

La cadena de resultados demuestra las conexiones entre las actividades y

los resultados. El proceso de desarrollo de una cadena de resultados ayuda a
definir las tareas a realizar, clarificar los objetivos y manejar los beneficios.

Un simple ejemplo:

80
Elementos y Dominios de un Gobierno de TI

En su ejecución, la cadena de resultados presenta los

siguientes beneficios:

- Acuerdo en alcance de proyecto

- Confirmación de los beneficios del proyecto
- Validación de beneficios e identificación de áreas de costo
- Implementación de bases para planificación
- Identificación y monitoreo de suposiciones
- Comunicación efectiva para alto nivel

En la entrega de valor de TI, la cadena de resultados debe ser integrada a

toda estrategia de proyecto. Su realización es responsabilidad de la oficina
de manejo de proyectos (PMO), la cual evaluara y guiara los programas a
entregar la mayor cantidad de valor al negocio.

Manejo de riesgos

Este proceso intenta identificar las discusiones respecto a los riesgos de TI

utilizando términos como: reconocimiento, control y mitigación a través de
la división y transferencia de riesgo. Los resultados demuestran términos
alineados al termino pre definido del reconocimiento de riesgos de la junta.
Este reconocimiento también se conoce como la evaluación de riesgos.

Luego de haber reconocido los riesgos, la junta debe disminuirlos a través

de un marco de control. Cinco referencias apuntan a que el reconocimiento
de riesgos y su consecuente control es responsabilidad de la junta, aunque
hay indicaciones que se pueda disminuir el riesgo a través de términos pre
determinados como cobertura del seguro o transferencia de riesgos.

81
 Elementos y Dominios de un Gobierno de TI

Un concepto emergente de este dominio es la responsabilidad para

recomendar el desarrollo y consecuente implementación de un sistema de
seguridad adecuado. Este concepto en general se alinea con cinco dominios
del Gobierno de TI. El Gobierno de TI de seguridad de información brinda un
marco que habilita el manejo adecuado de recursos de TI para que puedan
producir resultados en los cinco dominios.

El manejo de riesgos trata de la protección de recursos TI, así como la

recuperación de desastres, la continuidad de las operaciones interrumpidas
y la integridad de la información.

Cubre lo siguiente:

- Apetito de riesgo organizacional

- Mitigación de proyectos e inversiones
- Mitigación de riesgos dentro de la seguridad de información
- Mitigación de riesgos operacionales
- Mandatos de cumplimiento regulatorio
- Auditoría

Manejo de recursos

Los resultados de este dominio demuestran el alineamiento entre recursos

de TI y objetivos empresariales en cuatro de las once referencias. Las
referencias demuestran la responsabilidad de la junta de supervisar el
alineamiento con TI para maximizar las ganancias del negocio.

El alineamiento es paralelo a la colaboración entre el comité de la estrategia

de TI y el comité de finanzas para las inversiones de recursos importantes.

82
Elementos y Dominios de un Gobierno de TI

Las juntas deben entender enteramente la arquitectura del portafolio

de aplicaciones. Es un concepto emergente alineado a los resultados del
dominio de entrega de valor. Este concepto debe venir antes de la alineación
de TI con el negocio.

Las supervisiones de activos de TI se muestran en dos referencias. Estrategia

de manejo de activos y portafolio de inversiones. Ambos son conceptos
emergentes identificados como prácticas en el manejo de recursos TI. El
código identifica activos abstractos como conceptos emergentes (Manejo de
conocimiento, activos intelectuales) y parte del manejo de recursos TI.

El manejo de recursos se mide como el departamento de TI maximiza y

maneja los recursos críticos de TI.

Esto cubre lo siguiente:

- Manejo de activos de software y hardware.

- Proveedores de tercera parte y subsidiarias.
- Manejo financiero, costeo de servicios.

Medida de desempeño

La medida de desempeño es un proceso integral para determinar si un plan

es realista y alcanzable. Este incluye, entre otras cosas:
- Valor Presente Neto
- Tasa Interna de Retorno
- Retorno de Inversión
- Tabla de puntaje

83
 Elementos y Dominios de un Gobierno de TI

La tabla de puntaje brinda una visión holística del desempeño de TI hacia el

alineamiento de TI con los objetivos del negocio.

Este dominio en particular demuestra menos términos pre determinados

que los dominios anteriores. Siete de las diez referencias definen a la junta
como responsable del desarrollo y monitoreo de métricas del desempeño de
TI.

El dominio procesa un documento de puntaje como concepto emergente

en la cuantificación de alineación entre TI y el negocio. El alineamiento
se refleja en los resultados de codificación como la colaboración entre la
estrategia de TI y el comité de compensación en la medida de desempeño
laboral.

El manejo de desempeño examina la manera en que TI da seguimiento

y monitorea la estrategia de implementación, utilización de recursos,
definición de éxito de un proyecto y la entrega de servicios y desempeño de
procesos.

El manejo de recursos cubre lo siguiente:

- Satisfacción del cliente

- Manejo de nivel de servicio
- Medición de valor de negocio
- Mejora de procesos

84
85
86
87
88
Atendiendo y Construyendo los Marcos de Control

Atendiendo y Construyendo
los Marcos de Control
El marco se entiende como la estructura utilizada para resolver los
problemas más complejos. En el Gobierno de TI, el marco es un sistema que
maneja el uso de TI. Define los tomadores de decisiones, las autoridades, y
sus responsabilidades; estas son las funciones principales de un marco de
control. Por el efecto de unas decisiones importantes, el marco de control se
presenta como sumamente importante.

Al inicio fue desarrollada en el 2005 para brindar una estandarización y

rigidez a los proyectos de TI a lo largo de los Gobiernos.
Es un método que funciona como guía a las empresas en la toma de
decisiones respecto a la tecnología y brinda un marco de responsabilidades
junto al uso de la tecnología. Un Gobierno de TI exitosa se compone de
prácticas de decisiones clave con las inversiones de TI. Así mismo, sus
proyectos dependen de una comunicación efectiva dentro de todos los
niveles del Gobierno de TI.

89
 Atendiendo y Construyendo los Marcos de Control

Generalmente hablando, el propósito del marco es

asegurar los siguientes estándares:

- Objetivos bien definidos dentro de un marco de responsabilidad

- La aprobación de proyectos se realiza en base a requerimientos acordados y
pre definidos
- Los proyectos deben contener principios firmes para su manejo
- Los proyectos tienen los suficientes recursos
- Existe una definición acordada respecto al alcance del proyecto
- Los proyectos se manejan en son de cuidar los riesgos, complejidad y
economía de recursos
- Los proyectos deben de ser medidos y reportados para brindar lecciones a
otros proyectos

Es muy importante que los proyectos se manejen adecuadamente para que

valgan el esfuerzo, tiempo y recurso invertido. El marco fue creado para
brindar un enfoque de manejo de proyectos exitoso y asegurar buenos
resultados.

Como estructura, el marco del Gobierno de TI tiene tres

componentes:

Junta directiva: Los directores se encargan de evaluar y monitorear el

desempeño de TI con los planes, políticas y estrategias.

Nivel gerencial: Se encargan de supervisar, chequear y actuar en son de

cuidar los recursos de TI, con el objetivo de una mejora continua. Este se
realiza a través de un sistema de manejo que toma parte de políticas, planes
y procesos junto a mecanismos de Gobierno.

90
Atendiendo y Construyendo los Marcos de Control

La Construcción de un Marco de Gobierno de TI

No hay un marco que cumpla todas las necesidades, ni uno bueno o malo.
Se debe elegir uno que funcione en su organización (dependiendo de su
estrategia, estructura y necesidades).

El factor común en todos los marcos de referencia es que deben incluir a

todas las estructuras de un Gobierno de TI, sus procesos y comunicaciones
para medir el desempeño del esfuerzo de Gobierno.

Estructuras de Gobierno

Una organización requiere niveles múltiples de Gobierno . Cada nivel cumple

con un propósito y sus respectivas decisiones. Si bien toda organización
varía en su estructura.

91
 Atendiendo y Construyendo los Marcos de Control

La siguiente estructura es la más común:

Nivel Estratégico

Nivel Gerencial

Nivel de
Programa/Proceso

Nivel de
Operaciones

En la punta de la estructura se encuentra el Nivel Estratégico, donde se

ubican los altos ejecutivos, encargados de supervisar la alineación de la
estrategia de TI con la estrategia del negocio. El Nivel Estratégico establece
la visión general del Gobierno de TI.

92
Atendiendo y Construyendo los Marcos de Control

El siguiente nivel es el Nivel Gerencial, donde se establecen las prioridades,

la ubicación de los recursos, y el manejo de estrategias para adquirir
beneficios. El director de información lidera el Nivel Gerencial en
colaboración de gerentes de divisiones para brindar los detalles estratégicos
del Gobierno de TI.

El tercer nivel se compone del equipo de Gobierno de Programa y Gobierno

de Proceso Empresarial. El primero se encarga de dirigir proyectos
específicos con sus respectivos controles de gestión. El segundo se encarga
de dirigir la manera en la que se ejecutan los procesos globales del negocio.

En el cuarto nivel se encuentra el equipo de operaciones. Aquí se encuentra

el proceso de control de cambios, asesoría de cambios y la junta de cambios.
A diferencia de los niveles superiores, el nivel operacional se encarga
de acatar problemas exclusivos de TI (solicitudes de cambio, manejo de
incidentes, etc) .

Además de los niveles de Gobierno , las estructuras incluyen redes de

reportes, posiciones específicas de Gobierno y comités que cumplen
diferentes propósitos en la implementación de procesos.

Redes de reportaje

La estructura ideal de Gobierno de TI es donde el CIO reporta directamente

al CEO. Esto implica que el equipo de TI es parte del equipo ejecutivo,
donde la mayoría de las decisiones estratégicas toman parte. Si no existe tal
estructura, el equipo de TI toma un rol de soporte no uno de facilitador.

93
 Atendiendo y Construyendo los Marcos de Control

Posiciones Especificas de Gobierno

Algunas organizaciones crean una figura que reporta directamente al CIO -

lo cual disminuye su importancia y da enfoque temporal al problema.
Otro trabajo relevante es el gerente de relaciones TI, que actúa como
mediador, comunicando las repercusiones del Gobierno de TI a las unidades
de negocio. Lo hace mientras informa a TI de las necesidades de las unidades
de negocios.

