Proyecto Profesional Juro - Velásquez PDF

Implementación de un modelo de gestión
estratégico de TI para la empresa IT-Expert
Item Type info:eu-repo/semantics/bachelorThesis
Authors Juro Pereira, Peter; Velásquez Vara, Carlos Andrés
Publisher Universidad Peruana de Ciencias Aplicadas (UPC)
Rights info:eu-repo/semantics/openAccess
Download date 07/12/2019 02:08:10
Link to Item http://hdl.handle.net/10757/582052

Facultad de Ingeniería
Escuela de Ingeniería de Sistemas y Computación
Carrera de Ingeniería de Sistemas de Información
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN

ESTRATÉGICO DE TI PARA LA EMPRESA IT-
EXPERT
Memoria del Proyecto Profesional para la obtención del Título Profesional de

Ingeniero de Sistemas de Información
Autores
U201011057, Peter Juro Pereira

U201011417, Carlos Andrés Velásquez Vara
Asesor
Escobar Urueña, Marcela
Lima, Octubre 2015

RESUMEN EJECUTIVO
Actualmente el manejo adecuado de la información en las empresas es fundamental para

realizar de manera correcta la toma de decisiones y sobresalir en un ambiente empresarial
cada vez más competitivo. En este sentido, la gestión de TI desde un nivel estratégico es
vital en toda organización. Sin embargo, no todas las organizaciones realizan una eficiente
gestión de TI, sobre todo aquellas que no están consolidadas: Las pymes, estas presentan
ciertos problemas vinculados a la gestión de TI como: Falta de alineamiento entre los
objetivos de TI y los estratégicos, una pobre gestión de proyectos, inversiones que no
generan beneficio alguno, falta de control y seguimiento, y gestión de servicios inadecuada.
El presente documento muestra el trabajo realizado en el proyecto “Implementación de un

modelo de gestión estratégica de TI para la empresa IT-Expert”, cuyo resultado permitirá a
la empresa IT-Expert utilizar la información y la tecnología de la manera más eficiente y así
ayudar a alcanzar los objetivos estratégicos, mediante la implementación de un modelo de
gestión de TI basado en COBIT 5. La metodología de implementación se encuentra en la
guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue
obtenido del primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo
de evaluación de procesos utilizado es PAM (Process Assessment Model) propuesto por el
mismo marco de referencia.
Para este proyecto, se realizó en primera instancia una evaluación de la capacidad actual de
los procesos y se definió también el nivel de capacidad objetivo de los mismos. Después de
un análisis de brechas, se propusieron las mejoras necesarias para alcanzar el nivel de
capacidad objetivo. Estas se priorizaron mediante una evaluación basada en la dificultad de
implementación (tiempo, conocimiento necesario) y los beneficios que producirían. Se
implementaron las mejoras relacionadas al proceso "Gestionar el marco de gestión de TI".
Finalmente, se realizó una segunda evaluación para validar si efectivamente se había
II
alcanzado el nivel de capacidad objetivo. De esta manera, se logró que IT-Expert tuviera
mecanismos y autoridades para la gestión de la información y el uso de TI que pudieran
apoyar a los objetivos de gobierno.
III
ABSTRACT
Nowadays the proper managing of information inside companies is crucial for properly
perform decision-making and take advantage on business in an increasingly competitive
environment. In that sense, from the view of strategic level, IT management is vital in any
organization or company. However, not all organizations perform efficient IT management,
especially those that are not consolidated: SMEs or small companies; these small companies
suffer certain problems related to IT management such as the following: Lack of alignment
between IT and strategic objectives; Poor project management: investments that do not
generate a substantial profit; Lack of control and monitoring, and inadequate services
management.
This document shows the job done in the project named as "Implementation of a strategic
management model for enterprise IT IT-Expert”, and the corresponding results will allow
the IT-Expert company expertise the use of information technologies more efficiently and it
will achieve the strategic objectives through the implementation of a management model
based IT COBIT 5. The implementation methodology is in the ISACA guide "COBIT 5
Implementation". The process model used as reference was obtained from the first domain
IT management COBIT 5 framework and the process assessment model considered for this
project is PAM (Process Assessment Model) proposed by the same framework document.
For this project, firstly, it was done an evaluation of the current scope of the processes and
also the level of objective capacity was defined. After a gap analysis, it was proposed
necessary improvements to achieve the level of objective capacity. These were prioritized
through an evaluation based on the implementation difficulty (time, required knowledge)
and the benefits that would result of it. It was made process improvements related to
"Manage the IT management framework ". Finally, a second evaluation was performed to
validate if they had actually reached the target level of capacity. By all the above, it was
possible that IT-Expert Company have mechanisms and authorities for information
management and that they could make use of IT to support government objectives.
IV
TABLA DE CONTENIDOS
RESUMEN EJECUTIVO .................................................................................................................................... II
ABSTRACT..................................................................................................................................................... IV
TABLA DE CONTENIDOS ................................................................................................................................. V
LISTA DE ILUSTRACIONES.............................................................................................................................. IX
INTRODUCCIÓN ............................................................................................................................................. 1
DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3
OBJETO DE ESTUDIO ........................................................................................................................................ 4

DOMINIO DEL PROBLEMA .......................................................................................................................... 4
PLANTEAMIENTO DEL PROBLEMA .............................................................................................................. 4
OBJETIVO DEL PROYECTO ................................................................................................................................ 5
INDICADORES DE ÉXITO .............................................................................................................................. 5
PLANIFICACION DEL PROYECTO .................................................................................................................. 6
MARCO TEORICO ......................................................................................................................................... 18
CONCEPTO ..................................................................................................................................................... 19
ENFOQUES DE TRABAJO ................................................................................................................................ 20
Primera fase .............................................................................................................................................. 20
Segunda fase............................................................................................................................................. 20
ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES INTERNACIONALES ................................................... 20
COBIT 5 ..................................................................................................................................................... 20
Primer dominio de gestión de Cobit 5 ....................................................................................................... 22
Modelo de evaluación de procesos PAMP ................................................................................................ 25
ESTADO DEL ARTE........................................................................................................................................ 28
ESTADO DEL ARTE .......................................................................................................................................... 29

Revisión de la literatura ............................................................................................................................ 29
Modelos de gestión y gobierno de TI ........................................................................................................ 35
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45
FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL COMPROMISO DE LA ALTA DIRECCIÓN ........................ 46
PUNTOS DÉBILES ....................................................................................................................................... 46
EVENTOS DESENCADENANTES .................................................................................................................. 47
IDENTIFICACIÓN DE PARTES INTERESADAS .............................................................................................. 47
FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL ESTADO ACTUAL....................................................... 50
V
CASCADA DE METAS ................................................................................................................................. 50
Mapeo Entre necesidades de las partes interesadas y las metas de la empresa .................................................. 50
Mapeo entre las necesidades de la empresa y las metas relacionadas con TI ...................................................... 58
Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5 ............................................. 69
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE
REVISIÓN).................................................................................................................................................. 77
Evaluaciones del dominio de gestión .................................................................................................................... 77
Criterios de evaluación .......................................................................................................................................... 78
Calificación de la capacidad actual de los procesos seleccionados ....................................................................... 81
Resumen de calificación de la capacidad actual de los procesos seleccionados ................................................. 110
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL ESTADO FUTURO DESEADO ........................................... 113
NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS ............................................................................. 113
LISTA DE OPORTUNIDADES DE MEJORA ................................................................................................. 114
CUADRO INTEGRADO DE MEJORA .......................................................................................................... 118
PLAN DE MEJORAMIENTO DE ALTO NIVEL ............................................................................................. 121
FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS BRECHAS ................................................................... 123
Priorizar las iniciativas potenciales ......................................................................................................... 123
DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN DE TI .......................................................... 132
Roles .................................................................................................................................................................... 133
Stakeholders ........................................................................................................................................................ 134
Entradas del proceso ........................................................................................................................................... 135
Salidas de proceso ............................................................................................................................................... 136
Caracterización .................................................................................................................................................... 137
Diagrama de proceso........................................................................................................................................... 143
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL ............................................. 144
Descripción del proceso ...................................................................................................................................... 144
Roles .................................................................................................................................................................... 144
STAKEHOLDERS ................................................................................................................................................... 145
Salidas del proceso .............................................................................................................................................. 145
Diagrama del proceso .......................................................................................................................................... 147
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO .............................................................................. 148
Roles .................................................................................................................................................................... 149
STAKEHOLDERS ................................................................................................................................................... 150
DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS HUMANOS......................................................... 158
VI
Roles .................................................................................................................................................................... 159
STAKEHOLDERS ................................................................................................................................................... 159
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR EL PLAN DE IMPLEMENTACIÓN ............................... 163
Productos de Trabajo de la Implementación .......................................................................................... 163
MODELO DE PROCESOS .......................................................................................................................... 165
DEFINICION DEL PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................... 166
DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI .......................................................... 168
DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA ORGANIZATIVA ....................................................... 179
DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS CATALIZADORES ............................................... 189
DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI ............... 201
DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ............................ 207
DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS .................................. 213
DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..... 220
POLÍTICAS ................................................................................................................................................ 225
ESTRUCTURA ORGANIZATIVA ................................................................................................................. 227
ARQUITECTO DE TI .............................................................................................................................................. 227
GESTOR DE RIESGOS ............................................................................................................................................ 228
GESTOR DE LA SEGURIDAD.................................................................................................................................. 228
ROLES ...................................................................................................................................................... 229
ARQUITECTO DE TI .............................................................................................................................................. 229
GESTOR DE RIESGOS ............................................................................................................................................ 229
GESTOR DE LA SEGURIDAD.................................................................................................................................. 229
MÉTRICAS ............................................................................................................................................... 230
INDICADORES ...................................................................................................................................................... 230
NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES ............................................................................. 230
NIVEL DE AVANCE REAL DEL PROYECTO ............................................................................................................. 231
NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO ....................................................................................... 231
FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR? DESARROLLAR EL PLAN DE IMPLEMENTACIÓN .......................... 233
Tablero De Indicadores ........................................................................................................................... 233
Formulario Reuniones Del Proyecto ........................................................................................................ 234
Formulario Avance Del Proyecto ............................................................................................................. 235
Reporte De Informe De Avance Y Reuniones De It-Expert ...................................................................... 236
Avance del proyecto................................................................................................................................ 236
Reuniones por proyecto .......................................................................................................................... 237
Informe de EDT ....................................................................................................................................... 237
Informe de reuniones .............................................................................................................................. 238
Resumen de avances comparativo ......................................................................................................... 239
VII
Resumen de reuniones comparativo ....................................................................................................... 240
FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO? MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA
IMPLEMENTACIÓN ...................................................................................................................................... 242
Evaluación ............................................................................................................................................... 242
Lecciones Aprendidas .............................................................................................................................. 245
Mejoras Futuras ...................................................................................................................................... 246
GESTIÓN DEL PROYECTO ........................................................................................................................... 248
PRODUCTO FINAL ........................................................................................................................................ 249

