lÍnea de investigaciÓn: administración de recursos
Post on 27-Feb-2022
17 Views
Preview:
TRANSCRIPT
UNIVERSIDAD TÉCNICA DE AMBATO
FACULTAD DE TECNOLOGÍAS DE LA INFORMACIÓN,
TELECOMUNICACIONES E INDUSTRIAL
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES E
INFORMÁTICOS
TEMA:
“DISEÑO DE UN PLAN ESTRATÉGICO APLICANDO LA METODOLOGÍA
COBIT EN LA EMPRESA IMPORTADORA ALVARADO S.A.”
Trabajo de Graduación Modalidad: Proyecto de Investigación, presentado previo a la
obtención del título de Ingeniera en Sistemas Computacionales e Informáticos.
LÍNEA DE INVESTIGACIÓN: Administración de recursos
AUTOR: Curay Moreta Mayra Elizabeth
TUTOR: Ing. Franklin Mayorga Mg.
Ambato-Ecuador
Agosto - 2019
ii
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del Trabajo de Investigación sobre el tema: “DISEÑO DE UN
PLAN ESTRATÉGICO APLICANDO LA METODOLOGÍA COBIT EN LA
EMPRESA IMPORTADORA ALVARADO S.A.”, de la señorita Curay Moreta Mayra
Elizabeth, estudiante de la Carrera de Ingeniería en Sistemas Computacionales e
Informáticos de la Facultad de Tecnologías de la Información, Telecomunicaciones e
Industrial, de la Universidad Técnica de Ambato, considero que el informe investigativo
reúne los requisitos suficientes para que continúe con los trámites y consiguiente
aprobación de conformidad con el numeral 7.2 de los Lineamientos Generales para la
aplicación de Instructivos de la Modalidad de Titulación de las Facultades de la
Universidad Técnica de Ambato.
Ambato, Agosto 2019
iii
AUTORÍA
El presente Proyecto de Investigación titulado: DISEÑO DE UN PLAN
ESTRATÉGICO APLICANDO LA METODOLOGÍA COBIT EN LA EMPRESA
IMPORTADORA ALVARADO S.A.”, es absolutamente original, auténtico y personal,
en tal virtud, el contenido, efectos legales y académicos que se desprenden del mismo
son de exclusiva responsabilidad del autor.
Ambato, Agosto, 2019
iv
DERECHOS DE AUTOR
Autorizo a la Universidad Técnica de Ambato, para que haga uso de este Trabajo de
Titulación como un documento disponible para la lectura, consulta y procesos de
investigación.
Cedo los derechos de mi Trabajo de Titulación, con fines de difusión pública, además
autorizo su reproducción dentro de las regulaciones de la Universidad.
Ambato, Agosto, 2019
v
APROBACIÓN DE LA COMISIÓN CALIFICADORA
La Comisión Calificadora del presente trabajo conformada por los señores docentes,
Ing. Rubén Nogales e Ing. Víctor Guachimbosa, revisó y aprobó el Informe Final del
Proyecto de Investigación titulado:” DISEÑO DE UN PLAN ESTRATÉGICO
APLICANDO LA METODOLOGÍA COBIT EN LA EMPRESA IMPORTADORA
ALVARADO S.A.”, presentado por la señorita Mayra Elizabeth Curay Moreta de
acuerdo al numeral 9.1 de los Lineamientos Generales para la aplicación de Instructivos
de las Modalidades de Titulación de las Facultades de la Universidad Técnica de
Ambato.
vi
DEDICATORIA
A Dios por darme la vida y guiarme en
todo momento, a mi mamá que con su
apoyo incondicional, amor y confianza
permitieron que logre culminar mi
carrera profesional.
Curay Moreta Mayra Elizabeth
vii
AGRADECIMIENTO
Agradezco a Dios, quien ha guiado mi
vida, bendiciéndome y dándome fuerzas
para continuar con mis metas.
A mi mamá que ha sido el pilar
fundamental de mi vida, que gracias a su
amor y apoyo incondicional me ha
ayudado a cumplir este logro.
A mis hermanos por el apoyo a lo largo
de toda mi carrera universitaria y a lo
largo de mi vida.
A todas las personas que me han
acompañado en esta etapa, aportando a
mi formación tanto profesional y como
ser humano.
Curay Moreta Mayra Elizabeth
viii
ÌNDICE DE CONTENIDO
APROBACIÓN DEL TUTOR ......................................................................................... ii
AUTORÍA ....................................................................................................................... iii
DERECHOS DE AUTOR ............................................................................................... iv
APROBACIÓN DE LA COMISIÓN CALIFICADORA ................................................ v
DEDICATORIA .............................................................................................................. vi
AGRADECIMIENTO .................................................................................................... vii
ÌNDICE DE CONTENIDO ........................................................................................... viii
ÍNDICE DE FIGURAS ................................................................................................... xi
ÍNDICE DE TABLAS ................................................................................................... xiv
RESUMEN EJECUTIVO ............................................................................................. xvi
ABSTRACT ................................................................................................................. xvii
INTRODUCCIÓN ....................................................................................................... xviii
CAPÍTULO I .................................................................................................................. 1
EL PROBLEMA ............................................................................................................. 1
1.1 Tema de Investigación ....................................................................................... 1
1.2 Planteamiento del problema ............................................................................... 1
1.3 Delimitación ....................................................................................................... 3
1.4 Justificación ....................................................................................................... 3
1.5 Objetivos ............................................................................................................ 4
1.5.1 General........................................................................................................ 4
1.5.2 Específicos .................................................................................................. 4
CAPÍTULO II ................................................................................................................. 5
MARCO TEÓRICO ....................................................................................................... 5
2.1 Antecedentes investigativos ............................................................................... 5
2.2 Fundamentación teórica ..................................................................................... 6
2.2.1 Planificación Estratégica ................................................................................. 6
2.2.2 Las Tecnología de la información y comunicación (T.I.C) .......................... 12
2.2.3. Planificación estratégica de TI ...................................................................... 15
2.2.4 COBIT ............................................................................................................ 17
ix
CAPÍTULO III ............................................................................................................. 28
METODOLOGÍA ......................................................................................................... 28
3.1 Modalidad de Investigación ............................................................................. 28
3.1.1. Modalidad Bibliográfica y Documental: ....................................................... 28
3.1.2. Modalidad de Campo .................................................................................... 28
3.2 Población y Muestra ........................................................................................ 28
3.3 Recolección de Información ............................................................................ 28
3.4 Procesamiento y Análisis de Datos .................................................................. 29
3.5 Desarrollo del Proyecto ................................................................................... 46
CAPÍTULO IV .............................................................................................................. 47
DESARROLLO DE LA PROPUESTA ...................................................................... 47
4.1. Análisis de la situación actual de la empresa ................................................... 47
4.1.1 Breve descripción de la empresa .................................................................... 47
3.2.1 Evaluación del cumplimiento general ............................................................ 65
3.2.2 Resultado de la evaluación por dominio ........................................................ 66
4.2.3 Resultado final de la evaluación por proceso ................................................. 67
4.2.3.1 Procesos del dominio planear y organizar................................................... 67
4.2.3.2 Resultados del dominio adquirir e implementar ......................................... 68
4.2.3.3 Resultados del dominio entregar y dar soporte ........................................... 69
4.2.3.4 Resultados de dominio monitorear y evaluar .............................................. 71
4.2.4 Resultado final de la evaluación por objetivos de control ............................. 72
4.2.4.1 Dominio planear y organizar ....................................................................... 72
4.2.4.2 Dominio Adquirir e Implementar ................................................................ 80
4.2.4.3 Dominio entregar y dar soporte ................................................................... 86
4.2.4.4 Dominio monitorear y evaluar .................................................................... 97
4.2.5 Resultado final de la evaluación................................................................... 102
4.2.5.1 Resultados de la evaluación por objetivos de control ............................... 102
4.2.5.2. Grado de madurez .................................................................................... 104
4.3 Plan estratégico ................................................................................................... 105
CAPÍTULO V ............................................................................................................. 125
CONCLUSIONES Y RECOMENDACIONES ....................................................... 125
5.1 CONCLUSIONES .............................................................................................. 125
x
5.2. RECOMENDACIONES ................................................................................ 127
BIBLIOGRAFÍA .......................................................................................................... 128
ANEXOS ...................................................................................................................... 131
xi
ÍNDICE DE FIGURAS
Figura 1. Cuatro etapas del control de gestión [8]. ........................................................... 7
Figura 2. Indicadores organizacionales de gestión [8]. .................................................... 8
Figura 3.- Metodología de la planificación estratégica [29] .......................................... 10
Figura 4.- Proceso continuo de evaluación de la planificación estratégica [16]. ........... 12
Figura 5: Costos en el proceso de incorporación de las TICs [21]. ................................ 15
Figura 6 Categorías para los recursos de Tecnologías de Información .......................... 19
Figura 7 Plan estratégico alineado con las necesidades de la empresa .......................... 29
Figura 8 Definición de arquitectura de información ...................................................... 30
Figura 9 Pregunta 3 ........................................................................................................ 31
Figura 10 Pregunta 4 ...................................................................................................... 32
Figura 11 Implementación de políticas de TI ................................................................. 33
Figura 12 Frecuencia de renovación de las políticas de TI ............................................ 34
Figura 13 Capacitación continua del personal de TI ...................................................... 35
Figura 14 Los proyectos desarrollados se encuentran dentro del plan Organizacional.. 36
Figura 15 Realización de estudios de factibilidad .......................................................... 37
Figura 16 Frecuencia de cambios de emergencia en la infraestructura de TI ................ 38
Figura 17 Metodologías de prueba para garantizar la aceptación del producto ............. 39
Figura 18 Gerencia encarga de realizar la evaluación formal de los resultados de prueba
........................................................................................................................................ 40
Figura 19 Nivel de seguridad para salvaguardar la información .................................... 41
Figura 20 Los servicios de TI utilizan un sistema de contabilidad de costos ................. 42
Figura 21 La empresa cuenta con un repositorio central ................................................ 43
Figura 22 Proporciona reportes administrativos del desempeño de TI a la alta dirección
........................................................................................................................................ 44
Figura 23 Organigrama estructural del departamento de TI........................................... 49
Figura 24 Evaluación del cumplimiento del departamento de sistemas a nivel general 65
Figura 25 Evaluación por dominio ................................................................................. 66
Figura 26 Procesos del dominio Planear y Organizar .................................................... 67
Figura 27 Resultados del dominio Adquirir e Implementar ........................................... 69
Figura 28 Resultados del dominio Entregar y dar Soporte ............................................. 70
Figura 29 Resultados de dominio monitorear y evaluar ................................................. 71
Figura 30 Objetivo de control del proceso PO1.Definir un plan estratégico de TI ........ 72
xii
Figura 31. Resultados Procesos P02. Definir la Arquitectura de la Información ........... 73
Figura 32. Objetivos de control proceso PO3. Determinar la dirección tecnológica ..... 74
Figura 33. Objetivos de control del proceso PO4. Definir los procesos, organizar y
relaciones de TI .............................................................................................................. 74
Figura 34. Objetivos estratégicos del proceso PO5. Administrar la inversión de TI ..... 75
Figura 35. Objetivos de control del proceso PO6. Comunicar las aspiraciones y la
dirección de la gerencia .................................................................................................. 76
Figura 36. Objetivos de control del proceso PO7. Administrar recursos humanos de TI
........................................................................................................................................ 77
Figura 37. Objetivos de control del proceso PO8. Administrar la calidad ..................... 78
Figura 38. Objetivos de control del proceso PO9. Evaluar y administrar los riesgos de
TI .................................................................................................................................... 79
Figura 39. Objetivos de control del proceso PO10. Administrar proyectos ................... 80
Figura 40. Objetivos de control del proceso AI1. Identificar soluciones automatizadas 81
Figura 41. Objetivos de control del proceso AI2. Adquirir y mantener software
aplicativo ........................................................................................................................ 82
Figura 42. Objetivos de control del proceso AI3. Adquirir y mantener infraestructura
tecnológica ...................................................................................................................... 83
Figura 43. Objetivos de control del proceso AI4. Facilitar la operación y el uso .......... 84
Figura 44. Objetivo de control del proceso AI5. Adquirir recursos de TI .................... 84
Figura 45. Objetivos de control del proceso AI6. Administrar cambios ........................ 85
Figura 46. Objetivos de control del proceso AI7. Instalar y acreditar soluciones y
cambios ........................................................................................................................... 86
Figura 47. Objetivos de control del proceso DS1. Definir y administrar los niveles de
servicio ........................................................................................................................... 87
Figura 48. Objetivos de control del proceso DS2. Administrar los servicios de terceros
........................................................................................................................................ 88
Figura 49. Objetivos de control de proceso DS3. Administrar el desempeño y la
capacidad ........................................................................................................................ 89
Figura 50. Objetivos de control del proceso DS4. Garantizar la continuidad del servicio
........................................................................................................................................ 90
Figura 51. Objetivos de control del proceso DS5. Garantizar la seguridad de los
sistemas ........................................................................................................................... 91
Figura 52. Objetivos de control del proceso DS6. Identificar y asignar costos ............. 92
xiii
Figura 53. Objetivos de control del proceso DS7. Educar y entrenar a los usuarios ..... 92
Figura 54. Objetivos de control del proceso DS8. Administrar la mesa de servicio y los
incidentes ........................................................................................................................ 93
Figura 55. Objetivos de control del proceso DS9. Administrar la configuración .......... 94
Figura 56. Objetivos de control del proceso DS10. Administrar los problemas ............ 94
Figura 57. Objetivos de control del proceso DS11. Administrar los datos .................... 95
Figura 58. Objetivos de control del proceso DS12. Administrar el ambiente físico ...... 96
Figura 59. Objetivos de control del proceso DS13. Administrar las operaciones .......... 96
Figura 60. Objetivos de control del proceso ME1. Monitorear y evaluar el desempeño
de TI ................................................................................................................................ 98
Figura 61. Objetivos de control del proceso ME2. Monitorear y evaluar el control
interno ............................................................................................................................. 99
Figura 62. Objetivos de control del proceso ME3. Garantizar el cumplimiento
regulatorio ..................................................................................................................... 100
Figura 63. Objetivos de control del proceso ME4. Proporcionar gobierno de TI ........ 101
Figura 64. Evaluación de objetivos de control críticos ................................................ 103
Figura 65 Diagrama de desarrollo del plan estratégico de TI....................................... 108
Figura 66. Matriz de gestión de riesgos- Proyecto1 .................................................... 120
Figura 67. Matriz de gestión de riesgos- Proyecto 2 .................................................... 120
Figura 68. Matriz de gestión de riesgos- Proyecto 3 .................................................... 120
Figura 69. Matriz de gestión de riesgos- Proyecto 4 .................................................... 121
xiv
ÍNDICE DE TABLAS
Tabla 1 Marco de trabajo completo de COBIT 4.1 ........................................................ 20
Tabla 2 Plan estratégico alineado con las necesidades de la empresa ............................ 29
Tabla 3 Definición de arquitectura de información ........................................................ 30
Tabla 4 Pregunta 3 .......................................................................................................... 31
Tabla 5 Procesos y operaciones de TI ............................................................................ 32
Tabla 6 Implementación de políticas de TI .................................................................... 33
Tabla 7 Frecuencia de renovación de las políticas de TI ................................................ 34
Tabla 8 Capacitación continua del personal de TI ......................................................... 35
Tabla 9 Los proyectos desarrollados se encuentran dentro del plan Organizacional ..... 36
Tabla 10 Realización de estudios de factibilidad ........................................................... 37
Tabla 11 Frecuencia de cambios de emergencia en la infraestructura de TI .................. 38
Tabla 12 Metodologías de prueba para garantizar la aceptación del producto .............. 39
Tabla 13 Gerencia encarga de realizar la evaluación formal de los resultados de prueba
........................................................................................................................................ 40
Tabla 14 Nivel de seguridad para salvaguardar la información ..................................... 41
Tabla 15 Los servicios de TI utilizan un sistema de contabilidad de costos .................. 42
Tabla 16 La empresa cuenta con un repositorio central ................................................. 43
Tabla 17 Proporciona reportes administrativos del desempeño de TI a la alta dirección
........................................................................................................................................ 44
Tabla 18. Evaluación por objetivos de COBIT 4.1 ........................................................ 53
Tabla 19. Evaluación del cumplimiento a nivel general ................................................ 65
Tabla 20. Evaluación por dominio ................................................................................. 66
Tabla 21. Grado de madurez......................................................................................... 104
Tabla 22. Grado de madurez por dominio .................................................................... 105
Tabla 23. Esquema de Procesos COBIT ...................................................................... 107
Tabla 24. Cronograma de los proyectos de TI.............................................................. 116
Tabla 25. Probabilidad e impacto del riesgo ................................................................ 118
Tabla 26. Riesgos de Gestión de TI .............................................................................. 118
Tabla 27. Riesgos de Gestión de procesos ................................................................... 118
Tabla 28. Plan de respaldo y recuperación de información .......................................... 119
Tabla 29. Riesgos del sistema de gestión de calidad .................................................... 119
Tabla 30. Plan de reducción, supervisión y gestión de riesgo. R2, R15, R21 .............. 122
xv
Tabla 31. Plan de reducción, supervisión y gestión de riesgo. R5 ............................... 122
Tabla 32. Plan de reducción, supervisión y gestión de riesgo. R13 ............................. 123
Tabla 33. Plan de reducción, supervisión y gestión de riesgo. R5 ............................... 123
Tabla 34. Plan de reducción, supervisión y gestión de riesgo. R26 ............................. 124
xvi
RESUMEN EJECUTIVO
El presente trabajo de investigación se realizó con el objetivo de diseñar un plan
Estratégico aplicando la metodología COBIT en la empresa Importadora Alvarado S.A.
para constituirse en una herramienta de administración, supervisión y control contribuya
a la solución de los problemas de Tecnologías de la Información (TI) en la
organización. El estudio parte con la identificación de las principales falencia en
Importadora Alvarado, por medio de la aplicación de la metodología COBIT 4.1 a la
gestión informática; la misma que evidenció que el departamento de sistemas presenta
un nivel bajo en cuanto a la administración del recurso humano, no realiza la
orientación necesaria al momento de la contratación del personal, de igual forma no se
considera las directivas tecnológicas ni la arquitectura de información de la
organización para adquirir un software aplicativo. De acuerdo a ello se determina la
necesidad de implementar un plan estratégico de TI, con el establecimiento de objetivos,
políticas y estrategias que influencien en el ambiente interno y externo de la
organización, en los organismos reguladores, supervisores, clientes, proveedores, entre
otros, además de asegurar su correspondencia con los objetivos empresariales, cubrir las
deficiencias en el mismo y realizar los ajustes pertinentes que garanticen credibilidad y
confianza de los clientes.
Palabras claves: tecnología, estrategia, administración, supervisión, COBIT.
xvii
ABSTRACT
This research work was carried out with the objective of designing a Strategic Plan
applying the COBIT methodology in the company Importadora Alvarado S.A. To
become a tool for administration, supervision and control, contribute to the solution of
Information Technology (IT) problems in the organization. The study starts with the
identification of the main flaws in Importadora Alvarado, through the application of the
COBIT 4.1 methodology to computer management; the same one that evidenced that
the systems department presents a low level regarding the administration of the human
resource, does not realize the necessary orientation at the moment of the hiring of the
personnel, in the same way it is not considered the technological directives nor the
information architecture of the organization to acquire an application software.
Accordingly, the need to implement a strategic IT plan is determined, with the
establishment of objectives, policies and strategies that influence the internal and
external environment of the organization, regulatory bodies, supervisors, customers,
suppliers, among others , in addition to ensuring its correspondence with business
objectives, covering the deficiencies in it and making the appropriate adjustments that
guarantee credibility and trust of customers.
Keywords: technology, strategy, administration, supervision, COBIT.
xviii
INTRODUCCIÓN
En un mundo de constante evolución tecnológica la información es un recurso
estratégico dentro del contexto empresarial. A través de la recopilación de información
se pudo determinar que el departamento de sistemas de Importadora Alvarado presenta
falencias en cuanto a la administración de sus recursos de TI, pues no capacita
constantemente al personal ni tampoco toma en cuenta las directivas tecnológicas ni la
arquitectura de información de la organización para adquirir un software aplicativo. Por
tal motivo el presente proyecto tiene como finalidad diseñar un plan estratégico
aplicando la metodología COBIT en la empresa “Importadora Alvarado S.A, el mismo
que permita mejorar la gestión basada en TI, estableciendo planes a largo plazo que
contemplen todas las actividades y procesos de la organización y así llevar un adecuado
control de los sistemas informáticos, para lo cual se necesita realizar una investigación
detallada de las causas que generan alteraciones en los servicios de TI.
El proyecto se encuentra dividido en los capítulos siguientes:
Capítulo I: Se realiza una descripción del problema de investigación, la justificación
respectiva y el planteamiento de objetivos a alcanzar mediante el desarrollo del
proyecto.
Capítulo II: En este apartado se describe los principales fundamentos teóricos
relacionados con el tema de estudio, los cuales sirven de sustento para la investigación
Capítulo III: Se especifica la metodología de la investigación a realizar, las técnicas e
instrumentos de recolección, se estableció la población y la muestra de estudio, el
proceso para la recopilación de los datos, el procesamiento y análisis de la información
y finalmente se describe el desarrollo del proyecto.
Capítulo IV: Se describe el desarrollo de la propuesta, puntualizando la estructura del
plan estratégico de TI de acuerdo a las falencias detectadas en el proceso de análisis de
información
CAPÍTULO V: Se presentan las principales conclusiones y recomendaciones en base a
los objetivos planteados.
Finalmente se encuentran los anexos de la investigación.
1
CAPÍTULO I
EL PROBLEMA
1.1 Tema de Investigación
“Diseño de un Plan Estratégico aplicando la metodología COBIT en la empresa
“Importadora Alvarado S.A.”
1.2 Planteamiento del problema
En la actualidad la información es un recurso estratégico dentro del contexto
empresarial, por lo que su gestión, y la de las tecnologías asociadas a ella, necesitan
especial atención. De la misma manera, el procesamiento de información que requieren
los negocios contemporáneos necesitan un conjunto de elementos en evolución que se
denominan tecnologías de la información y las comunicaciones (TIC), que involucran
software, hardware, formas organizativas, servicios y conocimientos que se emplean en
este dominio. Sin embargo no siempre la adopción de TIC, en especial de sistemas
informáticos generan los beneficios esperados, razón por la cual, la planificación de
sistemas de información se constituye en un elemento necesario para facilitar dicho
proceso, en base a las necesidades del negocio y en función a los objetivos estratégicos
de la organización [1].
En relación a Latinoamérica, los países que han desarrollado mejor sus buenas prácticas
de TI son México, Argentina, Chile y Brasil, teniendo como líder a Chile, con un mayor
número de empresas que han implementado TI, pues según una encuesta realizada por
el Centro de Estudios de Tecnología de Información de la Universidad Católica de
Chile, el 30% de las 150 mayores empresas del país han implementado o piensan
implementar esta herramienta a corto o mediano plazo [2].
En Ecuador el desarrollo de estas prácticas está comenzando y existe mucho potencial
por explorar, puesto que es reconocido como un país que implementa políticas públicas
para universalizar el acceso a las Tecnologías de la Información y Comunicación (TIC),
ejecutadas por el Ministerio de Telecomunicaciones y de la Sociedad de la Información
(MINTEL), sin embargo el problema principal con la mayoría de políticas y proyectos
2
de TI es la poca claridad de los objetivos del proyecto y como consecuencia la falta de
una estrategia para lograrlos [3].
La planeación estratégica fue introducida por primera vez en algunas empresas
comerciales a mediados de 1950. En aquel tiempo, las empresas más importantes fueron
principalmente las que desarrollaron sistemas de planeación estratégica,
denominándolos sistemas de planeación de largo plazo [4]. Durante los años sesenta del
siglo XX su uso se extendió hasta llegar a constituirse en un instrumento para el
desarrollo organizacional muy conocido por los administradores y gerentes de los
grandes negocios [5]. La planeación puede ofrecer un marco de referencia para la toma
de decisiones y es trascendental a lo lago de la organización, es por ello que planear
estratégicamente los sistemas de información supone un enfoque objetivo y sistemático
para la toma de decisiones en las empresas, puesto que juega un papel importante,
especialmente como motor de cambio y fuente de ventajas competitivas [6].
Importadora Alvarado S.A se ha caracterizado por su trayectoria en el mercado
automotriz, siendo uno de los principales importadores a nivel nacional, teniendo
mayor reconocimiento en la zona central del país, apoyando en el crecimiento
económico y social de muchas familias tanto a nivel nacional y local. Sin embargo, la
empresa al no contar con un sólido apoyo tecnológico, ni las evaluaciones establecidas
en cuanto al áreas de las TIC, le es muy complicado justificar y emprender proyectos
que brinden un real aporte al negocio, pues actualmente solamente se ha automatizado
el trabajo operativo, mientras que en el entorno de gestión se han dado pasos aislados en
busca de incluir herramientas informáticas.
En virtud a lo expuesto y conociendo la trayectoria de la empresa, su crecimiento
continuo, se considera importante contar con un plan estratégico de TI que permita
alinear los objetivos estratégicos de la empresa con los objetivos de la TI, el cual se
involucre un modelo que permita tener los procesos con aceptación externa, que sean
medibles, auditables y definidos con excelentes prácticas, con lo cual se permita
optimizar, controlar y administrar sus recursos y contribuir a la toma decisiones
acertadas y en el momento oportuno.
3
1.3 Delimitación
Campo: Administrativas Informáticas.
Línea de investigación: Administración de recursos.
Sub-línea de investigación: Desarrollo de planes Informáticos.
Espacial: La presente investigación se desarrollará en la empresa Importadora Alvarado
S.A (Ambato -Ecuador).
Temporal: La presente investigación se desarrollará en el Periodo Académico Marzo
2018 – Agosto 2018.
1.4 Justificación
La presente investigación se basa en la necesidad y el interés dentro de la organización
para diseñar un plan estratégico de TI, debido a los constantes cambios tecnológicos, las
políticas económicas y los requerimientos de competitividad, estos son algunos de los
factores que hacen necesaria la planificación estratégica para el área de TIC´s.