Un gerente de relaciones de TI eficaz convierte los beneficios del Gobierno

de TI en términos comerciales y muestra que la gobernabilidad brinda valor
al negocio, aunque a veces puede ser inconveniente.

Los comités

Los comités se encargan de hacer el mayor trabajo en el Gobierno de TI.

Varios comités se encargan de llevar a cabo los procesos, y pueden ser
comités anteriormente establecidos que toman la tarea de Gobierno de TI.

Por otro lado, algunas organizaciones deciden crear nuevos comités

específicamente para resolver los problemas del Gobierno de TI.

Estos comités incluyen la directiva ejecutiva, la inversión de TI, los

estándares y arquitectura, y los consejos de negocio y IT.
Los comités se forman en base a las estructuras de la empresa y otros
factores. Es posible que no se utilicen los comités al mismo tiempo.

94
Atendiendo y Construyendo los Marcos de Control

Recordemos que el Gobierno de TI es un esfuerzo que se realiza en equipo,

por ende, cada comité elaborado debe ser comunicado con toda unidad del
negocio.

Procesos de Gobierno

Las estructuras de Gobierno deben de facilitar los procesos mientras se

trabaja con un portafolio de manejo, SLA y mecanismos de contra cargo.

Manejo del portafolio de TI

Este proceso se compone de procedimientos como el manejo de activos de

TI, manejo del portafolio de aplicaciones y proyecto.

El uso de estos procesos brinda una evaluación del portafolio de TI, llevando
a facilitar la toma de decisiones. Este portafolio en específico indica un
manejo activo de proyectos y aplicaciones. Estos son evaluados grupalmente
para encontrar sus factores de balance, flexibilidad y riesgo, así como el
potencial para producir nuevas inversiones.

Acuerdos de nivel de servicio (SLA)

Los acuerdos de nivel de servicio definen los servicios disponibles, los

niveles de calidad y costos relacionados a TI. Es un contrato entre la
organización y el usuario que define las características del servicio.

Los acuerdos de nivel de servicio son procesos de Gobierno ya que

comunican los resultados de los servicios, nivel de servicio y costo de TI al
usuario. Los usuarios negocian con TI y las transacciones de servicios para

95
 Atendiendo y Construyendo los Marcos de Control

un costo, llevando a una competencia entre proveedores fuera de la empresa,

resultando en una mejora de servicios TI.

Manejo del portafolio de TI

Este proceso se compone de procedimientos como el manejo de activos de

TI, manejo del portafolio de aplicaciones y proyecto.

El uso de estos procesos brinda una evaluación del portafolio de TI, llevando
a facilitar la toma de decisiones. Este portafolio en específico indica un
manejo activo de proyectos y aplicaciones. Estos son evaluados grupalmente
para encontrar sus factores de balance, flexibilidad y riesgo, así como el
potencial para producir nuevas inversiones.

Acuerdos de nivel de servicio (SLA)

Los acuerdos de nivel de servicio definen los servicios disponibles, los

niveles de calidad y costos relacionados a TI. Es un contrato entre la
organización y el usuario que define las características del servicio.

Los acuerdos de nivel de servicio son procesos de Gobierno ya que

comunican los resultados de los servicios, nivel de servicio y costo de TI al
usuario. Los usuarios negocian con TI y las transacciones de servicios para
un costo, llevando a una competencia entre proveedores fuera de la empresa,
resultando en una mejora de servicios TI.

Los SLA usualmente son la causa de la mejora de desempeño y

comportamiento en las unidades de la empresa. El hecho de comunicar los
costos a las unidades de negocio los lleva a entender las consecuencias de

96
Atendiendo y Construyendo los Marcos de Control

sus pedidos de TI. Como idea general, los acuerdos de nivel de servicio se
encargan de ayudar a las unidades del negocio y el departamento de TI a
tomar mejores decisiones respecto a servicios.

Mecanismos de contra cargo

Los mecanismos de contra cargo trabajan independientemente o en

combinación con los acuerdos de nivel de servicio. Su meta es devolver
los costos de los servicios compartidos a las unidades de negocio que las
consumen.

Una vez que hay entendimiento alrededor de los costos de TI, habrá un
aumento de eficiencia y ahorro de costos. De esta manera, las unidades
de negocio son capaces de justificar su comportamiento respecto a sus
requerimientos de TI. La transparencia de costos habilita a TI y a la unidad
de negocio a realizar mejores decisiones en la adquisición de recursos TI.

Manejo de demanda

Todos los departamentos de una empresa tienen un tipo de demanda por

servicios de TI. Algunos pueden ser sencillos como soporte técnico y otros
complejos como el desarrollo de una aplicación para el negocio.

El manejo de un servicio TI que se demanda involucra a todas las áreas en un

solo punto, para priorizar y entregar exitosamente el servicio. Este manejo
de demandas va en conjunto con el portafolio de TI y su administración para
así organizar las inversiones futuras de TI.

97
 Atendiendo y Construyendo los Marcos de Control

Comunicaciones de Gobierno

El Gobierno de TI se mide y comparte a través de la empresa para asegurar

su efectividad. La comunicación asegura ciertas metas, por lo que es
importante que todo empleado sea educado en el tema de Gobierno de TI,
como en su importancia y método de implementación.

Esto se debe de repetir las veces que sea necesario. Parte de la estrategia
de comunicación es la medición. El principal objetivo de un Gobierno es
maximizar una inversión a través de un alineamiento ideal de TI con el
negocio. La inversión debe de traer valor a la empresa y bajos parámetros de
riesgo.

Portal de TI

El mejor método para comunicar información empresarial es a través de

portales. Los portales pueden ser un blog o un sitio web enfocado en brindar
suficiente información del Gobierno de TI.

Los portales funcionan para mostrar reportes y avances de los proyectos, así
como brindar almacenamiento para documentos importantes de análisis,
arquitectura y estrategias.

Beneficios de un marco de Gobierno de TI

Las juntas directivas tienen la opción de desarrollar un nuevo marco o

utilizar las ya establecidas, que aún pueden brindar muchos beneficios a la
organización.

98
Atendiendo y Construyendo los Marcos de Control

Los siguientes son los beneficios de un marco tradicional:

- Eficiencia: Ya que se utiliza un marco ya existente, se ahorra el tiempo de

crear uno nuevo. Además, tiene la opción de utilizar marcos internacionales
de mucho apoyo.

- Estructura: Los marcos tradicionales contienen estructuras pre definidas

que pueden ser aplicadas a su empresa en una variedad de maneras. Las
estructuras ayudan a alinear las expectativas de los empleados.

- Mejores prácticas: Los marcos establecidos usualmente trabajan con las

mejores prácticas de diferentes organizaciones, lo cual supera en calidad las
mejores prácticas de una sola organización.

- Intercambio de conocimiento: Los ejecutivos de diferentes

organizaciones son habilitados a compartir conocimiento entre si utilizando
términos conocidos y establecidos en el marco del Gobierno de TI.

- Es auditable: Los estándares de un marco establecido brindan referencias

a los auditores a la hora de evaluar.

¿Qué tipo de Gobierno funcionaria en su empresa?

Los beneficios de un marco tradicional, como una dirección estratégica,

disciplina de procesos y principios de Gobierno de TI, habilitan a los
tomadores de decisiones a tomar esta ruta. Considerando que estos marcos
pueden ser mejorados con el paso del tiempo, no es una mala elección.

99
100
101
102
Marcos de Gobierno de TI

Marcos
de Gobierno de TI
Como ha sido mencionado, no existe un marco que cumpla las necesidades
de todas las empresas. Al final todo recae en elegir el marco que mejor
funcione para su organización. Por ende, la mayoría desarrolla sus propios
marcos derivando de los mejores conceptos de otros marcos ya establecidos.
Aun cuando hay una variedad de marcos en el mercado, la mayoría contiene
procesos de certificación.

Los marcos de terceros y sus estándares recaen en dos tipos: de propiedad y

marcos nacionales e internacionales.

Marcos propietarios

COBIT
Este conocido marco, desarrollado por ISACA, representa -Control
Objectives for Information and Related Technology- y es diseñado
específicamente para el Gobierno de TI. Permite, entre otras cosas, conectar
requerimientos de control, problemas técnicos y riesgos empresariales. Fue
lanzada inicialmente en 1996, y actualmente se utiliza la versión COBIT 5,

103
 Marcos de Gobierno de TI

lanzada en 2012.

COBIT se crea con el sentido de explorar, crear y utilizar controles de TI

aceptados mundialmente para los gerentes de negocio, IT y profesionales de
garantía.

El marco de COBIT se encarga de definir todos los procesos junto a

los inputs, outputs, objetivos y monitoreo de desempeño. En términos
de Gobierno de TI, este marco apoya la implementación a través de la
alineación de las unidades del negocio a las metas y procesos de TI.

COBIT se basa en 5 principios fundamentales para el manejo del Gobierno

de TI.

104
Marcos de Gobierno de TI

Estos 5 principios permiten que una organización desarrolle un marco de

trabajo holístico para el Gobierno de TI con los siguientes habilitadores:

- Personas, políticas y marcos de trabajo

- Procesos
- Estructuras Organizacionales
- Cultura, ética y comportamiento
- Información
- Servicios, infraestructura
- Habilidades y competencias

Los beneficios de COBIT ayudan a que las organizaciones:

- Mejoren y mantengan información

- Utilicen TI efectivamente para alcanzar las metas de los negocios.
- Utilicen tecnología para promover la excelencia operacional.
- Aseguren que el riesgo de TI se maneje efectivamente.
- Aseguren que las organizaciones logren valor con sus inversiones de TI.
- Cumplan las reglas, regulaciones y acuerdos contractuales.

ITIL
La alineación efectiva de las capacidades y recursos de los servicios de una
organización ayudan a crear ventajas estratégicas en el mercado. El marco
de trabajo ITIL (Information Technology Infrastructure Library) es un
conjunto de prácticas parala Gerencia de TI que se encarga de alinear dichos
elementos.

El objetivo principal de ITIL es mejorar la manera en la que las unidades de

TI brindan servicios valiosos del negocio. El marco de trabajo no solo

105
 Marcos de Gobierno de TI

involucra el manejo de tecnología y procesos, tambien se enfoca en mejorar

las capacidades de los recursos, procesos y la tecnología.

La adopción del marco de trabajo ITIL es el precursor a que desarrollos como

el internet de las cosas y otras tendencias y tecnologías emergentes en la
industria.
Esencialmente, ITIL provee valor a toda la organización, incluyendo sus
recursos, capacidades, empleados y clientes.