GESTIÓN DEL TIEMPO .................................................................................................................................. 250
GESTIÓN DE LOS RECURSOS HUMANOS ...................................................................................................... 256
GESTIÓN DE LAS COMUNICACIONES ........................................................................................................... 258
GESTIÓN DE LOS RIESGOS ............................................................................................................................ 259
LECCIONES APRENDIDAS ............................................................................................................................. 262
CONCLUSIONES ......................................................................................................................................... 263
RECOMENDACIONES ................................................................................................................................. 265
GLOSARIO .................................................................................................................................................. 266
SIGLARIO ................................................................................................................................................... 268
BIBLIOGRAFÍA ............................................................................................................................................ 269
ANEXOS ..................................................................................................................................................... 270
ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270

ANEXO 2: EDT DEL PROYECTO 1ERA ETAPA......................................................................................................... 300
ANEXO 4: LISTA DE REVISIONES ......................................................................................................................... 328
ANEXO 5: MAPA DE PROCESOS ......................................................................................................................... 392
ANEXO 6: ACTAS DE REUNIÓN 2DA ETAPA .......................................................................................................... 395
ANEXO 7: EDT DEL PROYECTO 2DA ETAPA .......................................................................................................... 418
ANEXO 8: ACTAS DE ACEPTACIÓN DE LOS ENTREGABLES DE LA IMPLEMENTACIÓN DEL MODELO DE GESTIÓN ESTRATÉGICA . 432
ANEXO 9: ACTA DE ACEPTACIÓN DE LA GESTIÓN DEL PROYECTO .............................................................................. 433
ANEXO 10: CONSTANCIA DE SERVICIO DE VALIDACIÓN Y VERIFICACIÓN QS................................................................ 434
ANEXO 11: CERTIFICADO DE APROBACIÓN .......................................................................................................... 438
ANEXO 12: PAPER CIENTÍFICO .......................................................................................................................... 439
ANEXO 13: POSTER Y BRIEF .............................................................................................................................. 454
VIII
LISTA DE ILUSTRACIONES
ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9

ILUSTRACION 2: PRINCIPIOS DE COBIT 5 ...................................................................................................................... 20
ILUSTRACIÓN 3: CASCADA DE METAS ........................................................................................................................... 21
ILUSTRACIÓN 4: PROCESOS DEL PRIMER DOMINIO ESTRATÉGICO DE COBIT 5 (APO) ............................................................. 22
ILUSTRACIÓN 5: NIVEL DE CAPACIDAD ......................................................................................................................... 25
ILUSTRACIÓN 6: ESCALA DE CALIFICACIÓN .................................................................................................................... 27
ILUSTRACIÓN 7: SEGMENTOS DEL MARCO DE CALDER-MOIR ............................................................................................ 30
ILUSTRACIÓN 8: MODELO DE GOBIERNO DE LAS TI DE LA NORMA ISO 38500 .................................................................... 31
ILUSTRACIÓN 9: MODELO DE LEAVITT ......................................................................................................................... 32
ILUSTRACIÓN 10: ESTRUCTURA CMMI ....................................................................................................................... 33
ILUSTRACIÓN 11: MODELO DE GOBIERNO DE TI PARA LA INDUSTRIA EDITORIAL .................................................................. 35
ILUSTRACIÓN 12: MAGERIT Y EL MARCO DE GESTIÓN DE RIESGOS ISO 31000 (DIRECCIÓN GENERAL DE MODERNIZACIÓN
ADMINISTRATIVA, PROCEDIMIENTOS E IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA, 2012) ................................... 38
ILUSTRACIÓN 13: MOTIVOS POR LOS QUE SE DECIDE IMPLANTAR UN SISTEMA DEL GOBIERNO DE LAS TI EN UNA UNIVERSIDAD ...... 39
ILUSTRACIÓN 14: GUÍA DE BUEN GOBIERNO DE LAS TI PARA EL PRINCIPIO DE RESPONSABILIDAD ............................................. 40
ILUSTRACIÓN 15: TIPOS DE INDICADORES INCLUIDOS EN EL GTI4U ................................................................................... 41
ILUSTRACIÓN 16: MODELO INTEGRADO DE PROCESOS DE GOBERNANZA Y GESTIÓN DE TI ..................................................... 42
ILUSTRACIÓN 17: NIVEL DE CAPACIDAD DE LOS PROCESOS DE LA EMPRESA IT-EXPERT ......................................................... 113
ILUSTRACIÓN 18: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI – (PROPUESTA) ........................................................... 143
ILUSTRACIÓN 19: PROCESO GESTIONAR LA ARQUITECTURA EMPRESARIAL – (PROPUESTA) .................................................. 147
ILUSTRACIÓN 20: PROCESO GESTIONAR PORTAFOLIO – (PROPUESTA) ............................................................................. 158
ILUSTRACIÓN 21: PROCESO GESTIONAR LOS RECURSOS HUMANOS – (PROPUESTA) ........................................................... 161
ILUSTRACIÓN 22: PROCESO GESTIONAR EL MARCO GESTIÓN DE TI ................................................................................. 178
ILUSTRACIÓN 23: PROCESO DEFINIR LA ESTRUCTURA ORGANIZATIVA .............................................................................. 188
ILUSTRACIÓN 24: PROCESO MANTENER LOS ELEMENTOS CATALIZADORES........................................................................ 200
ILUSTRACIÓN 25: PROCESO DEFINIR LA PROPIEDAD DE LA INFORMACIÓN Y DEL SISTEMA DE TI............................................. 206
ILUSTRACIÓN 26: PROCESO COMUNICAR LOS OBJETIVOS Y LA DIRECCIÓN DE GESTIÓN ....................................................... 212
ILUSTRACIÓN 27: PROCESO GESTIONAR LA MEJORA CONTINUA DE LOS PROCESOS ............................................................ 219
ILUSTRACIÓN 28: PROCESO MANTENER EL CUMPLIMIENTO CON LAS POLÍTICAS Y PROCEDIMIENTOS ..................................... 224
ILUSTRACIÓN 29: ORGANIGRAMA DE IT-EXPERT 2014 IMPLEMENTADO.......................................................................... 227
ILUSTRACIÓN 30: FORMULARIO DE REUNIONES DEL PROYECTO ....................................................................................... 234
ILUSTRACIÓN 31: FORMULARIO DE AVANCE DEL PROYECTO ........................................................................................... 236
ILUSTRACIÓN 32: AVANCE POR PROYECTO ................................................................................................................. 236
ILUSTRACIÓN 33: REUNIONES POR PROYECTO ............................................................................................................. 237
IX
ILUSTRACIÓN 34: INFORME EDT .............................................................................................................................. 237
ILUSTRACIÓN 35: INFORME DE REUNIONES................................................................................................................. 238
ILUSTRACIÓN 36: RESUMEN DE AVANCES SEMÁFOROS.................................................................................................. 239
ILUSTRACIÓN 37: RESUMEN DE AVANCES GRÁFICOS ..................................................................................................... 240
ILUSTRACIÓN 38: RESUMEN DE REUNIONES ................................................................................................................ 240
X
LISTA DE TABLAS
TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4

TABLA 2: PLAN DE GESTIÓN DE TIEMPO (FASES E HITOS DEL PROYECTO) ............................................................................... 6
TABLA 3: ACTIVIDADES SEMANAL / ENTREGABLES............................................................................................................ 7
TABLA 4: ROLES ...................................................................................................................................................... 10
TABLA 5: PLAN DE COMUNICACIONES ......................................................................................................................... 12
TABLA 6: TABLA DE RIESGOS ..................................................................................................................................... 16
TABLA 7: RESPONSABILIDADES E INTERESES DE LAS PARTES INTERESADAS ........................................................................... 47
TABLA 8: MAPEO ENTRE NECESIDADES DE LAS PARTES INTERESADAS Y LAS METAS DE LA EMPRESA .......................................... 52
TABLA 9: MAPEO ENTRE LAS METAS DE LA EMPRESA Y LAS METAS RELACIONADAS CON TI ...................................................... 59
TABLA 10: MAPEO ENTRE LAS METAS RELACIONADAS CON TI Y LOS PROCESOS DEL MODELO DE COBIT 5 ................................ 70
TABLA 11: CALIFICACIÓN DE LA CAPACIDAD ACTUAL DE LOS PROCESOS SELECCIONADOS ...................................................... 111
TABLA 12: LISTA DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .............................................................. 115
TABLA 13: MAPEO PROCESOS APO - OPORTUNIDADES DE MEJORA DE LA EMPRESA IT-EXPERT........................................... 116
TABLA 14: PRIORIZACIÓN DE OPORTUNIDADES DE MEJORA PARA LA EMPRESA IT-EXPERT .................................................... 118
TABLA 15: CUADRO INTEGRADO DE MEJORA PARA LA EMPRESA IT-EXPERT ....................................................................... 120
TABLA 16: HOJA DE RUTA DEL PROYECTO IMGETI ...................................................................................................... 121
TABLA 17: MAPEO DE COBIT5 VS HERRAMIENTAS ..................................................................................................... 124
TABLA 18: PRODUCTOS DE TRABAJO DEL PROYECTO IMGETI ........................................................................................ 163
TABLA 19: HABILITADORES DE COBIT5 .................................................................................................................... 164
TABLA 20: PRODUCTOS DE TRABAJO Y HABILITADORES ................................................................................................. 164
TABLA 21: MODELO COBIT Y PROCESOS IMPLEMENTADOS .......................................................................................... 165
TABLA 22: EVALUACIÓN DE PROCESO GESTIONAR EL MARCO DE GESTIÓN DE TI ................................................................. 242
TABLA 23: GESTIÓN DE RIESGOS .............................................................................................................................. 259
TABLA 24: CONDICIONES DEFINIDAS PARA ESCALAS DE IMPACTO DE UN RIESGO SOBRE LOS PRINCIPALES OBJETIVOS DEL PROYECTO
................................................................................................................................................................ 260
TABLA 25: MAPEO ENTRE LOS PROCESOS ACTUALES DE IT-EXPERT Y MODELO DE PROCESOS DE COBIT 5 DEL PRIMER DOMINIO DE
GESTIÓN .................................................................................................................................................... 393
XI
XII
XIII
INTRODUCCIÓN
El presente documento representa la memoria del proyecto “Implementación de un modelo