Este proyecto pretende ser de gran utilidad para Importadora Alvarado, puesto que
pretende otorgarle un producto gerencial de cual carece actualmente, y dada la
competitividad y globalización de los diversos sectores del mercado que actúan en la
sociedad se ha convertido en una necesidad imperiosa para apoyar la misión, visión,
objetivos estratégicos y valores de la empresa y de esa forma tener un mejor control de
la información y los recursos.
Para el diseño de una Planificación Estratégica de TI aplicando la metodología COBIT
se cuenta con la apertura de los directivos de la empresa quienes otorgaron la
disponibilidad de la información y los recursos necesarios para realizar la investigación,
además de contar con el conocimiento necesario adquirido durante la carrera
universitaria para realizar el Plan Estratégico de TI.
El presente proyecto tiene como beneficiario directo a la empresa Importadora
Alvarado, ya que contará con un plan estratégico de TI que servirá de instrumento y
ayuda para identificar las falencias que afectan a los recursos tecnológicos dentro de la
4
institución y esto servirá a la toma de decisiones en beneficio de un mejor desarrollo de
las diferentes actividades.
1.5 Objetivos
1.5.1 General
Diseñar un Plan Estratégico aplicando la metodología COBIT en la empresa
Importadora Alvarado S.A.
1.5.2 Específicos
Analizar la situación actual de la empresa, los cargos y las responsabilidades
dentro del Área de TI, de acuerdo a la visión y misión institucional.
Aplicar procesos de COBIT para evaluar la situación actual del departamento
de TI.
Diseñar el Plan Estratégico para Importadora Alvarado a fin de llevar un mejor
control dentro de la organización.
5
CAPÍTULO II
MARCO TEÓRICO
2.1 Antecedentes investigativos
Debido a la competencia, la innovación, los cambios, y las estrategias los ejecutivos
deben dar importancias a la Tecnología de Información en el desarrollo de las empresas
y los negocios. Hoy en día es un importante contar con un Plan estratégico de TI que
ayudará para la solución de problemas, la toma de decisiones, y para mejorar el control.
Existen varios trabajos relacionados al desarrollo de planes estratégicos de TI entre los
cuales se describen algunos de ellos:
Nelson Orozco, César Rodríguez Cruz, Walter Serrano realizaron un proyecto de tesis
acerca de planificación estratégica, este trabajo tiene como conclusión que la
planificación estratégica es algo fundamental dentro de cualquier empresa para el
mejoramiento de los procesos y que permite darle un acompañamiento a los objetivos
estratégicos de la empresa, al incidir directamente sobre las ventajas competitivas tan
marcadas en el sector de las TIC [4].
En el trabajo realizado por José Ramón Rodríguez e Ignacio Lamarca en su trabajo
Planificación Estratégica de Sistemas de Información entre sus conclusiones nos dice
que dentro de las empresas, la planificación estratégica se ha constituido en un proceso
clave para la organización. La planificación estratégica de SI y TI persigue alinear las
políticas de sistemas y tecnologías de la información con las prioridades del negocio y
se entiende como el proceso y la documentación en la que se identifica la cartera o
portafolio de aplicaciones y la tecnología que debe desarrollar la empresa para obtener
ventajas competitivas sostenibles [5].
En el repositorio de la ESPOCH, Joffre Jilmar Vargas García realizó como trabajo de
tesis bajo el tema “Propuesta tecnológica basada en COBIT 5 aplicada a la gestión de la
TI en la EIS” entre sus conclusiones nos dice que para el estudio de COBIT se deben de
analizar sus principios, gobierno, gestión, entre otros para aplicar a las Tecnologías de la
EIS.
6
Al aplicar la metodología COBIT 5 a las TI nos ayudarán a identificar dificultades,
problemas, vulnerabilidades y debilidades en la Administración de las Tecnologías de la
EIS para alcanzar el análisis total de los resultados; aunque al realizar un análisis se
obtuvo que un 75% no fue factible aplicar e implementaron otra metodología. Además
nos recomienda que la metodología desarrollada debe ser utilizada exclusivamente en la
gestión de las tecnologías, regulación de políticas, control, análisis de riegos, basada en
normas y estándares que COBIT 5 describe en su amplia planificación para la
regulación de las TI de las empresas [6].
2.2 Fundamentación teórica
2.2.1 Planificación Estratégica
La planeación estratégica (PE) es un conjunto de planes funcionales o una deducción de
los presupuestos actuales; es un enfoque de sistemas para dirigir una empresa en el
lapso del tiempo a través de su medio ambiente, para alcanzar las metas dictadas.
El objetivo de la PE es agrupar en objetivos factibles de alcanzar y qué negocio o área
competir, en correspondencia con las amenazas y oportunidades que ofrece el entorno.
Los puntos de vista fundamentales de la planificación estratégica son los siguientes:
- El porvenir de las decisiones actuales.
- Proceso.
- Filosofía.
- Estructura.
La esencia de la PE es identificar sistemáticamente las oportunidades y peligros que
surgen en el futuro, los cuales al ser utilizados con otros datos importantes entregan la
base para que una empresa tome mejores decisiones en el presente con el objetivo de
explotar las oportunidades y evitar los peligros [7].
La PE, es una herramienta para la gestión que apoya en la toma de decisiones de las
organizaciones a favor al que hacer en el presente y al camino que se debe recorrer en el
futuro para adaptarse a los cambios y a las demandas que condiciona el entorno y de
esta manera lograr la mayor eficiencia, eficacia, calidad en los bienes y servicios que se
dotan.
7
En base al diagnóstico de la situación actual (mediante un análisis de brechas
institucionales), la Planificación Estratégica determina cuales son las acciones a tomar
para llegar a un “futuro deseado”, el cual puede estar proyectado a mediano o largo
plazo [8].
La PE es un proceso continuo que requiere retroalimentación constante del cómo están
funcionando las estrategias. Las organizaciones revisan su desempeño a través de
indicadores puntuales como las utilidades, las ventas, los retornos sobre la inversión,
etc. Estos indicadores entregan datos valiosos que sirven para la toma de decisiones
respecto a la dirección de las estrategias, aceptando su valides o bien mostrando la
necesidad de realizar un ajuste, como se muestra en la figura 1.
Dentro de las actividades de la planificación de las organizaciones es necesario saber la
diferencia ente la planificación operativa y la planificación estratégicas. Aun cuando las
dos tratan de determinar los mejores planes de acción, la primera se refiere a corto plazo
y la segunda se relaciona al mediano y largo plazo.
Figura 1. Cuatro etapas del control de gestión [8].
Cuando se habla de PE se refiera a grandes decisiones, a la determinación de los
Objetivos Estratégicos que permiten materializar la misión y la visión de la empresa.
8
Por lo cual la PE es la base para el establecimiento de herramientas de seguimiento y
evaluación de los objetivos planteados, en otras palabras el control de la gestión no se
puede ejecutar sin un proceso previo de planificación estratégica [9].
La planificación operativa se enfoca a la generación de objetivos y compromisos
internos que forman parte de la programación para lograr los productos de calidad,
cantidad y tiempo necesario. Desde este punto de vista, la información que entreguen
los indicadores de gestión, tiene menor interés desde la perspectiva de la rendición de
cuentas a la gerencia [10].
En la figura 2, se puede observar el tipo de indicadores que son relacionados a cada uno
de estos niveles de decisión.
Figura 2. Indicadores organizacionales de gestión [8].
9
Objetivo de la planificación estratégica
El objetivo de un plan estratégico es responder 3 preguntas básicas: ¿En qué situación
se encuentra actualmente la empresa?, ¿Hacia dónde apunta? ¿Cómo se puede lograr?
Por lo tanto, un PE tiene que ser un proceso participativo que plantea un diagnóstico, los
objetivos, un panorama de futuro y un catálogo de proyectos y acciones consensuadas
entre todos los agentes públicos, sociales y económicos [11].
Componentes de la planificación estratégica
Los elementos de la planeación estratégica son los siguientes [12]:
- Misión: concepto que refleja la meta fundamental de la empresa.
- Valores: grupo de enunciados que reflejan las bases o principios fundamentales
bajo los cuales debe operar la empresa.
- Estrategia: modelo o plan que integra las principales políticas y metas de una
organización y a su vez establece los pasos sucesivos de las acciones a realizar.
- Objetivos o metas: indican qué es lo que se va a lograr y en qué tiempo los
resultados serán alcanzados, pero no establecen la manera de lograrlos.
- Políticas: son normas o reglas que expresan los límites dentro de los que se
deben procesar las acciones.
- Programas: especifican la serie de pasos que deben seguir las acciones para
alcanzar los objetivos principales.
- Decisiones estratégicas: establecen la dirección general de una empresa y su
factibilidad máxima a la luz hacía los cambios pronosticables como de los
impredecibles que en cualquier momento puedan ocurrir.
Beneficios de la planificación estratégica
Entre los beneficios más importantes se encuentran los siguientes:
- Mejora la eficiencia y la efectividad organizacional.
- Construye un equipo de trabajo experto.
- Optimiza la toma de decisiones con un punto de vista externo y una amplia base
interna.
- Contribuye y mejora las comunicaciones y relaciones públicas.
- Aumenta la productividad de los colaboradores.
10
- Refuerza la capacidad de las organizaciones para prevenir problemas.
- Genera sentido de participación a todos los niveles.
- Brinda una mayor capacidad para manejar las situaciones de incertidumbre.
- Detecta amenazas y oportunidades que se producen en el entorno y localiza las
fortalezas y debilidades de la organización.
- Produce información estratégica para la toma de decisiones [12].
Metodología de la planificación estratégica
Los pasos que corresponden al contenido de un plan estratégico se pueden observar en
el diagrama de flujo que se observa en la figura 3.
a).- ¿Qué MISION o propósitos de la empresa se deben
adoptar, acorde con los objetivos nacionales?
b).- VISION – IMAGEN DEL FUTURO
¿Qué se quiere y a dónde quiere llegar la empresa?
c).- ¿Qué debilidades y fortalezas existen para cumplir
con la visión? ¿Qué sucede en el entorno empresarial?
¿Qué amenazas y oportunidades se presentan?
(ANALISIS ESTRATÉGICO)
d).- ¿Qué PRIORIDADES ESTRATÉGICAS se
pueden plantear para llevar a cabo la reconversión y de
esta manera cumplir con la visión?
e).- ¿Qué IMPULSOS ESTRATÉGICOS Y LINEAS
DE ACCION se requieren?
f).- ¿De qué PROGRAMA DE ACCIONES se puede
iniciar?
g).- ¿Cómo se deben EVALUAR los logros y avances?
Figura 3.- Metodología de la planificación estratégica [35]
11
a).- Misión o Razón de ser:
El primer paso para elaborar un plan estratégico transformador, es la definición del
concepto o la misión de la entidad, la cual estará estrechamente ligada a la reingeniería
y a la innovación organizacional, este primer paso en este esquema de planeación
estratégica se refiere al que y al para qué [13].
b).- Visión
La visión se genera en el marco de propósitos definidos en la misión y consiste en una
imagen más concisa del futuro al que se desea llegar. La imagen debe ser cumplible, dar
dirección inmediata en el futuro y ayudar a establecer prioridades.
La diferencia principal entre la misión y la visión es que la primera es abstracta mientras
que la segunda es concreta o concisa [14].
c).- Análisis estratégico
Este examen se hace en términos de fortalezas y debilidades, consiste en analizar la
realidad actual que se quiere mejorar o transformar radicalmente en aras de la misión –
propósitos y, en particular de la visión [14].
d).- Prioridades estratégicas
Para concretar o hacer realidad la visión, se deben plantear objetivos tangibles y
alcanzables que se deben cumplir. El plan estratégico sin que se lo divida en objetivos o
prioridades difícilmente se puede llegar a concretar la visión.
Par cumplir con esta actividad se siguen dos pasos:
1- Identificar y seleccionar las áreas más importantes de transformación, mejora o
superación.
2- En el área seleccionada se identifican y seleccionan objetivos concretos que al
cumplirlos hagan conocer con claridad que se está llegando al futuro deseado
[15].
e).- Impulsos estratégicos y líneas de acción
Es determinar de una manera concreta que es lo que se va hacer, se trata de llevar la
visión a un nivel micro, guardando una relación de coherencia y especificación.
12
f).- Programa de acciones
Debe dividirse y establecerse los trabajos o tareas que se van a llevar a cabo de una
manera que permitan hacer realidad la visión, observando y asignando prioridades.
g).- Evaluación
Los principales objetivos de la evaluación y seguimiento orientados a resultados son:
- Asegurar la toma de decisiones en base a la información.
- Apoyar la responsabilidad sustantiva y la toma de posición.
- Fortalecer la capacidad en cada una de las áreas [16].
Estos objetivos están vinculados en un proceso continuo como se observa en la figura 4.
Figura 4.- Proceso continuo de evaluación de la planificación estratégica [16].
2.2.2 Las Tecnología de la información y comunicación (T.I.C)
Las TIC son el conjunto de tecnologías que permiten el acceso, producción, tratamiento
y comunicación de información.
13
Concepto de tecnologías de la información y comunicación (TIC)
Las TIC constituyen un conjunto de aplicaciones, herramientas, sistemas, técnicas y
metodologías asociadas a la digitalización de señales analógicas, textos e imágenes que
se manejan en tiempo real [17].
En términos generales se puede decir que las nuevas tecnologías de la información y
comunicación son las que giran alrededor a tres medios fundamentales: la
microelectrónica, la informática y las telecomunicaciones; pero no giran de manera
aislada si no que se interconectan de manera interactiva lo cual permite conseguir
nuevas realidades comunicativas [18].
Impacto de las TIC en las empresas
El mundo actual y la globalización implican el que los mercados trabajen las 24 horas
del día y las TIC se presentan como una herramienta para responder rápidamente a los
requerimientos del mercado.
El implementar las tecnologías representa inversiones económicas importantes no solo
en su implementación si no en su desarrollo y adopción en las organizaciones. Las TIC
se pueden emplear a lo largo de toda la cadena de suministro y en cualquier función
comercial sin necesidad de centrarse únicamente en un área específica, esto quiere decir
desde la búsqueda de la información en el mercado, el aprovisionamiento de materia
prima, hasta los servicios posventa y pagos.
Se esperaría que una inversión más alta en las TIC se vea reflejada con un mayor
rendimiento de las empresas, aunque no siempre sucede esto. Los primeros aportes de la
tecnología sobre los valores estratégicos en una empresa se dan a conocer en la década
de los 80 los mismos que manifiestan que las tecnologías permiten afianzar la posición
competitiva de las organizaciones que saben obtener frutos de su uso, añadiendo valor a
sus productos y valores internos [19].
Implementar un sistema sofisticado para gestionar la producción que se maneje a la par
con el registro manual del movimiento del stock de insumos por lo general dificulta
muchas funciones o diluya los beneficios del sistema de gestión implementado. Para ser
rentable las TIC debe centrarse en un proyecto de mediano - largo plazo que agrupe
todos los aspectos que hacen competitiva a la empresa.
14
Adopción de TIC’s en Latino América
Las TIC’s contribuirán a corto plazo en Latino América en dos áreas claves como son la
innovación y la creación de valor, paulatinamente se espera que las organizaciones
vayan definiendo áreas o cargos específicos para que se encarguen de alinear los
objetivos del plan estratégico con la ayuda de las TIC’s. Dentro de las funciones
específicas de estos profesionales es alinear los contratos de nivel de servicios, la
reducción del tiempo de retroalimentación en las decisiones de negocio, los mismo que
se verán reflejados en cambios e innovaciones puntuales en las diferentes líneas de
productos y en la disminución del tiempo para lanzar un nuevo modelo de producto o
servicio al mercado. Se espera que estos nuevos modelos sean inmediatamente
compatibles con las nuevas exigencias de los usuarios y clientes para lo cual deben
aplicar la filosofía de “mobile-first”.
La estructura de negocios, la estructura organizacional y la estructura de TIC’s están
tradicionalmente a cargo de las funciones del “director de información” y
progresivamente se irá haciendo cargo de otras áreas de la empresa, teniendo como
responsabilidad la socialización de las TIC’s con los procesos de negocios de toda la
empresa.
A corto plazo se espera que áreas no tecnológicas como ventas, marketing y recursos
humanos incrementen su adquisición de tecnologías de información hasta un 60% y con
este escenario las empresas latinoamericanas continúen con el camino de adopción y
transformación masiva de TIC’s, por ejemplo, migrando a plataformas de 3ra
Generación, las que consideran estructuras fundamentadas en las Nube, la Big Data, la
adopción de tecnologías móviles y de redes sociales [20].
Costos en el proceso de incorporación de las TIC’s en las empresas
La implementación de TIC’s debe tener en cuenta la necesidad de incorporar diferentes
rutinas a la empresa para lo cual se requiere capacitar al personal así como las
inversiones en infraestructura. El avance en la capacitación del personal y la adopción
del equipamiento deben ir de la mano caso contrario el desempeño se esta estrategia
probablemente sea reducido.
Para que la inversión en TIC’s sea rentable se requiere que su incorporación a la
empresa sea un proyecto de mediano-largo plazo que involucre todas las variables que
15
hacen a la empresa competitiva. La implementación de TIC’s no es un factor
determinante en la posición competitiva de la empresa por sí sola, ni puede esperarse
que lo sea, sino que es una potente herramienta cuyo impacto depende del modo y
profundidad con que las TIC’s se enlacen con las distintas rutinas y, a su vez de que
estas rutinas saquen provecho de la tecnología para articularse entre sí.
Los diferentes costos en que debe incurrir una empresa para llevar el proceso de
adopción de las TIC’s, son los costos de infraestructura, costo en capacitación y costos
en el desarrollo de sistema. En la figura 5 se observa que la Etapa 1, es la principal
componente y se refiere a la generación de los registros, la Etapa 2 está asignada al
análisis de la información, mientras que la Etapa 3 representa el trabajo cooperativo.
El reconocimiento de estos tres componentes permite plantear el siguiente ensayo: la
dinámica del proceso bajo estudio está explicada por el protagonismo que tiene cada
uno de estos costos dentro de cada proceso, tramo o etapa [21].
Figura 5: Costos en el proceso de incorporación de las TICs [21].
2.2.3. Planificación estratégica de TI
La planificación estratégica se define como un proceso de evaluación sistémica de la
naturaleza de un negocio, la misma que guarda relación con los objetivos generales de
las empresas y los cambios que se realizan en dichos objetivos, además de establecer los
objetivos a largo plazo, identificar las metas y objetivos cuantitativos, es decir en la
16
planificación estratégica se desarrollan estrategias para lograr los objetivos y localizar
los recursos para efectuar dichas estrategias, definiendo un periodo de tiempo concreto
[22]
Así también la planificación estratégica se puede definir como:
El el arte y ciencia de formular, implantar y evaluar decisiones interfuncionales
que permitan a la organización llevar a cabo sus objetivos. (…)Después de lo
anterior expuesto, la planeación estratégica requiere que las personas encargadas
de tomar las decisiones en una empresa tengan claro qué clase de estrategias van
a utilizar y cómo las van a adecuar a las distintas alternativas que se van a
presentar en la medida en que van creciendo o posicionándose en el mercado
[23].
Características de la planeación estratégica de TI
La planificación estratégica ayuda a las organizaciones a [24]:
El establecimiento de las prioridades y jerarquización de los objetivos.
Concentración de las energías para el logro de los objetivos
Proporcionar mayor objetividad superando los tópicos comunes y falsos
provenientes de una autoestima positiva como negativa.
Creación de una cultura estratégica común
Facilidad para conseguir más recursos, tanto públicos como privados.
Proceso de la planificación estratégica de TI
La planificación estratégica se realiza en las siguientes etapas [25]:
Etapa 1: Revisión de la Misión, Visión y Valores
En esta etapa se revisan la misión, visión, y valores establecidos por la institución,
debido a que es importante tener claros los conceptos, pues toda actividad de la
organización tendrá su origen en una definición clara de los mismos.
Etapa 2: Análisis del entorno
Contempla un análisis de del entorno general de la organización, teniendo en cuenta su
dimensión económica, política, sociocultural, tecnológica, legal, entre otras y otro
17
entorno específico, en donde se realiza un análisis de clientes, proveedores, y
especialmente de la competencia, lo cual permitirá identificar a futuro las oportunidades
y amenazas que tiene la organización.
Etapa 3: Análisis interno
Comprende un diagnóstico de la forma en la que se encuentra funcionando la
organización, para poder identificar las principales fortalezas y las debilidades.
Etapa 4: Análisis DAFO
Una vez que se ha realizado el análisis del entorno externo e interno se identifica las
amenazas, oportunidades así como también las fortalezas y debilidades.
Etapa 5: Alternativas estratégicas
A partir del análisis DAFO se definirá las potenciales alternativas, cuya implementación
contribuirá a la reducción de las amenazas, mejorar las debilidades, potenciar las
fortalezas y desarrollar nuevas oportunidades para el mercado. De esta forma se elegirá
las alternativas estratégicas que cumplan con criterios de importancia, rendimiento,
oportunidad, a las cuales se les llamará Líneas Estratégicas.
2.2.4 COBIT
COBIT (Control Objectives for Information and related Technology) o en español
Objetivos de Control para la Información y tecnologías relacionadas, es un marco de
referencia para la gestión de la TI y el Gobierno de TI. COBIT es un conjunto de
herramientas de soporte que permite a la gerencia de las organizaciones cerrar la grieta
entre los requerimientos de control, problemas técnicos y los riesgos de negocio [26].
COBIT puede ser aplicado a los sistemas de información de toda la empresa,
incluyendo a los computadores personales y las redes. Este se basa en la filosofía de que
los recursos TI requieren ser administrados por un conjunto de procesos agrupados para
proveer la información pertinente y confiable que requiera una organización para el
alcance de los objetivos [27].
18
Criterios de información de COBIT
Para satisfacer los objetivos del negocio, la información debe adaptarse a ciertos
criterios de control, los mismos que son referidos en COBIT como requerimientos de
información del negocio. Estos requerimientos son descritos a continuación [28]:
Efectividad: Obtener la información pertinente a los procesos del negocio de forma
oportuna, correcta, consistente y utilizable
Eficiencia: Se debe proveer información a través de la utilización óptima de los
recursos, es decir se requiere que la información sea generada con el empleo productivo
y económico de los recursos.
Confidencialidad: Se refiere a la protección de la información sensible contra la
divulgación no autorizada a personas o entidades que sean ajenas a los interese
específicos de la organización.
Integridad: Se refiere a lo preciso y completo de la información así como a su validez
de acuerdo con las expectativas del negocio.
Disponibilidad: Hace referencia a la disponibilidad de la información cuando ésta es
solicitada por el proceso de negocio ahora y en futuro.
Cumplimiento: el registro de información debe cumplir las leyes, reglamentos y
acuerdos contractuales a los cuales se encuentra sujeto el proceso de negocios (externos)
y políticas internas.
Confiabilidad: La información que se proporciona debe ser apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades económicas y de gobierno
de la manera más adecuada posible.
Categorías para los recursos de Tecnologías de Información
COBIT establece cuatro categorías para los recursos de Tecnologías de Información
sobre los cuales se debe enfocar la organización, los cuales se enfocan en el esquema a
continuación:
19
Figura 6 Categorías para los recursos de Tecnologías de Información [29].
Planeación y Organización: Cubre las estrategias y tácticas y se refiere a la
identificación de la forma en que la tecnología de información contribuye de la mejor
forma al logro de los objetivos de la empresa. Así también el alcance de la visión
estratégica requiere ser planeada, comunicada y administrada desde otras perspectivas.
Además deberá establecerse una organización y una infraestructura tecnológica
adecuadas [30].
Adquisición e Implementación: Para ejecutar la estrategia de TI, es importante que las
soluciones de TI sean identificadas, desarrolladas o adquiridas, así como implementadas
e integradas dentro del proceso de la empresa. Así también, este dominio abarca los
cambios y el mantenimiento realizados a sistemas que ya existen, para asegurar que el
ciclo de vida es continuo para esos sistemas [30].
Entrega y Soporte: En este dominio se hace referencia a la entrega o distribución de
los servicios que requieren, que comprende desde las operaciones habituales hasta el
entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las
20
operaciones así como aspectos sobre entrenamiento. Este dominio incluye el
procesamiento de los datos el mismo que se ejecuta por medio de los sistemas de
aplicación, frecuentemente clasificados como controles de aplicación [30].
Monitoreo: Todos los procesos requieren ser evaluados de manera regular a través del
tiempo para verificar su calidad y suficiencia con respecto a los requerimientos de
control. Este dominio además advierte a la Administración acerca de la necesidad de
asegurar procesos de control independientes, los mismos que son proporcionados por
auditorías internas y externas u alcanzadas de fuentes alternativas [30].
COBIT 4.1
COBIT se ha constituido en el estándar más reconocido por la industria de TI para
implementar un adecuado Gobierno de TI, la versión 4.1 publicada en 2007. Se
encuentra conformado por 34 Objetivos de Control de alto nivel, los cuales se
encuentran diseñados para cada uno de los procesos de TI, mismos que están agrupados
en cuatro grandes secciones que son conocidas como dominios, estos son similares a las
áreas tradicionales de TI que son: planear, construir, ejecutar y monitorear [26].
Cada proceso se encuentra relacionado de manera primaria o secundaria con algunas de
las áreas de enfoque de gobierno de TI. De los 34 procesos que COBIT 4.1 propone, 12
tienen como área de enfoque primaria el alineamiento estratégico con el negocio.
Tabla 1 Marco de trabajo completo de COBIT 4.1
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO1: Definir un Plan
Estratégico de TI
PO1.1- Administración del Valor de TI
PO1.2- Alineación de TI con el Negocio PO1.3-Evaluación del desempeño y la
capacidad actual PO1.4- Plan estratégico de TI PO1.5- Planes tácticos de TI PO1.6- Administración del Portafolio
PO2: Definir la Arquitectura de
la Información
PO2.1- Modelo de Arquitectura de
Información Empresarial.