ITIL es el marco de trabajo más utilizado para el manejo de servicios de TI,

ya que brinda información práctica para su exitosa organización y entrega
al negocio. El marco fue creado para satisfacer la continua demanda de
alcanzar las metas y objetivos de una organización.

ITIL brinda a los negocios un marco diseñado con las mejores prácticas que
aseguran un servicio de calidad y ayudan a superar los desafíos de sistemas
de TI. Como grandes referencias a este proyecto, las empresas de HP y
Microsoft utilizan ITIL como base en sus marcos de mejores prácticas.

ITIL se define por su ofrecimiento de procesos genéricos y tareas cotidianas

que llevan a una organización a entregar valor y mantener un nivel mínimo
de competencia. Brinda una base donde se puede organizar, implementar y
cuantificar.

Las empresas también lo utilizan para demostrar complacencia y medir las

mejoras. Además, provee descripciones de prácticas de TI y sus procesos que
toda empresa puede modificar para sus necesidades.

106
Marcos de Gobierno de TI

El marco se puede adquirir en libros que contienen funciones

interconectadas, como la estrategia de servicios, diseño de servicios,
transición de servicios y software de mejora de servicios. Aparte de libros,
usted puede recibir entrenamiento, software y certificaciones de ITIL. El
marco tiene una versión de 2011 que define más elaboradamente unos
procesos y resuelve unos errores e inconsistencias.

Transición
del
Servicio

ITIL
Estrategia
de Servicios
Mejora continua
del Servico

Diseño Operación
del del
Servicio Servicio

107
 Marcos de Gobierno de TI

Los beneficios organizacionales de adoptar ITIL:

- Mayor alineación entre TI y el negocio.

- Mejora en la entrega del servicio y la satisfacción del cliente.
- Reducción de costos a traves de un mejor uso de recursos.
- Mayor visibilidad de costos de TI y sus activos.
- Mejor manejo del riesgo del negocio.
- Ambientes de servicios mas estables que apoyan cambios constantes del
negocio.

VAL IT

Una medición y entrega de valor necesita de un esfuerzo expansivo para

cuantificar los costos, beneficios y riesgos de un cambio empresarial. El
marco de trabajo VAL IT provee una guía que las organizaciones pueden
seguir para lograr mejores decisiones de inversión TI.

VAL IT es un marco de Gobierno que ayuda a las organizaciones a general

valor al negocio de las inversiones de TI. Se compone de principios
guiadores, procesos específicos y buenas prácticas. Estos se definen como un
set de prácticas importante para el soporte y asistencia a la junta directiva y
equipo ejecutivo.

El instituto de Gobierno de TI lanzo una versión que se basa en la

experiencia de practicantes y académicos alrededor del mundo. El marco 2.0
se le conoce como Valor empresarial: Gobierno de inversiones de TI.

Define procesos y prácticas de manejo para tres dominios en específico y

presenta nuevos procesos que incluyen servicios de TI, activos, recursos

108
Marcos de Gobierno de TI

y principios para el manejo del portafolio de TI. Es un set accesible y

comprobado de técnicas y prácticas de manejo que ayudan en la inversión
de cambios e innovaciones empresariales por parte de TI. Además, contiene
documentos de apoyo para inversiones empresariales impulsadas de TI.

Guía
Técnicas

Análisis Intercambio
Empírico Empresarial

Marco de
Trabajo
VAL IT
Influencia
Benchmarking Comunicacional

Casos

109
 Marcos de Gobierno de TI

El marco VAL IT se basa en los siguientes principios:

- Las inversiones habilitadas por TI se manejan como un portafolio

Maximizar las inversiones de TI requiere de la habilidad de evaluar,
seleccionar, secuenciar y manejar dichas inversiones desde una perspectiva
holística para poder tomar decisiones necesarias que aumenten su retorno.

- Las inversiones habilitadas por TI incluyen el alcance completo de las

actividades
Las inversiones de TI usualmente requieren cambios en los procesos de
negocio. Es necesario incluir esos costos junto a los costos relacionados a TI.

- Las inversiones habilitadas por TI van a ser manejadas a lo largo de

su ciclo económico
Las inversiones de TI afectan los costos y generan beneficios al final de un
proyecto. Los costos y los beneficios deben ser manejados desde iniciación
de proyecto hasta que la aplicación o el sistema este retirado.

- La práctica de entrega de valor segmenta las inversiones en

categorías.
No todas las inversiones de TI son creadas de la misma manera. En una
actualidad de cumplimiento rigurosos y requerimientos regulatorios, las
inversiones obligatorias son requeridas. Estas inversiones no discrecionales
necesitan ser tratadas de manera diferente.

-Las prácticas de entrega de valor definen y monitorean las métricas

clave
Gobierno de TI de valor debe incluir métricas que monitoreen el desempeño
general del portafolio. Para este caso se utiliza el marco de trabajo de cuadro

110
Marcos de Gobierno de TI

de mando integral.

- Las prácticas de entrega de valor comprometen a todas las partes

interesadas y brindan las responsabilidades adecuadas
Considerando que estas son iniciativas de cambio de negocios habilitadas
por TI, tanto TI como los patrocinadores de la unidad de negocios deben
participar y rendir cuentas del éxito o fracaso general para identificar el
valor de la inversión.

- Las prácticas de entrega de valor serán continuamente monitoreadas

El valor de Gobierno puede ser mejorado constantemente – a medida
que las organizaciones adquieran experiencia con los esfuerzos de valor
de Gobierno, esta enseñanza puede ser re- aplicada continuamente para
mejorar la práctica.

Adquirir este marco brinda los siguientes beneficios:

- Mayor retorno de inversión en los proyectos.
- Genera valor a la empresa.
- Maneja inversiones empresariales de TI en todo su ciclo de vida.
- Reduce costos e inversiones ineficientes.
- Ayuda al manejo de buenas decisiones y cambio empresarial.

Su soporte se presenta de las siguientes maneras:

- A través de la aplicación consistente y clara de procesos.
- Vista clara de los roles y responsabilidades de los ejecutivos, unidades de
negocio y roles de TI.
- La entrega de información relevante y estructuras adecuadas de
organización.

111
 Marcos de Gobierno de TI

Estandartes Nacionales e Internacionales

ISO/IEC 27001
ISO/IEC 27001 pertenece a la familia de estándares que brindan seguridad a
los activos de las organizaciones.

Este conjunto de sistemas de manejo de seguridad se encarga de asegurar

la información financiera, la propiedad intelectual, los detalles de los
empleados y la información de partes terceras.

ISO/IEC 27001 define los requerimientos para el manejo de seguridad de

la información e instruye a las empresas en las evaluaciones de riesgo y
creación de medidas de manejo basadas en las necesidades de seguridad de
una empresa y los sistemas que utilizan actualmente.

Específicamente, ISO/27001 se encarga de indicar un sistema de manejo que

trae seguridad de información bajo un control explícito, este se especifica de
manera formal, lo cual significa que necesita requerimientos específicos.

Las organizaciones que adquieren ISO/IEC 27001 pueden ser auditadas

formalmente y certificadas bajo el programa, aunque no es obligatorio. El
estándar es publicado por las organizaciones de ISO e IEC, bajo el nombre
oficial de ISO/IEC 27001:2005, su principal propósito siendo el de un ISMS
(Sistema de manejo de seguridad de la información.)

La mayoría de organizaciones cuentan con algún tipo de control de

seguridad. Sin embargo, a falta de un sistema de manejo de seguridad
informativa, los controles de una empresa suelen ser desorganizados,
disjuntos y hasta superficiales. Estos controles de seguridad suelen

112
Marcos de Gobierno de TI

enfocarse exclusivamente en activos de datos de TI, lo cual deja

desprotegido a elementos de negocio como el papeleo.

Seguidamente, la planificación de continuidad de negocio suele elaborarse

independientemente de las unidades de TI, y las prácticas de recursos
humanos hacen poca o nula referencia a TI.

En son de alinear procesos gerenciales a TI:

ISO/IEC 27001 busca que la gerencia:

- Examine de manera sistemática los riesgos informativos de una
organización.
- Desarrolle un proceso de manejo holístico donde los controles de seguridad
alcanzan a satisfacer las necesidades de seguridad empresarial de una
manera cosntante.
- Diseñe e implemente dichos controles dentro de un conjunto que acata los
riesgos empresariales.

113
 Marcos de Gobierno de TI

ISO/IEC 27001 se cimienta en el siguiente diagrama:

CONTEXTO DE LA
ORGANIZACIÓN
DIRECCIÓN

Planeación

Mejoramiento Operación

Evaluación
de Desempeño

SOPORTE
114
Marcos de Gobierno de TI

ISO/IEC 38500
El marco ISO/ IEC 38500 es un marco de Gobierno de TI que brinda una
estructura efectiva, ayudando a los ejecutivos a entender y cumplir con sus
obligaciones legales, éticas y de regulación con el uso de TI en su empresa.

ISO/IEC 38500 busca proporcionar principios utilizados para evaluar, dirigir

y monitorizar el uso de TI.

El marco aplica a todo tipo de organización, sea pequeña o grande, entidad

del Gobierno o sin fines de lucro. Este define principios que guían a los
ejecutivos al uso adecuado de IT dentro de la organización.

Se compone principalmente por tres secciones:

- Alcance
- Marco
- Guía

Y tres objetivos:
- Asegurar la confianza del Gobierno empresarial hacia las tecnologías de la
información y la comunicación.
- Capacitar a la gerencia que utiliza las tecnologías de la información y la
comunicación.
- Brindar un estándar de evaluación objetiva por parte de la gerencia en el
manejo de las tecnologías de la información y comunicación.
- El marco se encuentra alineado con los principios de Gobierno corporativo
del “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la
OCDE.”

115
 Marcos de Gobierno de TI

Los principios de la norma ISO/IEC 38500:

Responsabilidad
Determinar si las
responsabilidades de los
departamentos se
encuentran establecidos.

Estrategia

Inversión
Realizar adquisiciones
después de un análisis
riguroso.

116
Marcos de Gobierno de TI

La norma ISO/IEC 38500 se aplica a la gerencia de los sistemas y procesos

de las tecnologías de la información y comunicaciones en todas las
organizaciones que las utilicen.