de gestión estratégico de TI para la empresa IT-Expert”. Este proyecto tiene como fin la
propuesta de un modelo de gestión para la empresa virtual IT-Expert basado en el primer
dominio de gestión del marco de referencia COBIT 5, así como, su posterior
implementación en la empresa.
La estructura del documento está compuesta por cinco capítulos, los cuales serán explicados
brevemente a continuación. El primer capítulo abarca la descripción del proyecto; es decir,
se plantea el problema y la solución propuesta, se definen los objetivos del proyecto; así
como, el alcance e indicadores de éxito del mismo. Asimismo, se presentan todos los
entregables relacionados a la planificación del proyecto.
El segundo capítulo presenta el marco teórico necesario para la comprensión del desarrollo
del proyecto e interpretación de los resultados del mismo. Se define el enfoque de trabajo a
seguir, y se realiza un análisis de los marcos de referencia y/o estándares internacionales
referenciados en el proyecto.
El tercer capítulo abarca el Estado del Arte del tema del proyecto, en este se resume la
investigación de otros trabajos realizados sobre problemas similares. De los cuales, se
extraen aportes que sirven de ayuda para elegir el mejor modelo de gestión basado en
marcos de referencia y/o estándares internacionales que más se adapte a la situación de la
empresa IT-Expert.
1
El cuarto capítulo se centra en la ejecución del proyecto IMGETI: Implementación de un
modelo de gestión estratégica basado en COBIT 5. Para la empresa IT-Expert solo nos
enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El
proyecto está dividido en dos partes. La primera parte está conformado por las fases de
implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de
implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa
y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de
nivel de capacidad a los procesos, se define el nivel objetivo de los procesos, y se definen las
oportunidades de mejora para finalmente priorizarlas en base a sus niveles de dificultad y
beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases
involucran la creación de un del plan de implementación de las soluciones escogidas en la
fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el
control de los procesos de la empresa IT-Expert que adjuntarán a un cuadro de control y
finalmente se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.
Además se menciona las conclusiones y recomendaciones para la mejora continua de la
empresa.
Por último, el quinto capítulo muestra como se ha trabajado la gestión del proyecto. Se listan
los planes de gestión del tiempo, de los recursos humanos, de las comunicaciones, y de
riesgos. Adicionalmente, se mencionan las lecciones aprendidas durante el desarrollo del
proyecto.
2
DESCRIPCIÓN DEL PROYECTO
En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de

Información para la empresa virtual IT-Expert de la Universidad Peruana de Ciencias
Aplicadas, en este caso se basa la justificación del proyecto IMGETI. Se definen los
objetivos del proyecto, así como, el alcance e indicadores de éxito del mismo Asimismo, se
describe la gestión del proyecto para el logro de los objetivos teniendo en cuenta los
indicadores de éxito del proyecto.
3
OBJETO DE ESTUDIO
IT-Expert es una empresa virtual que brinda servicios de TI a las empresas virtuales de la
Universidad Peruana de Ciencias Aplicadas, esta empresa requiere de una gestión de TI que
le permita conseguir sus objetivos estratégicos. El proyecto IMGETI propone un modelo de
gestión de TI basándose en un marco de referencia que le permita tener las metas de TI
alineadas a los objetivos estratégicos de la empresa.
DOMINIO DEL PROBLEMA

Tabla 1: Dominio del problema
Problema Causas
La trazabilidad entre las necesidades No existe un modelo de gobierno y gestión de

de la alta dirección con los objetivos TI en IT-Expert que permita alinear los
de TI no es apreciable objetivos de TI a los objetivos empresariales
Falta de integración entre los No existe una adecuada administración de la

proyectos desarrollados en IT-Expert portafolio de proyectos que permita integrar
los proyectos existentes para cumplir con los
objetivos de la empresa
Fuente: Elaboración propia
PLANTEAMIENTO DEL PROBLEMA

Una solución al problema identificado es la implementación de una modelo de gestión
estratégica que nos permita alinear tanto los objetivos estratégicos de la empresa con los
objetivos de TI. Un modelo que permita cubrir las necesidades de los Stakeholders mediante
la tecnología de información. Un modelo que permita tener los procesos con aceptación
externa, que sean medibles, auditable, y estén definidos con las mejores prácticas. Además,
que permita tomar decisiones acertadas y en el momento oportuno.
Gestionar adecuadamente el marco de gestión de TI
4
Una correcta gestión de la arquitectura empresarial que incorpore actividades que relacionen
los objetivos de la parte estratégica con los objetivos de TI
Un manejo adecuado de los portafolios de proyectos
Uso eficiente de los recursos de la empresa para el soporte del portafolio de proyectos
OBJETIVO DEL PROYECTO

Objetivo General
OG: Implementar un modelo de gestión de TI para la alineación, planificación y

organización de los procesos de la empresa IT-Expert bajo el marco de referencia COBIT 5
Objetivos Específicos
OE1: Analizar la situación actual en la que se encuentra la empresa IT-Expert con relación
al primer dominio de gestión de TI según COBIT 5
OE2: Diseñar una arquitectura de procesos que cumpla con las recomendaciones del primer
dominio de la gestión de TI según COBIT 5
OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert
INDICADORES DE ÉXITO
IE1 – Acta de aceptación de la evaluación de capacidad de los procesos de IT-Expert
aprobado por el cliente
IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto
IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto

aprobado por el gerente de IT-Expert
IE4 – Acta de aceptación de la gestión del proyecto aprobada por el gerente de IT-Expert
5
PLANIFICACION DEL PROYECTO
Alcance
El presente proyecto tendrá como resultado final la implementación de un modelo de gestión

de TI para la empresa virtual IT-Expert, para lo cual es necesario, en primer lugar, un
análisis de capacidad de la situación actual de la empresa. Posteriormente, se desarrollará
una arquitectura de procesos candidata de los procesos relacionados al alineamiento,
planificación y organización de TI. Asimismo, se evaluaran los proyectos existentes en la
cartera para seleccionar aquellos que ayuden a cumplir los requerimientos de COBIT e
integrarlos a la arquitectura de procesos propuesta. Finalmente, se dará paso de la
implementación de la arquitectura propuesta.
Solo se tomará en cuenta los procesos del primer dominio de Gestión de TI del marco de
trabajo COBIT 5.
Plan de Gestión del Tiempo
Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto)
Fecha
Hito del proyecto Entregables incluidos Prioridad
Estimada
Project Charter Alta

Project Charter
Semana 06
aprobado por el comité
EDT Alta
Cascada de metas Alta

Grupo de entregables
Semana 14
aprobados
Modelo de capacidad Alta
Estado del arte

Semana 15 Estado del arte Alta
aprobado
Exposición de fin de Memoria parcial Alta

ciclo 2014-01 Semana 16
aprobado Estado del arte final Alta
6
Fecha
Hito del proyecto Entregables incluidos Prioridad
Estimada
Entregables
certificados por QA Semana 7 Definición de procesos Alta
primer paquete
Entregables
certificados por QA Semana 14 Definición de procesos Alta
segundo paquete
Paper científico
Semana 15 Paper científico Alta
aprobado
Exposición de fin de Memoria Final Alta

ciclo 2014-01 Semana 16
aprobado Paper Científico final Alta
Los entregables son aquellos que están en cursiva
Tabla 3: Actividades semanal / Entregables
Semana Actividades / Entregables
Investigar marco de referencia de COBIT 5
Semana 3 Desarrollar Project Charter
Desarrollar Cronograma
Desarrollar documento Registro de Interesados
Semana 4 Desarrollar documento Gestión de Personal
Desarrollar documento Gestión de Riesgo
7
Desarrollar diccionario EDT
Desarrollar documento Plan Gestión de Alcance
Desarrollar documento Plan Gestión de Calidad
Desarrollar documento Gestión de Comunicaciones

Semana 5
Desarrollar documento Matriz de Comunicaciones
Desarrollar Índice de Memoria
Desarrollar presentación para el comité

Semana 6
Identificar guías de COBIT
Realizar presentación ante el comité
Semana 7 Investigar Guías de consulta de COBIT
Buscar fuentes para el estado del arte
Iniciar Fase 1 de implementación

Semana 9
Definir Cascada de metas
Semana 10 Presentar informes de fuentes del estado del arte
Iniciar Fase 2 de implementación
Definir problemas y oportunidades

Semana 11
Desarrollar Checklist
Redactar parte inicial del estado del arte
Modelo de capacidad
Semana 12
Redactar parte intermedia del estado del arte
8
Semana 13 Iniciar Fase 3 de implementación
Realizar plan de implementación

Semana 14
Redactar parte final del estado del arte
Desarrollar presentación final para el comité

Semana 15
Presentar estado del arte
Semana 16 Realizar presentación final ante el comité
Los horarios de desarrollo del proyecto son los martes y jueves de 4pm a 7pm y en un
horario acordado con los jefes de proyectos el desarrollo del proyecto se realizara los lunes,
miércoles, viernes y sábados.
Los horarios de reuniones con el Cliente profesor serán los miércoles de 5pm a 6pm.
Las reuniones con el Gerente profesor se realizaran los martes en el horario de clases del
curso de taller de proyecto.
Las reuniones tanto con el cliente y el gerente serán los jueves en el horario de clases.
Las reuniones con el alumno de apoyo se realizaran en los horarios de clase de Taller de
Proyecto 1 y se realizaran los acuerdos mediante el correo de la UPC correo@upc.edu.pe.
Plan de Gestión de Recursos Humanos
El equipo del proyecto está organizado según el siguiente organigrama, en él estamos

mostrando claramente las líneas de reporte de cada miembro del equipo.
Ilustración 1: Diagrama de equipo
9
COMITÉ GENERAL
GERENTE PROFESOR
(Gerente de IT-Expert)
GERENTE ALUMNO CLIENTE PROFESOR
JEFES DE PROYECTO
ALUMNO RECURSO ANALISTA QA
Tabla 4: Roles
Rol Miembro Responsabilidades
Jefe de Proyecto Velásquez Vara, Supervisar y controlar