PO2.2- Diccionario de datos Empresarial y
reglas PO2.3- Esquema de clasificación de datos PO2.4-Administración de Integridad
PO3: Determinar la Dirección
Tecnológica
PO3.1-Planeación de la dirección
Tecnológica
PO3.2-Plan de Infraestructura Tecnológica
21
PO3.3- Monitoreo de Tendencias y
Regulaciones PO3.4-Estándares tecnológicos PO3.5-Consejos de Arquitectura de TI
PO4: Definir los Procesos,
Organización y Relaciones de TI
PO4.1- Marco de Trabajo de Procesos de TI
PO4.2- Comité Estratégico de TI PO4.3- Ubicación Organizacional de la
Función de TI PO4.4- Ubicación Organizacional PO4.5- Estructura Organizacional PO4.6-Establecimiento de Roles y
Responsabilidades PO4.7- Responsabilidad de Aseguramiento
de Calidad de TI PO4.8- Responsabilidad sobre el Riesgo, la
Seguridad y el Cumplimiento PO4.9- Propiedad de Datos y de Sistemas PO4.10- Supervisión PO4.11-Segregación de Funciones PO4.12-Personal de TI PO4.13- Personal Clave de TI PO4.14- Políticas y Procedimientos para el
Personal Contratado PO4.15- Relaciones
PO5: Administrar la Inversión
en TI
PO5.1- Marco de Trabajo para la
Administración Financiera
PO5.2- Prioridades dentro del Presupuesto
de TI PO5.3- Proceso Presupuestal PO5.4- Administración de Costos de TI PO5.5- Administración de Beneficios
PO6: Comunicar las
Aspiraciones y Dirección de la
Gerencia
PO6.1- Ambiente de políticas y de Control
PO6.2- Riesgo Corporativo y Marco de
Referencia de Control Interno de TI PO6.3-Administración de Políticas para TI PO6.4-Implantación de Políticas de TI PO6.5- Comunicación de los Objetivos y la
Dirección de TI PO7: Administrar Recursos
Humanos de TI
PO7.1- Reclutamiento y Retención del
personal
PO7.2- Competencias del personal PO7.3- Asignación de roles PO7.4- Entrenamiento del personal PO7.5- Dependencia sobre los individuos PO7.6-Procedimiento de Investigación del
Personal PO7.7-Evaluación del Desempeño del
Empleado PO7.8-Cambios y Terminación
PO8: Administrar la Calidad PO8.1- Sistema de Administración de
calidad
PO8.2- Estándares y Prácticas de Calidad PO8.3- Estándares de Desarrollo y
22
Adquisición PO8.4- Enfoque en el Cliente de TI PO8.5- Mejora Continua PO8.6- Medición, Monitoreo y Revisión de
la Calidad PO9: Evaluar y Administrar los
Riesgos TI
PO9.1- Marco de Trabajo de
Administración de Riesgos
PO9.2- Establecimiento del Contexto del
Riesgo PO9.3- Identificación de Eventos PO9.4- Evaluación de Riesgos de TI PO9.5- Respuesta de los Riesgos PO9.6- Mantenimiento y Monitoreo de un
Plan de Acción de Riesgos PO10: Administrar Proyectos PO10.1- Marco de Trabajo para la
Administración de Programas
PO10.2- Marco de Trabajo para la
Administración de Proyectos PO10.3- Enfoque de la Administración de
Proyectos PO10.4- Compromiso de los interesados PO10.5- Declaración del Alcance del
Proyecto PO10.6- Inicio de las Fases del Proyecto PO10.7- Plan Integrado del Proyecto PO10.8- Recursos del proyecto PO10.9- Administración de Riesgos del
Proyecto PO10.10- Plan de Calidad del Proyecto PO10.11- Control de Cambios del Proyecto PO10.12- Planeación del Proyecto y
Métodos de Aseguramiento PO10.13- Medición de Desempeño, Reporte
y Monitoreo del Proyecto PO10.14- Cierre del Proyecto
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
AD
QU
IRIR
E
IMP
LE
ME
NT
AR
AI1- Identificar soluciones
automatizadas
AI1.1- Definición y Mantenimiento de los
Requerimientos Técnicos y Funcionales del
Negocio
AI1.2- Reporte de Análisis de riesgos AI1.3- Estudio de Factibilidad y Formulación
de Cursos de Acción Alternativos AI1.4- Requerimientos, Decisiones de
Factibilidad y Aprobación AI2-Adquirir y mantener
software aplicativo
AI2.1- Diseño de Alto Nivel
AI2.2- Diseño Detallado AI2.3- Control y Posibilidad de Auditar las
Aplicaciones AI2.4- Seguridad y Disponibilidad de las
Aplicaciones AI2.5-Configuración e Implementación de
23
Software Aplicativo Adquirido AI2.6- Actualizaciones importantes en sistemas
existentes AI2.7- Desarrollo de Software Aplicativo AI2.8- Aseguramiento de la Calidad del
Software AI2.9- Administración de los Requerimientos
de Aplicaciones AI2.10- Mantenimiento de Software Aplicativo
AI3-Adquirir y mantener
infraestructura tecnológica
AI3.1- Plan de Adquisición de infraestructura
tecnológica
AI3.2- Protección y Disponibilidad del Recurso
de Infraestructura AI3.3- Mantenimiento de la Infraestructura AI3.4- Ambiente de prueba de factibilidad
AI4-Facilitar la operación y el
uso
AI4.1-Plan para soluciones de operación
AI4.2- Transferencia de Conocimiento a la
Gerencia del negocio AI4.3- Transferencia de Conocimiento a
usuarios finales AI4.4- Transferencia de Conocimiento al
personal de Operaciones y Soporte AI5-Adquirir recursos de TI AI5.1- Control de Adquisición
AI5.2- Administración de Contratos con
Proveedores AI5.3- Selección de proveedores AI5.4- Adquisición de Recursos de TI
AI6-Administrar cambios AI6.1- Estándares y procedimientos para
cambios
AI6.2- Evaluación de impacto, priorización y
autorización AI6.3- Cambios de Emergencia AI6.4- Seguimiento y reporte del estatus de
cambio AI6.5- Cierre de documentación del cambio
AI7-Instalar y acreditar
soluciones y cambios
AI7.1- Entrenamiento
AI7.2- Plan de Prueba AI7.3- Plan de implantación AI7.4- Ambiente de prueba AI7.5- Conversión de sistemas y datos AI7.6- Pruebas de cambios AI7.7- Pruebas de Aceptación final AI7.8-Promoción de producción AI7.9- Revisión Posterior a la Implantación
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
EN
TR
E
GA
R Y
DA
R
SO
PO
R
TE
DS1- Definir y administrar los
niveles de servicios
DS1.1- Marco de Trabajo de la
administración de los niveles de servicio
DS1.2- Definición de servicios DS1.3- Acuerdos de niveles de servicios DS1.4- Acuerdo de niveles de operación DS1.5- Monitoreo y reporte del
24
cumplimiento de los niveles de servicio DS1.6- Revisión de los acuerdos de niveles
de servicio y de los contratos DS2-Administrar los servicios de
terceros
DS2.1- Identificación de todas las
relaciones con proveedores
DS2.2- Gestión de Relaciones con
proveedores DS2.3- Administración de Riesgos del
proveedor DS2.4- Monitoreo del desempeño del
proveedor DS3-Administrar el desempleo y
la capacidad
DS3.1- Planeación del desempeño y la
capacidad
DS3.2- Capacidad y desempeño actual DS3.3- Capacidad y desempeño futuros DS3.4- Disponibilidad de recursos de TI DS3.5- Monitoreo y reporte
DS4-Garantizar la continuidad del
servicio
DS4.1- Marco de Trabajo de Continuidad
de TI
DS4.2- Planes de continuidad de TI DS4.3- Recursos críticos de TI DS4.4- Mantenimiento del Plan de
Continuidad de TI DS4.5- Pruebas del Plan de Continuidad de
TI DS4.6- Entrenamiento del Plan de
Continuidad de TI DS4.7- Distribución del Plan de
Continuidad de TI DS4.8- Recuperación y reanudación de los
servicios de TI DS4.9- Almacenamiento de Respaldos fuera
de las instalaciones DS4.10- Revisión Post Reanudación
DS5-Garantizar la seguridad de
los sistemas
DS5.1- Administración de la Seguridad de
TI
DS5.2- Plan de Seguridad de TI DS5.3- Administración de Identidad DS5.4- Administración de cuentas del
usuario DS5.5- Pruebas, vigilancia y monitoreo de
la seguridad DS5.6- Definición de incidentes de
seguridad DS5.7- Protección de la Tecnología de
seguridad DS5.8- Administración de llaves
criptográficas DS5.9- Prevención, detección y corrección
de software malicioso DS5.10- Seguridad de la red DS5.11- Intercambio de datos sensitivos
DS6-Identificar y asignar costos DS6.1- Definición de servicios
25
DS6.2- Contabilización de TI DS6.3- Modelación de Costos y cargos DS6.4- Mantenimiento del modelo de
costos DS7-Educar y entrenar a usuarios
DS7.1- Identificación de necesidades de
entrenamiento y educación
DS7.2- Impartición de entrenamiento y
educación DS7.3- Evaluación de entrenamiento
recibido DS8-Administrar la mesa de
servicios y los incidentes
DS8.1- Mesa de servicios
DS8.2- Registro de consultas de clientes DS8.3- Escalamiento de incidentes DS8.4- Cierre de incidentes DS8.5- Análisis de tendencias
DS9-Administrar la configuración DS9.1- Repositorio y línea base de
configuración
DS9.2- Identificación y mantenimiento de
elementos de configuración DS9.3- Revisión de integridad de la
configuración DS10-Administrar los problemas DS10.1- Identificación y clasificación de
problemas
DS10.2- Rastreo y resolución de problemas DS10.3- Cierre de problemas DS10.4- Integración de las admisiones de
cambios, configuración y problemas DS11-Administrar los datos DS11.1- Requerimientos del negocio para
administración de datos
DS11.2- Acuerdos de almacenamiento y
conservación DS11.3- Sistema de administración de
librerías de medios DS11.4- Eliminación DS11.5- Respaldo y restauración DS11.6- Requerimientos de Seguridad para
la Administración de Datos DS12-Administrar el ambiente
físico
DS12.1- Selección y diseño del centro de
datos
DS12.2- Medidas de seguridad física DS12.3-Acceso físico DS12.4- Protección contra factores
ambientales DS12.5- Administración de instalaciones
físicas DS13-Administrar las operaciones DS13.1- Procedimientos e instrucciones de
operación
DS13.2- Programación de tareas DS13.3- Monitoreo de la Infraestructura de
TI DS13.4- Documentos sensitivos y
dispositivos de salida DS13.5- Mantenimiento preventivo de
26
hardware
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME1- Monitorear y Evaluar el
Desempeño de TI
ME1.1- Enfoque del monitoreo ME1.2- Definición y recolección de datos
de monitoreo ME1.3- Método de monitoreo ME1.4- Evaluación del desempeño ME1.5- Reportes al Consejo Directivo y a
Ejecutivo ME1.6- Acciones correctivas
ME2-Monitorear ME2.1- Monitorización del Marco de
Trabajo de control interno
ME2.2- Revisiones de auditoría ME2.3- Excepciones de control ME2.4- Control de auto evaluación
ME2.5- Aseguramiento del Control Interno ME2.6- Control Interno para terceros ME2.7- Acciones correctivas
ME3-Administrar el desempleo y
la capacidad
ME3.1- Identificar los Requerimientos de
las leyes, regulaciones y cumplimientos
contractuales ME3.2- Optimizar la respuesta a
requerimientos externos ME3.3- Evaluación del cumplimiento con
requerimientos externos ME3.4-Aseguramiento positivo del
cumplimiento ME3.5- Reportes integrados
ME4-Garantizar la continuidad
del servicio
ME4.1- Establecimiento de un marco de
gobierno de TI
ME4.2- Alineación estratégico ME4.3- Entrega de valor ME4.4- Administración de recursos ME4.5- Administración de riesgos ME4.6- Medición de desempeño ME4.7- Aseguramiento independiente
Fuente: [31]
Con esto se obtendrá de forma oportuna la detección de problemas a través de la
medición del desempeño, se garantiza que los controles internos sean efectivos y
eficientes, l vinculación del desempeño de TI con las metas del negocio así como la
medición y reporte de riesgos, así también del control, cumplimiento y desempeño [26].
Otro concepto considerado clave dentro de COBIT, se relaciona con la determinación y
la mejora sistemática de la madurez del proceso, el mismo que tiene 6 niveles (0 al 5)
para medir el nivel de madurez de los procesos de TI [26]:
27
0 No existente: hay una compleja falta de cualquier proceso de gobierno de TI
identificable. La empresa no ha reconocido aún que hay aspectos que necesitan ser
identificados y resaltados y no hay comunicación al respecto.
1 Inicial: Existe evidencia de que la organización ha reconocido la existencia de
aspectos del gobierno de TI que deben ser considerados. Los procesos son ad-hoc y
desorganizados. El monitoreo de TI ha sido implementado de forma reactiva a
incidentes lo cual ha causado pérdidas y problemas a la organización.
2 Repetible: existe conciencia global sobre los aspectos del gobierno de TI. Las
actividades del gobierno de TI y los indicadores de desempeño se encuentran en
desarrollo, incluyendo la planeación de TI y los procesos de entrega y monitoreo. Los
procesos siguen un patrón regular.
3 Definido: La necesidad de actuar en relación al gobierno de TI se encuentra
entendida y aceptada. Los procesos han sido estandarizados, documentados e
implementados.
4 Administrado: existe un completo entendimiento de los aspectos de Gobierno de TI
a todos los niveles de la organización, el mismo que está soportado por un
entrenamiento formal. Es posible monitorear y medir el cumplimiento de los
procedimientos, empezar acciones correctoras si es preciso y los procesos se encuentran
en constante mejoramiento.
5 Optimizado: los procesos han sido refinados hasta un nivel de la mejor práctica, los
mismos que están basados en los resultados de mejoramiento continuo y diseño de la
madurez con otras organizaciones. Las buenas prácticas se siguen y se automatizan.
28
CAPÍTULO III
METODOLOGÍA
3.1 Modalidad de Investigación
Para la elaboración del presente trabajo se utilizarán varias modalidades tales como:
3.1.1. Modalidad Bibliográfica y Documental:
La presente investigación tuvo una modalidad bibliográfica y documental debido a que
se recopiló información de sitios web como principal recurso en el desarrollo del tema.
Además de consultar diferentes fuentes como: documentos, tesis, disertaciones, revistas,
artículos científicos, entre otros, que permitió desarrollar el proceso de investigación de
manera satisfactoria.
3.1.2. Modalidad de Campo
La investigación tuvo una modalidad de campo debido a la necesidad de acudir
directamente a Importadora Alvarado para estar en contacto con la realidad en el lugar
de los hechos y recolectar información necesaria que permita determinar la situación
actual de la misma, por lo tanto se requirió la aplicación de una encuesta por parte del
investigador, hacia los miembros de TI de la empresa.
3.2 Población y Muestra
La presente investigación tuvo como población a los nueve miembros de TI de
Importadora Alvarado. Debido a que es un número manejable de personas no se requirió
realizar el cálculo de la muestra.
3.3 Recolección de Información
Los instrumentos que se emplearon para la recolección de información fue la encuesta
(Anexo 2) y levantamiento de información al personal del departamento de sistemas de
Importadora Alvarado para conocer la situación actual del problema y de esa forma
plantear una solución precisa, acorde a los requerimientos del lugar.
29
Personal de departamento de sistemas
Jefe de Aplicativos: 1
Jefe de Infraestructura: 1
Analistas de aplicativos: 4
Analistas de infraestructura: 3
3.4 Procesamiento y Análisis de Datos
Una vez aplicada la encuesta a los miembros de TI de Importadora Alvarado para
conocer la situación actual de los procesos de TI que se manejan se seleccionó la
información válida que ayude a la consecución de los objetivos del proyecto. La
información fue procesada por medio de tablas y gráficos estadísticos realizados en el
programa Microsoft Excel que permitieron representar de forma sencilla los resultados
obtenidos y de esa forma ayudar a la comprensión adecuada de los mismos. Dichos
resultados son los que se presentan a continuación:
1.- ¿Tiene definido un plan estratégico de TI y este se encuentra alineada con las
necesidades de la empresa?
Tabla 2 Plan estratégico alineado con las necesidades de la empresa
Opciones Frecuencia Porcentaje
Si 7 78%
Parcialmente 2 22%
No 0 0%
Total 9 100% Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 7 Plan estratégico alineado con las necesidades de la empresa
Fuente: Encuesta
Elaborado por: Curay Mayra
78%
22%
0%
Plan estratégico alineada a las necesidades de la empresa?
Si
Parcialmente
No
30
Análisis e Interpretación
De la totalidad de los miembros de la TI de Importadora Alvarado, el 78% manifiesta
que si tienen definido un plan estratégico que está alineada a las necesidades de la
empresa, mientras que el 22% expresa que no está de acuerdo que el plan estratégico
está alineado a las necesidades.
Con lo expuesto se determina que Importadora Alvarado cuenta con un plan estratégico
de Tecnologías de la Información que se encuentra acorde a los requerimientos de la
empresa, sin embargo es necesario adaptarla a los objetivos empresariales de la misma.
2.- ¿Tiene definida su arquitectura de la información?
Tabla 3 Definición de arquitectura de información
Opciones Frecuencia Porcentaje
Si 8 89%
Parcialmente 0 0%
No 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 8 Definición de arquitectura de información
Fuente: Encuesta
Elaborado por: Curay Mayra
89%
0%
11%
Tiene definida su arquitectura de la
información?
Si
Parcialmente
No
31
Análisis e Interpretación
El 89% de los miembros del departamento de TI de Importadora Alvarado encuestados
indica que la empresa si tiene definida su arquitectura de información, mientras que el
11% manifiesta que no la tiene.
Acorde a lo expuesto se expresa que Importadora Alvarado si ha definido su
arquitectura de información, la cual facilita el acceso a la misma para ser aprovechada
de la mejor manera por parte de los usuarios, pero a pesar de ello, con la
implementación de un nuevo plan estratégico se podrá llevar la información de forma
más ordena para mejorar los procesos.
3.- ¿Tiene definido un marco de trabajo de procesos para TI?
Tabla 4 Pregunta 3
Opciones Frecuencia Porcentaje
Si 7 78%
Parcialmente 2 22%
No 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 9 Pregunta 3 Fuente: Encuesta
Elaborado por: Curay Mayra
78%
22%
0%
Tiene definido un marco de trabajo de
procesos para TI?
Si
Parcialmente
No
32
Análisis e Interpretación
Según la encuesta realizada, el 78% manifiesta que en Importadora Alvarado si tiene
definido un marco de trabajo de procesos para TI, mientras que el 22% indica que no lo
tiene definido.
De acuerdo a los resultados se evidencia que el área de sistemas de Importadora
Alvarado si ha definido un marco de trabajo de procesos para TI, pero es importante
mejorarlo para que los métodos se realicen de manera rápida.
4.- ¿El presupuesto que se invierte para los procesos y operaciones de TI es el
óptimo?
Tabla 5 Procesos y operaciones de TI
Opciones Frecuencia Porcentaje
Si 4 44%
Parcialmente 2 22%
No 3 33%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 10 Pregunta 4
Fuente: Encuesta
Elaborado por: Curay Mayra
45%
22%
33%
El presupuesto que se invierte para los
procesos y operaciones de TI es la óptima?
Si
Parcialmente
No
33
Análisis e Interpretación
De acuerdo a la encuesta, el 45% del departamento de TI están de acuerdo que el
presupuesto que se invierte para los procesos y operaciones de TI es óptimo, mientras
que un 33% expresa que es parcialmente óptimo y un 22% consideran que el
presupuesto invertido no es óptimo.
Con los datos obtenidos se afirma que el presupuesto que invierte Importadora Alvarado
para los procesos y operaciones de las Tecnologías de Información es el adecuado, sin
embargo es importante llevar un plan estratégico con parámetros establecidos que
permitan llevar el gasto de TI sin excesos y bajo control.
5.- ¿Tiene implementado políticas de TI?
Tabla 6 Implementación de políticas de TI
Frecuencia Porcentaje
Si 8 89%
Parcialmente 1 11%
No 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 11 Implementación de políticas de TI
Fuente: Encuesta
Elaborado por: Curay Mayra
89%
11%
0%
Tiene implementado políticas de TI?
Si
Parcialmente
No
34
Análisis e Interpretación
De la totalidad del personal encuestado de Importadora Alvarado, el 89% manifiesta
que la empresa si ha implementado políticas de TI, mientras que el 11% establece que
las ha implementado parcialmente.
De acuerdo a este contexto, la mayoría de encuestados manifiesta que la empresa si
cuenta con políticas de TI, las cuales se constituyen en una herramienta que sirve para
garantizar el buen funcionamiento de los procesos, contribuir con su eficiencia ,
garantizar la calidad en la gestión y principalmente asegurar la seguridad de las
informaciones.
6.¿Con que frecuencia son renovadas las políticas de TI?
Tabla 7 Frecuencia de renovación de las políticas de TI
Opciones Frecuencia Porcentaje
Frecuentemente 2 22%
A veces 6 67%
Casi nunca 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 12 Frecuencia de renovación de las políticas de TI
Fuente: Encuesta
Elaborado por: Curay Mayra
22%
67%
11%
Con que frecuencia son renovadas dichas
políticas de TI?
Frecuentemente
A veces
Casi nunca
35
Análisis e Interpretación
El 67% del personal de Importadora Alvarado encuestado indican que las políticas de TI
son renovadas con poca frecuencia, el 22% establece que se renuevan frecuentemente,
mientras que el 11% asevera que casi nunca se renuevan dichas políticas de TI.
Por lo expuesto se establece que las políticas de la TI de Importadora Alvarado son
renovadas con poca frecuencia, motivo por el cual es importante establecer directrices
que promuevan instaurar lineamientos para promover el uso adecuado de los recursos
humanos, materiales y activos tecnológicos.
6.- ¿El personal de TI es capacitado continuamente?
Tabla 8 Capacitación continua del personal de TI
Opciones Frecuencia Porcentaje
Si 1 11%
Parcialmente 6 67%
No 2 22%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 13 Capacitación continua del personal de TI
Fuente: Encuesta
Elaborado por: Curay Mayra
11%
67%
22%
El personal se TI es capacitado
continuamente?
Si
Parcialmente
No
36
Análisis e Interpretación
El 67% del personal encuestado del área de TI establece que se les capacita
parcialmente, el 22% expresa que no tiene capacitación continua y solo un 11% del
personal informa que si es capacitado continuamente.
Por lo expuesto se determina que el personal del área de TI de Importadora Alvarado es
capacitado parcialmente, motivo por el cual se considera importante desarrollar un plan
de capacitación continua dentro del plan estratégico de la empresa.
7.- ¿Los proyectos que se están desarrollando actualmente se encuentran dentro
del plan Organizacional de la empresa?
Tabla 9 Los proyectos desarrollados se encuentran dentro del plan Organizacional
Opciones Frecuencia Porcentaje
Si 8 89%
Parcialmente 1 11%
No 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 14 Los proyectos desarrollados se encuentran dentro del plan Organizacional
Fuente: Encuesta
Elaborado por: Curay Mayra
89%
11%
0%
Los proyectos se encuentran dentro del
plan organizacional?
Si Parcialmente No
37
Análisis e Interpretación
De acuerdo a los encuestados, el 89% indica que los proyectos que se están
desarrollando actualmente en Importadora Alvarado se encuentran dentro del plan
organizacional, mientras que el 11% expresa que los proyectos están parcialmente
dentro del plan organizacional.
Por lo expuesto se establece que la mayoría concuerda en que los proyectos que se
desarrollan en Importadora Alvarado están acorde al plan organizacional de la empresa,
es decir han sido planificados previamente para obtener mejores resultados y mayor
organización.
8.- Previo a la adquisición o ejecución de una solución automatizada, ¿Se realiza
un estudio de factibilidad?
Tabla 10 Realización de estudios de factibilidad
Opciones Frecuencia Porcentaje
Si 6 67%
Parcialmente 3 33%
No 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 15 Realización de estudios de factibilidad
Fuente: Encuesta
Elaborado por: Curay Mayra
67%
33%
0%
Se realiza estudio de factibilidad?
Si Parcialmente No
38
Análisis e Interpretación
El 67% del personal encuestado de Importadora Alvarado considera que si se realiza un
estudio de factibilidad previo a la adquisición o ejecución de una solución automatizada,
mientras que el 33% expresa que se realiza un estudio de factibilidad en forma parcial.
De acuerdo a lo expuesto se establece que en Importadora Alvarado se realizan estudios
de factibilidad antes de implementar o ejecutar una solución automatizada para mejorar
continuamente.
9.- ¿Con que frecuencia se realizan cambios de emergencia en la infraestructura de
TI, aplicaciones y soluciones técnicas?
Tabla 11 Frecuencia de cambios de emergencia en la infraestructura de TI
Opciones Frecuencia Porcentaje
Mucha Frecuencia 2 22%
A veces 7 78%
Poca Frecuencia 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 16 Frecuencia de cambios de emergencia en la infraestructura de TI
Fuente: Encuesta
Elaborado por: Curay Mayra
22%
78%
0%
Se realiza cambios de emergencia en la
infraestructura de TI,aplicaciones y soluciones
técnicas?
Mucha Frecuencia
ParcialmenteFrecuente
Poca Frecuencia
39
Análisis e Interpretación
De acuerdo al personal de TI encuestados, 78% informa que los cambios de emergencia
en la infraestructura de TI, apps y soluciones técnicas se los realiza a veces, mientras
que un 22% del personal dice que se los realiza con mucha frecuencia.
Por lo expuesto se determina que los cambios de emergencia en la infraestructura de TI,
aplicaciones y soluciones técnicas se los realiza a veces, motivo por el cual se evidencia
la necesidad de un plan estratégico acorde a los requerimientos institucionales y a las
necesidades tecnológicas.
10.- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. ¿En la empresa se establecen metodologías de prueba para garantizar la
aceptación del producto por parte del cliente interno previo a su liberación?
Tabla 12 Metodologías de prueba para garantizar la aceptación del producto
Opciones Frecuencia Frecuencia
Si 9 100%
Parcialmente 0 0%
No 0 0%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 17 Metodologías de prueba para garantizar la aceptación del producto
Fuente: Encuesta
Elaborado por: Curay Mayra
100%
0% 0%
En la empresa se establecen metodologías de
prueba?
Si
Parcialmente
No
40
Análisis e Interpretación
El 100% de los miembros del área de TI de Importadora Alvarado informa que la
empresa establece metodologías de prueba para garantizar la aceptación del producto
por parte del cliente interno previo a su liberación.
Con los resultados se define que una vez que se completa el desarrollo de los nuevos
sistemas en Importadora Alvarado se sigue un procedimiento previo para garantizar su
correcto funcionamiento.