La norma ISO/IEC 38500 brinda conformidad con:

- Los estándares de seguridad

- Regulaciones de privacidad
- Regulaciones de spam
- Regulaciones de prácticas comerciales
- Legislaciones de medioambiente
- Estándares de trabajo social
- Estandares de seguridad
- Estandares de salud laboral

La norma ISO/IEC 38500 logra el buen rendimiento de TI mediante una

implementación apropiada de los activos de TI junto a una sostenibilidad
de las responsabilidades de los objetivos organizacionales. Asi mismo, la
continuidad del negocio y el alineamiento de TI con las necesidades del
negocio son prioridad en la mejora del rendimiento.

117
 Marcos de Gobierno de TI

Definiciones

La norma ISO/IEC 38500 cuenta con la definición de diversos términos, entre

los que se encuentran los siguientes:

- Gobierno corporativo de TI: El sistema con el cual se maneja el uso de las

tecnologías de la información.

- Administración: Conjunto de procesos y sistemas necesarios para

alcanzar los objetivos establecidos por la gerencia.

- Parte interesada: Individuo u organización que puede afectar o ser

afectado por las acciones empresariales.

- Uso de TI: El manejo, el desarrollo y el despliegue realizados en las

unidades de TI para satisfacer las necesidades del negocio.

- Factor humano: Asegurar el bienestar del personal y el buen rendimiento

de los sistemas mediante una comprensión de las interacciones de los
mismos.

118
Marcos de Gobierno de TI

Diagrama general norma ISO/IEC 38500:

Presiones Evaluar Necesidades

de Negocio de Negocio

Dirigir Monitorizar

Políticas de Rendimiento
Proyectos Políticas de Conformidad
Proyectos

Proyectos TIC Operaciones TIC

119
 Marcos de Gobierno de TI

CMM

CMM, Capability Mature Model en inglés, es un modelo que guía a las

organizaciones especializadas en software a manejar adecuadamente sus
procesos de creación de software, llevando a metodologías de excelencia
de desarrollo y mantenimiento. Es un modelo que tiene como objetivo
optimizar los procesos de una empresa para sus sistemas y aplicaciones.

El CMM tiene la característica de otros modelos; su capacidad para

ser aplicada en diferentes procesos de una empresa, con el objetivo de
introducir una mejora continua.

Aunque sea un modelo utilizado en el área de desarrollo de software,

también aplica a áreas como ingeniería de sistemas, manejo de proyectos,
manejo de riesgos, adquisición de servicios y mantenimiento de software.
Con estas capacidades, el modelo es utilizado en entidades de Gobierno,
comercio e industria de desarrollo de software.

El modelo CMM se compone por las siguientes partes:

Niveles de madurez: Una escala compuesta por cinco niveles que

representan la idea de manejar los procesos a través de una optimización de
procesos y mejora continua.

Áreas clave de procesos: Define un grupo con actividades similares que al

trabajar en conjunto llega a alcanzar metas relevantes.

120
Marcos de Gobierno de TI

Metas: Estas metas definen los estados particulares para que la

implementación de las áreas clave de procesos sea efectiva y duradera.
Las metas alcanzadas determinan el nivel de capacidad que tiene la
organización en algunos niveles de madurez.

Características comunes: Practicas que implementan y estandarizan las

áreas clave de procesos. Se compone por cinco
características: empeño en actuar, habilidad para actuar, actividades
desempeñadas, monitoreo y análisis y verificación de implementación.

Prácticas Claves: Estos identifican los elementos de infraestructura que

ayudan a la implementación e institución de las áreas clave de procesos.

Los cinco niveles de un CMM

La organización SEI desarrollo cinco niveles que aumenta la efectividad de

una empresa a medida que se escala estos cinco niveles. Cada nivel contiene
un área clave de procesos, que se compone por cinco factores: metas,
empeño, habilidad, medida y verificación. El modelo ofrece una escala
hipotética que guía a las organizaciones en el proceso de madurez.

Nivel 1: Inicial

Los procesos se mantienen desorganizados y su éxito se define por esfuerzos

individuales. No es una etapa repetible ya que los procesos no están
definidos ni documentados como para ser replicados. Los procesos no son
predecibles, se mantienen indocumentados y cambian constantemente.

121
 Marcos de Gobierno de TI

Nivel 2: Repetible

Técnicas básicas del manejo de proyectos se establecen y llegan a ser

repetibles. Los procesos necesarios ya están establecidos y además brindan
resultados constantes. La disciplina de procesos es sencilla, pero garantiza
que se mantengan funcionales en tiempos inadecuados.

Nivel 3: Definido

La organización ya cuenta con su propio estándar de procesos con la

documentación e integración necesaria. Estos procesos llegan a mejorar
con el tiempo y establecen consistencia de desempeño a lo largo de la
organización.

Nivel 4: Manejable

La organización llega a monitorear y controlar sus procesos con recolección

de datos y subsecuente análisis.
La gerencia puede manejar fácilmente los procesos AS-IS a través de
métricas. Además, los procesos se pueden adaptar a diferentes proyectos sin
perder sus factores de medición y especificaciones.

Nivel 5: Optimizando

Se llega a una mejor continua de procesos donde, a través de monitoreo, se

busca retroalimentación para introducir nuevos métodos que ajusten los
procesos a las necesidades de la empresa. Se utilizan factores estadísticos
para determinar las causas de desviaciones e implementar cambios.

122
Marcos de Gobierno de TI

Diagrama del Modelo CMM:

NIVEL 1
INICIAL
Los procesos son
impredecibles, controlados
inadecuadamente y reactivas.

NIVEL 2
REPETIBLE
Los procesos son
carecterizados a los proyectos y
son reactivos.

NIVEL 3
DEFINIDO
Los procesos son
carectarizados a la organización
y son proactivos.

NIVEL 4
MANEJABLE
Los procesos son medidos y
controlados.

NIVEL 5
OPTIMIZADO
Enfoque en mejoramiento de
procesos.

123
 Marcos de Gobierno de TI

Marcos de Trabajo Adicionales

ISO/IEC 15504

La norma de ISO/IEC 15504, mejor conocida como “SPICE”, es un modelo

destinado a evaluar la capacidad de los procesos de servicios de software. Se
denomina como Determinación de la Capacidad de Mejora del Proceso de
Software.

¿En qué consiste la norma ISO/IEC 15504?

La norma de ISO/IEC 15504 establece los requisitos necesarios para la

evaluación de software. La normativa determina los siguientes requisitos
como aplicables a cualquier modelo de evaluación empresarial:

- Medición y evaluación de procesos.

- Optimización y mejora de procesos.
- Revisión y evaluación de las capacidades de los procesos.

¿Por qué se necesita?

La expansión de los servicios y las industrias de software requiere de la

implementación de una serie de estándares que brinden credibilidad a través
de las certificaciones de desarrollo.

Los organismos oficiales establecen esta normativa como una necesidad en

la evaluación de las capacidades de los procesos de desarrollo ejecutada de
una manera formal y basada en evidencias.

124
Marcos de Gobierno de TI

En el contexto de un Gobierno de TI, siendo el objetivo la entrega de valor

de TI hacia el negocio, la normativa de ISO/IEC 15504 es esencial en la
evaluación de procesos y madurez de los servicios de TI para determinar las
capacidades y asegurar valor.

Escala de Capacidades de ISO/IEC 15504:

Optimizable (Mejora Continua)

- Optimización de Procesos
- Innovación de Procesos

Predecible (Manejado
cuantitativamente)
- Control de Procesos
- Medida de Procesos

Realizado (Informalmente)
- Desempeño de Procesos

Incompleto

125
 Marcos de Gobierno de TI

Modelo de Alineación Estratégica (Henderson and

Venkatraman, 1999)

A causa de la dificultad de extraer ganancias de TI, Henderson y

Venkatraman idean el Modelo de Alineación Estrategia en un intento de
estandarizar el proceso de alineación entre TI y las unidades de negocio.

Dominio Dominio
del Negocio TI

Externo
Estrategia del Estrategia
negocio 3 de TI
1 4

Proceso e
infraestructura Proceso e
de la org. infraestructura
de TI
Interno

126
Marcos de Gobierno de TI

El modelo describe cuatro perspectivas de

alineación:

(1) Ejecución de Estrategia: Esta perspectiva determina a la estrategia del

negocio como el operador de las decisiones de diseño organizacional y la
infraestructura de TI, es decir, la estructura tradicional de un organigrama
de jerarquía. La gerencia es el formulador de la estrategia y TI es el
implementador.

(2) Potencial Tecnológico: Esta perspectiva tambien determina a la

estrategia del negocio como el operador del diseño organizacional, sin
embargo, involucra el desarrollo de otra estrategia de TI para apoyar la
estrategia del negocio. Esta estrategia de TI se implementa por parte de un
arquitecto tecnológico que utiliza la visión de la gerencia para diseñar una
infraestructura con elementos de alcance, competencia y Gobierno.

(3) Potencial Competitivo: Esta perspectiva de alineación se enfoca en la

utilización de nuevas capacidades de TI para impactar el alcance del negocio
con nuevos productos y servicios, influenciar las competencias de una
estrategia y desarrollar nuevas relaciones entre TI y las unidades de negocio.

La perspectiva de potencial competitivo, a diferencia de las perspectivas

anteriores, determina a la estrategia del negocio como algo dependiente
de las emergentes capacidades de TI. Tanto la gerencia del negocio como
los operadores de TI analizan las tendencias de TI para determinar en qué
manera puede beneficiar la estrategia del negocio.

127
 Marcos de Gobierno de TI

(4) Nivel de Servicio: La perspectiva de Nivel de Servicio se enfoca en

desarrollar una organización de TI completamente avanzada. Se caracteriza
por una participación indirecta de la estrategia del negocio.

La gerencia se enfoca en priorizar e implementar los recursos utilizados de

TI para afrontar las demandas cambiantes del cliente. El operador de TI, por
otro lado, se enfoca en liderar el negocio con la tarea de gestionar acorde a
las especificaciones de la gerencia.

Madurez de Alineación Estratégica (SAM -

Luftman)

El modelo SAM (Luftman), se diferencia del Modelo de Alineación

Estratégica (Henderson and Venkatraman, 1999) en que, a diferencia de solo
explicar que se debe alinear, demuestra cómo se deben alinear las unidades
de una organización.

El modelo SAM se puede utilizar en encuestas para determinar el nivel de

madurez de una organización y establecer una guía a seguir para optimizar
la relación de TI con las unidades de negocio.