Carlos Andrés la ejecución de las
actividades para que se
cumplan todos los
objetivos del proyecto.
Jefe de Proyecto Juro Pereira, Peter Supervisar y controlar

la ejecución de las
actividades para que se
cumplan todos los
objetivos del proyecto.
Gerente Profesor Rivas Galloso, Paul Brindar apoyo y

asesoría durante el
10
Harry desarrollo del

proyecto.
Cliente Profesor Rosas Acevedo, Vania Brindar la información

necesaria e Indicar los
requerimientos
necesarios para
cumplir con el objetivo
principal del proyecto
y la aprobación de los
entregables del
proyecto.
Gerente Alumno Karen Panduro Controlar y supervisar

el avance eficaz de los
proyectos y mantener
informado a los
alumnos de Taller de
Proyectos informados
de las actividades de la
empresa IT-Expert.
Analista QA Alumno Analista Verificar y Validar la

calidad de los
entregables del
proyecto.
Alumno Recurso Erick Merino Brindar apoyo en las

actividades referentes
del proyecto
11
Comité General Rosario Villalta, Evaluar el proyecto

Jimmy Armas, Carlos bajo los estándares
Raymundo establecidos por la
Carrera de Ingeniería
de Sistemas de la
Universidad Peruana
de Ciencias Aplicadas.
Plan de Comunicaciones
Detalle del plan de comunicación con información requerida, descripción, encargado,

destino, canal y periodo de entrega:
Tabla 5: Plan de Comunicaciones
Información Para su entrega a

Descripción Encargado Canal Periodo
requerida los Stakeholders
El acta de
reunión
contiene los
Peter Juro
Acta de requerimientos
Pereira –
Reunión del cliente
Carlos Cliente Profesor Reunión Semanal
Cliente para el
Velásquez
Profesor desarrollo del
Vara
proyecto
IMGETI,
mediante:
12
-Temas a
tratar sobre el
proyecto y
avances
-Acuerdos en
con el cliente
-Tareas de la
semana
Es un
documento
similar al
Cronograma Peter Juro
de Actividades Pereira – Sincronización
Gerente Alumno –
EDT en el que se Carlos Documentos Semanal
Gerente Profesor
listan las Velásquez compartidos
actividades Vara
que se tienen
planeadas y su
cumplimiento.
Mensaje
mediante el Peter Juro
Asignación cual se le Pereira –

Correo
de dejan Carlos Alumno Recurso Semanal
Calendar
Actividades asignadas Velásquez
actividades de Vara
apoyo al
Alumno
13
Recurso
El acta de
reunión
contiene los
las consultas y
aclaraciones
en temas
relacionados
al proyecto
IMGETI,
mediante: Peter Juro
Acta de
Pereira –
Reunión
Carlos Gerente Profesor Reunión - Semanal
Gerente
-Temas a Velásquez
Profesor
tratar sobre el Vara
proyecto y
avances
- Acuerdos en
con el cliente
-Tareas de la
semana
14
El acta de
reunión los
acuerdos entre
Gerente
profesor y
Cliente
profesor para
llevar un
control
adecuado del
desarrollo del
proyecto
IMGETI tanto
Acta de para el Cliente Peter Juro
Reunión Pereira –
profesor como
Gerente el Carlos Cliente Profesor Reunión - Semanal
para
Profesor y Velásquez
Gerente
Cliente Vara
Profesor,
mediante:
-Temas a
tratar sobre el
proyecto y
avances
-Acuerdos en
con el cliente
-Tareas de la
semana
15
Plan de Gestión de Riesgos
Entre los posibles riesgos que pueden peligrar el proyecto son los siguientes:
Tabla 6: Tabla de Riesgos
# Riesgo Probabilidad Impacto Estrategia de mitigación
1 Disponibilidad Probable Alto Comunicación constante con el

horaria del cliente. Así como, la
profesor reprogramación de nuevas
cliente. reuniones para subsanar
reuniones canceladas.
2 Incumplimient Improbable Medio Mantener una comunicación

o de constante con nuestro recurso
actividades por alumno. Acordar la posibilidad
parte del de solicitar la ayuda de otro
recurso alumno recurso alumno si el asignado no
asignado puede cumplir con sus
actividades ya sea por motivos
de salud o personales.
3 Cambio de Improbable Alto Tomar en consideración los

Gerencia en objetivos a largo plazo.
IT-Expert Implementar la gestión del
cambio para abordar los posibles
cambios de los objetivos de la
empresa.
4 Subestimación Probable Medio Dejar una holgura de tiempo

del tiempo de para las actividades relacionadas
desarrollo de al desarrollo de entregables en el
los artefactos cronograma.
16
17
MARCO TEORICO
El segundo capítulo trata acerca del marco teórico que sirve como conocimiento base para el
entendimiento de los conceptos que son usados durante el desarrollo del proyecto. Estos
hacen referencia al marco que se está utilizando en este proyecto COBIT5. También
contiene el enfoque de trabajo a seguir en el proyecto.
18
CONCEPTO
Para poder comprender más a fondo el proyecto IMGETI (Implementación de un Modelo de
Gestión Estratégica de TI para la Empresa IT-Expert), tenemos que entender varios factores
relacionados con el tema del proyecto. El marco teórico permitirá tener una vista general de
propósito de IMGETI, en un comienzo se analizaran conceptos generales relacionados con
el tema del proyecto, también se mostrara la importancia del proyecto para la empresa IT-
Expert y finalmente se profundizara en el marco de referencia más adecuado para cumplir
los objetivos del proyecto.
Un modelo de gestión estratégica es un conjunto de reglas o referencias que ayudan a

gestionar y administrar adecuadamente una empresa con un enfoque estratégico. El modelo
propone uno o más planes de gestión que ayuden a cumplir los objetivos que se tienen y las
decisiones que se tomen por parte del gobierno de la empresa.
La información es uno de los recursos con más valor en la empresa, pues es el conocimiento
útil que se utilizará para cumplir los objetivos de las partes interesadas. Manejar la
información precisa y de forma adecuada que ayudará a tomar las decisiones acertadas ante
los retos que se presenten en el día a día de una empresa. Además, en la actualidad se cuenta
con el conjunto de conocimientos técnicos y científicos que ayudan a manejar la
información de forma eficiente, ahorrando recursos y facilitando el uso de la información,
estos conocimientos en conjunto son la Tecnología de Información (TI).
Por lo tanto, podemos concluir que un modelo de gestión estratégico de TI es el

alineamiento de las estrategias de TI con las estrategias de la empresa, en este caso la
empresa IT-Expert. La empresa IT-Expert, cuya misión es “aplicar los estándares de calidad
internaciones a los procesos involucrados en la prestación de servicios y desarrollo de
proyectos de TI”, no presenta integración en los proyectos que están vinculadas con el
objetivo principal de IT-Expert. Esto es debido a que no se alinean a un modelo de gestión y
no existe una integración de la información entre los proyectos. Implementando un plan de
gestión estratégica de TI se promueve el crecimiento sostenible en la gestión de TI pues
mantendrían alineados los objetivos de la empresa con lo de TI lo que brinda una un
conjunto de referencias en la gestión de los procesos más importantes. Asimismo se
gestionaría eficientemente los servicios que se brinden, pues se tiene un control de completo
de estos servicios.
19
Bajo esta necesidad la herramienta se mencionara la herramienta idónea para implementar el
proyecto COBIT 5 y para gestionarlo PMBOK.
ENFOQUES DE TRABAJO
Primera fase
Se utilizará el FrameWork COBIT versión 5
Se utilizara PMBOK como guía de referencia para la dirección de proyectos para la

adecuada gestión del proyecto.
Segunda fase
Se utilizará la metodología EUP para el desarrollo de la arquitectura de procesos.
La notación para modelar los procesos de negocio elegido es BPMN.
ANÁLISIS DE MARCOS DE REFERENCIA Y ESTÁNDARES

INTERNACIONALES
COBIT 5
COBIT 5 proporciona un marco de referencia para ayudar a las organizaciones a alcanzar
sus objetivos a partir de un buen gobierno y una gestión de TI. En pocas palabras, ayuda a
las empresas a crear valor optimo manteniendo un equilibrio entre la obtención de beneficios
y la optimización de los niveles de riesgos y el uso de los recursos.
Ilustración 2: Principios de Cobit 5
20
Fuente: ISACA 2014
En la ilustración se muestran los 5 principios en los que se basa COBIT 5. Cada

organización opera en un contexto diferente que este determinado por factores externos (el
mercado, la industria, la geopolítica, etc.) y factores internos (la cultura, la organización, el
apetito de riesgo, etc.), esto requiere una medida de gobierno y gestión de sistemas. Las
necesidades de los Stakeholders tienen que ser transformadas en una estrategia a ejecutarse
en la organización.
Ilustración 3: Cascada de metas
21
Fuente: ISACA 2014
COBIT 5 propone las metas en cascada como el mecanismo para traducir las necesidades de
los interesados (Stakeholders) en las metas específicas del negocio, acciones concretas y
personalizadas, los objetivos relacionados con II y los objetivos de los facilitadores. Esta
traducci6n permite establecer objetivos específicos en todos los niveles y en todas las áreas
de la empresa en apoyo a los objetivos generales y requisitos de los Stakeholders y por lo
tanto apoya efectivamente la alineación entre las necesidades empresariales y soluciones de
TI y servicios. En la figura 15 se ilustran las metas en cascada de COBIT.
Primer dominio de gestión de Cobit 5