11.- ¿La gerencia se encarga de realizar la evaluación formal y la aprobación de los
resultados de prueba?
Tabla 13 Gerencia encarga de realizar la evaluación formal de los resultados de prueba
Opciones Frecuencia Porcentaje
Si 4 44%
Parcialmente 4 44%
No 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 18 Gerencia encarga de realizar la evaluación formal de los resultados de prueba
Fuente: Encuesta
Elaborado por: Curay Mayra
45%
44%
11%
La gerencia realiza la evaluación y aprobación
de los resultados de prueba?
Si
Parcialmente
No
41
Análisis e Interpretación
De acuerdo a los encuestados, el 45% indica que la gerencia si se encarga de la
evaluación y aprobación de los resultados de prueba, el 44% expresa que parcialmente
la gerencia se encarga de las evaluaciones, mientras que el 11% menciona que la
gerencia no es la encargada de las evaluaciones.
De acuerdo a los resultados expuestos se determina que la gerencia si se involucra en la
evaluación y aprobación de productos, ya sea de forma total o parcial para de esa
manera garantizar la excelencia de los mismos.
12.- ¿El nivel de seguridad para salvaguardar la información contra el uso,
revelación o modificación no autorizada, deterioro o pérdida es el adecuado?
Tabla 14 Nivel de seguridad para salvaguardar la información
Opciones Frecuencia Porcentaje
Si 3 33%
Parcialmente 4 44%
No 2 22%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 19 Nivel de seguridad para salvaguardar la información
Fuente: Encuesta
Elaborado por: Curay Mayra
33%
45%
22%
El nivel de seguridad para salvaguardar la
información es el adecuado?
Si
Parcialmente
No
42
Análisis e Interpretación
De acuerdo a los datos obtenidos, el 45% de los encuestados del área de TI de
Importadora Alvarado consideran que el nivel de seguridad para salvaguardar la
información es parcialmente adecuado, mientras que un 33% del personal considera que
el nivel de seguridad es adecuado, y el 22% considera que no es adecuado.
Por lo expuesto se determina que el nivel de seguridad para salvaguardar la información
contra el uso, revelación o modificación no autorizada, deterioro o pérdida en
Importadora Alvarado no es completamente confiable, representando un riesgo para la
empresa en cuanto a confidencialidad, además de pérdida de datos relevantes para cada
uno de los procesos.
13.- ¿Los servicios de TI utilizan un sistema de contabilidad de costos para
asegurar que los costos sean registrados, calculados y asignados al nivel requerido
de detalle?
Tabla 15 Los servicios de TI utilizan un sistema de contabilidad de costos
Opciones Frecuencia Porcentaje
Si 6 67%
Parcialmente 2 22%
No 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 20 Los servicios de TI utilizan un sistema de contabilidad de costos
Fuente: Encuesta
Elaborado por: Curay Mayra
67%
22%
11%
Los servicios de TI utilizan un sistema de
contabilidad de costos ?
Si
Parcialmente
No
43
Análisis e Interpretación
De acuerdo a los datos obtenidos, el 67% del personal de área de TI de Importadora
Alvarado indican que si utilizan un sistema de contabilidad de costos, el 22% expresa
que se utiliza el sistema de contabilidad parcialmente, mientras que el 11% menciona
que no se utiliza dicho sistema.
Según la información recopilada se indica que los servicios de TI de Importadora
Alvarado utilizan un sistema de contabilidad de costos para asegurar que los datos sean
registrados, calculados y asignados al nivel requerido de detalle, lo cual representa una
gran ventaja para la empresa para llevar su situación económica actualizada.
14- ¿La empresa cuenta con un repositorio central que contenga toda la
información referente a los elementos de configuración?
Tabla 16 La empresa cuenta con un repositorio central
Opciones Frecuencia Porcentaje
Si 7 78%
Parcialmente 1 11%
No 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 21 La empresa cuenta con un repositorio central
Fuente: Encuesta
Elaborado por: Curay Mayra
78%
11% 11%
Cuenta con repositorio central que contenga
información referente a los elementos de
configuración?
Si
Parcialmente
No
44
Análisis e Interpretación
De acuerdo a los encuestados, el 78% dice que la empresa si cuenta con un repositorio
central que contiene la información de los elementos de configuración, el 11% expresa
que parcialmente cuentan con este repositorio central, mientras que el 11% dice que no
tiene dicho recurso.
De acuerdo a lo expuesto se menciona que Importadora Alvarado posee un repositorio
central con información de los elementos de configuración, lo que representa una base
de datos que contiene detalle relevante de cada elemento.
15.- Proporciona reportes administrativos del desempeño de TI a la alta dirección?
Tabla 17 Proporciona reportes administrativos del desempeño de TI a la alta dirección
Opciones Frecuencia Porcentaje
Si 2 22%
Parcialmente 6 67%
No 1 11%
Total 9 100%
Fuente: Encuesta
Elaborado por: Curay Mayra
Figura 22 Proporciona reportes administrativos del desempeño de TI a la alta dirección
Fuente: Encuesta
Elaborado por: Curay Mayra
22%
67%
11%
Proporciona reportes administrativos del
desempeño de TI a la alta dirección?
Si
Parcialmente
No
45
Análisis e Interpretación
Del total de los encuestados de la Importadora Alvarado, el 67% dice que se
proporciona reportes administrativos del desempeño de TI a la alta dirección de manera
parcial, el 22% menciona que si la proporciona, mientras que el 11% establece que no
se proporciona dichos reportes administrativos.
Por este motivo se determina que la información acerca del desempeño de la TI es
proporcionada de manera parcial a la alta dirección de Importadora Alvarado, motivo
por el cual no se ha podido desarrollar un plan estratégico adecuado para dar solución a
la totalidad de inconvenientes que día a día se presentan en cuanto a la tecnología.
Conclusiones generales
De acuerdo a la información obtenida se manifiesta que Importadora Alvarado cuenta
con un plan estratégico de TI, sin embargo no se encuentra adaptado a las necesidades
de la mismas, pues el sistema organizacional que maneja no garantiza confianza en
cuanto a veracidad de la información, ya que muchos procesos se realizan de manera
manual, por tal motivo el nivel de seguridad para salvaguardar la información no es
seguro, representando un riesgo para la empresa en cuanto a confidencialidad, además
de pérdida de datos relevantes para cada uno de los procesos.
Se denota la necesidad de un plan estratégico bajo los parámetros COBIT, ya que a
pesar de realizar un presupuesto para los procesos y operaciones de TI es importante
definir parámetros que permitan llevar los costos de forma adecuada y sin excesos, pues
el departamento de sistemas de importadora Alvarado no cuenta con políticas y
procedimientos definidos de manera correcta para garantizar el perfecto desempeño de
cada proceso.
De acuerdo a los resultados obtenidos se puede verificar que el personal del área de TI
de Importadora Alvarado no es capacitado constantemente, por lo cual se considera
importante desarrollar un plan de capacitación continua dentro del plan estratégico de la
empresa.
Los cambios en la infraestructura de TI, aplicaciones y soluciones técnicas se realizan
únicamente a veces, bajo un cronograma establecido y no cuando se presenta alguna
46
emergencia debido a que para su implementación se requiere un estudio de factibilidad,
sin embargo la organización debe estar preparada para afrontar eventos inesperados que
pongan en riesgo la consecución de sus objetivos empresariales.
3.5 Desarrollo del Proyecto
Para el desarrollo del proyecto se definieron las actividades a seguir para el
cumplimiento de los objetivos específicos planteados en el proyecto de Investigación y
así obtener como resultado el objetivo general.
1. Analizar la situación actual de la entidad, los cargos y las responsabilidades dentro
del Área de TI de acuerdo a la visión y misión institucional.
Análisis de la situación actual de Importadora Alvarado S.A, los cargos y
responsabilidades dentro del área de TI.
Revisión de la misión y visión de la organización.
Aplicación de encuesta a los miembros del departamento de TI.
Análisis de los resultados obtenidos.
2. Aplicar los procesos de COBIT para evaluar la situación actual del departamento de
TI.
Aplicación de los principios básicos de COBIT.
Identificación de los procesos.
3. Diseñar el plan estratégico para Importadora Alvarado a fin de llevar un mejor
control dentro de la organización.
Recopilación la información en base al resumen de la situación actual de la
organización.
Elaboración de resumen ejecutivo.
Elaboración de plan estratégico.
47
CAPÍTULO IV
DESARROLLO DE LA PROPUESTA
En el diagnóstico que se realiza a Importadora Alvarado se hace énfasis principalmente
en el control que se debe aplicar en los diversos procesos del departamento de sistemas
para realizar un adecuado mantenimiento, distribución y almacenamiento de la
información para alcanzar un grado adecuado de efectividad de los mismos con relación
a lo que el modelo COBIT recomienda.
Para la evaluación del marco de control de las TI se consideró el detalle de los objetivos
de control del manual COBIT 4.1, los mismos que permiten conocer el grado de riesgo
o nivel que la organización posee actualmente y el que está dispuesta a aceptar para
considerar un estándar que le permita llevar un control y seguridad en tecnologías de
información.
4.1. Análisis de la situación actual de la empresa
4.1.1 Breve descripción de la empresa
Importadora Alvarado S.A. se encuentra ubicada en la ciudad de Ambato, tiene una
trayectoria de más de 50 años en el mercado se ha convertido en una de las mayores
importadoras de repuestos automotrices dedicadas a la compra y venta al por mayor y
menor de todo tipo pares, suministros, accesorios para vehículos. Las importaciones que
realiza Importadora Alvarado provienen de diferentes partes del mundo, tales como:
China, Japón, Tailandia, Alemania, EE.UU y Perú, lo cuales son los principales
fabricantes a nivel mundial.
Misión
Ser proveedores de Línea y Servicios Automotrices preferido de mayoristas, minoristas
y público en general, por la disponibilidad de productos, variedad y asesoría del
personal.
48
Visión
Ser el mayor distribuidor de Línea y Servicios Automotrices del Ecuador, con presencia
en la zona Andina, reconocidos por la calidad de su gestión y su equipo humano.
Valores Corporativos
Enfoque de servicio: por su iniciativa se va más allá de lo esperado, para
solucionar los problemas y brindar el mejor servicio al cliente.
Honestidad: Realizar siempre una gestión transparente, respetando las
políticas y las leyes.
Responsabilidad: Llevar siempre a cabo las tareas con cuidado y atención,
reflexionando en las consecuencia que podrían tener.
Trabajo en equipo: Avanzar de la mano para alcanzar objetivos comunes,
con respecto a los demás y poniéndose en sus zapatos.
Historia
Importadora Alvarado Cía. Ltda., inició sus actividades comerciales en Ambato el 5 de
marzo de 1986, en la Av. Cevallos y Unidad Nacional, constituyéndose en la más
grande Importadora de la Sierra Centro del país, la cual ha dado lugar al seguimiento de
otras empresas como: Corpal, Rectima, Accpaa, Vihal, Nikken y Gea, todas estas en la
línea automotriz, además de importadora Alvarado y Depo Hormigón que pertenecen a
la línea de construcción; estas constituyen el grupo Alvarado que impulsan el desarrollo
local y nacional.
Estructura Organizacional
Importadora Alvarado cuenta con una estructura conformada por diversos
departamentos, incluido el departamento de sistemas, que es uno de los principales,
debido a que depende de manera directa de la Gerencia. El departamento se encuentra
conformado por cinco personas; gerente corporativo de sistemas, jefe de aplicativos,
jefe de infraestructura, analista de aplicativos, analista de infraestructura, los cuales
tienen a su cargo tareas específicas. En la figura siguiente, se puede observar el
organigrama posicional del departamento de TI:
49
Figura 23 Organigrama posicional del departamento de TI
Lineamientos Estratégicos
1. Incrementar el volumen de facturación
2. Incrementar la participación en el mercado
3. Incrementar la rentabilidad del negocio
4. Lograr reconocimiento nacional por la gestión empresarial
5. Ganar reconocimiento nacional por la gestión humana
Productos
Carrocerías
Guardachoques
Silvines
Mascarillas
Mantenimiento
Filtros de aire y gasolina
Bandas de distribución
Desgaste
Pastillas
GERENTE
CORPORATIVO
SISTEMAS
Jefe de
Aplicativos
Jefe de
Infraestructura
Analista de
Aplicativos
Analista de
Infraestructura
50
Discos
Reparación
Pistones
Rines
Bombas de aceite
Empaques
4.2. Diseño del modelo de evaluación
Las tecnologías de información juegan un papel muy importante en las organizaciones,
por tal motivo COBIT proporciona un marco de trabajo integral que ayuda a la empresa
a alcanzar sus objetivos, basándose en la implementación de procesos de Gobierno y de
Gestión de TI, alineando los objetivos de TI con los objetivos del negocio, lo cual
genera beneficios a los diferentes interesados en el uso de las TI, midiendo el
desempeño y administrando de forma adecuada los recursos.
De acuerdo a lo planteado, los objetivos de COBIT involucrados dentro de la
investigación son:
• Identificar problemas o desafíos de TI que afectan a las empresas u
organizaciones.
• Definir el gobierno de TI
• Identificar:
• Principios de Gobierno TI
• Responsables del Gobierno de TI
• Manera en que el Gobierno de TI debe resolver problemas de gestión
• Alcance del Gobierno de TI
Para poder determinar los problemas que afectan a la organización se requiere conocer
el estado en el que se encuentran sus sistemas de información, para con ello definir cuál
es el nivel de gestión y control que se requiere para que las Tecnologías de la
Información (TI) aporten valor a la organización. Para realizar dicha evaluación de las
51
capacidades y los procesos tecnológicos COBIT define un modelo de madurez, de tal
forma que se pueda evaluar a sí misma desde un nivel de no existente (0) hasta un nivel
de optimizado (5)
0 Inexistente: No existe información, ni conocimiento acerca del gobierno de TI
1 Inicial/ ad hoc: En el proceso existen tareas que no se definen, pero existe confianza
en la iniciativa
2 Repetible pero intuitivo: el proceso cuenta con personal de calidad y tareas definitivas
3 Definido: Proceso definido e institucionalizado, cuenta con políticas, estándares y
procedimientos establecidos.
4 Gestionable y medible: El proceso tiene estructuras de control completas y análisis del
desempeño.
5 Optimizado: los procesos han sido refinados hasta un nivel de la mejor práctica, los
mismos que están basados en los resultados de mejoramiento continuo y diseño de la
madurez con otras organizaciones.
De acuerdo a estos parámetros se plantea un análisis para conocer el nivel de madurez
en el que se encuentra la organización, pues dicha evaluación brinda información acerca
de los parámetros a tomar en cuenta para el planteamiento del plan estratégico.
Como punto de partida para la valoración de información se aplicó la herramienta
COBIT 4.1 y con los resultados se diseñó una tabla en Excel, teniendo en cuenta los
dominios, procesos, actividades, objetivos de control, detalles del objetivo de control, y
el cuestionario de preguntas por cada objetivo para identificar el cumplimiento de los
procesos del departamento de sistemas.
En los resultados de la evaluación de objetivos como se puede observar en la tabla 18
se tomó en consideración las columnas procesos, actividades del proceso, objetivos de
control y la calificación porcentual del objetivo, en donde se dio un peso ponderado de
acuerdo a la cantidad del objeto, es decir para fácil análisis de los resultados se
determinó una puntuación de 1 y 0, en donde las afirmaciones de cumplimiento son
presentadas por 1 y las negaciones por el 0; y de esta forma la calificación representa el
promedio de la sumatoria de los puntajes de cada pregunta de los objetivo de control
52
expresándolo en porcentaje. A continuación se muestra la tabla con los resultados
recopilados del departamento de sistemas de Importadora Alvarado.
53
Resultados
Tabla 18. Evaluación por objetivos de COBIT 4.1
COBIT
DOMINIO PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL RESP.
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO1 - Definir un Plan
Estratégico de TI.
Relacionar las metas del negocio con las de TI PO1.1 - Administración del Valor de TI 100%
Relacionar las metas del negocio con las de TI. PO1.2 - Alineación de TI con el Negocio. 66,66%
Identificar dependencias críticas y desempeño
actual
PO1.3 - Evaluación del Desempeño y la Capacidad
Actual. 100%
Construir un plan estratégico para TI. PO1.4 - Plan Estratégico de TI. 100%
Construir planes tácticos para TI. PO1.5 - Planes Tácticos de TI. 100%
Analizar portafolios de programas y administrar
portafolios de servicios y proyectos PO1.6 - Administración del Portafolio de TI.
100%
PO2 - Definir la
Arquitectura de la
Información.
Crear y mantener modelo de información
corporativo/empresarial.
PO2.1 - Modelo de Arquitectura de Información
Empresarial 100%
Crear y mantener diccionario de datos
corporativo.
PO2.2 - Diccionario de Datos Empresarial y
Reglas de Sintaxis de Datos. 0%
Establecer y mantener esquema de clasificación
de datos PO2.3 - Esquema de Clasificación de Datos. 100%
Usar el modelo de información, el diccionario
de datos y el esquema de clasificación para
planear los sistemas
PO2.4 - Administración de Integridad. 100%
P03 - Determinar la
Dirección Tecnológica
Crear y mantener un plan de infraestructura
tecnológica. PO3.1 - Planeación de la Dirección Tecnológica. 100%
Publicar estándares tecnológicos PO3.2 - Monitoreo de Tendencias y Regulaciones
Futuras. 0%
Monitorear la evolución tecnológica PO3.3- Estándares Tecnológicos.
100%
54
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO4 - Definir los
Procesos, Organización
y Relaciones de TI
Establecer estructura organizacional de TI,
incluyendo comités y ligas a los interesados y
proveedores.
PO4.1 - Estructura Organizacional. 66,66%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
funciones.
PO4.2 - Establecimiento de Roles y
Responsabilidades. 100%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
funciones.
PO4.3 - Responsabilidad sobre el Riesgo, la Seguridad
y el Cumplimiento. 50%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión PO4.4 - Supervisión. 100%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
funciones.
PO4.5 - Segregación de Funciones. 50%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
funciones.
PO4.6 - Personal Clave de TI. 100%
Establecer e implantar roles y responsabilidades
de TI, incluida la supervisión y segregación de
funciones
PO4.7 - Políticas y Procedimientos para Personal
Contratado
100%
PO5 - Administrar la
inversión en TI
Dar mantenimiento al portafolio de programas
de inversión
PO5.1 - Marco de Trabajo para la Administración
Financiera. 100%
Dar mantenimiento al portafolio de proyectos. PO5.2 Prioridades dentro del Presupuesto de TI. 33,33%
Dar mantenimiento al portafolio de servicios. PO5.3 - Proceso Presupuestal. 100%
Establecer y mantener proceso presupuestal de
TI. PO5.4 - Administración de Costos de TI. 71,42%
Identificar, comunicar y monitorear la
inversión, costo y valor de TI para el negocio. PO5.5 - Administración de Beneficios 0%
55
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO6- Comunicar las
Aspiraciones y la
Dirección de la Gerencia
Elaborar y mantener un ambiente y marco de
control de TI. PO6.1 - Ambiente de Políticas y de Control. 100%
Elaborar y mantener políticas de TI. PO6.2 - Administración de Políticas para TI. 100%
Elaborar y mantener políticas de TI. PO6.3 - Implantación de Políticas de TI. 100%
Comunicar el marco de control y los objetivos y
dirección de TI.
PO6.4 - Comunicación de los Objetivos y la Dirección
de TI. 100%
PO7 -
Administrar los
Recursos Humanos de
TI
Identificar las habilidades de TI, benchmarks
sobre descripciones de puesto, rango de salarios
y desempeño del personal.
PO7.1 - Reclutamiento y Retención del Personal. 100%
Identificar las habilidades de TI, benchmarks
sobre descripciones de puesto, rango de salarios
y desempeño del personal.
PO7.2 - Competencias del Personal. 33,33%
Ejecutar las políticas y procedimientos
relevantes de RH para TI(reclutar, contratar,
investigar, compensar, entrenar
PO7.3 - Entrenamiento del Personal de TI. 0%
Ejecutar las políticas y procedimientos
relevantes de RH para TI
PO7.4 -
Procedimientos de Investigación del Personal. 0%
Ejecutar las políticas y procedimientos
relevantes de RH para TI PO7.5- Evaluación del Desempeño del Empleado. 0%
Ejecutar las políticas y procedimientos
relevantes de RH para TI PO7.6- Cambios y Terminación de Trabajo. 100%
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO8 - Administrar la
Calidad
Definir un sistema de administración de
calidad. PO8.1 - Sistema de Administración de Calidad 0%
Crear y comunicar estándares de calidad a toda
la organización. PO8.2 - Enfoque en el Cliente de TI. 0%
Crear y administrar el plan de calidad para la
mejora continua. PO8.3 - Mejora Continua. 0%
Medir, monitorear y revisar el cumplimiento de
las metas de calidad.
PO8.4 - Medición, Monitoreo y Revisión de la
Calidad. 0%
56
PO9 - Evaluar y
Administrar los Riesgos
de TI
Determinar la alineación de la administración
de riesgos (ej: Evaluar riesgo).
PO9.1 - Marco de Trabajo de Administración de
Riesgos. 0%
Entender los objetivos de negocio estratégicos
relevantes. PO9.2 - Identificación de Eventos 0%
Identificar los objetivos internos de TI y
establecer el contexto del riesgo. . PO9.3 - Evaluación de Riesgos de TI. 0%
Evaluar y seleccionar respuestas a riesgo. PO9.4 - Respuesta a los Riesgos 0%
Priorizar y Planear actividades de control. PO9.5 - Mantenimiento y Monitoreo de un Plan de
Acción de Riesgos. 0%
PL
AN
EA
R Y
OR
GA
NIZ
AR
PO10 - Administrar
proyectos
Definir un marco de administración de
programas/portafolio para inversiones en TI.
PO10.1 - Marco de Trabajo para la Administración de
Programas. 100%
Asegurar la participación y compromiso de los
interesados del proyecto. PO10.2 - Compromiso de los Interesados. 100%
Definir e implementar métodos de
aseguramiento y revisión de proyectos. PO10.3 - Inicio de las Fases del Proyecto. 100%
Definir e implementar métodos de
aseguramiento y revisión de proyectos. PO10.4 - Recursos del Proyecto. 100%
Definir e implementar métodos de
aseguramiento y revisión de proyectos. PO10.5 - Cierre del Proyecto. 67%
AD
QU
IRIR
E IM
PL
EM
EN
TA
R
AI1 - Identificar
soluciones
automatizadas
Definir los requerimientos funcionales y
técnicos del negocio.
AI1.1 - Definición y Mantenimiento de los
Requerimientos Técnicos y Funcionales del Negocio. 100%
Documentar, identificar y analizar el riesgo del
proceso de negocio AI1.2 - Reporte de Análisis de Riesgos. 75%
Evaluar los beneficios de negocio de las
soluciones propuestas.
AI1.3 - Estudio de Factibilidad y Formulación de
Cursos de Acción Alternativos. 100%
Conducir un estudio de factibilidad/evaluación
de impacto con respecto a la implantación de
los requerimientos de negocio propuestos.
AI1.4 - Requerimientos, Decisión de Factibilidad y
Aprobación.
80%
57
AI2 -Adquirir y
mantener software
aplicativo.
Traducir los requerimientos del negocio en
especificaciones de diseño de alto nivel. AI2.1 - Diseño de Alto Nivel. 0%
Preparar diseño detallado y los requerimientos
técnicos del software aplicativo. AI2.2 - Diseño Detallado. 100%
Preparar diseño detallado y los requerimientos
técnicos del software aplicativo.
AI2.3 - Control y Posibilidad de Auditar las
Aplicaciones. 100%
Especificar los controles de aplicación dentro
del diseño.
AI2.4 - Seguridad y Disponibilidad de las
Aplicaciones. 100%
Personalizar e implementar la funcionalidad
automatizada adquirida.
AI2.5 - Configuración e Implantación de Software
Aplicativo Adquirido. 100%
AD
QU
IRIR
E IM
PL
EM
EN
TA
R
AI2 -Adquirir y
mantener software
aplicativo.
Personalizar e implementar la funcionalidad
automatizada adquirida.
AI2.6 - Actualizaciones Importantes en Sistemas
Existentes. 100%
Desarrollar las metodologías y procesos
formales para administrar el proceso de
desarrollo de la aplicación.
AI2.7 - Desarrollo de Software Aplicativo. 100%
Crear un plan de aseguramiento de la calidad
del software para el proyecto. AI2.8 - Aseguramiento de la Calidad del Software. 100%
Dar seguimiento y administrar los
requerimientos de la aplicación.
AI2.9 - Administración de los Requerimientos de
Aplicaciones. 100%
Desarrollar un plan para el mantenimiento de
aplicaciones de software.
AI2.10 - Mantenimiento de Software Aplicativo. 0%
AI3 - Adquirir y
mantener infraestructura
tecnológica.
Negociar la compra y adquirir la infraestructura
requerida con proveedores (aprobados).
AI3.1 - Plan de Adquisición de Infraestructura
Tecnológica. 85,71%
Definir el procedimiento/ proceso de
adquisición.
AI3.2 - Protección y Disponibilidad del Recurso de
Infraestructura. 100%
Definir estrategia y planear el mantenimiento de
infraestructura. AI3.3 - Mantenimiento de la Infraestructura. 100%
Configurar componentes de la infraestructura.
AI3.4 - Ambiente de Prueba de Factibilidad. 100%
58
AD
QU
IRIR
E IM
PL
EM
EN
TA
R
AI4 - Facilitar la
operación y el uso.
Desarrollar estrategias para que la solución sea
operativa. AI4.1 - Plan para Soluciones de Operación. 100%
Desarrollar metodología de transferencia de
conocimiento.
AI4.2 - Transferencia de Conocimiento a la Gerencia
del Negocio.
83,33%
Desarrollar manuales de procedimiento del
usuario final.
AI4.3 - Transferencia de Conocimiento a Usuarios
Finales. 100%
Desarrollar documentación de soporte técnica
para operaciones y personal de soporte.
AI4.4 - Transferencia de Conocimiento al Personal de
Operaciones y Soporte. 100%
AI5 - Adquirir recursos
de TI.
Desarrollar políticas y procedimientos de
adquisición de TI de acuerdo con las políticas
de adquisiciones a nivel corporativo.
AI5.1 - Control de Adquisición. 100%
Establecer/mantener una lista de proveedores
acreditados.