El modelo consiste en seis áreas de alineación, cada una con sus propios
atributos. Para cada área se encuentran definidos los niveles de madurez:

Comunicaciones
¿Qué tan bien se entienden TI y las unidades del negocio? ¿Se
comunican frecuentemente? ¿La organización se comunica
frecuentemente con vendedores y asociados?
- Entendimiento del Negocio por parte de TI

128
Marcos de Gobierno de TI

- Entendimiento de TI por parte del Negocio

- Intra-organizacional
- Aprendizaje
- Rigidez de Protocolo
- Intercambio de Conocimiento
- Efectividad de Coordinación

Medidas de Competencia/Valor
¿Qué tan bien se mide el desempeño y el valor de los proyectos
organizacionales? ¿Se evalúan los resultados de los proyectos? ¿Se
toman acciones correctivas para próximos proyectos?
- Métricas de TI
- Métricas del Negocio
- Métricas de Balance
- Acuerdo de Nivel de Servicio
- Benchmarking
- Evaluaciones Formales
- Mejora Continua

Gobierno
¿Los proyectos surgen del entendimiento de la estrategia del negocio?
¿Hacen soporte a tal estrategia?
- Planificación Estratégica del Negocio
- Planificación Estratégica de TI
- Informes/Organización
- Estructura
- Control de Presupuesto
- Manejo de Inversiones de TI
- Comité Directivo

129
 Marcos de Gobierno de TI

- Proceso de Priorización

Asociación
¿A qué nivel llega la relación entre TI y el negocio basándose en
confianza mutua y beneficios compartidos?
- Percepción del Negocio del Valor de TI
- Rol de TI en la Planificación Estratégica del Negocio
- Objetivos Compartidos, Riesgo, Recompensas / Penalizaciones
- Manejo de Programa de TI
- Estilo de Relación/Confianza
- Patrocinador / campeón de negocios

Alcance y Arquitectura
¿A qué nivel llega la tecnología para ser más que un soporte del
negocio? ¿De qué manera ha ayudado al negocio a crecer, competir y
beneficiarse?
- Habilitador Tradicional/Operador Externo.
- Integración arquitectónica de articulación de estándares: Organización
Funcional, Empresa Intra-Empresarial.
- Transparencia Arquitectónica.
- Flexibilidad en el Manejo de Tecnologías Emergentes.

Habilidades
¿Cuenta el personal con las habilidades necesarias para ser efectivo?
¿Qué tan bien entiende el personal de TI a los operadores de TI y sus
necesidades? ¿Qué tan bien entiende el Gobierno de TI personal de
negocio los conceptos de tecnología?
- Innovación, emprendimiento
- Lugar de Poder

130
Marcos de Gobierno de TI

- Estilo de Gestión
- Preparación al Cambio
- Cruce de Carrera
- Educación, Entrenamiento Cruzado
- Ambiente de Confianza Social y Político

ISO 27001

La normativa ISO 27001 es el estándar internacional de sistema de manejo

de seguridad informativa, el conjunto de procesos, documentos y tecnologías
encargados de monitorear y mejorar la seguridad de la información. Su
última versión fue lanzada en 2013.

La normativa ISO 27001 requiere que la gerencia:

- Implemente un proceso de gestión integral que asegure que los controles

de seguridad cumplen con las necesidades de seguridad informativa
- Examine de manera sistemática los riesgos de seguridad tomando en
consideración las vulnerabilidades y amenazas.
- Diseñe controles con controles de riesgos para mitigar las amenazas y
vulnerabilidades.

131
 Marcos de Gobierno de TI

El siguiente diagrama demuestra el manejo de un riesgo con la normativa

ISO 27001:

Amenazas Vulnerabilidades Requisitos

Legales

Análisis de
Impacto

Seleccionar e Implementar Controles

Tratamiento de Riesgo

Asumir Reducir Eliminar Transferir

el riesgo el riesgo el riesgo el riesgo

132
133
134
135
136
Acta de Sarbanes-Oxley

Acta de
Sarbanes-Oxley
Hace más de una década, ocurrieron una cadena de escándalos financieros
que cambiaron la manera en las que se rigen las empresas públicas. El acta
de SarbanesOxley se estableció para evitar mayores desfalcos, potenciados
por una propuesta rígida de controles internos que abarca desde las
tecnologías de la información a los altos ejecutivos.

La falta de confianza de los inversores habilito una rápida respuesta en un

intento de devolver claridad a la bolsa de valores, llevando a la creación del
acta de SarbanesOxley.

Por sus controles financieros, el acta, emitida en el 2002, no aplica a las

empresas privadas, solamente a las que se encuentran en la bolsa de
valores. La ley se estableció después de los escándalos de WorldCom y Enron
(ambas empresas adulteraron sus reportes financieros) para proteger a los
accionistas y a la población en general de las prácticas fraudulentas.

La organización de SEC administra dicha acta y dicta las fechas para

cumplimiento, así como las reglas para los requerimientos. El acta de

137
 Acta de Sarbanes-Oxley

Sarbanes-Oxley no se compone de prácticas de negocio, solo define los

registros que se deben de guardar, no el modelo utilizado.

Muestra de su gran efecto en el Gobierno de TI corporativo, el acta de

Sarbanes-Oxley llega a afectar las finanzas de una determinada empresa
y todas sus unidades de TI, especialmente los encargados de manejar los
registros electrónicos.

El acta dicta que todos los registros de negocio, incluyendo los registros y
mensajes electrónicos, deben de ser almacenados por al menos cinco años.
Incumplir estas leyes significa multas, encarcelamiento o incluso ambas.

Desde su emisión, todo departamento de TI tiene la necesidad de crear y

almacenar registros de manera efectiva para cumplir con las legislaciones
del acta.

Existe un debate acerca de la efectividad de la ley Sarbanes-Oxley. Algunos

argumentan que ha devuelto la confianza a los mercados de la nación a
través de sus controles de contabilidad.

Por otro lado, otros se posicionan en contra y dictan que el acta solo ha
introducido reglas innecesariamente complejas al mercado financiero.

Años antes de la emisión del acta, muchas empresas de auditoria actuaban

como los principales vigilantes financieros para los inversores, que también
realizaban un importante trabajo de consultoría para las empresas que
auditaban. Muchos de estos acuerdos de consultoría fueron mucho más
rentables que el compromiso de auditoría.

138
Acta de Sarbanes-Oxley

Esto generó preguntas sobre posibles conflictos de intereses, como los

expuestos a continuación:

- Las juntas directivas, especialmente los comités de auditoría,

instituyeron los mecanismos de revisión para los reportes financieros de
las corporaciones estadounidenses en nombre de los inversores. Estos
escándalos identificaron a los miembros de las juntas directivas que no
cumplieron sus responsabilidades o no pudieron entender las complejidades
del negocio.

- Los analistas recomendaban acciones para compra y venta, y los

banqueros que ayudaban a las empresas a obtener préstamos o manejar
adquisiciones crearon un conflicto de intereses, pues el caso es similar al
de los auditores. La recomendación de acciones y subsiguiente consultoría
financiera era un conflicto de interés.

- El préstamo de dinero a las empresas era una señal de riesgo para

los inversores. Muchos bancos, algunos sin entender los riesgos de la
empresa Enron, brindaron grandes cantidades de dinero a la organización.
Algunos percibieron esta confianza de los bancos como una señal de su
estabilidad, y otros vieron los riesgos que esto significaba. Al final, todos los
inversores sufrieron pérdidas.

Con suficiente evidencia de los errores financieros, llega el acta de Sarbanes-

Oxley en un intento de devolver la confianza a los inversores a través de un
sistema de reportes financieros completamente confiable.

Las empresas se ven incapaces de adulterar cualquier inventario o registros

ya que se interponen los reportes a tiempo real. Como otro punto, el acta

139
 Acta de Sarbanes-Oxley

estandariza un sistema de ingreso de datos y promueve una cultura de

transparencia desde los ejecutivos hasta los empleados de unidad

Antes de la implementación del acta de Sarbanes-Oxley, las empresas

operaban bajo la idea de que, si ningún inconveniente ocurre, los controles
están funcionando correctamente. El acta cambio este pensamiento a través
de una meticulosa revisión de los controles de cada empresa. La actividad de
control debe de ser identificada, documentada y validada para formar una
evidencia que prueba el correcto funcionamiento de un control.

El acta de Sarbanes-Oxley afecta incluso el Gobierno de TI corporativo y de

TI para asegurar una infraestructura transparente, de cumplimiento y sobre
todo contable.

El rol de TI en el acta de Sarbanes-Oxley

TI toma dos roles en el acta. Uno consiste en el soporte de cumplimiento

a lo largo de la empresa. Estos proveen de cheques a las organizaciones
funcionales como finanzas, procesamiento de orden y así consecutivamente.
Debe de haber un proceso estándar para el manejo de una orden desde el
Gobierno de TI inicio hasta el fin del proceso, también en la recolección de
una paga o de atención al cliente.

El otro rol en este caso es el de asegurar la suficiencia de controles

documentados en temas de seguridad, lanzamiento de aplicaciones, manejo
de cambios etc.

140
Acta de Sarbanes-Oxley

Las partes involucradas deben de revisar cada cambio realizado al SAP

(Aplicaciones de sistemas y productos) antes de su implementación. La
mayoría de las empresas trabajan con diferentes controles de TI, que a
menudo consisten en procesos informales. Para su mejora, se deben de
documentar y evidenciar. La mayoría de inconsistencia recae en la calidad
del documento.

Cumplimiento a lo largo de la empresa

A pesar del hecho que TI recibe muchos proyectos y solicitudes de cambio,

cada aplicación que afecte la hoja de balance debe de cumplir con lo
establecido en el acta de Sarbanes-Oxley, por lo que TI debe de manejar y
monitorear cada solicitud de cambio.

Naturalmente, esto consume tiempo y es costoso si se maneja con sistemas

no integrados en toda la empresa. Para solucionar este problema, las
empresas implementaron soluciones como Serena TeamTrack, un sistema de
manejo y registro. De esta manera, cada unidad de la empresa puede enviar
las solicitudes a TI sin necesitar correos electrónicos u otros medios no
efectivos.

Creando orden en TI

El acta de Sarbanes-Oxley requiere que las compañías reporten cada cambio

que afecte sus datos financieros. En caso de que la ERP y sus sistemas se
encuentren disfuncionales y sus análisis están erróneos, la empresa deberá
volver a comunicar su reporte. Esto significa que la empresa necesita
documentar y monitorear cada cambio que no realizo anteriormente.