El dominio APO de COBIT 5 explica los procesos necesarios para la planificación y
organización eficaces de los recursos TI internos y externos, incluyendo la planificación
estratégica, planificación de la tecnología y la arquitectura, planificación organizativa,
planificación de la innovación, gestión de la cartera, gestión de la inversión, gestión del
riesgo, gestión de las relaciones y gestión de la calidad.
Ilustración 4: Procesos del primer dominio estratégico de Cobit 5 (APO)
Fuente: ISACA 2014
Gestionar el Marco de Gestión de TI: Aclarar y mantener el gobierno de la misión y la

visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión
de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en
consonancia con las políticas y los principios rectores.
22
Gestionar la Estrategia: Proporcionar una visión holística del negocio actual y del entorno
de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado.
Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los
servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil,
confiable y eficiente a los objetivos estratégicos.
Gestionar la Arquitectura Empresarial: Establecer una arquitectura común compuesta por

los procesos de negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de
la empresa y de TI mediante la creación de modelos clave y prácticas que describan las
líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las
normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar
un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales
como la reutilización de bloques de componentes para los procesos de construcción.
Gestionar la Innovación: Mantener un conocimiento de la tecnología de la información y las

tendencias relacionadas con el servicio, identificar las oportunidades de innovación y
planificar la manera de beneficiarse de la innovación en relación con las necesidades del
negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora
puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas
por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos
empresariales y de TI. Influir en la planificación estratégica y en las decisiones de la
arquitectura de empresa.
Gestionar Portafolio: Ejecutar el conjunto de direcciones estratégicas para la inversión

alineada con la visión de la arquitectura empresarial, las características deseadas de
inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de
inversión y recursos y las restricciones de financiación. Evaluar, priorizar y equilibrar
programas y servicios, gestionar la demanda con los recursos y restricciones de fondos,
basados en su alineamiento con los objetivos estratégicos así como en su valor y riesgo
corporativo. Mover los programas seleccionados al portafolio de servicios activos listos
para ser ejecutados. Supervisar el rendimiento global del portafolio de servicios y
programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento de
programas y servicios o al cambio en las prioridades corporativas.
23
Gestionar los Recursos Humanos: Proporcionar un enfoque estructurado para garantizar una
óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos
humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la
formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de
gente competente y motivada.
Gestionar las Relaciones: Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales
exitosos apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y
los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles,
lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones
claves.
Gestionar los Acuerdos de Servicio: Alinear los servicios basados en TI y los niveles de
servicio con las necesidades y expectativas de la empresa, incluyendo identificación,
especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de
servicio e indicadores de rendimiento.
Gestionar los Proveedores: Administrar todos los servicios de TI prestados por todo tipo de
proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los
proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y
supervisión del desempeño, para una eficacia y cumplimiento adecuados.
Gestionar la Calidad: Definir y comunicar los requisitos de calidad en todos los procesos,
procedimientos y resultados relacionados de la organización, incluyendo controles,
vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y
esfuerzos de eficiencia.
Gestionar el Riesgo: Identificar, evaluar y reducir los riesgos relacionados con TI de forma
continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la
empresa.
Gestionar la Seguridad: Definir, operar y supervisar un sistema para la gestión de la

seguridad de la información.
24
Modelo de evaluación de procesos PAMP
El PAM de COBIT 5 es compatible con la norma ISO/IEC 15504 1 y se puede utilizar como
base para la realización de una evaluación de la capacidad de cada uno de los procesos de
COBIT 5. El modelo está basado en la evidencia para permitir una forma fiable, consistente
y repetible para evaluar las capacidades de los procesos de TI.
Proporciona indicadores para orientar la interpretación del propósito del proceso y los
resultados esperados tal como se define en COBIT 5 y los atributos de proceso definidos en
la norma ISO/IEC 15504-2.
El PAM proporciona una vista en dos dimensiones:
Dimensión del proceso: El Modelo de Referencia de Procesos (PRM) de COBIT 5 está

compuesto de 37 procesos que describen el ciclo de vida para el Gobierno y la Gestión de
las TI de la Empresa.
Dimensión de la capacidad: La dimensión de capacidad proporciona una medida de la

capacidad de un proceso para cumplir con los objetivos de negocio actuales o futuros de una
empresa para el proceso.
La capacidad del proceso es expresada en términos de Atributos de Proceso (PA) agrupados

en niveles de capacidad. El nivel de capacidad de un proceso es determinado con base a la
consecución de los PA específicos de acuerdo con la norma ISO/IEC 15504-2.
Ilustración 5: Nivel de capacidad
1
La ISO/IEC 15504, es una norma internacional para establecer y mejorar la capacidad y
madurez de los procesos de las organizaciones en la adquisición, suministro, desarrollo,
operación, evolución y soporte de productos y servicios. Cfr. ISO 2014
25
Fuente: ISACA 2014
Los niveles de capacidad definidos son los siguientes:
Nivel 0 Incompleto: El proceso no está implementado o no alcanza su propósito. A este

nivel, hay muy poca o ninguna evidencia de algún logro sistemático del propósito del
proceso.
Nivel 1 Ejecutado: El proceso implementado alcanza su propósito.
Nivel 2: Gestionado: El proceso ejecutado está implementado de forma gestionada y los

resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente.
Nivel 3 Establecido: El proceso gestionado ahora está implementado usando un proceso

definido que es capaz de alcanzar sus resultados de proceso.
Nivel 4 Predecible: El proceso establecido ahora se ejecuta dentro de límites definidos para
alcanzar sus resultados de proceso.
Nivel 5 Optimizado: El proceso predecible es mejorado de forma continua para cumplir con
las metas empresariales presentes y futuras.
El PAM también establece una escala de calificación para evaluar cada atributo de proceso,
la cual se muestra a continuación.
26
Ilustración 6: Escala de calificación
Fuente: ISACA 2014

N (No Alcanzado): Hay muy poca o ninguna evidencia de que se alcanza el atributo definido
en el proceso de evaluación.
P (Parcialmente Alcanzado): Hay alguna evidencia de aproximación a, y algún logro del

atributo definido en el proceso evaluado. Algunos aspectos del logro del atributo pueden ser
impredecibles.
L (Ampliamente Alcanzado): Hay evidencias de un enfoque sistemático y de un logro

significativo del atributo definido en el proceso evaluado. Pueden encontrarse algunas
debilidades relacionadas con el atributo en el proceso evaluado.
F (Completamente Alcanzado): Existe evidencia de un completo y sistemático enfoque y un

logro completo del atributo definido en el proceso evaluado. No existen debilidades
significativas relacionadas con el atributo en el proceso evaluado.
27
ESTADO DEL ARTE
El contenido del capítulo tres tiene la información que se obtuvo a partir de la investigación
de artículos científicos que abordaron diferentes proyectos del tópico modelo. Se extrae el
aporte de cinco artículos científicos sobre el modelo de gestión de TI para la gestión de una
universidad, una empresa petrolera, el uso de portafolios de proyectos, industria editorial y
administración electrónica. Asimismo, se muestran las técnicas usadas y el manejo de los
distintos recursos para la investigación realizada en los diferentes proyectos como: Modelos
basados en estándares, Marcos de referencias, Modelos de Gestión Rediseñados, Estándares,
entre otros.
28
ESTADO DEL ARTE
Revisión de la literatura
El Gobierno de TI define la estructura de relaciones y procesos para dirigir y controlar la
empresa hacia el logro de sus objetivos estratégicos agregando valor al mismo tiempo que se
logra un balance entre el riesgo, el retorno de la inversión en TI, y la efectividad de sus
procesos.
El gobierno o gobernanza de TI como también se conoce, motivado a cumplir los objetivos

de TI (alineados con el negocio y con el gobierno corporativo), ejerce un control permanente
sobre los procesos de TI, clasificados en las siguientes categorías: Evaluar, dirigir y
monitorear, Alinear, planear y organizar, Construir, adquirir e implementar, Entregar, servir
y dar soporte, monitorear, evaluar y valorar, de acuerdo con el marco de referencia COBIT
5.
COBIT 5 es un marco de referencia de Gobierno de TI y un conjunto de herramientas de

soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los
temas técnicos y los riesgos del negocio. Además, permite el desarrollo de una política clara
y una buena práctica para el control de TI en las organizaciones. El marco acentúa el
cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor asociado al área
de TI, habilita la alineación y simplifica la puesta en práctica del marco de referencia 2.
Otro marco de referencia que aborda esta temática es el modelo de gobierno de IT Calder-
Moir, el cual suministra lineamientos para la Arquitectura Empresarial. Asimismo,
proporciona un enfoque holístico para el diseño, planificación, implementación y gobierno
de una arquitectura empresarial de información. Los estándares y el cumplimiento de estos,
aseguran que las tecnologías de información de la organización apoyan y facilitan el logro
de sus estrategias y objetivos. Más que un marco es una colección de los diferentes marcos
de gobierno como COBIT, BSC3, COSO4, ITIL5 entre otros. Calder-Moir orquesta los
2
Cfr. Saavedra Torres 2012:25
3
El Cuadro de Mando Integral traduce la estrategia y la misión de una organización en un
amplio conjunto de medidas de actuación, que proporcionan la estructura necesaria para un
sistema de gestión y medición estratégica. Cfr. Bertolino y otros 2002:4
29
marcos guiando los procesos de extremo a extremo6. En el siguiente gráfico, se muestran los
segmentos del marco Calder-moir.
Ilustración 7: Segmentos del marco de Calder-moir
Fuente: Saavedra-Torres, Adaptado IT Governance ©2006-2008 S T W Moir
Otro modelo que se encuentra en la literatura es el aplicado en el proyecto del Diseño de un

modelo de gestión de seguridad de la información del sistema ERP de EP
PETROECUADOR que se basa en adaptar COBIT 5 según las metas corporativas del
sistema mencionado. En este estudio se aplica la metodología MAGERIT7, la cual es
utilizada para la gestión de riesgo dentro del modelo. MAGERIT se basa en el estándar ISO
4
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) es una
iniciativa conjunta de las cinco organizaciones del sector privado que figuran a la izquierda
y se dedica a proporcionar el liderazgo de pensamiento a través de la elaboración de marcos
y orientación sobre la gestión del riesgo empresarial, el control interno y la disuasión del
fraude. Cfr. COSO:2014
5
Biblioteca de la Infraestructura de Tecnología de la Información (ITIL), que está formada
por una serie de “Mejores Prácticas” procedentes de todo tipo de suministradores de
servicios de TI. Cfr. ITIL:2014
6
Cfr. Saavedra y Torres 2012:33
7
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
30
3100008, por lo que es totalmente compatible con COBIT 5. Además, su uso es de acceso
libre y toda la documentación está disponible en varios idiomas (español, inglés e italiano).
Además, este modelo también implementa las buenas prácticas descritas en la