AI5.2 - Administración de Contratos con Proveedores. 100%
Evaluar y seleccionar proveedores a través de
un proceso de solicitud de propuesta (RFP). AI5.3 - Selección de Proveedores. 100%
Desarrollar contratos que protejan los intereses
de la organización. AI5.4 - Adquisición de Recursos de TI. 100%
AD
QU
IRIR
E
IMP
LE
ME
NT
AR
AI6 -Administrar
cambios.
Desarrollar e implementar un proceso para
registrar, evaluar y dar prioridad en forma
consistente a las solicitudes de cambio.
AI6.1 - Estándares y Procedimientos para Cambios. 75%
Evaluar impacto y dar prioridad a cambios en
base a las necesidades del negocio.
AI6.2 - Evaluación de Impacto, Priorización y
Autorización. 100%
Garantizar que cualquier cambio crítico y de
emergencia sigue el proceso aprobado. AI6.3 - Cambios de Emergencia. 100%
Autorizar cambios. AI6.4 - Seguimiento y Reporte del Estatus de Cambio. 0%
Administrar y diseminar la información
relevante referente a cambios.
AI6.5 - Cierre y Documentación del Cambio. 100%
59
AI7 -Instalar y acreditar
soluciones y cambios.
Construir y revisar planes de investigación. AI7.1 - Entrenamiento. 100%
Definir y revisar una estrategia de prueba
(criterio de entrada y salida) y la metodología
de plan de prueba operacional.
AI7.2 - Plan de Prueba. 100%
Construir y mantener un repositorio de
requerimientos de negocio y técnicos y casos de
prueba para sistemas acreditados.
AI7.3 - Plan de Implantación. 100%
AD
QU
IRIR
E IM
PL
EM
EN
TA
R
AI7 -Instalar y acreditar
soluciones y cambios.
Establecer ambiente de prueba y conducir
pruebas de aceptación finales. AI7.4 - Ambiente de Prueba. 100%
Ejecutar la conversación del sistema y las
pruebas de integración en ambiente AI7.5 - Conversión de Sistemas y Datos. 100%
Establecer un ambiente de prueba y conducir
pruebas de aceptación finales. AI7.6 - Pruebas de Cambios. 100%
Establecer ambiente de prueba y conducir
pruebas de aceptación finales. AI7.7 - Prueba de Aceptación Final. 100%
Recomendar la liberación a producción con
base en los criterios de acreditación convenidos. AI7.8 - Promoción a Producción. 100%
Establecer ambiente de prueba y conducir
pruebas de aceptación finales. AI7.9 - Revisión Posterior a la Implantación. 100%
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS1 – Definir y
administrar los niveles
de servicio
Crear un marco de trabajo para los servicios de
TI.
DS1.1 - Marco de Trabajo de la Administración de los
Niveles de Servicio. 100%
Construir un catálogo de servicios de TI. DS1.2 - Definición de Servicios. 100%
Definir los convenios de niveles de servicio
(SLAs) para los servicios críticos de TI. DS1.3 - Acuerdos de Niveles de Servicio. 100%
Definir los convenios de niveles de operación
(OLAs) para soportar las SLAs. DS1.4 - Acuerdos de Niveles de Operación. 100%
Monitorear y reportar el desempeño del servicio
de punta a punta.
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio. 100%
Revisar los SLAs y los contratos de apoyo. DS1.6 - Revisión de los Acuerdos de Niveles de
Servicio y de los Contratos. 100%
60
DS2 – Administrar los
servicios de terceros
Identificar y categorizar las relaciones de los
servicios de terceros.
DS2.1 - Identificación de Todas las Relaciones con
Proveedores. 100%
Definir y documentar los procesos de
administración del proveedor. DS2.2 - Gestión de Relaciones con Proveedores. 100%
Establecer políticas y procedimientos de
evaluación y suspensión de proveedores. DS2.3 - Administración de Riesgos del Proveedor. 43%
Identificar, valorar y mitigar los riesgos del
proveedor. DS2.4 - Monitoreo del Desempeño del Proveedor. 100%
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS3 – Administrar el
desempeño y la
capacidad
Establecer un proceso de Planeación para la
revisión del desempeño y la capacidad de los
recursos de TI.
DS3.1 - Planeación del Desempeño y la Capacidad. 63,33%
Revisar el desempeño y la capacidad actual de
los recursos de TI. DS3.2 - Capacidad y Desempeño Actual. 100%
Realizar pronósticos de desempeño y capacidad
de los recursos de TI. DS3.3 - Capacidad y Desempeño Futuros. 25%
Realizar un plan de contingencia respecto a una
falta potencial de disponibilidad de recursos de
TI.
DS3.4 - Disponibilidad de Recursos de TI. 50%
Monitorear y reportar continuamente la
disponibilidad, el desempeño y la capacidad de
los recursos de TI.
DS3.5 - Monitoreo y Reporte. 100%
DS4 – Garantizar la
continuidad del servicio
Desarrollar un marco de trabajo de continuidad
de TI. DS4.1 - Marco de Trabajo de Continuidad de TI. 0%
Desarrollar y mantener planes de continuidad
de TI. DS4.2 - Planes de Continuidad de TI. 0%
Realizar un análisis de impacto al negocio y
valoración de riesgo. DS4.3 - Recursos Críticos de TI. 0%
Identificar y categorizar los recursos de TI con
base a los objetivos de recuperación.
DS4.4 - Mantenimiento del Plan de Continuidad de
TI. 100%
Definir y ejecutar procedimientos de control de
cambios para asegurar que el plan de
continuidad sea vigente.
DS4.5 - Pruebas del Plan de Continuidad de TI. 0%
61
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS5 – Garantizar la
seguridad de los
sistemas
Definir, establecer y operar un proceso de
administración de identidad (cuentas). DS5.1 - Administración de la Seguridad de TI. 100%
Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 100%
Monitorear incidentes de seguridad, reales y
potenciales. DS5.3 - Administración de Identidad. 100%
Revisar y validar periódicamente los privilegios
y derechos de acceso de los usuarios. DS5.4 - Administración de Cuentas del Usuario. 100%
Realizar evaluaciones de vulnerabilidad de
manera regular. DS5.5 - Seguridad de la Red. 100%
Revisar y validar periódicamente los privilegios
y derechos de acceso de los usuarios. DS5.6- Intercambio de Datos Sensitivos. 0%
DS6 – Identificar y
asignar costos
Mapear la infraestructura con los servicios
brindados/procesos de negocio soportados. DS6.1 - Definición de Servicios. 100%
Identificar todos los costos de TI (personas,
tecnología, etc) y mapearlos a los servicios de
TI con bases en costos unitarios.
DS6.2 - Contabilización de TI. 100%
Establecer y mantener un proceso de control de
contabilización de TI y de costos DS6.3 - Modelación de Costos y Cargos. 100%
Establecer y mantener procedimientos y
políticas de facturación DS6.4 - Mantenimiento del Modelo de Costos. 100%
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS7 – Educar y entrenar
a usuarios
Identificar y categorizar las necesidades de
capacitación de los usuarios.
DS7.1 - Identificación de Necesidades de
Entrenamiento y Educación. 100%
Construir un programa de capacitación. DS7.2 - Impartición de Entrenamiento y Educación. 100%
Realizar actividades de capacitación, intrusión y
concienciación. DS7.3 Evaluación del Entrenamiento Recibido. 100%
DS8 - Administrar la
mesa de servicio y los
incidentes
Crear procedimientos de clasificación
(severidad e impacto) y de escalamiento
(funcional y jerárquicos).
DS8.1 - Mesa de Servicios. 100%
Detectar y registrar incidentes/solicitudes de
servicio/solicitudes de información. DS8.2 - Registro de Consultas de Clientes 75%
Resolver, recuperar y cerrar incidentes. DS8.4 - Cierre de Incidentes. 100%
62
DS9 –Administrar la
configuración
Desarrollar procedimientos de planeación de
administración de la configuración DS9.1 - Repositorio y Línea Base de Configuración. 75%
Recopilar información sobre la configuración
inicial y establecer líneas base.
DS9.2 - Identificación y Mantenimiento de Elementos
de Configuración. 100%
Verificar y auditar la información de la
configuración (incluye la detección del software
no autorizado).
DS9.3 - Revisión de Integridad de la Configuración. 0%
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS10 – Administrar los
problemas
Identificar y clasificar problemas. DS10.1 - Identificación y Clasificación de Problemas. 100%
Realizar análisis de causa raíz. DS10.2 - Rastreo y Resolución de Problemas. 0%
Resolver problemas. DS10.3 - Cierre de Problemas. 0%
Emitir recomendaciones para mejorar y crear
una solicitud de cambio relacionada.
DS10.4 - Integración de las Administraciones de
Cambios, Configuración y Problemas. 50%
DS11 – Administrar los
datos
Traducir los requerimientos de almacenamiento
y conservación a procedimientos.
DS11.1 - Requerimientos del Negocio para
Administración de Datos. 100%
Definir, mantener e implementar
procedimientos para administrar librerías de
medios.
DS11.2 - Acuerdos de Almacenamiento y
Conservación. 100%
Respaldar los datos de acuerdo al esquema. DS11.3 - Eliminación. 100%
DS12 – Administrar el
ambiente físico
Definir el nivel requerido de protección física. DS12.1 - Selección y Diseño del Centro de Datos. 100%
Implementar medidas de ambiente físico. DS12.2 - Acceso Físico. 100%
Definir e implementar procesos para
mantenimiento y autorización de acceso físico. DS12.5 - Administración de Instalaciones Físicas. 100%
EN
TR
EG
AR
Y D
AR
SO
PO
RT
E
DS13 – Administrar las
operaciones
Crear/modificar procedimientos de operación
(incluyendo manuales, planes de cambios,
procedimientos de escalamiento, etc).
DS13.1 - Procedimientos e Instrucciones de
Operación. 100%
Programación de cargas de trabajo y de
programas en lote. DS13.2 - Programación de Tareas. 100%
Monitorear la infraestructura y procesar y
resolver problemas. DS13.3 - Monitoreo de la Infraestructura de TI. 50%
Aplicar cambios o arreglos al programa de
infraestructura. DS13.5 - Mantenimiento Preventivo del Hardware. 33%
63
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME1 - Monitorear y
Evaluar el Desempeño
de TI.
Establecer el enfoque de monitoreo. ME1.1 - Enfoque del Monitoreo. 50%
Identificar y recolectar objetivos medibles que
apoyen a los objetivos el negocio.
ME1.2 - Definición y Recolección de Datos de
Monitoreo. 40%
Crear cuadro de mandos. ME1.3 - Método de Monitoreo. 0%
Evaluar el desempeño ME1.4 - Evaluación del Desempeño. 0%
Reportar el desempeño. ME1.5 - Reportes al Consejo Directivo y a Ejecutivos. 100%
Identificar y monitorear las medidas de mejora
del desempeño. ME1.6 - Acciones Correctivas. 100%
ME2 Monitorear y
Evaluar el Control
Interno
Monitorear y controlar las actividades de
control interno de TI
ME2.1 - Monitorización del Marco de Trabajo de
Control Interno. 100%
Crear cuadro de mandos. ME2.2 - Revisiones de Auditoría. 100%
Monitorear el proceso para identificar y evaluar
las excepciones de control. ME2.3 - Excepciones de Control. 0%
MO
NIT
OR
EA
R Y
EV
AL
UA
R
Monitorear el proceso de auto evaluación. ME2.4 - Control de Auto Evaluación. 0%
Monitorear el proceso para identificar y evaluar
y remediar las excepciones de control. ME2.5 - Asegura- miento del Control Interno. 0%
Monitorear el proceso para obtener
aseguramiento sobre los controles operados por
terceros.
ME2.6 - Control Interno para Terceros. 0%
Reportar a los interesados clave. ME2.7 - Acciones Correctivas. 100%
ME3 Garantizar el
Cumplimiento
Regulatorio
Evaluar cumplimiento de actividades de TI con
políticas, estándares y procedimientos de TI.
ME3.1 - Optimizar la Respuesta a Requerimientos
Externos. 100%
Crear cuadro de mandos. ME3.2 - Evaluación del Cumplimiento con
Requerimientos Externos. 100%
Brindar retro alimentación para alinear las
políticas, estándares y procedimientos de TI con
los requerimientos de cumplimiento.
ME3.3 - Aseguramiento Positivo del Cumplimiento. 100%
Integrar los reportes de TI sobre los
requerimientos regulatorios con similares
provenientes de otras funciones del negocio.
ME3.4 - Reportes Integrados. 100%
64
MO
NIT
OR
EA
R Y
EV
AL
UA
R
ME
4 P
roporcio
nar G
obiern
o d
e TI
Establecer visibilidad y facilitación del consejo
y de los ejecutivos hacia las actividades de TI.
ME4.1 - Establecimiento de un Marco de Gobierno de
TI. 0%
Revisar, avalar, alinear y comunicar el
desempeño de TI ME4.2 - Alineamiento Estratégico. 83,33%
Crear cuadro mandos. ME4.3 - Entrega de Valor 100%
Resolver los hallazgos de las evaluaciones
independientes y garantizar la implantación por
parte de la gerencia de las recomendaciones
acordadas.
ME4.4 - Administración de Recursos. 100%
Generar un reporte de gobierno de TI. ME4.5 - Administración de Riesgos. 33,33%
Revisar, avalar, alinear y comunicar el
desempeño de TI, la estrategia de TI, el manejo
de recursos y riesgos de TI con respecto a la
estrategia empresarial.
ME4.6 - Medición del Desempeño. 50%
Generar un reporte de gobierno de TI. ME4.7 - Aseguramiento Independiente. 100%
65
3.2.1 Evaluación del cumplimiento general
Representa el porcentaje total de cumplimiento e incumplimiento de los dominios de
COBIT 4.1 dentro de Importadora Alvarado, para poder determinar el nivel en el que se
encuentra el mismo. De acuerdo al valor estandarizado para la evaluación general de
COBIT, dominios, procesos y objetivos de control, el porcentaje válido para determinar
el cumplimiento es >= 60%, y el porcentaje <=60% determina el no cumplimiento. En
la tabla 19 y la figura 24 se detallan los valores que se han obtenido una vez aplicado el
instrumento de evaluación.
Tabla 19. Evaluación del cumplimiento a nivel general
EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL
PROMEDIO CUMPLIMIENTO 73%
PROMEDIO NO CUMPLIMIENTO 27%
Figura 24 Evaluación del cumplimiento del departamento de sistemas a nivel general
Fuente: Encuesta COBIT
Análisis
De acuerdo a los datos obtenidos, se evidencia que el departamento de sistemas de
Importadora Alvarado presenta un porcentaje de cumplimiento de 73% considerándose
como un nivel aceptable, con relación al modelo de madurez COBIT se lo ubica en el
nivel 3 (definido).
PROMEDIO CUMPLIMIENTO
PROMEDIO NO CUMPLIMIENTO
73%
27%
PROMEDIO CUMPLIMIENTO PROMEDIO NO CUMPLIMIENTO
66
Los procesos no cumplidos se relacionan con un 27%, es decir que se requiere poner
mayor énfasis en el entrenamiento del personal de TI, en los procesos de mejora
continua, dar mejor respuesta a los riesgos, establecer un método adecuado de
monitoreo, cerrar los problemas de manera definitiva, entre otros, que permita reducir al
máximo las brechas existentes con lo establecido por COBIT.
3.2.2 Resultado de la evaluación por dominio
Con la aplicación del instrumento de evaluación al departamento de sistemas de
Importadora Alvarado se puede determinar el nivel de cumplimiento de cada uno de los
dominios, los resultados son los que se pueden visualizar en la tabla 20 y la figura 25.
Tabla 20. Evaluación por dominio
EVALUACIÓN POR DOMINIO
DOMINIO NÚMERO PORCENTAJE
PLANEAR 10 62%
ADQUIRIR E IMPLEMENTAR 7 93%
ENTREGAR Y DAR SOPORTE 13 74%
MONITOREAR Y EVALUAR 4 59%
Figura 25 Evaluación por dominio
Fuente: Encuesta COBIT
0% 20% 40% 60% 80% 100%
PLANEAR
ADQUIRIR E IMPLEMENTAR
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
62%
93%
74%
59%
67
Análisis
De acuerdo a los resultados que se han obtenido de la aplicación del instrumento se
verifica un menor cumplimiento en el dominio de Monitoreo y Evaluar, con un
porcentaje de 59%, con lo cual se verifica que el departamento de sistemas no cumple
totalmente con el monitoreo y evaluación del desempeño de Ti, el control interno, el
cumplimiento regulatorio.
4.2.3 Resultado final de la evaluación por proceso
Para la evaluación final de los procesos de cada dominio se toma en consideración los
resultados que se presentan en el Anexo 1, lo cual se representa en la figura 26.
4.2.3.1 Procesos del dominio planear y organizar
Figura 26 Procesos del dominio Planear y Organizar
PO1 - Definir un Plan Estratégico de TI
PO2 - Definir la Arquitectura de la Información
PO3 - Determinar la Dirección Tecnológica
PO4 - Definir los Procesos, Organización y Relacionesde TI
PO5 - Administrar la Inversión en TI
PO6 - Comunicar las Aspiraciones y la Dirección de laGerencia
PO7 - Administrar Recursos Humanos de TI
PO8 - Administrar la Calidad
PO9 - Evaluar y Administrar los Riesgos de TI
PO10 - Administrar Proyectos
97%
80%
70%
79%
65%
100%
40%
0%
0%
94%
68
ANÁLISIS
En relación a los resultados obtenidos, a continuación se detalla los procesos que
presentaron menor cumplimiento del dominio planear y organizar.
Administrar Recursos Humanos de TI, con un 40% se evidencia que el
departamento de Sistema de Importadora Alvarado presenta un nivel no
aceptable en cuanto a la administración del recurso humano, lo que impide una
buena gestión y control de los sistemas informáticos.
Administrar la Calidad, con un 0% implica que el departamento de sistemas de
Importadora Alvarado no efectúa constantemente controles y revisiones internas
y externas de la ejecución y desempeño de los estándares establecidos.
Evaluar y Administrar los Riesgos de TI, con un 0% se establece que no se
evaluada de manera adecuada los riesgos y vulnerabilidades informáticas, lo
cual dificulta el alcance de las metas de la empresa.
4.2.3.2 Resultados del dominio adquirir e implementar
Los resultados obtenidos de la evaluación del dominio Adquirir e implementar son los
que se representan en la figura 27.
69
Figura 27 Resultados del dominio Adquirir e Implementar
ANÁLISIS
De acuerdo a los resultados se puede deducir que el dominio Adquirir e Implementar
presenta un gran nivel de cumplimiento por parte de Importadora Alvarado, lo cual
representa una gran ventaja para planear las liberaciones de nuevos procesos en el
departamento de sistemas, con la identificación y aplicación oportuna de soluciones
automatizadas.
4.2.3.3 Resultados del dominio entregar y dar soporte
El nivel de cumplimiento de los procesos del dominio Entregar y dar soporte son los
que se presentan en la figura 28:
AI1 - Identificar soluciones automatizadas
AI2 - Adquirir y mantener software aplicativo
AI3 - Adquirir y mantener infraestructuratecnológica
AI4 - Facilitar la operación y el uso
AI5 - Adquirir recursos de TI
AI6 - Administrar cambios
AI7 - Instalar y acreditar soluciones y cambios
94%
88%
96%
94%
100%
83%
100%
70
Figura 28 Resultados del dominio Entregar y dar Soporte
ANÁLISIS
Administrar el desempeño y la capacidad, con 50% se evidencia que el
departamento muestra poco interés en establecer y fomentar nuevas medidas de
acción para maximizar el rendimiento de los recursos que se han implementado
con la finalidad de alcanzar el desempeño que espera la empresa.
Garantizar la continuidad del servicio, con 17% como resultado se evidencia
que el departamento de sistemas no planifica acciones para garantizar la
recuperación de los procesos en caso de que existan fallas, es decir no tiene
previsto un plan de contingencia acorde a los requerimientos del lugar que le
permita mantener el servicio disponible en el menor lapso de tiempo.
DS1 - Definir y administrar los niveles de servicio
DS2 - Administrar los servicios de terceros
DS3 - Administrar el desempeño y la capacidad
DS4 - Garantizar la continuidad del servicio
DS5 - Garantizar la seguridad de los sistemas
DS6 - Identificar y asignar costos
DS7 - Educar y entrenar a los usuarios
DS8 - Administrar la mesa de servicio y los
incidentes
DS9 - Administrar la configuración
DS10 - Administrar los problemas
DS11 - Administrar los datos
DS12 - Administrar el ambiente físico
DS13 - Administrar las operaciones
87%
67%
50%
17%
73%
100%
100%
91%
64%
40%
100%
100%
70%
71
Administrar los problemas, con 40% se determina que el departamento de
sistemas no realiza una investigación detallada de las causas que generan
alteraciones en los servicios de TI, y por tal motivo no administra de manera
oportuna las posibles soluciones para evitar que se vuelvan a presentar.
4.2.3.4 Resultados de dominio monitorear y evaluar
La evaluación de los procesos del dominio Monitorear y evaluar son los que se
presentan en la figura 29:
Figura 29 Resultados de dominio monitorear y evaluar
ANÁLISIS
Monitorear y evaluar el desempeño, con 50% se evidencia que el
departamento no tiene una efectiva administración del desempeño de TI, debido
a que no se han establecido indicadores de desempeño relevantes que les
permitan tomar medidas cuando se presentan desviaciones.
Monitorear y evaluar el control interno, con 56% se deduce que el
departamento no ha establecido un programa adecuado de control interno para
TI, factores que no le proporcionan seguridad respecto a las operaciones y el
cumplimiento de las leyes y regulaciones que se deben aplicar.
ME1 - Monitorear y Evaluar el Desempeño
de TI
ME2 - Monitorear y Evaluar el Control
Interno
ME3 - Garantizar el Cumplimiento
Regulatorio
ME4 - Proporcionar Gobierno de TI
50%
56%
100%
66,66%
72
4.2.4 Resultado final de la evaluación por objetivos de control
Para el diagnóstico de los objetivos de control en el departamento de sistemas de
Importadora Alvarado se toma en consideración la evaluación de los mismos cuyo valor
es menor a 60%.
4.2.4.1 Dominio planear y organizar
Este demonio consiste en identificar la forma en que las TI pueden contribuir de manera
efectiva al logro de los objetivos del negocio. Los resultados de la evaluación del dominio se
presentan a continuación.
a) Proceso PO1. Definir un plan estratégico de TI
A continuación se detallan el porcentaje de cumplimiento de los objetivos de control
que comprende el proceso definir un plan estratégico de TI. Los resultados son los que
se pueden visualizar en la figura 30.
Figura 30 Objetivo de control del proceso PO1.Definir un plan estratégico de TI
ANÁLISIS
De acuerdo a la evaluación de los objetivos de control del proceso definir un plan
estratégico de TI se puede observar que todos se encuentran en un promedio aceptable
de cumplimiento dentro de lo establecido por COBIT, lo que representa un gran
ventaja institucional.
PO1.1 - Administración del Valor de TI
PO1.2 - Alineación de TI con el Negocio.
PO1.3 - Evaluación del Desempeño y la
Capacidad Actual.
PO1.4 - Plan Estratégico de TI.
PO1.5 - Planes Tácticos de TI
PO1.6 - Administración del Portafolio de TI.
100%
66,66%
100%
100%
100%
100%
73
b) Procesos P02. Definir la arquitectura de la información
Los resultados de los objetivos de control del proceso son los que se muestran en la
figura 31.
Figura 31. Resultados Procesos P02. Definir la Arquitectura de la Información
ANÁLISIS
De acuerdo a los resultados que se evidencian en la figura se considera que el objetivo
de control diccionario de datos empresariales y reglas de sintaxis de datos presenta un
nulo nivel de cumplimiento; con el 0% se determina que el departamento de sistema de
Importadora Alvarado debe facilitar herramientas que contengan reglas de sintaxis de
los datos de la organización que permitan la comprensión de las interfaces para los
usuarios.
c) Proceso PO3. Determinar la dirección tecnológica
A continuación se detallan los resultados obtenidos de los objetivos estratégicos del
procesos determinar la dirección tecnológica, lo cuales son los que se visualizan en la
figura 32.
PO2.1 - Modelo de Arquitectura deInformación Empresaria
PO2.2 -Diccionario de Datos Empresarial yReglas de Sintáxis de Datos.
PO2.3 - Esquema de Clasificación de Datos.
PO2.4 - Administración de Integridad.
100%
0,00%
100%
100%
74
Figura 32. Objetivos de control proceso PO3. Determinar la dirección tecnológica.
ANÁLISIS
De acuerdo a lo que se puede apreciar en la figura se evidencia que el objetivo de
control monitoreo de tendencias y regulaciones futuras tiene un nivel nulo de
cumplimiento, pues con el 0% se establece que la empresa no actualiza de forma regular
la arquitectura de sistemas, los planes de adquisición, estándares, ni estrategias para
tener respuestas oportunas a los cambios en el ambiente competitivo.
d) Proceso PO4. Definir los procesos, organizar y relaciones de ti
En la figura 33 se presentan los resultados de los objetivos estratégicos del proceso
PO4.
Figura 33. Objetivos de control del proceso PO4. Definir los procesos, organizar y relaciones de TI
PO3.1 - Planeación de la Dirección
Tecnológica.
PO3.2 - Monitoreo de Tendencias y
Regulaciones Futuras.
PO3.3- Estándares Tecnológicos
100%
0,00%
100%
PO4.1 - Estructura Organizacional
PO4.2 - Establecimiento de Roles y
Responsabilidades.
PO4.3 - Responsabilidad sobre el Riesgo, la
Seguridad y el Cumplimiento
PO4.4 - Supervisión.
PO4.5 - Segregación de Funciones
PO4.6 - Personal Clave de TI.
67%
100%
50%
100%
50%
100%
75
ANÁLISIS
A continuación se detalla los objetivos de control que tienen bajo nivel de
cumplimiento:
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento, con 50% se
evidencia que no se lleva un control de los riesgos de TI que generan pérdidas de
la información, lo que dificulta la consecución de los objetivo del negocio.