141
 Acta de Sarbanes-Oxley

Los procesos de TI pueden ser controlados a través de aplicaciones y

soluciones para asegurar su correspondiente auditoria. Los procesos
efectivos aseguran que las aplicaciones software clave de una empresa no se
enfrenten a errores y amenazas. Una solución adecuada entrega una manera
funcional de controlar los procesos de TI mas allá del desarrollo de software.
Este puede brindar la capacidad de capturar, monitorear y reportar los
cambios a un sistema de TI.

El objetivo del acta es el de garantizar la veracidad y exactitud de los

controles internos de una empresa para sus reportes financieros.

El manejo financiero ha utilizado documentos de hoja de cálculo para sus

procesos durante muchos años. Aunque suelen poseer complejidades de
fórmulas, importaciones de datos, y manejo generalizado de varios usuarios,
las hojas de cálculo no son capaces de entregar reportes financieros lo
suficientemente adecuados.

142
143
144
145
146
Introducción a Basilea II

Introducción
a Basilea II
El Gobierno de TI y el manejo de riesgos se ha convertido uno de los
enfoques principales de los bancos y empresas del sector financiero. Esto
debido a que decisiones concierne al dinero se realizan con información de
riesgos recopilada por profesionales de riesgo.

De esta manera, el manejo efectivo del riesgo ayuda a que las empresas
adquieran mayor visión para tomar las oportunidades que pueden haber sido
descartadas por sus riesgos. Para esta tarea, las organizaciones financieras
contratan a manejadores de riesgo de Basilea II.

Basilea II es un estándar internacional de negocio que requiere que las

empresas financieras mantengan un fondo de dinero al cual recurrir en
caso de emergencias y riesgos. Los acuerdos de Basilea son una serie de
recomendaciones de leyes bancarias y regulaciones creadas por el comité de
Basilea para supervisión bancaria (BCBS).

Los nombres de los acuerdos surgen de Basilea, Suiza, sede de las reuniones
del comité. Los acuerdos dictan que los bancos en posesión de activos

147
 Introducción a Basilea II

El Gobierno de TI y el manejo de riesgos se ha convertido uno de los

enfoques principales de los bancos y empresas del sector financiero. Esto
debido a que decisiones concierne al dinero se realizan con información de
riesgos recopilada por profesionales de riesgo.

De esta manera, el manejo efectivo del riesgo ayuda a que las empresas
adquieran mayor visión para tomar las oportunidades que pueden haber sido
descartadas por sus riesgos. Para esta tarea, las organizaciones financieras
contratan a manejadores de riesgo de Basilea II.

Basilea II es un estándar internacional de negocio que requiere que las

empresas financieras mantengan un fondo de dinero al cual recurrir en
caso de emergencias y riesgos. Los acuerdos de Basilea son una serie de
recomendaciones de leyes bancarias y regulaciones creadas por el comité de
Basilea para supervisión bancaria (BCBS).

Los nombres de los acuerdos surgen de Basilea, Suiza, sede de las reuniones
del comité. Los acuerdos dictan que los bancos en posesión de activos
riesgosos deben de poseer mayores fondos de riesgo que aquellos bancos con
acciones más conservadoras. Basilea II requiere que las empresas publiquen
los detalles de sus inversiones riesgosas y sus prácticas de manejo de
riesgos.

Propósito

Inicialmente publicada en junio de 2004, el comité de Basilea creo Basilea

II para cumplir el propósito de un estándar internacional para regulaciones
bancarias para proteger los riesgos financieros y operacionales.

148
Introducción a Basilea II

Basilea II logra esto a través del establecimiento de manejo de

requerimientos de riesgo y capital que se encargan de asegurar que un
determinado banco cuente con reservas en proporción a sus riesgos. Los
impulsores de Basilea II concuerdan que esto podría proteger el sistema
financiero internacional en caso de que un banco principal colapse.

Requerimientos Esenciales

Basilea II consta de los siguientes requerimientos:

- Las reservas de capital de los gerentes institucionales deben de ser

sensibles al riesgo.
- La separación de riesgos de crédito y operaciones y proseguir a cuantificar
ambas.
- La reducción del alcance a través del alineamiento de los riesgos
económicos con las evaluaciones regulatorias.

Basilea II ha resultado en el desarrollo de diferentes estrategias que permite

a los bancos a realizar inversiones riesgosas. Los activos de mayor riesgo se
trasladan a partes no reguladas de las compañías tenedoras. El riesgo puede
transferirse directamente a los inversores mediante titulización, que toma
un activo o grupos de activos no líquidos y los transforma en un valor que
puede negociarse en mercados abiertos.

Objetivos
- Asegurar que la inversión de capital sea sensible al riesgo
- La separación de riesgos operativos y de crédito y la contabilidad de ambas
- Alinear el capital económico y regulatorio más de cerca para reducir el
alcance de regulación arbitral.

149
 Introducción a Basilea II

Cronología

Basilea I Acuerdo Capital:

Esta versión se establece en 1988.

Basilea II Acuerdo Capital:

- Primer documento consultativo (1999)
- Segundo documento consultativo (2001)
- Tercer documento consultativo (2003)
- Documento final (2004)

Versión Final (2006):

- “Basilea II: Convergencia internacional de medición de capital y estándares
de capital: un marco revisado-Versión completa”
- Revisiones propuestas al marco de Basilea II (2008)
- Concepto de tres pilares: Requerimiento mínimo de capital, revisión de
supervisión y disciplina de mercado.

150
Introducción a Basilea II

Los Tres Pilares del Estándar Basilea II

Requerimientos Mínimos
de Capital

Revisión de Supervisión

Disciplina de Mercado

El Primer Pilar: Requerimientos Mínimos de

Capital

Este describe como mantener un capital regulatorio listo para tres tipos
de riesgos que enfrenta un banco. Estos son riesgos de crédito, riesgos de
operaciones y riesgo de mercado.

En esta etapa, los riesgos afuera de los mencionados no se consideran

medibles. A medida que las recomendaciones de Basilea II se introducen
por la industria bancaria, habrá una transición de requerimientos
estandarizados a unos más avanzados y específicos desarrollados para cada
categoría de riesgo de cada banco.

La ventaja en estos desarrollos recae en que eventualmente tendrán bajos

riesgos en requerimiento de capital. Los expertos argumentan que la brecha

151
 Introducción a Basilea II

que separa las ganancias económicas y las reguladas será más pequeña en el
futuro.

El primer pilar abarca el mantenimiento de capital regulatorio en los

siguientes componentes de riesgo:

- Riesgo de capital: Este componente puede ser computado de tres

diferentes maneras en varios grados de complejidad. Sea por el enfoque
estandarizado, fundación IRB o IRB avanzado.
- Riesgo operacional: Este componente abarca tres diferentes métodos:
método de indicador básico (BIA), enfoque estandarizado (TSA) o enfoque
de medición interna.
- Riesgo de mercado: Enfoque de valor en el riesgo.

El Segundo Pilar: Revisión de supervisión

Este pilar abarca con la respuesta regulatoria del primer pilar, dando a
los reguladores mejores herramientas que las ofrecidas en Basilea I. Esta
también brinda un marco para el manejo de riesgos que un banco pueda
manejar como los riesgos sistémicos, riesgos de pensión, riesgos de
concentración, de liquidez y legal.

Este acuerdo los categoriza bajo el título de riesgos residuales. Brinda a los
bancos la autoridad de revisar su sistema de manejo de riesgos.

152
Introducción a Basilea II

El Tercer Pilar: Disciplina de mercado

El tercer pilar propone mejor estabilidad en el sistema financiero. La

disciplina de mercado es un factor adicional que ayuda en la regulación, ya
que el intercambio de información ayuda en la mutua evaluación de bancos.

Esto incluye inversores, analistas, clientes y otros bancos. Se encarga de

guiar una empresa hacia un Gobierno adecuada dentro su corporación.
Impulsa la disciplina de mercado mediante el requerimiento de información
de actividades de manejo de riesgo a los prestamistas. Este define en
anuncios públicos que los bancos están requeridos a crear y dar mejor visión
a los detalles de su capitalización.

El tercer pilar busca agrandar los requerimientos mínimos de capital y el

proceso de revisión administrativa. Este se realiza mediante la presentación
de los requerimientos que harán que los participantes de mercado tengan el
suficiente capital para cubrir sus contingencias

También es requerido para crear detalles públicos bajo el alcance de

aplicación, capital, exposición al riesgo y procesos de revisión del negocio.
Debe ser cuantificable de la misma manera en la que la junta directiva
maneja sus propios riesgos.

Actualizaciones

Los acuerdos de Basilea II tuvieron un total de siete actualizaciones hasta la

fecha:
- Actualización de Septiembre 2005
- Actualización de Noviembre 2005

153
 Introducción a Basilea II

- Actualización de Julio 2006

- Actualización de Noviembre 2007
- Actualización de Julio 2008
- Actualización de Enero 2009
- Actualización de Julio 2009

Reguladores

Una de las partes más difíciles en la implementación de una estandarización

internacional yace en la acomodación de diferentes culturas, leyes,
costumbres y modelos de estructura. Los ejecutivos bancarios deciden qué
estrategia corporativa acatar y el país que inspirara el modelo de negocio.

Los bancos pueden utilizar una variedad de aplicaciones de software en caso

de que se encuentren operando con diferentes requerimientos de reporte
para diferentes reguladores en diferentes zonas geográficas. La creación
de reportes requiere de motores de calculación de capital que extiendan a
soluciones automáticas de reportes, incluyendo los requeridos por COREP/
FINREP.

Progreso de Implementación

Los reguladores alrededor del mundo proponen implementar los nuevos

acordes, pero sus aplicaciones varían dependiendo del uso de los enfoques.

Los reguladores de los Estados Unidos han acordado un método final

requiriendo el enfoque de calificación interna para los bancos grandes y
restringiendo el enfoque estandarizado a las instituciones particulares.

154
Introducción a Basilea II

El banco de reserva de India ha implementado las normas estandarizadas

de Basilea II en India y se mueve hacia un modelo de calificación interna en
crédito y normas AMA para riesgos operacionales en los bancos.

La Unión Europea ha implementado los acuerdos mediante la directiva de

requerimientos capitales de la UE y muchos bancos europeos reportan sus
datos de capital de acuerdo al nuevo sistema. Todas las instituciones de
crédito adoptaron este sistema en el 2008.

Australia, mediante la regulación de Autoridad de Regulación Prudencial

Australiana, implemento el marco de Basilea II el primero de enero de 2008.