ISO/IEC27002. Este estándar establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestión de seguridad de la información en una
organización. Adicionalmente, contiene las mejores prácticas de los objetivos de control y
controles en las siguientes áreas de gestión de seguridad de la información (La política de
seguridad, Organización de la seguridad de la información, Gestión de activos, La seguridad
de los recursos humanos, Física y la seguridad del medio ambiente, Las comunicaciones y la
gestión de las operaciones, Control de acceso, Adquisición de sistemas de información,
desarrollo y mantenimiento, Gestión de incidentes de seguridad de la información, Gestión
de la continuidad del negocio, Cumplimiento)9.
Entre los estándares más usados actualmente que tienen como objeto de estudio el gobierno
de TI, el que más destaca es la ISO 38500. Esta incluye un conjunto de definiciones
relacionadas con el Gobierno de las TI que sirven como vocabulario común para todos
aquellos que conozcan e implementen este estándar. Además, propone un marco de
referencia para el gobierno de las TI basado en los siguientes seis principios:
Responsabilidad, estrategia, adquisición, Desempeño, Cumplimiento y Componente
Humano; y el siguiente modelo de gobierno de TI.
Ilustración 8: Modelo de Gobierno de las TI de la norma ISO 38500
8
Principios y lineamientos, proporciona principios, el marco y un proceso para la gestión
del riesgo. Puede ser utilizado por cualquier organización independientemente de su tamaño,
actividad o sector. El uso de ISO 31000 puede ayudar a las organizaciones a aumentar la
probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y
amenazas y efectivamente asignan y utilizan los recursos para el tratamiento de riesgos. Cfr.
ISO 2014
9
Cfr. ISO 2014
31
Fuente: Fernández 2011
En el desarrollo de Modelo de Procesos Integrado de Gobernanza y Gestión de TI propuesto

por Carrillo y Rubio, hace referencia al modelo de Leavitt. Este modelo presenta cuatro
elementos de un sistema de negocio como la claves para abordar de forma correcta la
gestión y optimización de TI en las empresas10.
Ilustración 9: Modelo de Leavitt
Fuente: Carrillo y Rubio 2012
Igualmente, se menciona CMMI (CapabilityMaturityModelIntegration) como un método

para medir el grado de madurez de las organizaciones. El objetivo de CMMI es establecer
10
Cfr. Carrillo y Rubio 2012:29,30
32
una guía que permita a las organizaciones mejorar sus procesos y su habilidad para
organizar, desarrollar, adquirir y mantener productos y servicios informáticos. En CMMI se
diferencian actualmente tres modelos que comparten un núcleo común. Además, CMMI
define áreas de proceso que se agrupan en cuatro categorías, tres comunes a todos los
modelos y una diferente para cada modelo: Gestión de procesos (común), Gestión de
proyectos (común), Soporte (común) e Ingeniería (sólo en DEV). En la siguiente figura se
presenta la estructura de CMMI que incluye los tres modelos y áreas de proceso
mencionados anteriormente, así como los procesos que los conforman11.
Ilustración 10: Estructura CMMI

Cabe mencionar que en la búsqueda de evidencia de que un activo estratégico y proporciona
un valor añadido a los negocios de la empresa, se establecen actividades de gobierno que
incluyen mecanismos que buscan la alineación de TI con los objetivos en el contexto de la
actividad empresarial. Uno de los mecanismos habituales para mejorar la alineación entre la
junta (gobernadores de TI), las unidades de negocio (proyectos de TI solicitantes) y el
personal de TI (IT adquirentes o desarrolladores) es a través de un proceso de aprobación de
la Cartera de Proyectos transparente. Entre otros beneficios, este proceso debería permitir a
las empresas a comunicar esta alineación entre los objetivos y proyectos de forma eficaz, la
creación de un mayor valor de los activos de TI. Estos mecanismos muestran cómo estas
11
Cfr. Carrillo y Rubio 2012:36,37
33
estructuras se relacionan en el gobierno de TI y ofrecer una oportunidad para mejorar la
comunicación entre los gobernadores (miembros del consejo) y el resto de los partícipes de
la empresa12.
Saavedra y Torres (2012) proponen un Modelo Genérico de Gobierno y Gestión de TI, que
ayude a las organizaciones del sector editorial a definir los procesos de TI en los que debe
focalizar sus esfuerzos. Para esto, como punto de partida se toma la matriz de necesidades de
los interesados (Stakeholders) y la técnica de la cascada de COBIT 5, encuestas para
determinar la brecha entre el estado actual y el deseado, y herramientas estadísticas para
filtrar y priorizar.
Mera (2014) diseña un modelo de gestión de seguridad de la información para el sistema

ERP, basado en el marco de trabajo COBIT 5 y la norma ISO/IEC 27002, que optimiza los
procesos empresariales implementados y obtiene el mayor beneficio de la plataforma
tecnológica adquirida. La caracterización del modelo se realizó identificando la información
crítica del sistema y sus amenazas mediante la metodología de análisis de riesgo MAGERIT.
Fernández (2011) propone el diseñado y valida un marco de referencia de Gobierno de las

TI para Universidades (GTI4U). Este marco se basa y respeta por completo al modelo de
gobierno TI propuesto por la norma ISO 38500. Pero a la vez, proporciona una serie de
herramientas para que sea fácilmente implementado en un entorno universitario.
Debido a que la Tecnología de información es un factor que estratégico en el gobierno de las

empresas, Carillo y Rubio (2012) afirman que Por esta razón, las empresas se tienen que
hacerse de una estructura de gestión de la información que les permita el alineamiento de TI
con la estrategia de negocio, el logro de beneficios, reducción de costes, el control de riesgos
y en general la mejora de las operaciones de TI. En este escenario, se introduce el concepto
de Gobernanza de TI, responsable de integrar e institucionalizar las buenas prácticas para
garantizar que la TI en las empresas soporte los objetivos del negocio y aproveche al
máximo su información, maximice los beneficios, capitalice las oportunidades y gane
ventajas competitivas.
Barceló et al (2012) demuestra que los tres mecanismos de gobernanza de TI: alineación,
comunicación y estructuras, cuando se utilizan correctamente, son medios insustituibles para
12
Cfr. Barceló y otros 2012:71
34
producir el valor que el consejo espera de TI. También representamos parte de nuestro
marco de gobierno de TI que utiliza estos tres mecanismos, con especial referencia a la
alineación del negocio / TI.
Modelos de gestión y gobierno de TI
Modelo de Gobierno de TI como apoyo al proceso de transformación digital en

empresas de la industria editorial.
Uno de los aportes más importantes de esta propuesta es la definición de la brecha

estratégica de la industria editorial, que permite establecer las prioridades en las cuales el
sector debe concentrar todos sus esfuerzos para afrontar el proceso de transformación digital
que vive en la actualidad. Las encuestas realizadas matizan esta propuesta con las
necesidades propias del sector en su situación estratégica actual y con el estado estratégico
deseado, que para los encuestados, es el escenario ideal para asumir de forma exitosa el
proceso de transformación.
Como resultado de esta combinación se obtiene un listado de objetivos estratégicos del

negocio que son el insumo inicial para el inicio de la técnica de la cascada propuesta por
COBIT 5, y que al final conduce a la obtención de los procesos de TI priorizados y filtrados.
Ilustración 11: Modelo de Gobierno de TI para la industria Editorial
35
Fuente: Saavedra y Torres 2012
En la gráfica se ilustra cómo se aborda un problema resultado de la situación que afronta

actualmente un sector de la economía mundial, utilizando la técnica de la cascada de COBIT
5, que parte del conocimiento de la planeación estratégica corporativa o El “Balanced Score
Card” del negocio.
Al no obtener con facilidad información estratégica del sector, se realizan las encuestas de
estado actual y estado deseado, que después de tabular y procesar sus respuestas, dan como
resultado la brecha estratégica de la industria, representada en los objetivos estratégicos
genéricos, insumo necesario para obtener las metas de TI y los procesos de TI. Estos últimos
son insumo para el componente de Gestión de TI del proyecto M3GTI.
La metodología propuesta para la obtención de los Procesos de TI, se basa en la técnica de la

cascada de COBIT 5 y apoyada en la estadística para priorizar y filtrar los elementos en cada
paso del proceso. En esta sección se muestran los resultados obtenidos después de aplicar la
propuesta de este trabajo.
36
Para relacionar las metas de TI con los procesos definidos de COBIT utiliza el método de
despliegue de función de calidad QDF13.
Modelo de gestión de seguridad de la información del sistema ERP de EP

PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5
La caracterización de este modelo se realizó mediante una investigación descriptiva del

estado del arte de la S-I en EP PETROECUADOR, utilizando técnicas documentales que
permitieron recopilar y analizar temas relacionados con la normativa de procesos, informes
de hacking ético, consultorías, estructura organizacional y análisis de riesgo del sistema
ERP; para definir una línea base sobre la cual es establezca un modelo de gestión de S-I
completo y personalizado. La priorización y simplificación del modelo basado en COBIT 5
e ISO/IEC 27002, se realizó utilizando las metas corporativas que la empresa planteó con la
implementación del sistema ERP como proyecto estratégico, de esta manera se logró que las
metas de TI soporten las metas corporativas y los intereses de las partes interesadas,
evitando elaborar marcos desenfocados o demasiado extensos.
Los resultados obtenidos en esta investigación revelan, un marco de gestión incompleto,

nivel de riesgo alto de la plataforma tecnológica de EP PETROECUADOR, así como
riesgos importantes relacionados sobre todo con amenazas internas. En el ámbito de la
propuesta del modelo de gestión se verificó la necesidad del involucramiento de la alta
gerencia en todas las iniciativas empresariales relacionadas con la S-I, así como se
determinó la importancia de un modelo de gestión de S-I, como complemento clave de un
proyecto estratégico, que contemple no solo aspectos técnicos sino también estructurales, de
cultura organizacional, comportamiento y habilidades del personal involucrado14.
13
QFD es una metodología de gestión de la calidad que sirve especialmente para identificar
y priorizar las necesidades de los clientes. La metodología propone una técnica en la que
transfiere lo “que desean los clientes” a los “como se pueden satisfacer”, valorando el grado
de correlación entre los deseos del cliente (QUE) y las acciones para satisfacerlos (COMO).
Cfr. Saavedra y Torres 2012:39
14
Cfr. Mera 2012:2
37
Se usaron sistemas ERP para la solución en la integración de las diferentes áreas y
automatización de los proceso de la empresa. Además, este sistema facilito la recolección y
poner la información actualizada del estado y actividades de los departamentos de una
empresa a disposición de los usuarios del sistema15.
Para esto se usa la en conjunto el marco de referencia COBIT 5, ISO/IEC 27002 y la

metodología MAGERIT. Para el modelo de gestión de seguridad de la información fue
caracterizado utilizando los 7 catalizadores y la cascada de metas definidos en el marco
COBIT 5. Este enfoque permite simplificar el marco principal utilizando las metas
corporativas del sistema ERP de EP PETROECUADOR como punto de partida; para luego
traducir estas metas a metas de TI, las cuales, en el mismo sentido, se soportan en las metas
de cada uno de los catalizadores16. En conjunto con cada catalizador se usó la ISO 20072,
concentrándose principalmente en los siguientes dominios:
Política de seguridad
Gestión de comunicaciones y operaciones
Adquisición, desarrollo y mantenimiento de sistemas de información
Posteriormente se usó la metodología MAGERIT para el análisis de riesgos, a continuación