Segregación de funciones, con 50% de cumplimiento se evidencia que no se
realizan controles efectivos dentro del departamento, motivo por el cual existen
casos en los que una misma persona tenga acceso a más responsabilidades de las
que debería tener dentro del sistema, lo que representa un riesgo para la
Importadora.
e) Proceso PO5. Administrar la inversión de TI
Los resultados obtenido de los objetivos de control del proceso Administrar la Inversión
de TI se detallan en la figura 34:
Figura 34. Objetivos estratégicos del proceso PO5. Administrar la inversión de TI
ANÁLISIS
De acuerdo al análisis de los objetivos del proceso administrar la inversión TI, los que
presentan menor nivel de cumplimiento son los siguientes:
PO5.1 - Marco de Trabajo para la
Administración Financiera
PO5.2 Prioridades dentro del Presupuesto de
TI.
PO5.3 - Proceso Presupuestal
PO5.4 - Administración de Costos de TI.
PO5.5 - Administración de Beneficios
100%
33,33%
100%
71,42%
0%
76
Prioridades dentro del presupuesto de TI, con 33,33% se evidencia que el
departamento de sistemas de Importadora Alvarado no cuenta con un proceso
oportuno para la toma de decisiones, dando mayor relevancia a la asignación de
recursos de TI para realizar proyectos de operaciones.
Administración de beneficios, con 0% se puede determinar que Importadora
Alvarado no ha establecido ningún proceso de monitoreo que facilite el uso
efectivo de recursos de TI.
f) Proceso PO6. Comunicar las aspiraciones y la dirección de la gerencia
En la figura 35 se detallan los resultados de los objetivos del control que abarca el
proceso PO6.
Figura 35. Objetivos de control del proceso PO6. Comunicar las aspiraciones y la dirección de la
gerencia
ANÁLISIS
La evaluación de los objetivos de control que conforman el proceso Comunicar las
aspiraciones y la dirección de la gerencia muestra que todos presentan un adecuado
nivel de cumplimiento.
PO6.1 - Ambiente de Políticas y de
Control.
PO6.2 - Administración de Políticas para
TI.
PO6.3 - Implantación de Políticas de TI
PO6.4 - Comunicación de los Objetivos y
la Dirección de TI
100%
100,00%
100%
100,00%
77
g) Proceso PO7. Administrar recursos humanos de TI
De la información recolectada acerca de proceso Administrar recursos humanos, en la
figura 36 se puede visualizar los resultados de los objetivos de control:
Figura 36. Objetivos de control del proceso PO7. Administrar recursos humanos de TI
ANÁLISIS
De acuerdo al análisis de los objetivos de control del proceso administrar recursos
humanos de TI, los que presentan menor nivel de cumplimiento son los siguientes:
Competencias del personal, con 33,33% se evidencia que no se verifica de
manera periódica que el personal tenga la habilidad para el cumplimiento de sus
actividades, es decir no se ha definido los requerimientos esenciales de
habilidades para TI.
Entrenamiento del personal de TI, con 0% se determina que el departamento
de recursos humanos de Importadora Alvarado no realiza la orientación
necesaria al momento de la contratación del personal, es decir no se mide de
forma adecuada las aptitudes, conocimientos, responsabilidades de cada uno de
ellos.
Procedimientos de investigación del personal, con el 0% se deduce que no se
incluye verificaciones de antecedentes durante el proceso de reclutamiento de
TI.
PO7.1 - Reclutamiento y Retención del
Personal
PO7.2 - Competencias del Personal.
PO7.3 - Entrenamiento del Personal de TI.
PO7.4 - Procedimientos de Investigación del
Personal.
PO7.5- Evaluación del Desempeño del
Empleado
PO7.6- Cambios y Terminación de Trabajo.
100%
33,33%
0,00%
0,00%
0,00%
100%
78
Evaluación del desempeño del empleado, con el 0% se evidencia que el
departamento de TI no realiza evaluaciones del desempeño laboral de manera
periódica para comprobar el cumplimiento de metas personales,
organizacionales y responsabilidades del puesto.
h) Proceso P08. Administrar la calidad
En la figura 37 se muestra el resultado de la evaluación de los objetivos de control del
proceso Administrar Calidad
Figura 37. Objetivos de control del proceso PO8. Administrar la calidad
ANÁLISIS
De acuerdo al análisis de los objetivos de control del proceso administrar la calidad se
puede evidenciar que ninguno se cumple, lo que representa que el departamento de
sistemas debe elaborar y mantener un sistema de administración de calidad, incluyendo
procesos y estándares probados para una mejora continua.
i) Proceso PO9. Evaluar y administrar los riesgos de TI
En la figura 38 se visualiza el resultado de la evaluación de los objetivos de control del
proceso PO9
PO8.1 - Sistema de Administración de
Calidad
PO8.2 - Enfoque en el Cliente de TI.
PO8.3 - Mejora Continua.
PO8.4 - Medición, Monitoreo y Revisión
de la Calidad.
0,00%
0,00%
0,00%
0,00%
79
Figura 38. Objetivos de control del proceso PO9. Evaluar y administrar los riesgos de TI
ANÁLISIS
El análisis de los objetivos de control del proceso evaluar y administrar los riesgos de TI
muestra que ninguno de ellos se cumple debido a que tiene 0%, lo cual determina que el
departamento de sistemas no ha creado un marco de trabajo de administración de
riesgos, es decir no se ha establecido estrategias de mitigación de riesgos que puedan
ocasionar un impacto potencial sobre las metas de la organización.
j) Proceso PO10. Administrar proyectos
La evaluación de los objetivos de control del proceso de Administrar Proyectos son los
que se detallan en la figura 39.
PO9.1 - Marco de Trabajo de
Administración de Riesgos.
PO9.2 - Identificación de Eventos
PO9.3 - Evaluación de Riesgos de TI
PO9.4 - Respuesta a los Riesgos
PO9.5 - Mantenimiento y Monitoreo de
un Plan de Acción de Riesgos.
0,00%
0,00%
0,00%
0,00%
0,00%
80
Figura 39. Objetivos de control del proceso PO10. Administrar proyectos
ANÁLISIS
La evaluación de los objetivos de control del proceso administrar proyectos evidencian
que el departamento de TI lo cumple cabalmente, es decir que se ha establecido un
marco de trabajo de administración de programas y proyectos para garantizar la
adecuada asignación de prioridades y coordinación de proyectos.
4.2.4.2 Dominio Adquirir e Implementar
Este dominio consiste en la identificar soluciones, desarrollo o adquisición, cambio o
mantenimiento de los sistemas que existen. Los resultados que se obtuvieron de la
evaluación de este demonio son los que se presentan a continuación.
a) Proceso AI1. Identificar Soluciones Automatizadas
En relación a los datos recopilados de la evaluación de los objetivos de control del
proceso Identificar Soluciones Automatizadas, lo resultados se visualizan en la figura
40.
PO10.1 -Marco de Trabajo para la
Administración de Programas.
PO10.2 - Compromiso de los Interesados.
PO10.3 - Inicio de las Fases del Proyecto.
PO10.4 - Recursos del Proyecto.
PO10.5 - Cierre del Proyecto
100%
100%
100%
100%
66,66%
81
Figura 40. Objetivos de control del proceso AI1. Identificar soluciones automatizadas
ANÁLISIS
El análisis de los objetivos de control del proceso identificar soluciones automatizadas
muestran que el departamento de sistemas lo aplica de manera adecuada, debido a que
todos se encuentran dentro del nivel aceptable, es decir realiza una adecuada revisión de
la factibilidad tecnológica, análisis de riesgos, el análisis costo-beneficio para poder
tomar una decisión final de desarrollar o comprar.
b) Proceso AI2. Adquirir y mantener software aplicativo
Una vez que se ha evaluado los objetivos de control que conforman el proceso Adquirir
y mantener software aplicativo, se obtuvieron los resultados que se muestran en la
figura 41.
AI1.1 - Definición y Mantenimiento de los
Requerimientos Técnicos y Funcionales del
Negocio.
AI1.2 - Reporte de Análisis de Riesgos.
AI1.3 - Estudio de Factibilidad y
Formulación de Cursos de Acción
Alternativos
AI1.4 - Requerimientos, Decisión de
Factibilidad y Aprobación.
100%
75%
100%
80%
82
Figura 41. Objetivos de control del proceso AI2. Adquirir y mantener software aplicativo
ANÁLISIS
De acuerdo al análisis de los objetivos de control del proceso adquirir y mantener
software aplicativo se puede observar que los que presenten menor nivel de
cumplimiento son los siguientes:
Diseño de Alto nivel, con el 0% se evidencia que para adquirir un software
aplicativo no se considera las directivas tecnológicas ni la arquitectura de
información de la organización, motivo por el cual no se garantiza que el diseño
responda a los requerimientos organizacionales.
Mantenimiento de software aplicativo, con el 0% se determina que el
departamento de sistemas de Importadora Alvarado no desarrolla estrategias ni
planes de mantenimiento de aplicaciones de software.
AI2.1 - Diseño de Alto Nivel.
AI2.2 - Diseño Detallado.
AI2.3 - Control y Posibilidad de Auditar las
Aplicaciones.
AI2.4 - Seguridad y Disponibilidad de las
Aplicaciones.
AI2.5 - Configuración e Implantación de Software
Aplicativo Adquirido.
AI2.6 - Actualizaciones Importantes en Sistemas
Existentes.
AI2.7 - Desarrollo de Software Aplicativo.
AI2.8 - Aseguramiento de la Calidad del Software.
AI2.9 - Administración de los Requerimientos de
Aplicaciones.
AI2.10 - Mantenimiento de Software Aplicativo.
0%
100%
100%
100%
100%
100%
100%
100%
100%
0%
83
c) Proceso AI3. Adquirir y mantener infraestructura tecnológica
El resultado de la evaluación de los objetivos de control del proceso adquirir y mantener
infraestructura tecnológica se puede observar en la figura 42.
Figura 42. Objetivos de control del proceso AI3. Adquirir y mantener infraestructura tecnológica
ANÁLISIS
Una vez realizada la evaluación de los objetivos de control del proceso adquirir y
mantener infraestructura tecnológica se determina que todos tienen un adecuado nivel
de cumplimiento debido a que el enfoque planeado para la adquisición, mantenimiento
y protección de infraestructura se encuentra acorde a las estrategias tecnológicas.
d) Proceso AI4. Facilitar la operación y el uso
Los resultados de cumplimiento del proceso Facilitar la operación y el uso se detallan
en la figura 43.
AI3.1 - Plan de Adquisición de Infraestructura
Tecnológica
AI3.2 - Protección y Disponibilidad del Recurso
de Infraestructura.
AI3.3 - Mantenimiento de la Infraestructura
AI3.4 - Ambiente de Prueba de Factibilidad.
85,71%
100%
100%
100%
84
Figura 43. Objetivos de control del proceso AI4. Facilitar la operación y el uso
ANÁLISIS
El análisis de los objetivos de control del proceso facilitar la operación y el uso
determina que todos se encuentran en un adecuado nivel de cumplimiento, es decir que
se genera la documentación y los manuales para usuarios y para TI y proporciona
asesoría para garantizar el uso adecuado de las aplicaciones y la infraestructura.
e) Proceso AI5. Adquirir recursos de TI
En la figura 44 se detalla la evaluación de los objetivos de control del proceso Adquirir
recursos de TI
Figura 44. Objetivo de control del proceso AI5. Adquirir recursos de TI
0% 20% 40% 60% 80% 100%
AI4.1 - Plan para Soluciones de Operación.
AI4.2 - Transferencia de Conocimiento a la
Gerencia del Negocio
AI4.3 - Transferencia de Conocimiento a
Usuarios Finales.
AI4.4 - Transferencia de Conocimiento al
Personal de Operaciones y Soporte.
100%
83,33%
100%
100%
0% 20% 40% 60% 80% 100%
AI5.1 - Control de Adquisición
AI5.2 - Administración de Contratos con
Proveedores.
AI5.3 - Selección de Proveedores
AI5.4 - Adquisición de Recursos de TI
100%
100,00%
100%
100%
85
ANÁLISIS
El resultado del análisis de los objetivos de control del proceso adquirir recursos de TI
muestra que todos se cumplen totalmente, es decir que el departamento de sistemas
define y ejecuta procedimientos de adquisición, selección de proveedores y
adquisiciones en sí, garantizando que la organización disponga de todos los recursos de
TI.
f) Proceso AI6. Administrar cambios
En la figura 45 se detalla los resultados de la evaluación de los objetivos de control del
proceso Administrar cambios.
Figura 45. Objetivos de control del proceso AI6. Administrar cambios
ANÁLISIS
De la totalidad de los objetivos de control que conforman el proceso administrar
cambios, el que presenta menor cumplimiento es el que corresponde al seguimiento y
reporte del estatus de cambio que obtuvo el 0% de cumplimiento lo que implica que no
existe un sistema que administre los cambios y actualice su estatus.
AI6.1 - Estándares y Procedimientos para
Cambios.
AI6.2 - Evaluación de Impacto, Priorización y
Autorización.
AI6.3 - Cambios de Emergencia
AI6.4 - Seguimiento y Reporte del Estatus de
Cambio.
AI6.5 - Cierre y Documentación del Cambio
75%
100%
100%
0%
100%
86
g) Proceso AI7. Instalar y acreditar soluciones y cambios
Los resultados de la evaluación de los objetivos de control del proceso Instalar y
acreditar soluciones y cambios son los que se pueden visualizar en la figura 46.
Figura 46. Objetivos de control del proceso AI7. Instalar y acreditar soluciones y cambios
ANÁLISIS
El análisis de los objetivos de control del proceso instalar y acreditar soluciones y
cambios muestran que la totalidad de estos son cumplidos por el departamento de
sistemas, es decir que se realizan las pruebas requeridas que garanticen que los sistemas
operativos estén alineados con las expectativas acordadas y con los resultados.
4.2.4.3 Dominio entregar y dar soporte
Este dominio se encarga de cubrir la entrega de los servicios requeridos, incluyendo la
prestación del servicio, la administración de la seguridad y de la continuidad, la
0% 20% 40% 60% 80% 100%
AI7.1 - Entrenamiento
AI7.2 - Plan de Prueba.
AI7.3 - Plan de Implantación.
AI7.4 - Ambiente de Prueba.
AI7.5 - Conversión de Sistemas y Datos.
AI7.6 - Pruebas de Cambios.
AI7.7 - Prueba de Aceptación Final.
AI7.8 - Promoción a Producción.
AI7.9 - Revisión Posterior a la
Implantación.
100%
100%
100%
100%
100%
100%
100%
100%
100%
87
administración de los datos y de las instalaciones operacionales. Los resultados
obtenidos de la evaluación de este dominio son los que se presentan a continuación:
a) Proceso DS1. Definir y administrar los niveles de servicio
La evaluación de los objetivos de control del proceso Definir los niveles de servicio
muestran los resultados que se observan en la figura 47.
Figura 47. Objetivos de control del proceso DS1. Definir y administrar los niveles de servicio
ANÁLISIS
En relación a los objetivos de control del proceso definir y administrar los niveles de
servicio se determina que todos están dentro del nivel de cumplimiento debido a que el
departamento de sistemas cuenta con una definición documentado de los servicios de
TI, haciendo posible una comunicación efectiva entre la gerencia de TI y los clientes del
negocio.
0% 50% 100%
DS1.1 - Marco de Trabajo de la
Administración de los Niveles de Servicio.
DS1.2 - Definición de Servicios.
DS1.3 - Acuerdos de Niveles de Servicio.
DS1.4 - Acuerdos de Niveles de
Operación.
DS1.5 - Monitoreo y Reporte del
Cumplimento de los Niveles de Servicio.
DS1.6 - Revisión de los Acuerdos de
Niveles de Servicio y de los Contratos
100%
100%
100%
100%
100%
100%
88
b) Proceso DS2. Administrar los servicios de terceros
Los resultados de la evaluación de los objetivos de control del proceso Administrar los
servicios de terceros se presentan en la figura 48.
Figura 48. Objetivos de control del proceso DS2. Administrar los servicios de terceros
ANÁLISIS
En el análisis de los objetivos de control del proceso administrar los servicios de
terceros se observa que la administración de riesgos del proveedor posee menor nivel
de cumplimiento, pues con 42,85% se evidencia que no se tiene una definición clara de
roles, responsabilidades y expectativas en los acuerdos con terceros.
c) Proceso DS3. Administrar el desempeño y la capacidad
En la figura 49 se muestra la evaluación de los objetivos de control del proceso
Administrar el desempeño y la capacidad.
0% 20% 40% 60% 80% 100%
DS2.1 - Identificación de Todas las
Relaciones con Proveedores
DS2.2 - Gestión de Relaciones con
Proveedores.
DS2.3 - Administración de Riesgos del
Proveedor.
DS2.4 - Monitoreo del Desempeño del
Proveedor.
100%
100%
42,85%
100%
89
Figura 49. Objetivos de control de proceso DS3. Administrar el desempeño y la capacidad
ANÁLISIS
En el resultado de la evaluación de los objetivos de control del proceso administrar el
desempeño y la capacidad se verifica que dos de ellos poseen un menor cumplimiento y
estos son:
Capacidad y desempeño futuros, con un 25% refleja que no se realiza una
adecuada proyección de la capacidad y desempeño de los recursos de TI y
tampoco se examinan los excesos de capacidad que optimicen su uso.
Disponibilidad de Recursos de TI, con un 50% se define que no se establecen
adecuadamente las medidas para que los recursos de TI cumplan con su
capacidad.
d) Proceso DS4. Garantizar la continuidad del servicio
Los resultados de la evaluación de los objetivos de control del proceso Garantizar la
continuidad del servicio se muestran en la figura 50.
0,00% 50,00% 100,00%
DS3.1 - Planeación del Desempeño y la
Capacidad.
DS3.2 - Capacidad y Desempeño Actual.
DS3.3 - Capacidad y Desempeño Futuros.
DS3.4 - Disponibilidad de Recursos de
TI.
DS3.5 - Monitoreo y Reporte
66,66%
100%
25%
50%
100%
90
Figura 50. Objetivos de control del proceso DS4. Garantizar la continuidad del servicio
ANÁLISIS
Con respeto al análisis de los objetivos de control del proceso garantizar la continuidad
del servicio
Marco de trabajo de continuidad de TI, con 0% se establece que el
departamento de sistemas no realizado estrategias para asegurar el mínimo
impacto al negocio en caso de que existan interrupciones del servicio de TI.
Planes de continuidad de TI, con 0% se determina que no se presentan planes
de continuidad en el departamento de sistemas, motivo por el cual no se
encuentran preparados para enfrentar cualquier interrupción o evento que se
pueda presentar.
Recursos críticos de TI, con un 0% e evidencia que no se encuentran
identificados los puntos críticos de TI, por tal motivo no se han establecido
procedimientos para asegurar su continuidad.
Pruebas del plan de continuidad de TI, con un 0% se determina que al no
tener un plan de continuidad de TI no se pueden realizar las pruebas
correspondientes que garanticen su continuidad.
0% 50% 100%
DS4.1 - Marco de Trabajo de Continuidad
de TI.
DS4.2 - Planes de Continuidad de TI.
DS4.3 - Recursos Críticos de TI.
DS4.4 - Mantenimiento del Plan de
Continuidad de TI.
DS4.5 - Pruebas del Plan de Continuidad
de TI.
0%
0%
0%
100%
0%
91
e) Proceso DS5. Garantizar la seguridad de los sistemas
Los resultados de la evaluación de los objetivos de control del proceso garantizar la
seguridad de los sistemas son los que se muestran en la figura 51.
Figura 51. Objetivos de control del proceso DS5. Garantizar la seguridad de los sistemas
ANÁLISIS
En el análisis de los objetivos de control del proceso garantizar la seguridad de los
sistemas se visualiza que no se cumple el intercambio de datos sensitivos pues presenta
un 0%, lo cual indica que no tienen las seguridades para los correos electrónicos ni los
sistemas web.
f) Proceso DS6. Identificar y asignar costos
En la figura 52 se detalla los resultados de la evaluación de los objetivos de control del
proceso Identificar y asignar costos.
0% 50% 100%
DS5.1 - Administración de la Seguridad
de TI.
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administración de Identidad.
DS5.4 - Administración de Cuentas del
Usuario
DS5.5 - Seguridad de la Red.
DS5.6- Intercambio de Datos Sensitivos.
100%
100%
100%
100%
100%
0,00%
92
Figura 52. Objetivos de control del proceso DS6. Identificar y asignar costos
ANÁLISIS
De los resultados del análisis de los objetivos de control del proceso denominado
identificar y asignar costos se evidencia que los cuatro se cumplen completamente,
debido a que el departamento de sistemas de Importadora Alvarado opera un sistema
para capturar, distribuir y reportar costos de TI, que permite al negocio tomar decisiones
acertadas en relación al uso de los servicios de TI.
g) Proceso DS7. Educar y entrenar a los usuarios
En la figura 53 se muestran los resultados de la evaluación de los objetivos de control
del proceso Educar y entrenar a los usuarios.
Figura 53. Objetivos de control del proceso DS7. Educar y entrenar a los usuarios
0% 20% 40% 60% 80% 100%
DS6.1 - Definición de Servicios.
DS6.2 - Contabilización de TI.
DS6.3 - Modelación de Costos y
Cargos.
DS6.4 - Mantenimiento del Modelo de
Costos.
100%
100%
100%
100%
0% 20% 40% 60% 80% 100%
DS7.1 - Identificación de
Necesidades de Entrenamiento y…
DS7.2 - Impartición de
Entrenamiento y Educación.
DS7.3 Evaluación del
Entrenamiento Recibido.
100%
100%
100%
93
ANÁLISIS
Los resultados de los objetivos de control del proceso educar y entrenar a los usuarios
muestran que se cumplen la totalidad de ellos, debido a que se ha asegurado que las
aplicaciones se encuentren funcionales para, es decir hacer uso efectivo de soluciones y
aplicaciones tecnológicas.
h) Proceso DS8. Administrar la mesa de servicio y los incidentes
La evaluación de los objetivos de control del proceso administrar la mesa de servicio y
los incidentes se evidencia en la figura 54:
Figura 54. Objetivos de control del proceso DS8. Administrar la mesa de servicio y los incidentes
ANÁLISIS
Una vez realizado el análisis de los objetivos de control del proceso Administrar la mesa
de servicio y los incidentes se evidencia que la totalidad de estos son cumplidos
cabalmente, es decir que posee un proceso de administración de incidentes que responde
de manera efectiva a las consultas y problemas de los usuarios de TI.
i) Proceso DS9. Administrar la configuración
En la figura 55 se puede observar los resultados de la evaluación de los objetivos de
control del proceso Administrar la configuración
0% 20% 40% 60% 80% 100%
DS8.1 - Mesa de Servicios.
DS8.2 - Registro de Consultas de
Clientes
DS8.4 - Cierre de Incidentes
100%
80%
100%
94
Figura 55. Objetivos de control del proceso DS9. Administrar la configuración
ANÁLISIS
De acuerdo al análisis de los objetivos de control del proceso administrar la
configuración se determina que no se cumple el relacionado con la revisión de
integridad de la configuración con el 0%, es decir que no se verifica de manera
regular el estado de los elementos de configuración para corroborar la integridad de la
configuración de datos tanto actual como histórica.
j) Proceso DS10. Administrar los problemas
Los resultados de la evaluación de los objetivos de control del proceso administrar los
problemas se muestran en la figura 56.
Figura 56. Objetivos de control del proceso DS10. Administrar los problemas
0% 20% 40% 60% 80% 100%
DS9.1 - Repositorio y Línea Base de
Configuración
DS9.2 - Identificación y Mantenimiento
de Elementos de Configuración
DS9.3 - Revisión de Integridad de la
Configuración.
75%
100%
0%
0% 20% 40% 60% 80% 100%
DS10.1 - Identificación y Clasificación de
Problemas
DS10.2 - Rastreo y Resolución de
Problemas.
DS10.3 - Cierre de Problemas
DS10.4 - Integración de las
Administraciones de Cambios,…
100%
0,00%
0,00%
50%
95
ANÁLISIS
Los objetivos de control del proceso administrar problemas que presentan menor nivel
de cumplimiento son los siguientes:
Rastreo y resolución de problemas, con un 0% se evidencia que el
departamento de sistemas no realiza un monitoreo continuo del impacto de los
problemas y errores conocidos en los servicios los usuarios.
Cierre de problemas, con un 0% se verifica que no existe un procedimiento
para cerrar registros de problemas una vez que se ha confirmado la eliminación
exitosa del error o después de haber acordado una alternativa para manejar el
problema.
Integración de las administraciones de cambios, configuración y problemas,
con un 50% se evidencia que el departamento de sistemas no garantiza una
adecuada administración de problemas.
k) Proceso DS11. Administrar los datos
Los resultados de la evaluación de los objetivos de control del proceso Administrar los
datos se presentan en la figura 57.
Figura 57. Objetivos de control del proceso DS11. Administrar los datos
ANÁLISIS
Los resultados de los objetivos de control del proceso administrar los datos evidencian
que se cumplen la totalidad de los mismos, es decir el departamento de sistemas ha
establecido procedimientos efectivos para la administración de la librería de medios, el
0% 20% 40% 60% 80% 100%
DS11.1 - Requerimientos del Negocio
para Administración de Datos.
DS11.2 - Acuerdos de
Almacenamiento y Conservación.
DS11.3 - Eliminación
100%
100%
100%
96
respaldo y la recuperación de datos, lo que garantiza la calidad y disponibilidad de la
información de la empresa.
l) Proceso DS12. Administrar el ambiente físico
En la figura 58 se detalla la evaluación de los objetivos de control del proceso
Administrar el ambiente físico:
Figura 58. Objetivos de control del proceso DS12. Administrar el ambiente físico
ANÁLISIS
Los resultados de los objetivos de control del proceso Administrar el ambiente físico
demuestran que existe un adecuado nivel de cumplimiento de los mismos, debido a que
el departamento de sistemas maneja una adecuada protección del equipo de cómputo y
del personal, con instalaciones diseñadas y administradas correctamente.
m) Proceso DS13. Administrar las operaciones
En la figura 59 se muestra los resultados obtenidos de la evaluación de los objetivos de
control del proceso Administrar las operaciones.
Figura 59. Objetivos de control del proceso DS13. Administrar las operaciones
0% 20% 40% 60% 80% 100%
DS12.1 - Selección y Diseño del
Centro de Datos.
DS12.2 - Acceso Físico.
DS12.5 - Administración de
Instalaciones Físicas.