155
156
157
158
Efectividad y Futuro del Gobierno de TI

Efectividad y Futuro
del Gobierno de TI
Los Pasos Para una Mejor Gobierno de TI

La refinación del Gobierno de TI en las empresas requiere procesos de

cambios tácticos. No existe un modelo especifico que logre lo deseado, se
debe de acompañar de una nueva mentalidad y serie de comportamientos de
los altos niveles ejecutivos dentro de TI y la empresa que la rodea. El desafío
en este caso es el siguiente: no todos los ejecutivos aceptan procedimientos
para mayor transparencia y contabilidad.

En estos casos, se debe de trabajar en conjunto con el CEO y CIO para

incrementar la madurez del Gobierno de TI. Es un proceso que se debe de
realizar con paciencia sin mucha insistencia.

Pasos Para Una Mejor Gobierno de TI:

- Adquirir la colaboración y empeño de los ejecutivos. Algunos

expertos recomiendan imponer sanciones a aquellos ejecutivos que no.

159
 Efectividad y Futuro del Gobierno de TI

cumplan sus funciones.

- Tratar el proceso de Gobierno como un programa de cambio que

requiere de recursos y empeño hasta brindar beneficios tangibles, donde se
considerara como un proyecto exitoso. Se debe tomar en cuenta la cultura de
la organización, sus recursos y capacidad para el cambio. Se deben establecer
metas alcanzables y cuantificar todo beneficio. En el caso que TI tenga
dificultades para entregar servicios exitosos y obtenga reacciones negativas
de manera constante, los esfuerzos de Gobierno de TI se deben enfocar
en resolver estos problemas antes de acatar las metas de alineamiento de
estrategia.

- Implementar marcos internacionales para una iniciativa de

Gobierno . Estos pueden ser COBIT o ITIL.

- Brindar elementos de transparencia a la toma de decisiones y la

creación de reportes para generar confianza.

- Desarrollar un proceso que se encargue de manejar las excepciones

y proseguir a cuantificarlas a través de un reporte detallando sus causas. El
problema en si debe de ser discutido abiertamente entre los integrantes.

- Incentivar al grupo en la participación y consentimiento de cada

nivel de Gobierno para evitar problemas que alcance los altos ejecutivos. En
el proceso se genera confianza y cooperación dentro del marco de Gobierno.

- Alinear los mecanismos de Gobierno, como el manejo de riesgos,

inversión y continuidad de negocio, a TI.

160
Efectividad y Futuro del Gobierno de TI

- Instruir a los ejecutivos acerca de los beneficios que un Gobierno de

TI tendría en la empresa. De esta manera se incluye a la alta gerencia en los
procesos de toma de decisiones y se evita que oportunidades tecnológicas de
negocio se pierdan por falta de conocimiento.

- Desarrolle la responsabilidad para obtener beneficios en el caso de

negocios, ya que esto insta a un interés activo en el Gobierno de la entrega.

- Acatar los detalles técnicos en foros y reportar a los ejecutivos

solamente los cumplimientos y los riesgos. Se debe evitar brindar demasiada
información técnica para que los gerentes de TI se enfoquen más en su
estrategia que en cómo se realizan las cosas.

Desarrollando Una Efectiva Gobierno de TI

Las empresas más exitosas no solo trabajan con un Gobierno que alinea la
estrategia de TI con el negocio, van más allá en la creación de un ecosistema
operativo que se enfoca en mejorar las operaciones diarias.

A continuación, se encuentran hábitos efectivos de TI:

Así como otras áreas de negocio, las mayores empresas tratan a los activos
de TI como un portafolio a seguir y no como una serie de proyectos
independientes. Esto permite mejor entendimiento de las estrategias que se
pueden aplicar y el valor que los activos pueden brindar al negocio.

La mayoría de organizaciones invierten alrededor del 4% de sus ingresos

en TI y un cuarto del Gobierno de TI en gastos operacionales. Las mejores
empresas visualizan a TI como un activo estratégico de negocio en su

161
 Efectividad y Futuro del Gobierno de TI

totalidad. Si es posible, estas empresas se enfocan en las tres áreas del

portafolio -operaciones, habilitación de negocio e innovación- y los efectos
que TI podría tener en ellas.

Las Tres Áreas de un Portafolio de Negocio:

Operaciones
Involucra el manejo de tecnologías maduras y de data center para
mejorar los sistemas de información y servicios de soporte, introduciendo
efectividad y eficiencia de costo desde niveles más altos.

Habilitación de negocios
Involucra el manejo de herramientas de TI que pueden convertir e incluso
mejorar los procesos del negocio a niveles de talla mundial.

Innovación
Involucra manejar tecnologías que pueden alcanzar innovación para la
producción de estrategias y dinámicas de mercado competitivas. Estas
tecnologías son capaces de cambiar el rumbo de una empresa frente a sus
competidores.

Evitar la ignorancia tecnológica

La decisión de invertir en una nueva tecnología es una difícil de tomar para

las empresas. La decisión se facilita cuando los ejecutivos se encuentran lo
suficientemente informados y cuentan con las habilidades necesarias para
implementar las nuevas tecnologías. Se recomienda adquirir una tecnología
cuando esta se encuentre los suficientemente madura en forma de una
solución de negocio. Está demostrado que las empresas que adquieren las

162
Efectividad y Futuro del Gobierno de TI

tecnologías a este nivel de madurez llegan a desempeñarse mejor que la

competencia.

Una vigilancia de la junta directiva con una clara

figura de liderazgo

Las mayores empresas cuentan con un consejo de directores de TI, como lo

son FedEx y Tyco International. Estos consejos tienen impacto directo en el
negocio, y se comunican frecuentemente con la junta directiva.

Sus responsabilidades son las siguientes: Asegurar la alineación de TI con

la estrategia del negocio, tanto el consejo como la junta deciden si el valor
de TI y su rol es de soporte para el negocio y sus estrategias.

Evaluar el desempeño de TI:

El consejo de TI y la junta directiva deben manejar las siguientes áreas:

- Portafolio de TI: El portafolio de TI debe de ser capaz de apoyar

las necesidades del negocio junto a una entrega de soluciones innovativas
y aumento de retornos. Se aseguran de que los activos existentes estén
capacitados para brindar valor y se actualizan continuamente
- Continuidad del negocio y TI: Se debe evaluar y manejar los mayores
riesgos de TI, incluyendo la seguridad de información, mecanismos de
respaldo y recuperación. La junta debe formar parte de la conversación para
comentar los niveles de riesgos aplicables, los planes de contingencia y los
procesos manuales.
- Evaluación y comunicación: La evaluación repetida de desempeño
de TI, incluyendo la evaluación general de tecnología, practicas estándares
de mejora y la comparación de TI con sus metas establecidas.

163
 Efectividad y Futuro del Gobierno de TI

La falta de un modelo universal de Gobierno de TI

Por la existencia de negocios con diferentes mercados, productos y

clientes, no existe un modelo de Gobierno que cumpla cada necesidad
y requerimiento de las empresas. El modelo de Gobierno de TI es lo
suficientemente amplia y general que funciona con todo tipo de empresas.

Parte vital de la planeación y estrategia

corporativa

Mas del 80% de las empresas emplean un modelo de Gobierno de TI. Entre
los ejecutivos, existen afirmaciones que el negocio y sus estrategias deben
de estar alineadas con TI, pero la idea en si no se traduce en su realización.

Se estima que solo un tercio de las empresas consideran sus unidades de

TI en línea con el negocio. El objetivo del Gobierno de TI es habilitar a TI a
moldear la dirección de la empresa, mientras el negocio maneja el mismo
para TI.

El rol de liderazgo de TI

Ya que TI se encuentra envuelto en todas las facetas de un negocio, la

unidad se encuentra en una posición para innovar las operaciones de un
negocio para sus consecuentes mejoras. El departamento de TI busca elegir
solamente los proyectos de más valor para innovar el negocio.

Medidas del impacto de TI en el negocio

Para mantener una práctica efectiva, se recomienda medir la calidad y

164
Efectividad y Futuro del Gobierno de TI

efectividad de costos de TI, tal como se realiza en otros departamentos del

negocio. La medida de desempeño de TI es una práctica poco utilizada, pues
solo el 40% de las empresas lo realizan luego de una implementación de TI.
Por ello, pierden la oportunidad de visualizar ventajas, desventajas, sistemas
disfuncionales y oportunidades de mejora.

El Gobierno de TI en las Próximas Generaciones

Para la adaptabilidad del Gobierno de TI en el futuro de la educación de TI,

se estructuraron las siguientes características a considerar.

Se identifico a los bajo niveles de madurez de Gobierno dentro del modelo

como un área potencial a mejorar. Los gerentes de TI necesitan procesos
y relaciones que sean lo suficientemente estratégicas para la toma de
decisiones. Lo cual significa que las empresas deben prestar mayor atención
a la documentación, comunicación y monitoreo de los procesos de Gobierno
de TI como bases de la estructura.

Se debe considerar el estado de TI, si es una función ejecutiva ya que apoya

en el Gobierno de TI financiera y de instalaciones, o si no se encuentra lo
suficientemente maduro para considerar esta idea. Puede ser que lo último
sea la correcta, el Gobierno de TI no existido por mucho tiempo.

Para avanzar este proceso, el director de informaciones debe de formar parte

del Gobierno de TI institucional. Para la incorporación completa de TI en la
institución, los ejecutivos deben de ser incluidos en comités y consejos para
presentar oportunidades estratégicas de TI.

165
 Efectividad y Futuro del Gobierno de TI

La mejora de TI requeriría apoyo considerable de los ejecutivos, que se

encargarían de crear estructuras flexibles y responsivas a lo largo de la
empresa, dando así una voz a las unidades para resolver cualquier problema
que pueda surgir.

Una estructura de Gobierno que se encarga de distribuir responsabilidades

de estrategia, política y prioridades de inversión vuelven un Gobierno
de TI reactiva y decisiva. La estructura ayuda al enfoque de discusiones,
responsabilidades, y al alineamiento de individuos. Además, asegura que las
decisiones se realicen en base a las prioridades del proyecto.