se muestra el marco de gestión de riesgos en la ilustración.
Ilustración 12: MAGERIT y el marco de gestión de riesgos ISO 31000 (Dirección General
de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, 2012)
15
Cfr. Mera 2012:3
16
Cfr. Mera 2012:7
38
Fuente: Mera 2012
Modelo de Gobierno de las TI GTI4U para Universidades basado en la ISO 38500
El modelo GTI4U que Fernández diseño está compuesto por tres niveles:
El primer nivel incluye todos los elementos de la norma ISO 38500: modelo de gobierno TI,
principios, buenas prácticas y diccionario de términos.
El segundo está compuesto por un Modelo de Madurez (MM) para cada principio, que se
utilizará para establecer en qué nivel de madurez de gobierno de las TI se encuentra cada
universidad.
El tercero incluye a los indicadores que van servir para medir hasta qué punto se satisfacen
los criterios presentados en la norma17.
Ilustración 13: Motivos por los que se decide implantar un sistema del gobierno de las TI en
una universidad
17
Cfr. Fernández 2011:148
39
Primer Nivel: En cuanto a la guía ISO 38500 se utilizan las guías de buen gobierno de la TI.
Las recomendaciones se describen de alto nivel y sólo son un punto de partida para los
responsables de las TI que deben completar estas guías al implementarse, identificando
cuales son las acciones específicas necesarias para alcanzar los principios, teniendo en
cuenta la naturaleza especial de cada organización y realizando un análisis exhaustivo de las
oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto.
Esta norma, ISO 38500, muestra una guía para el buen gobierno con cada uno de sus
principios. Esta guía se define en base a las acciones de gobierno que se recomiendan por la
norma ISO 38500. Se presenta, manera de ejemplo, la guía que se propone por Fernández
para el principio de responsabilidad18.
Ilustración 14: Guía de buen gobierno de las TI para el principio de Responsabilidad
18
Cfr. Fernández 2011:150
40
Segundo Nivel: Se busca un modelo de madurez que cubra las necesidades del negocio. Y se
utilizan los modelos de madurez más importantes relacionados con las TI, en estos está
incluido COBIT por el IT Governance Institute (ITGI)19.
Este modelo de madurez (MM) establece los niveles de madures del modelo, y es útil para
establecer un nivel actual y uno deseado mediante la autoevaluación, cada nivel describe los
requisitos relacionados con las tres acciones de gobierno (Evaluar, Dirigir y Monitorizar).
Ilustración 15: Tipos de indicadores incluidos en el GTI4U
Tercer Nivel: El tercer nivel Fernández afirma que el GTI4U está compuesto por un
conjunto de indicadores que tienen por objetivo medir si se están llevando a cabo
satisfactoriamente las buenas prácticas recomendadas para el gobierno de las TI.
Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será evaluado a
partir de un conjunto de indicadores Agrupados en tres tipos diferentes (Figura 10.6):
19
GEIT es un Instituto de gobernanza de tecnología de información eficaz que ayuda a asegurar que TI soporte las metas
del negocio, optimice la inversión del negocio en TI, y gestiona adecuadamente los riesgos y oportunidades relacionados
con IT. Cfr. ITGI:2014
41
Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo de situar
automáticamente a la organización en el nivel que le corresponde dentro del Modelo de
Madurez de Gobierno TI de cada principio.
Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas que deben
estar presentes en la organización para mejorar su madurez de gobierno de las TI.
Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son evidencias, pero
expresadas con valores absolutos, de cuál es el estado de madurez de algunos aspectos del
gobierno de las TI de la organización.
Modelo de Procesos Integrado de Gobernanza y Gestión de TI
El modelo propuesto de Procesos de Gobernanza y Gestión de la Tecnología de Información

por Carillo y Rubio está estructurado en tres niveles y en 9 áreas como se observa en la
siguiente figura:
Ilustración 16: Modelo Integrado de Procesos de Gobernanza y Gestión de TI
42
Este modelo es implantado tiene en cuenta los siguientes aspectos:
Primero las restricciones impuestas por el negocio en cuanto a principios y políticas de la

organización, la estructura organizativa, los recursos y la cultura de la empresa.
Segundo al analizar en qué estado se encuentra la organización y a dónde quiere llegar, es

decir tener clara su misión, su visión, sus objetivos, conocer y entender qué problemas
enfrenta su organización en la gestión de la tecnología de información (sería bueno que los
listara) e identificar que oportunidades le ofrece este modelo para mejorar sus procesos, y
hacer un rediseño de los mismos (o en caso de que no estén definidos una guía para
establecerlos).
Tercero, es un problema de organización corporativa que va a afectar a todo el negocio, por

lo cual, el máximo órgano de gobierno debe estar totalmente involucrado en la supervisión
de la nueva estrategia y comunicar lo que se pretende con el modelo para lograr la
colaboración y participación de todo el personal de la compañía afectado.
Por ser este un modelo orientado a procesos, que reúne los procesos clave de gobernanza y
gestión de TI tomando estándares internacionales.
Negocios / Proyectos de TI de alineación a través del proceso de aprobación del

portafolio de proyectos de TI como Instrumento de Gobierno
En el marco de gobierno de TI propuesto por Barceló se basa en el estándar ISO / IEC

38500. Esta norma general, se compone de dos capas, la gobernanza y la gestión,
respectivamente. Esto se ha ampliado con dos capas adicionales, estrategia corporativa y
operación de la línea. Cada capa en el marco representa acciones esenciales realizadas por
sus principales grupos de interés. La transición entre las capas se realiza a través de
diferentes instrumentos que representan la gobernanza de la TI. En particular, el proceso de
aprobación de la Cartera de Proyectos es uno de los instrumentos más importantes. El
proceso es un ciclo virtuoso, que comienza y termina con el tablero. Se inicia cuando el
consejo busca el valor de las nuevas aplicaciones de TI, y termina cuando se aprueba una
cartera de proyectos al año. Como instrumento de gobernanza de TI, el proceso de
aprobación de la Cartera de Proyectos es uno de los mejores mecanismos de alineación entre
43
las unidades de negocio y el personal de TI, ya que formaliza este proceso transparente para
todas las partes interesadas e incluso el público en general20.
En primer lugar, la Junta debe establecer la dirección del gobierno de TI (por un período
superior a un año) establecer los objetivos estratégicos. El CIO establece los objetivos
tácticos. Los resultados de estos objetivos (estratégicos y tácticos) son los planes de TI y
políticas. La selección final de los proyectos de la cartera debe estar alineada con estos
planes y políticas. Luego, las unidades de negocio y el personal de TI colaboran juntos para
presentar propuestas de proyectos a la oficina de CIO. Estas propuestas son promovidas por
los patrocinadores y luego son evaluados por el CIO. La instancia última de la construcción
de la cartera de proyectos es la aprobación formal de la junta, cerrando el ciclo del proceso.
Por lo tanto, los objetivos estratégicos y las tácticas, las propuestas de proyectos
provenientes de unidades de negocio (departamentos y oficinas) y las decisiones finales se
publican de forma explícita en el marco de gobierno de TI21.
20
Barceló 2012: 71
21
Barceló 2012: 72
44
IMPLEMENTACIÓN DE UN MODELO DE
GESTIÓN ESTRATEGICA EN IT-EXPERT
Este capítulo se centra en la ejecución del proyecto IMGETI. Para el caso de IT-Expert, solo
nos enfocaremos en la gestión estratégica relacionada al dominio de planificación APO. El
proyecto está dividido en dos partes. La primera parte está conformado por las fases de
implementación Uno Dos y Tres, donde se afianza con la alta dirección la necesidad de
implementar un modelo de gestión de TI, se alinean los objetivos estratégicos de la empresa
y los objetivos de TI mediante una cascada de metas, se realiza la primera evaluación de
nivel de capacidad a los procesos, se define el nivel al que se quiere llegar, y se definen las
oportunidades de mejora para luego priorizarlas en base a sus niveles de dificultad y
beneficio. En la segunda parte se completan las fases Cuatro, Cinco, Seis y Siete. Estas fases
involucran la creación de un del plan de implementación de las soluciones escogidas en la
fase tres, la ejecución y supervisión del plan, el desarrollo de métricas de rendimiento para el
control de los procesos de la empresa IT-Expert agrupados en un cuadro de control;
finalmente, se realiza la segunda evaluación de capacidad para validar el éxito alcanzado.
Además se menciona algunas conclusiones y recomendaciones para la mejora continua de
la empresa.
45
FASE 1 - ¿CUÁLES SON LOS MOTIVOS? OBTENER EL
COMPROMISO DE LA ALTA DIRECCIÓN
El objetivo de esta fase es reconocer y aceptar la necesidad de una iniciativa de mejora por
parte de la gerencia de la empresa, así como, obtener el compromiso de las demás partes
interesadas. Por eso, como primera actividad, se ha realizado la identificación de los puntos
débiles y eventos desencadenantes, los cuales servirán como motivadores del cambio22 que
serán presentados ante la gerencia para lograr su total apoyo y compromiso, así como las
partes interesadas sus roles y responsabilidades en la empresa para considerar la efectividad
de estos en la creación de valor para la empresa.
PUNTOS DÉBILES
Cambio en la gerencia duplicación o superposición entre las iniciativas o despilfarro de

recursos
Existen muchos proyectos de TI que han sido desarrollados, pero que no han sido puestos en
marcha en la empresa. Además, se han encontrado casos de proyectos que son aprobados
para formar parte de la cartera de proyectos, a pesar de que estos ya hayan sido realizados de
manera parcial o total anteriormente, lo que provoca la pérdida de recursos utilizados
durante el desarrollo del proyecto hasta la detección del problema. Esto es debido a la falta
de una visión holística de todos los proyectos de TI, y la inexistencia de procesos y la
estructura para la capacidad de decisión alrededor del portafolio.
El equipo humano presenta un nivel de competencias insuficiente para el desarrollo de

sus responsabilidades
Se ha encontrado también un problema con el nivel de competencias del equipo humano.