100%
100%
100%
0% 20% 40% 60% 80% 100%
DS13.1 - Procedimientos e
Instrucciones de Operación.
DS13.2 - Programación de Tareas.
DS13.3 - Monitoreo de la
Infraestructura de TI.
DS13.5 - Mantenimiento Preventivo del
Hardware.
100%
100%
50%
33,33%
97
ANÁLISIS
De los objetivos de control del proceso administrar las operaciones, los que se cumplen
en menor nivel son los siguientes:
Monitoreo de la Infraestructura de TI, con un 50% evidencian que no se ha
definido ni implementado procedimientos para monitorear la infraestructura de
TI.
Mantenimiento preventivo del hardware, con un 33,33% se determina que no
se ha implementado procedimientos que garanticen el mantenimiento oportuno
de la infraestructura para reducir el impacto de las fallas.
4.2.4.4 Dominio monitorear y evaluar
Este dominio abarca la administración del desempeño, el monitoreo del control interno,
el cumplimiento de los reglamentos y la aplicación del gobierno, en definitiva implica
monitorear todos los procesos para de esa forma asegurar que se siga la dirección
establecida. Los resultados de la evaluación de cada uno de los procesos de este
dominio son los que se pueden visualizar a continuación.
a) Proceso ME1. Monitorear y evaluar el desempeño de TI
En la figura 60 se puede observar la evaluación de los objetivos de control que
conforman el proceso Monitorear y evaluar el desempeño de TI.
98
Figura 60. Objetivos de control del proceso ME1. Monitorear y evaluar el desempeño de TI
ANÁLISIS
Del análisis de los objetivos de control del proceso monitorear y evaluar el desempeño
de TI se puede observar que los de menor nivel de cumplimiento son los siguientes:
Enfoque de monitoreo, con un 50% se evidencia que no cuenta con un marco
de trabajo de monitoreo, además no cuenta con un proceso para medir la
solución y entrega de servicios de TI.
Definición y recolección de datos de monitoreo, con un 40% se determina que
no se ha establecido referencias con las cuales se pueda comparar los objetivos,
tampoco se han establecido procesos para la recolección de información
oportuna para reportar el avance contra las metas.
Método de monitoreo, con un 0% se puede establecer que no se ha implantado
un método que proporcione una visión concisa del desempeño de la TI y que se
encuentre acorde al sistema de monitoreo de la empresa.
Evaluación del desempeño, con un 0% se determina que no se compara
periódicamente el desempeño con las metas para iniciar medidas correctivas
para resolver los problemas que se presenten.
0% 50% 100%
ME1.1 - Enfoque del Monitoreo.
ME1.2 - Definición y Recolección
de Datos de Monitoreo.
ME1.3 - Método de Monitoreo.
ME1.4 - Evaluación del
Desempeño.
ME1.5 - Reportes al Consejo
Directivo y a Ejecutivos.
ME1.6 - Acciones Correctivas.
50%
40%
0,00%
0,00%
100%
100%
99
b) Proceso ME2. Monitorear y evaluar el control interno
La evaluación de los objetivos de control que conforman el proceso Monitorear y
evaluar el control interno se puede visualizar en la figura 61.
Figura 61. Objetivos de control del proceso ME2. Monitorear y evaluar el control interno
ANÁLISIS
En relación al análisis de los objetivos de control del proceso monitorear y evaluar el
control interno
Excepciones de control, con un 0% se puede mencionar que no se identifican
las anomalías de control y en consecuencia no se pueden identificar las causas
que las originan.
Control de Auto evaluación, con un 0% de demuestra que no existe un
programa de auto evaluación y únicamente se basan en los resultados de las
auditorías tanto internas como externas que se realizan.
Aseguramiento del control interno, con un 0% se muestra que no se asegura la
efectividad de los controles internos que se realizan a través de las revisiones de
terceros
Control interno para terceros, con un 0% se determina que no se evalúa el
estado de los controles internos de los proveedores de servicios externos.
0% 20% 40% 60% 80% 100%
ME2.1 - Monitorización del Marco de
Trabajo de Control Interno.
ME2.2 - Revisiones de Auditoría.
ME2.3 - Excepciones de Control.
ME2.4 - Control de Auto Evaluación.
ME2.5 - Asegura- miento del Control
Interno.
ME2.6 - Control Interno para Terceros.
ME2.7 - Acciones Correctivas.
100%
100%
0,00%
0,00%
0,00%
0,00%
100%
100
c) Proceso ME3. Garantizar el cumplimiento regulatorio
Los resultados de la evaluación de los objetivos de control que conforman el proceso
Garantizar el cumplimiento regulatorio son los que se muestran en la figura 62.
Figura 62. Objetivos de control del proceso ME3. Garantizar el cumplimiento regulatorio
ANÁLISIS
Por medio de la figura se puede verificar que los objetivos de control del proceso
denominado garantizar el cumplimiento regulatorio son cumplidos al 100%, lo cual
indica que a través del departamento legal de Importadora Alvarado se toman las
medidas que garanticen el cumplimiento de las regulaciones.
d) Proceso ME4. Proporcionar gobierno de TI
Los resultados de la evaluación de los objetivos que conforman el proceso Proporcionar
gobierno de TI se muestran en la figura 63.
0% 20% 40% 60% 80% 100%
ME3.1 - Optimizar la Respuesta a
Requerimientos Externos.
ME3.2 - Evaluación del Cumplimiento con
Requerimientos Externos.
ME3.3 - Aseguramiento Positivo del
Cumplimiento.
ME3.4 - Reportes Integrados.
100%
100%
100%
100%
101
Figura 63. Objetivos de control del proceso ME4. Proporcionar gobierno de TI
ANÁLISIS
De los siete objetivos de control del proceso denominado Proporcionar gobierno de TI,
los de menor cumplimiento son los siguientes:
Establecimiento de un marco de gobierno de TI, con 0% determina que no se
ha basado el marco de trabajo en un apropiado proceso de TI que evite una
rotura en el control interno, motivo por el cual no se puede asegurar el
cumplimiento con las leyes y regulaciones.
Administración de riesgos, con 33,33% evidencia que no se evalúan los riesgos
que se relacionan con TI al igual que su impacto. Además tampoco se han
definido el nivel de riesgo de TI por medio de un consejo directivo que afirme
que el riesgo actual no sobrepase el riesgo aceptable de dirección.
Medición del desempeño, con 50% se puede determinar que no puede evaluar
de manera efectiva si el progreso hacia las metas de TI han cumplido las
expectativas.
0,00% 20,00% 40,00% 60,00% 80,00% 100,00%
ME4.1 - Establecimiento de un Marco de
Gobierno de TI.
ME4.2 - Alineamiento Estratégico.
ME4.3 - Entrega de Valor
ME4.4 - Administración de Recursos
ME4.5 - Administración de Riesgos.
ME4.6 - Medición del Desempeño.
ME4.7 - Aseguramiento Independiente.
0,00%
83,33%
100%
100%
33,33%
50,00%
100%
102
4.2.5 Resultado final de la evaluación
4.2.5.1 Resultados de la evaluación por objetivos de control
A continuación se detallan los objetivos de control que se consideran como críticos,
estos datos se obtuvieron al realizar la ponderación de cada uno de los procesos dentro
de cada dominio. De acuerdo a la información que se obtuvo se realizó la figura 64 con
aquellos objetivos que no cumplía la empresa para trabajar con esos datos y dar
soluciones.
103
Figura 64. Evaluación de objetivos de control críticos
ANÁLISIS
En la figura 64 se puede verificar que existen 33 objetivos críticos que no se cumplen
con lo que se establece, por lo cual presentan el 0%, es por ello que se debe fortalecer
0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00% 80,00% 90,00% 100,00%
PO2.2 -Diccionario de Datos Empresarial y Reglas de…
PO3.2 - Monitoreo de Tendencias y Regulaciones Futuras.
PO5.5 - Administración de Beneficios
PO7.3 - Entrenamiento del Personal de TI.
PO7.4 - Procedimientos de Investigación del Personal.
PO7.5- Evaluación del Desempeño del Empleado
PO8.1 - Sistema de Administración de Calidad
PO8.2 - Enfoque en el Cliente de TI.
PO8.3 - Mejora Continua.
PO8.4 - Medición, Monitoreo y Revisión de la Calidad.
PO9.1 - Marco de Trabajo de Administración de Riesgos.
PO9.2 - Identificación de Eventos
PO9.3 - Evaluación de Riesgos de TI
PO9.4 - Respuesta a los Riesgos
PO9.5 - Mantenimiento y Monitoreo de un Plan de Acción…
AI2.1 - Diseño de Alto Nivel.
AI2.10 - Mantenimiento de Software Aplicativo.
AI6.4 - Seguimiento y Reporte del Estatus de Cambio.
DS4.1 - Marco de Trabajo de Continuidad de TI.
DS4.2 - Planes de Continuidad de TI.
DS4.3 - Recursos Críticos de TI.
DS4.5 - Pruebas del Plan de Continuidad de TI.
DS5.6- Intercambio de Datos Sensitivos.
DS9.3 - Revisión de Integridad de la Configuración.
DS10.2 - Rastreo y Resolución de Problemas.
DS10.3 - Cierre de Problemas
ME1.3 - Método de Monitoreo.
ME1.4 - Evaluación del Desempeño.
ME2.3 - Excepciones de Control.
ME2.4 - Control de Auto Evaluación.
ME2.5 - Asegura- miento del Control Interno.
ME2.6 - Control Interno para Terceros.
ME4.1 - Establecimiento de un Marco de Gobierno de TI.
0,00%
0,00%
0%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0%
0%
0%
0%
0%
0%
0%
0,00%
0%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
104
esas áreas con el planteamiento de un plan estratégico aplicando la metodología
COBIT.
4.2.5.2. Grado de madurez
Una vez que se obtuvo los resultados por medio de la encuesta aplicada al departamento
de sistemas de Importadora Alvarado se procede a determinar el nivel de madurez de
cada proceso, se multiplica el porcentaje del valor de cumplimiento de cada uno (Anexo
1), por el grado de madurez del escenario (0 a 5). Este procedimiento de cálculo, dado
por la Ecuación (1) se aplica a los 34 procesos de TI, para obtener los grados de
madurez de cada uno de los 4 dominios de COBIT, el cual se resume en la tabla 21.
𝑀 =𝑁𝑖𝑣𝑒𝑙 𝑚á𝑥𝑖𝑚𝑜 𝑥 𝑁𝑖𝑣𝑒𝑙 𝑑𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝐶𝑂𝐵𝐼𝑇(%)
100%
(1)
Tabla 21. Grado de madurez
DOMINIOS PROCESOS MADUREZ
PLANEAR Y
ORGANIZAR
PO1 - Definir un Plan Estratégico de TI 4,85
PO2 - Definir la Arquitectura de la Información 4
PO3 - Determinar la Dirección Tecnológica 3,5
PO4 - Definir los Procesos, Organización y
Relaciones de TI 3,95
PO5 - Administrar la Inversión en TI 3,25
PO6 - Comunicar las Aspiraciones y la Dirección de
la Gerencia 5
PO7 - Administrar Recursos Humanos de TI 2
PO8 - Administrar la Calidad 0
PO9 - Evaluar y Administrar los Riesgos de TI 0
PO10 - Administrar Proyectos 4,7
ADQUIRIR E
IMPLEMENT
AR
AI1 - Identificar soluciones automatizadas 4,7
AI2 - Adquirir y mantener software aplicativo 4,4
AI3 - Adquirir y mantener infraestructura tecnológica 4,8
AI4 - Facilitar la operación y el uso 4,7
AI5 - Adquirir recursos de TI 5
AI6 - Administrar cambios 4,15
AI7 - Instalar y acreditar soluciones y cambios 5
ENTREGAR Y
DAR
SOPORTE
DS1 - Definir y administrar los niveles de servicio 4,35
DS2 - Administrar los servicios de terceros 3,35
DS3 - Administrar el desempeño y la capacidad 2,5
DS4 - Garantizar la continuidad del servicio 0,85
DS5 - Garantizar la seguridad de los sistemas 3,65
DS6 - Identificar y asignar costos 5
105
DS7 - Educar y entrenar a los usuarios 5
DS8 - Administrar la mesa de servicio y los
incidentes 4,55
DS9 - Administrar la configuración 3,2
DS10 - Administrar los problemas 2
DS11 - Administrar los datos 5
DS12 - Administrar el ambiente físico 5
DS13 - Administrar las operaciones 3,5
MONITOREA
R Y
EVALUAR
ME1 - Monitorear y Evaluar el Desempeño de TI 2,5
ME2 - Monitorear y Evaluar el Control Interno 2,8
ME3 - Garantizar el Cumplimiento Regulatorio 5
ME4 - Proporcionar Gobierno de TI 3,35
Grado de madurez por dominio
Con el nivel de madurez de los 34 procesos del modelo COBIT se puede calcular el
promedio y determinar el grado de madurez por cada dominio para la empresa. En la
tabla 22 se puede observar el grado de madurez de los dominios.
Tabla 22. Grado de madurez por dominio
DOMINIO GRADO DE MADUREZ
Planeación y Organización 3,1
Adquisición e Implementación 4,7
Entrega de Servicios y Soporte 3,7
Monitoreo 3,4
Total TI 3,7
Como se puede apreciar en la tabla anterior, los niveles más altos están en la
Adquisición e Implementación, mientras que los niveles más bajos son los de
Planeación y Planificación. Con lo cual se puede determinar que Importadora Alvarado
está pasando del grado de madurez definido (3) a gestionable y medible (4). Aunque
algunos procesos han sido definidos, aún existen ciertos procesos que se están
ejecutando de forma intuitiva, motivo por el cual se debe buscar el incremento de sus
grados de madurez.
4.3 Plan estratégico
En base al nivel de madurez de cada dominio y a los procesos que se encuentran en
estado crítico se plantea el diseño de un plan estratégico para Importadora Alvarado a
fin de llevar un mejor control dentro de la organización.
106
1. OBJETIVOS DEL PLAN
Diseñar el plan estratégico de TI para Importadora Alvarado como herramienta
para la toma de decisiones apoyadas por el uso de tecnologías.
Desarrollar un plan que impulse la incorporación y adopción de TI para el
mejoramiento de los procesos dentro de Importadora Alvarado.
Generar una estructura organizacional de la Dirección de Tecnologías de
Información que satisfaga las necesidades y requerimiento de los procesos
internos de Importadora Alvarado.
Fomentar el trabajo conjunto de todas las áreas de la entidad para asegurar el
desarrollo evolutivo de las TI.
2. RESPONSABLES
El responsable de garantizar la ejecución adecuada del plan es el Gerente Corporativo
Sistemas.
3. DESCRIPCIÓN DEL PLAN ESTRATÉGICO
Actualmente debido a la innovación, la competencia, los cambios que se presentan es
importante que las empresas y negocios reconozcan la importancia de las Tecnologías
de Información (TI) en su desarrollo, por tal motivo es esencial que se dediquen a
realizar una verdadera gestión estratégica, basada en TI, estableciendo planes a largo
plazo que contemplen todas las actividades y procesos de la organización.
El plan tiene la finalidad de constituirse en una herramienta de administración,
supervisión y control para solucionar problemas de atención a usuarios. El
establecimiento de metas organizacionales mediante los objetivos específicos y
estrategias deben ser aprobadas por la gerencia de la empresa, pues el mismo tiene
influencia en el ambiente interno y externo, es decir en la industria, en los organismos
reguladores, supervisores, clientes, proveedores, entre otros.
El plan estratégico parte del análisis de los riesgos de cada una de las áreas,
especialmente aquellas que son consideradas como críticas en el negocio para producir
beneficios que se relacionen con la capacidad de realizar una gestión eficiente en estas
áreas.
107
La implementación del plan estratégico de TI ofrece beneficios potenciales a tres
componentes principales de la organización:
A la gerencia
Evaluación completa de las necesidades futuras de los sistemas informáticos
Contar con una metodología definida y lógica para contribuir a la solución de
problemas en el área administrativa y operativa.
Involucra a la alta gerencia en la definición de objetivos organizacionales.
Al departamento de TI
Personal capacitado y experto para el desarrollo de sus funciones
Mejor planificación a largo plazo de los presupuestos de la división
Fijación de prioridades en tecnologías y sistemas de información
Comunicación con todas las áreas de la organización
A los clientes
Otorgar productos de calidad
Seguridad al momento de recibir su producto
Gestión de reclamos automatizada
4. METODOLOGÍA DEL PLAN ESTRATÉGICO DE TI
4.1 Esquema de Procesos COBIT
A continuación se esquematizan los procesos y dominios seleccionados de COBIT 4.1
que serán considerados en el plan estratégico de TI para mejorar cada uno de ellos en
Importadora Alvarado.
Tabla 23. Esquema de Procesos COBIT
DOMINIOS PROCESOS OBJETIVOS DE CONTROL
PLANEAR Y
ORGANIZAR
PO7 - Administrar
Recursos Humanos de
TI
Competencias del Personal.
Entrenamiento del Personal de TI.
Procedimientos de Investigación del Personal
Evaluación del Desempeño del Empleado.
PO8 - Administrar la
Calidad
Sistema de Administración de Calidad
Enfoque en el Cliente de TI.
Mejora Continua.
Medición, Monitoreo y Revisión de la Calidad.
PO9 - Evaluar y
Administrar los
Marco de Trabajo de Administración de Riesgos.
Identificación de Eventos
108
Riesgos de TI Evaluación de Riesgos de TI.
Respuesta a los Riesgos
Mantenimiento y Monitoreo de un Plan de Acción de
Riesgos
ENTREGAR Y
DAR SOPORTE
DS3 - Administrar el
desempeño y la
capacidad
Capacidad y Desempeño Futuros
Disponibilidad de Recursos de TI
DS4 - Garantizar la
continuidad del
servicio
Marco de Trabajo de Continuidad de TI.
Planes de Continuidad de TI.
Recursos Críticos de TI.
Pruebas del Plan de Continuidad de TI.
DS10 - Administrar
los problemas
Rastreo y Resolución de Problemas.
Cierre de Problemas
Integración de las Administraciones de Cambios,
Configuración y Problemas.
MONITOREAR
Y EVALUAR
ME1 - Monitorear y
Evaluar el Desempeño
de TI
Enfoque del Monitoreo
Definición y Recolección de Datos de Monitoreo.
Método de Monitoreo
Evaluación del Desempeño.
ME2 - Monitorear y
Evaluar el Control
Interno
Excepciones de Control.
Control de Auto Evaluación.
Asegura- miento del Control Interno.
Control Interno para Terceros.
4.2 Descripción del proceso
Una vez que se conocen los elementos que deben abarcarse en el plan se debe plantear
los pasos necesarios para poder alcanzar los objetivos deseados, el mismo que se
resume en el siguiente esquema:
RETROALIMENTACIÓN
Figura 65 Diagrama de desarrollo del plan estratégico de TI [32].
Identificar
necesidades
Analizar
Objetivos
Analizar
Riesgos
Seleccionar
metodología
Desarrollo de un
plan Estratégico
de TI
Implementar el
plan estratégico
de TI
Integrar prácticas
estratégicas de TI Evaluación
después de la
implementación
109
5. ACCIONES DEL PLAN ESTRATÉGICO
A continuación se describen los programas a establecer para alcanzar la gestión
adecuada de TI dentro de Importadora Alvarado, para lo cual se plantean acciones que
apoyan al desarrollo adecuado de los mismos.
PROGRAMA DE GESTIÓN DE TI
Administrar Recursos Humanos de TI
Implementar políticas que ayuden a comprometer al personal de la empresa con
los objetivos organizativos.
Implementar una herramienta especializada para evaluaciones, con
funcionalidades flexibles que le permitan digitalizar de manera profesional todo
el proceso de inicio a fin.
Definir un sistema de entrenamiento del personal, estableciendo los objetivos,
importancia, métodos de entrenamiento, responsables y los tipos de formación.
Establecer un plan de capacitación de TI de acuerdo a los requerimientos de la
empresa, para consolidar y mejorar los conocimientos y habilidades técnicas de
la empresa.
Mantener un clima laboral y afianzar las relaciones internas mediante la
organización de talleres de integración en cada una de las áreas de Importadora
Alvarado.
Implementar una estructura sólida dentro de la empresa, con la defunción de
actividades y distribución del recurso humano.
Administrar el desempeño y la capacidad
Diseñar planes de capacidad y desempeño con técnicas apropiadas para producir
un modelo de desempeño, de capacidad de los recursos de TI.
Garantizar que los planes de contingencia sean considerados de forma apropiada
sobre los recursos individuales de TI.
Desarrollar un marco de trabajo de continuidad de TI.
110
PLAN DE RESPALDO Y RECUPERACIÓN DE INFORMACIÓN
Garantizar la continuidad del servicio
Diseñar planes de continuidad de TI con base en el marco de trabajo para reducir
el impacto de una interrupción mayor de las funciones
Poner a prueba el plan de continuidad de TI de manera regular para asegurar que
los sistemas de TI pueden ser recuperados de forma efectiva.
Evaluar y Administrar los Riesgos de TI
Que pertenece al dominio Planear y Organizar presenta un 0% de avance, por lo cual se
plantea las siguientes alternativas:
Establecer un marco de trabajo de administración de riesgos de TI.
Identificar las amenazas importantes con impacto potencial negativo sobre las
metas o las operaciones de la empresa.
Establecer proceso de respuesta a riesgos para asegurar que controles efectivos
en costo que mitigan la exposición en forma continua.
Establecer un proceso de respuesta a riesgos con estrategias tales como evitar,
reducir, compartir o aceptar riesgo
Monitorear de manera continua la ejecución de los planes
Seguridad de la Información
Establecer control de acceso mediante un centro de datos
Plan de licenciamiento Antivirus, implementación y análisis de las
vulnerabilidades
Herramientas para el manejo de incidencias.
PROGRAMAS DE GESTIÓN POR PROCESOS
Monitorear y Evaluar el Control Interno
Que pertenece al dominio monitorear y evaluar presenta un 56% de avance, por lo cual
es importante considerar lo siguiente:
111
Analizan e identifican las causas raíz subyacentes de las excepciones de control
Establecer acciones correctivas necesarias para las excepciones de control
Desarrollar un programa continuo de auto-evaluación para determinar la
completitud y efectividad de los controles de gerencia sobre los procesos de TI
Evaluar el estado de los controles internos de los proveedores de servicios
externos.
Implementar acciones correctivas derivadas de los controles de evaluación y los
informes
Implementar planes de mejora continua y seguimiento a los servicios de
Importadora Alvarado.
PROGRAMA DE ADMINISTRACIÓN DE LA CALIDAD
Administrar la calidad
El proceso PO8 Administrar la Calidad que pertenece al dominio Planear y Organizar
presenta un 0% de avance, por lo cual se identifica la necesidad de:
Diseñar un sistema de calidad de TI alineados con los requerimientos del
negocio, identificando las políticas para definir, detectar, corregir y prever las no
conformidades, con el fin de lograr la satisfacción en los clientes
Definir los roles respecto a la resolución de conflictos entre el usuario/cliente y
la organización de TI, es decir establecer las responsabilidades respectivas.
Promover la fidelización de los clientes, fomentando que se sientan motivados a
la adquisición de los productos.
Monitorear y Evaluar el Desempeño de TI
Que pertenece al dominio monitorear y evaluar presenta un 50% de avance, motivo por
el cual se plantea realizar lo siguiente:
Monitorear de manera continua la contribución de TI al negocio
Integrar el marco de trabajo de TI con el sistema de administración del
desempeño corporativo.
Definir referencias con las que se compara los objetivos de desempeño.
112
Implementar un método eficaz para el proceso de monitoreo.
Comparar de manera periódica el desempeño contra las metas
Desarrollar un sistema de análisis de la causa raíz de los problemas subyacentes
y así tomar las medidas correctivas
Administrar los problemas
Diseñar un sistema de administración de problemas que permita rastrear y
determinar la causa raíz de todos los problemas reportados.
Establecer procedimiento para cerrar registros de problemas y garantiza una
adecuada administración de problemas
Mejorar continuamente los procesos de administración de cambios,
configuración y problemas para minimizar los problemas.
6. POLÍTICAS PARA PONERSE EN MARCHA
En la realización del plan estratégico de TI se enuncian las principales políticas que se
debe cumplir para alcanzar los objetivos:
Considerar en el plan de TI las tendencias ambientales, y tecnológicas presentes
y futuras, así como las leyes y reglamentos.
Establecer las prioridades de TI, socializarlas con el personal involucrado de
manera clara para que no existan desviaciones que afecten el cumplimiento de
los objetivos
Controlar periódicamente el avance de los proyectos de TI.
Respaldar los procesos de TI con la implementación de programas de
capacitación al personal.
Desarrollar un plan de continuidad de TI considerando los servicios de
información, así como los recursos que dependen de estos.
Desarrollar programas de entrenamiento para los actores que intervienen en el
plan de continuidad.
Establecer y mantener un listado de los recursos y aplicaciones del sistema
priorizados de mayor a menor con las respectivas normas de desempeño
113
Evaluar continuamente los riesgos y considerar el aseguramiento de los recursos
de infraestructura y de personas.
La gerencia y directores de TI deben estar siempre abiertos a escuchar las
opiniones y punto de vista de trabajadores, proveedores y clientes, ya sea
sugerencias, peticiones o quejas.
7. DETERMINACIÓN DEL TIEMPO DE IMPLEMENTACIÓN Y COSTO
DEL PROYECTO
A continuación se define el tiempo de implementación, los recursos tanto humanos
como tecnológicos que se relacionan y el costo de implementación de los proyectos
estratégicos de TI.
En la tabla se presenta un estimado de recursos y costos de los proyectos estratégicos de
TI.