166
167
168
Glosario

A
Activos · 10, 14, 15, 21, 25, 27, 34, 39, 44, 46, 47, 49, 61, 62, 67, 68
Adaptabilidad · 69
Administración · 4, 21, 40
Ágil · 11, 14
Alcance · 14, 21, 33, 36, 45, 55, 62, 64, 66
Alineación estratégica · 2, 8, 9, 22, 26, 30, 32
Ambiente unificado · 10
Amenazas · 57, 60
Análisis · 4, 30, 40, 51, 52, 60
Arquitectura · 5, 6, 10, 11, 22, 23, 26, 31, 34, 38, 40
Automatización · 3, 21, 22, 23, 25, 30

B
Base de datos · 13
Basilea · 1, 61, 62, 63, 64, 65
Basilea I · 62, 64
Basilea II · 1, 61, 62, 63, 64, 65 bolsa de valores · 15, 58

C
Calificación · 65
CEO · 18, 38, 66
Certificaciones · 43, 53
CIO · 18, 38, 66
CMM · 50, 51, 52
CMMI · 14
COBIT · 2, 9, 14, 26, 41, 42, 66

169
 COREP/FINREP · 65
Costos · 4, 9, 11, 12, 14, 15, 17, 23, 25, 31, 39, 44, 45, 46, 69
Cumplimiento · 3, 4, 15, 19, 21, 30, 34, 45, 58, 60
Comité de Basilea · 61
Comités · 4, 16, 21, 25, 27, 38, 59, 70
Contabilidad · 58, 62, 66
Controles · 3, 4, 6, 15, 17, 26, 27, 37, 41, 47, 57, 58, 59, 60, 61
Controles internos · 15, 26, 58, 61
COREP/FINREP · 65
Costos · 4, 9, 11, 12, 14, 15, 17, 23, 25, 31, 39, 44, 45, 46, 69
Cumplimiento · 3, 4, 15, 19, 21, 30, 34, 45, 58, 60

D
Datos financieros · 4, 60
Decisiones · 2, 4, 6, 11, 14, 15, 16, 18, 19, 20, 21, 24, 25, 26, 27, 35, 36, 37, 38, 39, 41, 44, 45,
46, 55, 61, 66, 67, 69, 70
Demanda · 10, 30, 39, 40, 43
Desarrollo · 9, 10, 11, 13, 18, 19, 22, 23, 27, 28, 30, 32, 34, 35, 39, 50, 51, 53, 55, 60, 62
Desempeño · 10, 14, 16, 17, 21, 23, 25, 26, 27, 32, 35, 36, 37, 39, 41, 46, 52, 56, 68, 69
Despliegue · 3
Disciplina de mercado · 64
Diseño organizacional · 55
Dominios · 1, 34, 35, 44

E
Ejecución · 4, 8, 9, 32, 33
Ejecutivos · 14, 15, 17, 18, 21, 22, 26, 37, 41, 46, 48, 58, 59, 65, 66, 67, 68, 69, 70
Elementos · 4, 10, 14, 21, 29, 30, 43, 47, 51, 55
Empresariales · 4, 5, 8, 14, 34, 36, 41, 44, 46, 47, 50

170
Enron · 58, 59
Entidad · 12, 19, 48
Entrega · 6, 9, 11, 12, 14, 27, 31, 32, 33, 34, 35, 43, 44, 45, 46, 53, 60, 67, 68
Equipo de operaciones · 37
ERP · 60
Especialidad · 9
Estándar internacional · 13, 57, 61
Estándares · 5, 18, 24, 26, 36, 38, 41, 46, 49, 53, 56, 58, 62, 69
Estrategia · 2, 4, 21, 25, 26, 27, 28, 30, 31, 33, 34, 35, 36, 37, 40, 43, 55, 56, 65, 66, 67, 68,
69, 70
Evaluación · 2, 8, 19, 22, 26, 29, 33, 39, 49, 53, 64, 69
Experiencia · 9

F
Financiero · 8, 25
flujos de trabajo · 11

G
Gerencia · 5, 6, 43
Gobierno · 1, 2, 3, 4, 5, 6, 7, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 27,
28, 30, 31, 32, 34, 35, 36, 37, 38, 39, 40, 41, 42, 44, 46, 48, 49, 50, 51, 53, 55, 56, 57, 58, 60,
61, 64, 65, 66, 67, 69, 70
Gobierno de TI · 2, 4, 10, 13, 16, 17, 18, 21, 22
Gobierno federal · 15

I
Idoneidad · 3
Impacto · 4, 68, 69
Informaciones · 70

171
 Informe · 10, 15
Infraestructura · 18, 23, 26, 42, 51, 55, 60
Inversiones · 2, 4, 5, 8, 9, 14, 17, 18, 20, 21, 26, 28, 31, 32, 34, 36, 39, 40, 42, 44, 45, 46, 61,
62
ISACA · 41
ISMS · 47
ISO 27001 · 13, 57
ISO/IEC 15504 · 19, 53
ISO/IEC 27001 · 46, 47
ISO/IEC 38500 · 48, 49, 50
ISO-9000 · 14
ITIL · 14, 42, 43, 44, 66

J
Jerarquía · 21, 55

L
Legal · 64
Legislaciones · 49
Leyes corporativas · 15
Liderazgo · 2, 4, 68, 69
Liquidez · 64
Luftman · 8, 55

M
Madurez · 8, 16, 19, 20, 22, 51, 53, 56, 66, 68, 69
Manejable · 52
Manejo de riesgos · 16, 17, 26, 27, 32, 34, 51, 61, 64, 66
Manejo de seguridad · 13, 47, 57

172
Mapa de los procesos · 10
Marco · 2, 8, 9, 10, 17, 22, 26, 33, 34, 35, 36, 40, 41, 42, 43, 44, 45, 46, 48, 49, 62, 64, 65, 66
Marcos de trabajo · 8, 10, 42
Matriz de trazabilidad · 13
Medidas · 7, 10, 56, 69
Medidas cualitativas · 10
Metas · 11, 14, 21, 27, 40, 41, 42, 43, 51, 66, 69
Metas de alineamiento · 66
Metodologías · 12, 50
Modelo · 2, 8, 11, 19, 22, 25, 26, 27, 28, 50, 51, 53, 55, 56, 58, 65, 69
Modelo de Alineación Estratégica · 54, 55

N
Negocio · 2, 3, 4, 8, 9, 10, 11, 14, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32,
33, 34, 35, 37, 38, 39, 40, 41, 43, 44, 45, 46, 47, 49, 50, 53, 54, 55, 56, 57, 58, 59, 61, 64, 65,
66, 67, 68, 69
Nivel de Servicio · 55, 56
Nivel Estratégico · 37
Nivel Gerencial · 37
Niveles · 3, 19, 23, 36, 37, 38, 39, 51, 56, 65, 67, 68, 69
Normas estandarizadas · 65
Normativa · 13, 53, 57
Nube · 13

O
Objetivos · 2, 4, 5, 6, 8, 10, 16, 17, 21, 25, 30, 32, 34, 35, 36, 41, 43, 48, 49, 50
Oficina de manejo de proyectos · 11
Optimización · 14, 53
Organigrama · 55

173
 P
Perspectivas de alineación · 55
PMO · 11, 12, 33
Políticas · 5, 6, 13, 15, 22, 23, 24, 26, 27, 36, 42
Portafolio de TI · 11, 40, 44, 68
Prácticas · 5, 12, 14, 25, 31, 34, 36, 40, 43, 44, 46, 47, 49, 58, 61
Presupuesto · 11, 12, 14, 17, 31
Presupuesto establecido · 14, 17
Principios · 2, 13, 24, 36, 41, 42, 44, 45, 48, 49
Priorizar · 4, 40, 55
Privacidad · 17, 49
Proceso · 2, 4, 8, 9, 11, 16, 18, 19, 21, 23, 24, 26, 27, 28, 29, 30, 31, 32, 33, 35, 37, 39, 47, 51,
54, 57, 60, 64, 66, 70
Proveedores · 39
Proyectos · 3, 11, 12, 14, 16, 17, 18, 19, 21, 23, 24, 31, 32, 33, 34, 36, 37, 39, 40, 46, 51, 52,
56, 60, 67, 69

R
Recursos · 2, 9, 10, 11, 15, 18, 19, 21, 22, 23, 24, 27, 30, 31, 32, 34, 35, 36, 37, 39, 42, 43, 44,
47, 55, 66
Regulaciones · 2, 6, 42, 61
Reguladores · 15, 64, 65
Regulatorio · 3, 34, 62, 63
Rendimiento · 4, 21, 49, 50
Repetible · 52
Requerimiento de capital · 63
Requerimiento de sistemas · 13
Requerimientos Mínimos de Capital · 63
Responsabilidades · 8, 12, 16, 17, 27, 31, 35, 36, 46, 49, 59, 68, 70

174
Revisión de código · 13
Revisión de supervisión · 64
Riesgo · 3, 4, 10, 13, 14, 18, 21, 25, 33, 34, 39, 40, 42, 44, 47, 57, 59, 61, 62, 63, 64
Riesgos económicos · 26, 62
Roles de responsabilidad · 16

S
SAM · 8, 55, 56
SAP · 60
Sarbanes-Oxley · 1, 2, 15, 17, 58, 59, 60
Satisfacción de clientes · 17
SEC · 58
SEI · 51
Servicios · 6, 14, 21, 24, 25, 28, 35, 39, 42, 43, 44, 51, 53, 55, 66, 67
Servicios · 42
SLA · 38, 39
Software · 31, 34, 43, 50, 51, 53, 60, 65
Soluciones · 60, 65, 68
SPICE · 53

T
Tarjeta de puntuación · 10
Tecnología · 2, 3, 4, 6, 26, 27, 36, 42, 43, 57, 68, 69
TI · 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28,
29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 53, 54, 55,
56, 58, 60, 61, 65, 66, 67, 68, 69, 70
Tiempo · 4, 12, 17, 31, 36, 38, 40, 41, 52, 59, 60, 70
TOGAF · 10

175
 U
Unidad · 9, 13, 18, 38, 39, 46, 59, 60, 69 38, 39, 41, 43, 46, 47, 50, 54, 55, 56, 58, 69, 70
Unión Europea · 65
Usuarios · 23, 24, 28, 39, 61

V
VAL IT · 9, 44, 45
Valor · 3, 6, 9, 11, 12, 14, 17, 23, 25, 27, 28, 31, 32, 33, 34, 35, 38, 40, 42, 43, 44, 45, 46, 53,
56, 62, 64, 67, 68, 69
Valor empresarial de TI · 11
Valores · 16
Verificación · 13, 51
Viabilidad financiera · 11
Visión · 5, 21, 22, 24, 27, 35, 37, 55, 61, 64

W
WorldCom · 58

176
177
178
179
180
CRÉDITOS

Diseñador/Diagramador
Jean Díaz

Editor
Mauricio José Carías

181
182
183