Tabla 24. Presupuesto de implementación
PROGRAMA DE GESTIÓN DE TI
TIEMPO DE
IMPLEMENTACIÓN
RECURSOS COSTO
APROXIMADO
3 meses Recursos
humanos
Personal del departamento
de sistemas
$1000.00
Recursos
tecnológicos
Hardware
Servidor de la empresa
Software
Se hará uso de herramientas
de código libre
$0.00
Materiales de
oficina
Internet
Hojas de papel bond
Impresiones
Copias
Lápices, esferos
$200.00
TOTAL $1200.00
PROGRAMA DE GESTIÓN POR PROCESOS
TIEMPO DE
IMPLEMENTACIÓN
RECURSOS COSTO
APROXIMADO
3 meses Recursos
humanos
Personal del departamento
de sistemas
$1000.00
Recursos
tecnológicos
Hardware
Servidor de la empresa
$400.00
114
Software
Se hará uso de herramientas
de código libre
Licencias de Modelos
Materiales de
oficina
Internet
Hojas de papel bond
Impresiones
Copias
Lápices, esferos
$200.00
TOTAL $1600.00
PLAN DE RESPALDO Y RECUPERACIÓN DE INFORMACIÓN
TIEMPO DE
IMPLEMENTACIÓN
RECURSOS COSTO
APROXIMADO
3 meses Recursos
humanos
Personal del departamento
de sistemas
$1000.00
Recursos
tecnológicos
Hardware
Servidor de la empresa
Unidades de respaldo
Software
Se hará uso de herramientas
de código libre
Gestores de base de datos
$200.00
Materiales de
oficina
Internet
Lápices, esferos
$100.00
TOTAL $1300.00
PROGRAMA DE MEJORAMIENTO DE SISTEMAS DE CONTROL DE CALIDAD
TIEMPO DE
IMPLEMENTACIÓN
RECURSOS COSTO
APROXIMADO
3 meses Recursos
humanos
Personal del departamento
de sistemas
$1000.00
Recursos
tecnológicos
Hardware
Servidor de la empresa
Software
Se hará uso de herramientas
de código libre
Unidades de
almacenamiento
$200.00
Materiales de
oficina
Normativas
Internet
Hojas de papel bond
Impresiones
Copias
Lápices, esferos
$300.00
TOTAL $1500.00
115
El costo de la implementación del plan estratégico tendría un costo de $5600, lo cual
sería un gasto poco significativo en relación a los beneficios que se pueden obtener para
el desarrollo de la institución.
8. DEFINICIÓN DEL PLAN DE IMPLEMENTACIÓN
A continuación se define el cronograma general de actividades para la implementación
de las acciones estratégicas de TI, teniendo en cuenta 6 meses, ya que se pueden
ejecutar varis proyectos de manera simultánea.
116
Tabla 25. Cronograma de los proyectos de TI
PROYECTO ACTIVIDAD MES 1 MES 2 MES 3 MES 4 MES 5 MES 6
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
PROGRAMA DE
GESTION DE TI
Análisis de requisitos
Diseño del proyecto
Implantación de proyecto
Pruebas de funcionamiento
Seguimiento y auditoría
Soporte y cierre del proyecto
GESTION DE
PROCESOS
Análisis de requisitos
Diseño del proyecto
Implantación de proyecto
Pruebas de funcionamiento
Seguimiento y auditoría
Soporte y cierre del proyecto
PLAN DE RESPALDO Y
RECUPERACIÓN
Análisis de requisitos
Diseño del proyecto
Implantación de proyecto
Pruebas de funcionamiento
Seguimiento y auditoría
Soporte y cierre del proyecto
MEJORAMIENTO DE
SISTEMAS DE
CONTROL CALIDAD
Análisis de requisitos
Diseño del proyecto
Implantación de proyecto
Pruebas de funcionamiento
Seguimiento y auditoría
Soporte y cierre del proyecto
117
Como se puede observar en el cronograma, la implementación completa d los proyectos
estratégicos de TI se podrán realizar en 6 meses, obteniendo para cada proyecto lo
siguiente:
Para los programas y gestión de TI se estima su implementación en 3 meses.
Para los programas de gestión de procesos que se dará inicio en el segundo mes
se estima un tiempo de 3 meses, siendo este ejecutado de manera simultánea con
el proyecto anterior.
Para el plan de respaldo y recuperación de TI que se dará inicio la tercera
semana del mes 3, se llevará un tiempo de 3 meses en su implementación.
Para el plan de mejoramiento de sistemas de control se planifica su inicio la
cuarta semana del mes tres, que tendrá una duración de 3 meses de igual manera.
Estas estrategias se ejecutarán de manera paralela con los proyectos anteriores.
9. ADMINISTRACIÓN DE RIESGOS
En la actualidad todo tipo de empresas, sean de gran o pequeña constitución hacen uso
de la tecnología, pues las TI se constituyen en un soporte para los procesos que se
efectúan dentro de la organización, tanto administrativos como operativos, para de esa
forma alcanzar los objetivos para los cuales fueron creadas.
De acuerdo a este contexto, la administración de riesgos se constituye un tema de gran
importancia para la identificación de las amenazas d la implementación de proyectos de
TI.
Para analizar el impacto del riesgo de los proyectos estratégicos de TI:
1) Identificación, categorización, probabilidad e impacto de riesgos
2) Ordenamiento y priorización de los riesgos
3) Plan de reducción de riesgos.
Identificación, categorización, probabilidad e impacto de riesgo.
Constituyen el primer paso de la metodología, los cuales se basan en los siguientes
criterios:
118
Tabla 26. Probabilidad e impacto del riesgo
Probabilidad de riesgos Valor
Insignificante 1
Baja 2
Mediada 3
Alta 4
En base a los criterios planeados se evalúan los riesgos de los proyectos estratégicos de
TI de Importadora Alvarado.
Gestión de TI
Tabla 27. Riesgos de Gestión de TI
ID RIESGO PROBABILIDAD IMPACTO
R1 Resistencia al cambio 3 2
R2 Limitado recurso humano 3 3
R3 Limitados recursos económicos 3 2
R4 Retrasos en el seguimiento del
cronograma
2 2
R5 Daños del sistema 3 3
R6 Limitados recursos físicos 3 2
Tabla 28. Riesgos de Gestión de procesos
ID RIESGO PROBABILIDAD IMPACTO
R7 Resistencia al cambio 3 2
R8 Poco recurso humano 2 3
R9 Limitados recursos económicos 3 2
R10 Retrasos en el seguimiento del
cronograma
2 2
R11 Mal funcionamiento del sistema 2 3
R12 Limitados recursos físicos 3 2
R13 Capacitación inadecuada 3 4
Impacto del riesgos Valor
Despreciable 1
Marginal 2
Crítico 3
Catastrófico 4
119
Tabla 29. Plan de respaldo y recuperación de información
ID RIESGO PROBABILIDAD IMPACTO
R14 Resistencia al cambio 3 2
R15 Limitado recurso humano 3 3
R16 Limitados recursos económicos 3 2
R17 Retrasos en el seguimiento del
cronograma
2 2
R18 Daños del sistema 2 2
R19 Limitados recursos físicos 3 2
Tabla 30. Riesgos del sistema de gestión de calidad
ID RIESGO PROBABILIDAD IMPACTO
R20 Resistencia al cambio 3 2
R21 Limitado recurso humano 3 3
R22 Limitados recursos económicos 3 2
R23 Retrasos en el seguimiento del
cronograma
2 2
R24 Daños del sistema 3 3
R24 Limitados recursos físicos 3 2
R26 Inconvenientes en el análisis de
requerimientos
2 4
Ordenamiento y priorización de los riesgos de la probabilidad y el impacto
Posterior a la categorización de los riesgos es necesario armar la matriz de impacto vs
probabilidad para que otorgue como resultado la estimación del nivel de riesgo de cada
uno de los proyectos de TI, además de permitir catalogar dentro de un ranking de
riesgos asociados a los proyectos de TI.
La matriz se basa en la ecuación siguiente:
𝑅𝑖𝑒𝑠𝑔𝑜𝑠 = 𝐼𝑚𝑝𝑎𝑐𝑡𝑜 ∗ 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑
120
Además de ello es importante considerar los colores para representar el nivel de riesgo:
Color Nivel riesgo
Verde Riesgo bajo
Amarillo Riesgo medio
Rojo Riesgo Alto
Proyecto 1:
R2, R5
R4 R1,R3
R6
1 2 3 4
PROBABILIDAD
Figura 66. Matriz de gestión de riesgos- Proyecto1
Proyecto 2:
R13
R8,R11
R10 R7,R9
R12
1 2 3 4
PROBABILIDAD
Figura 67. Matriz de gestión de riesgos- Proyecto 2
Proyecto 3:
R15
R17,
R18
R14, R16,
R19
1 2 3 4
PROBABILIDAD
Figura 68. Matriz de gestión de riesgos- Proyecto 3
4
3
2
1
4
3
2
1
4
3
2
1
121
Proyecto 4:
R26
R24 R21,
R23 R20,
R22,
R25
1 2 3 4
PROBABILIDAD
Figura 69. Matriz de gestión de riesgos- Proyecto 4
Una vez aplicada la matriz de riesgo para cada uno de los planes se permite priorizar los
riesgos considerados como de primer orden, que son los que están dentro del color
amarillo y rojo, los cuales son los que se deben considerar en la gestión del plan de
reducción, supervisión y gestión de riesgos.
Riesgos de primer orden: R2, R5, R13, R15, R21, R26
Los riesgos de segundo orden son los que se ubican en el color verde, pero estos no son
considerados debido a que sus valores de probabilidad e impacto son bajos
Riesgos de segundo orden: R1, R3, R4, R5, R6, R7, R8, R9, 10, R11, R12, R14, R16,
R17, R18, R19, R20, R22, R23, R24, R25
Plan de gestión de riesgos
A continuación se realizan las evaluaciones y se establecen las soluciones para los
riesgos detectados.
4
3
2
1
122
Tabla 31. Plan de reducción, supervisión y gestión de riesgo. R2, R15, R21
Plan de reducción, supervisión y gestión de riesgo ID: R2, R15, R21
Probabilidad
Critico
Riesgo mediano
Descripción
Limitado recurso humano
Predicción
Debido a que con se cuenta con el personal calificado para la administración de los
sistemas informáticos no se puede aprovechar de forma adecuado la implementación de
las soluciones.
Reducción
Se debe realizar un adecuado plan de contratación de personal, con conocimientos
previos para el manejo de los sistemas. Además de definir las responsabilidades que
van a tener cada uno de ellos.
Tabla 32. Plan de reducción, supervisión y gestión de riesgo. R5
Plan de reducción, supervisión y gestión de riesgo ID: R5
Probabilidad
Mediano
Impacto
Crítico
Descripción
Daños del sistema
Predicción
Una falla en el sistema representa daños importantes para la organización, debido a que
puede generar la pérdida de información valiosa.
Reducción
Es necesario sacar respaldos de la información para garantizar la funcionalidad del
sistema en el momento que se requiera.
Es importante establecer planes de mantenimiento preventivo tanto de hardware como
de software para minimizar fallas del sistema.
123
Tabla 33. Plan de reducción, supervisión y gestión de riesgo. R13
Plan de reducción, supervisión y gestión de riesgo ID: R13
Probabilidad
Mediana
Riesgo
Catastrófico
Descripción
Capacitación inadecuada
Predicción
El personal que no se encuentra capacitado puede generar retrasos en la ejecución del
proyecto, lo cual incurre en gastos adicionales.
Reducción
Es necesario realizar una capacitación adecuada al personal que va a estar relacionado
con el desarrollo del proyecto para de esa forma garantizar el alcance de los objetivos
establecidos.
Tabla 34. Plan de reducción, supervisión y gestión de riesgo. R5
Plan de reducción, supervisión y gestión de riesgo ID: R5
Probabilidad
Mediana
Riesgo
Catastrófico
Descripción
Capacitación inadecuada
Predicción
El personal que no se encuentra capacitado puede generar retrasos en la ejecución del
proyecto, lo cual incurre en gastos adicionales.
Reducción
Es necesario realizar una capacitación adecuada al personal que va a estar relacionado
con el desarrollo del proyecto para de esa forma garantizar el alcance de los objetivos
establecidos.
124
Tabla 35. Plan de reducción, supervisión y gestión de riesgo. R26
Plan de reducción, supervisión y gestión de riesgo ID: 26
Probabilidad
Baja
Riesgo
Catastrófico
Descripción
Inconvenientes en el análisis de requerimientos
Predicción
El inadecuado análisis de los requerimientos del proyecto generan retrasos en la
ejecución del mismo, pues es la parte fundamental y pinto de partida del mismo.
Reducción
Dedicar un tiempo considerable para realizar el análisis de requerimientos funcionales
y no funciones de cada proyecto que se va a implementar.
Utilizar técnicas sofisticadas y veraces para recolección de información que permitan
plasmar los requerimientos necesarios para la ejecución del proyecto.
125
CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
De acuerdo al análisis realizado, el sistema organizacional que maneja
Importadora Alvarado no garantiza confianza en cuanto a veracidad de la
información, ya que muchos procesos se realizan de manera manual, por tal
motivo el nivel de seguridad para salvaguardar la información no es adecuado,
además de que el departamento de sistemas no cuenta con políticas y
procedimientos definidos de manera correcta para garantizar el perfecto
desempeño de cada proceso, así también el personal no es capacitado
constantemente, por el cual se considera importante desarrollar un plan de
capacitación continua dentro del plan estratégico de la empresa.
Con la aplicación del proceso COBIT se pudo determinar que el departamento
de Sistema de Importadora Alvarado presenta un nivel bajo en cuanto a la
administración del recurso humano, no realiza la orientación necesaria al
momento de la contratación del personal, de igual forma para adquirir un
software aplicativo no se considera las directivas tecnológicas ni la arquitectura
de información de la organización, por lo que se menciona que a pesar de que se
han sido definidos los procesos, aún existen algunos que se están ejecutando de
forma intuitiva, motivo por el cual se debe buscar el incremento de sus grados de
madurez.
Entre las estrategias y necesidades futuras en tecnología que apoyen la gestión,
administración y organización de recursos, procesos e infraestructura en
Importadora Alvarado S.A se puede mencionar el llevar un adecuado control de
los sistemas informáticos, para lo cual se necesita realizar una investigación
detallada de las causas que generan alteraciones en los servicios de TI.
126
Es evidente la necesidad de implementar un plan estratégico de TI como una
herramienta de administración, supervisión y control para dar solución a los
problemas que se presentan en Importadora Alvarado, con el establecimiento de
objetivos específicos y estrategias que influencien en el ambiente interno y
externo de la organización, en los organismos reguladores, supervisores,
clientes, proveedores, entre otros.
127
5.2. RECOMENDACIONES
Es importante que Importadora Alvarado ponga en práctica su plan estratégico
de Servicios de TI a través de la gestión de proyectos para involucrar de manera
activa al gobierno de TI, los miembros y a los clientes, haciendo los procesos
más eficientes y efectivos.
Es importante que los planes de acción establecidos para mejorar y cubrir las
debilidades detectadas en Importadora Alvarado sean ejecutados de acuerdo a
una planificación estricta para el fortalecimiento de la capacidad humana y
organizacional.
Es necesario realizar una evaluación permanente del plan estratégico de TI con
la finalidad de asegurar su correspondencia con los objetivos empresariales,
además de detectar las deficiencias en el mismo y realizar los ajustes pertinentes
que garanticen credibilidad y confianza de los clientes.
Una vez que se pone en marcha el plan estratégico de TI se debe evaluar
nuevamente y determinar el nivel de madurez de la empresa para identificar
nuevamente la situación actual de la gestión del área de TI en un tiempo menor a
un año.
128
BIBLIOGRAFÍA
[1] D. Hernández, D. Pérez, E. León, M. Infante y J. Blanco, «Propuesta de proceso de
planificación de sistemas de información para la industria biofarmacéutica
cubana,» Revista Cubana de Información en Ciencias de la Salud, vol. 27, nº 2, pp.
185-205, 2016.
[2] M. Pérez, «Aplicación de la metodología ITIL para impulsar la gestión de TI en
empresas del Norte de Santander (Colombia),» Revista Espacios, vol. 39, nº 9,
2017.
[3] A. Caicedo, Diseño de un plan estratégico de sistemas de información aplicando
metodologías internacionaes de planificación para el área de desarrollo del
departamento de tecnología de la información y comunicación (TIC) de la PUCE
sede Esmeraldas, Esmeraldas: PUCESE, 2018.
[4] G. Steiner, Planeación estratégica, 23 ed., México: Reimpresión, Cecsa, 1998, p.
366.
[5] M. Ojeda, «La planificación estratégica en las instituciones de educación superior
mexicana,» Revista de Investigación Educativa 16, pp. 120-129, 2013.
[6] O. Solano, S. Riasco y A. Aguilera, «Determinantes de los planes estratégicos de
los sistemas de información en las pymes colombianas: Caso Santiago de Cali,»
Entramado, vol. 9, nº 1, pp. 26-36, 2013.
[7] D. De la Cruz, «Planificación Estratégica,» Escuela de Organización Industrial, p.
2, Febrero 2012.
[8] M. Armijo, Manual de Planificación Estratégica e Indicadores de Desempeño en el
Sector Público, Nueva York: Instituto Latinoamericano de Planificación
Económica y Social, 2009.
[9] U. Cuesta, Planificación estratégica y creatividad, Madrid: Escuela de negocios y
Centro Universitario, 2012, p. 35.
[10] M. Oviedo, A. Medina, E. Negrín y D. Carpio, La Planificación Operativa con
Enfoque en Procesos para Las Universidades del Ecuador, Babahoyo: Universidad
Técnica de Babahoyo, 2017, p. 10.
[11] F. González, La Planificación Estratégica: Métodos, Técnicas y Buenas Prácticas,
Ronda, Andalucia: Madeca, 2014, p. 10.
129
[12] M. López, Planeación Estratégica un Pilar en la Gestión Empresarial, Sonora:
Instituto Tecnológico de Sonora, 2013, pp. 15-17.
[13] O. Rivera, Los conceptos de Misión, Visión y propósito estratégico, Deusto:
Universidad de Deusto, 2011, p. 2.
[14] C. Ordoñez, Misión, Visión y Valores de la Empresa, Santiago de Chile: Liceo
Sara Blinder Dargoltz, 2015, p. 3.
[15] C. Stoltze, Análisis Estratégico del Negocio, P. U. C. d. Valparaíso, Ed.,
Valparaiso: Ediciones Univeritarias de Valparaíso, 2014, p. 12.
[16] G. Tapia, Indicadores y Planificación Estratégica, Buenos Aires: Universidad de
Buenos Aires, 2011, p. 5.
[17] G. Cano, «Las TICs en las Empresas: Evolución de la Tecnología y Cambio
Estructural en las Organizaciones,» Revista Científica Dominio de las Ciencias,
vol. 4, nº 1, p. 502, Enero 2018.
[18] C. Belloch, Las Tecnologías de la Información y Comunicación (T.I.C), Valencia:
Universidad de Valencia, 2006, p. 7.
[19] D. Oliveros y G. M. Martinez, «Efecto de las TIC Sobre la Gestión de las
Empresas Hoteleras Afiliadas a Cotelco de Bucaramanga,» Revistas EAN, vol. 83,
pp. 15-30, Diciembre 2017.
[20] D. Díaz, Tecnologías de información y Comunicaciones (TICs) y su rol en la
Innovación, Universidad de Chile, 2015, pp. 5-7.
[21] A. Durán y J. Vargas, Costo de Tecnología de Información y Comunicación para
Cooperativas de Ahorro y Crédito, Berlín: Confederación Alemana de
Cooperativas, 2013, pp. 5-7.
[22] M. Olarte y P. Peyrin, Sistema de Información estratégicos y Tecnologías de
Información, Primavera: Universidad de Chile, 2004.
[23] M. Velásquez, P. Castillo y M. Zambrano, «Planificación estratégica de
tecnologías de la información y comunicación,» Revista Científica de dominio de
ciencias, vol. 2, nº 4, pp. 560-570, 2016.
[24] S. Testa, Plan estrégico de desarrollo sostenible en red para Roraima, Brasil:
Enciclopedia virtual, 2012.
[25] F. U. Empresa, Protoyecto de planificación estratégica, Murcia, 2010.
130
[26] E. Martínez y J. García, «Sistemas informáticos de innovación empresarial,»
Revista ECORFAN, vol. 2, nº 5, pp. 109-131, 2011.
[27] Universidad EAFIT, COBIT: Modelo para auditoría y control de sistemas de
información, Medellín, 2007.
[28] Á. Almanza, La aplicación de COBIT en las Organizaciones ¿Vale la pena el
esfuerzo?, Bogotá D.C: Universidad Militar de Nueva Granada, 2012.
[29] Ingeniería y Soporte IT, «COBIT y los controles de aplicaciòn,» Interpolados,
febrero 05 2017. [En línea]. Available:
https://interpolados.wordpress.com/2017/02/05/cobit-y-los-controles-de-
aplicacion/. [Último acceso: 05 25].
[30] Governance Institute, COBIT: Marco Referencial, Tercera ed., Comité Directivo de
COBIT e IT Governance Institute, 2010, pp. 17-18.
[31] B. Naranjo, Diagnóstico para la implementación de COBIT en una empresa de
producción área piloto: Departamento de sistemas, Guayaquil: Universidad
Politécnica Salesiana, 2012.
[32] D. Cadena, Desarrollo del plan estratégico de Servicios de TI para la acción
comunicacional del Colegio de Ingenieros en informáica, sistemas y computación
de Pichincha (CIISP) para sus socios, Quito: Pontificia Universidad Católica del
Ecuador, 2016.
[33] A. Ezequiel, Introducción a la planificación, Buenos Aires - México: Grupo
Editorial Lumen Hvmanitas, 2007, p. 206.
[34] Ministerio de Telecomunicaciones y de la Sociedad de la Información, Ecuador
cuenta con una propuesta de plan estratégico de investigación, desarrollo e
innovación de las TICs..
[35] T. Alvarado, Metología para Elaborar un Plan Estratégico y Rediseño
Organizacional de una Unidad de Producción Agropecuaria, Torreon: La Unidad
Laguna, Forataleza de la Narro, 2010, p. 5.
131
ANEXOS
ANEXO 1.EVALUACIÓN POR PROCESOS
DOMINIOS PROCESOS
#
OBJETIVOS %
PLANEAR Y
ORGANIZAR
PO1 - Definir un Plan Estratégico de TI 6 97%
PO2 - Definir la Arquitectura de la Información 4 80%
PO3 - Determinar la Dirección Tecnológica 5 70%
PO4 - Definir los Procesos, Organización y
Relaciones de TI 15 79%
PO5 - Administrar la Inversión en TI 5 65%
PO6 - Comunicar las Aspiraciones y la Dirección de
la Gerencia 5 100%
PO7 - Administrar Recursos Humanos de TI 8 40%
PO8 - Administrar la Calidad 6 0%
PO9 - Evaluar y Administrar los Riesgos de TI 6 0%
PO10 - Administrar Proyectos 14 94%
ADQUIRIR E
IMPLEMENT
AR
AI1 - Identificar soluciones automatizadas 4 94%
AI2 - Adquirir y mantener software aplicativo 10 88%
AI3 - Adquirir y mantener infraestructura tecnológica 4 96%
AI4 - Facilitar la operación y el uso 4 94%
AI5 - Adquirir recursos de TI 4 100%
AI6 - Administrar cambios 5 83%
AI7 - Instalar y acreditar soluciones y cambios 9 100%
ENTREGAR Y
DAR
SOPORTE
DS1 - Definir y administrar los niveles de servicio 6 87%
DS2 - Administrar los servicios de terceros 4 67%
DS3 - Administrar el desempeño y la capacidad 5 50%
DS4 - Garantizar la continuidad del servicio 10 17%
DS5 - Garantizar la seguridad de los sistemas 11 73%
DS6 - Identificar y asignar costos 4 100%
DS7 - Educar y entrenar a los usuarios 3 100%
DS8 - Administrar la mesa de servicio y los
incidentes 5 91%
DS9 - Administrar la configuración 3 64%
DS10 - Administrar los problemas 4 40%
DS11 - Administrar los datos 6 100%
DS12 - Administrar el ambiente físico 5 100%
DS13 - Administrar las operaciones 5 70%
MONITOREA
R Y
EVALUAR
ME1 - Monitorear y Evaluar el Desempeño de TI 6 50%
ME2 - Monitorear y Evaluar el Control Interno 7 56%
ME3 - Garantizar el Cumplimiento Regulatorio 5 100%
ME4 - Proporcionar Gobierno de TI 7 66,66
132
Anexo 2. Formato de la encuesta
UNIVERSIDAD TÉCNICA DE AMBATO
FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E
INDUSTRIAL
ENCUESTA DIRIGIDA AL PERSONAL DE TI DE IMPORTADORA ALVARADO
1.- ¿Tiene definido un plan estratégico de TI y este se encuentra alineada con las
necesidades de la empresa?
Si
Parcialmente
No
2.- ¿Tiene definida su arquitectura de la información?
Si
Parcialmente
No
3.- ¿Tiene definido un marco de trabajo de procesos para TI?
Si
Parcialmente
No
4.- ¿El presupuesto que se invierte para los procesos y operaciones de TI es el óptimo?
Si
Parcialmente
No
5.- ¿Tiene implementado políticas de TI?
Si
Parcialmente
No
6.¿Con que frecuencia son renovadas dichas políticas de TI?
Frecuentemente
A veces
Casi nunca
133
7.- ¿El personal de TI es capacitado continuamente?
Si
Parcialmente
No
8.- ¿Los proyectos que se están desarrollando actualmente se encuentran dentro del plan
Organizacional de la empresa?
Si
Parcialmente
No
9.- Previo a la adquisición o ejecución de una solución automatizada, ¿Se realiza un
estudio de factibilidad?
Si
Parcialmente
No
10.- ¿Con que frecuencia se realizan cambios de emergencia en la infraestructura de TI,
aplicaciones y soluciones técnicas?
Mucha Frecuencia
A veces
Poca Frecuencia
11.- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. ¿En la empresa se establecen metodologías de prueba para garantizar la
aceptación del producto por parte del cliente interno previo a su liberación?
Si
Parcialmente
No
134
12.- ¿La gerencia se encarga de realizar la evaluación formal y la aprobación de los
resultados de prueba?
Si
Parcialmente
No
13.- ¿El nivel de seguridad para salvaguardar la información contra el uso, revelación o
modificación no autorizada, deterioro o pérdida es el adecuado?
Si
Parcialmente
No
14.- ¿Los servicios de TI utilizan un sistema de contabilidad de costos para asegurar que
los costos sean registrados, calculados y asignados al nivel requerido de detalle?
Si
Parcialmente
No
15- ¿La empresa cuenta con un repositorio central que contenga toda la información
referente a los elementos de configuración?
Si
Parcialmente
No
16.- Proporciona reportes administrativos del desempeño de TI a la alta dirección?
Si
Parcialmente
No
¡GRACIAS POR SU COLABORACIÓN!
top related