Cada ciclo se realiza una rotación del personal y cada ciclo se enfrenta el mismo problema
22
“Un motivador de cambio es un evento interno o externo, condición o aspecto clave que
sirve como estímulo para el cambio.” Cfr. COBIT 2012:20
46
de que los nuevos miembros desconocen algunas de las normas o estándares bajo los cuales
IT-Expert maneja sus actividades, a pesar de que existan algunas políticas que ya abordan
este problema. Esto podría deberse a la falta de control del cumplimiento de las políticas que
debería ser realizada por la gestión de recursos humanos.
EVENTOS DESENCADENANTES
Cambio en la Gerencia
Actualmente la empresa está pasando por un proceso de cambio de gerente. Como parte de
este proceso, se están realizando revisiones de los procesos actuales de la empresa,
repositorios de documentos, portafolio de proyectos y registros existentes de los recursos
físicos e intangibles.
Deseo de mejorar
Existe un plan de mejora de procesos que inicia en la determinación y análisis del proceso a
mejorar para luego proponer posibles mejoras así como las acciones necesarias para la
implementación de las mismas.
IDENTIFICACIÓN DE PARTES INTERESADAS
A demás de concientizar a la gerencia, es necesario lograr un compromiso con las demás

partes interesadas. Para esto, se han definido e identificado las responsabilidades e intereses
de las partes interesadas con relación al programa de mejora, el cual se desarrolla en el
presente proyecto.
Tabla 7: Responsabilidades e Intereses de las partes interesadas
47
Partes Interesadas Responsabilidades Interés en los Resultados del
Programa de implementación
Gerente Profesor, Establecer los objetivos para el programa de Se encuentran interesados en obtener
Gerente Alumno mejora y asegurar su alineación con la el máximo beneficio en el negocio de la
estrategia y de metas de la empresa. implantación del programa. Quieren
Aprobar los resultados del programa, y garantizar que todas las cuestiones
asegurar que los beneficios previstos son relevantes requeridas se consideran,
alcanzados. que las tareas requeridas se llevan a
cabo y que los resultados esperados
se entregan correctamente.
Responsables de procesos de Dar información clave para la evaluación del Esto grupo está interesado en
TI desempeño y para establecer los objetivos garantizar que las iniciativas de
de mejoras. Proporcionar información sobre mejora resulten en un mejor gobierno
las buenas prácticas pertinentes que deben de TI sobre todas y cada una de las
ser incorporados y proporcionar áreas, y que las opiniones sobre el
asesoramiento. negocio necesarias para ello son
obtenidas de la mejor forma posible.
Profesor Cliente Asesorar en la planificación y desarrollo del Está interesado en que los resultados
programa. Evaluar los entregables que se previstos se alcancen mediante la
hayan definido en el programa. ejecución correcta del programa.
Equipo de implantación Dirigir, diseñar, controlar y gestionar el El equipo quiere asegurarse de que
programa, desde la identificación de todos los resultados previstos se
objetivos y requerimientos hasta las obtienen y se maximizan.
eventuales evaluaciones del programa
respecto a los objetivos del programa.
Clientes Los clientes podrían verse afectados

por el grado en que se cumplen los
objetivos del programa. El cliente tiene
una participación indirecta en los
resultados del programa de
48
Partes Interesadas Responsabilidades Interés en los Resultados del
Programa de implementación
implantación.
49
FASE 2 - ¿DÓNDE ESTAMOS AHORA? DETERMINAR EL
ESTADO ACTUAL
El objetivo de esta fase es asegurar que el equipo del programa conoce y entiende los
objetivos de la empresa. Identificar los procesos críticos u otros catalizadores que se
abordarán en el plan de mejora y determinar la capacidad actual de los procesos
seleccionados mediante una evaluación.
Como parte de esta segunda fase se debe definir el alcance mediante la identificación de los
objetivos de negocio de la empresa relacionados a los objetivos de TI, con estos objetivos
de TI se podrá establecer la correspondencia a los procesos propuestos por COBIT 5, de esta
forma se proporciona un mapeo genérico de los objetivos de negocio con los relacionados
con TI y sus procesos para ayudar con la selección de procesos importantes para la empresa
y la alineación de los objetivos de TI a los objetivos de negocio.
Dados los objetivos de la empresa y de TI seleccionados, se identifican los procesos críticos

que se necesitan para asegurar resultados exitosos. La gerencia necesita saber dónde están
las capacidades actuales y dónde pueden existir ineficiencias. Esto se logra mediante una
evaluación de capacidad del estado de los procesos seleccionados.
Para entender mejor cada artefacto en esta fase, se tendrá la siguiente estructura dividida en:
Descripción: Define y describe en no más de un párrafo al artefacto del modelo que se está
implementado.
Propósito: Muestra la función que tiene el artefacto en el modelo que se está implementado.
Alcance: Nos indica el alcance del artefacto dentro del proyecto IMGETI.
CASCADA DE METAS
Mapeo Entre necesidades de las partes interesadas y las metas de la empresa

Descripción: Es un cuadro que posee dos dimensiones: Necesidades de las partes
interesadas y Las metas de la empresa. Esto nos ayuda a identificar las necesidades de las
50
partes interesadas en forma de preguntas con las metas de la empresa en la parte superior.
Los cuadros azules muestran la relación que hay entre ambas cabeceras.
Propósito: Tener una visión de la relación entre las necesidades de las partes interesadas y
los objetivos empresariales.
Alcance: Solo se toma en cuenta las necesidades de las partes interesadas definidas en el
punto anterior.
51
servicio de TI?
¿Cómo gestiono el rendimiento de TI?
para nuevas oportunidades de negocio?

Promover una cultura de servicio orientada al
¿Cómo puedo explotar mejor las nuevas tecnologías

¿Cómo consigo valor del uso de TI? ¿Están los
usuarios finales satisfechos con la calidad del
cliente
Asegurar la continuidad y disponibilidad de los
servicios del negocio
Garantizar la calidad y eficiencia en la entrega
del servicio
Generar valor para las partes interesadas
Mantener productos y servicios de calidad
Controlar los riesgos del negocio

Mejorar continuamente los procesos de
negocio
Mantener la productividad de la operación y
Tabla 8: Mapeo Entre necesidades de las partes interesadas y las metas de la empresa
del personal en niveles óptimos

Fomentar la motivación y el entrenamiento del
personal
Promover una cultura de innovación en el
negocio
¿Estoy
¿Cómo
información?
construyo
departamento de TI?
gestionando
y
bien
sobre los proveedores externos?

los
estructuro
mejor
contratos
¿Cuáles son los requisitos (de control) para la

de
externalización de TI? ¿Cómo obtengo aseguramiento
¿Cuánto dependo de los proveedores externos?
mi
cliente
del servicio

negocio
personal
negocio
53
robusta?
gestiono su rendimiento?
¿Considero todos los riesgos relativos a TI?
recursos de TI de la manera más efectiva y eficiente?

¿Cómo controlo el coste de TI? ¿Cómo utilizo los
¿Tengo suficiente personal para TI? ¿Cómo puedo

desarrollar y mantener sus habilidades y cómo
¿Estoy realizando una operación de TI eficiente y
cliente
del servicio

negocio
personal
negocio
54
procesando?
¿Cómo consigo confianza sobre TI?
negocio mediante un entorno de TI más flexible?

¿Fracasan los proyectos de TI en proporcionar lo que
TI un obstáculo para ejecutar la estrategia de

¿Cómo puedo mejorar la capacidad de respuesta del
¿Está bien asegurada la información que se está
habían prometido? Si es así, ¿por qué? ¿Está siendo

cliente
del servicio

negocio
personal
negocio
55
negocio?
negocio?
disponible?
de la empresa? ¿Qué pasaría si la TI no estuviera
cuáles son los requerimientos de los procesos de

¿Cómo es de crítica la TI para para la sostenibilidad
¿Qué parte del esfuerzo de TI se dedica a apagar

¿Qué procesos de negocio críticos dependen de TI y
cliente
del servicio

negocio
personal
negocio
56
fuegos en lugar de facilitar las mejoras del negocio?

cliente
del servicio


negocio
personal
negocio
57
Mapeo entre las necesidades de la empresa y las metas relacionadas con TI
Descripción: Cuadro de dos dimensiones que muestra la relación entre Metas de la
empresa y Las metas relacionadas con TI. Aquí podemos visualizar los objetivos de TI en
la cabecera izquierda y los objetivos de la empresa en la cabecera superior. Además, cada
relación esta diferenciada entre P (Primaria) o S (Secundaria), esto nos ayuda a priorizar los
objetivos de la empresa con mayor relación con los objetivos de TI.
Propósito: Sirve como evidencia para demostrar que las metas relacionadas con TI están
alineadas a las metas de la empresa.
Alcance: Se consideran todas las metas presentes en mapeo anterior.
58
Financie
ra
Metas Corporativas - Fila
Meta relacionada con las TI - Columna
Alineamiento de TI y la estrategia de negocio P

Promover una cultura de servicio orientada al cliente
Cliente
S
Asegurar la continuidad y disponibilidad de los servicios del negocio
P
Garantizar la calidad y eficiencia en la entrega del servicio
P
Tabla 9: Mapeo entre las metas de la empresa y las metas relacionadas con TI
Interno Generar valor para las partes interesadas

S

P
Mejorar continuamente los procesos de negocio

Mantener la productividad de la operación y del personal en niveles
óptimos
S
Fomentar la motivación y el entrenamiento del personal

S
Promover una cultura de innovación en el negocio

Aprendizaje y Crecimiento
59
externas
del negocio de las leyes y regulaciones
Compromiso de la dirección ejecutiva para

Cumplimiento y Soporte de la TI al cumplimiento
P
S Mantener productos y servicios de calidad

S

P

óptimos
S

P

60
gestionados
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
Realización de beneficios del portafolio de S

P

P

S

S
óptimos
S

S

61
Cliente
riesgos de las TI
Inversiones y Servicios relacionados con las TI
Transparencia de los costes, beneficios y
Entrega de servicios de TI de acuerdo a los P

S
P
S
P
S
S

P
óptimos
S

S

62
Interno
Agilidad de las TI
requisitos del negocio
y soluciones tecnológicas
Uso adecuado de aplicaciones, información
S
P
S
P

S
S

S

P
óptimos
S
S

S

63
Seguridad
aplicaciones
infraestructuras
de
de
la
procesamiento
información,
Optimización de activos, recursos y

y
P
P
P
P Mantener productos y servicios de calidad

P

S

P
óptimos

S

64
negocio
capacidades de las TI
integrando
tecnología en procesos de negocio
aplicaciones
Capacitación y soporte de procesos de
y P
P
S
P
S

P

P
óptimos
P

S

65
calidad
Disponibilidad de información útil y relevante

satisfaciendo los requisitos y normas de
beneficios a tiempo, dentro del presupuesto y
Entrega de Programas que proporcionen
S
S

S
S

S

óptimos

66
Aprendizaje y
Crecimiento
y motivado
para la toma de decisiones
Cumplimiento de TI con las políticas internas
Personal del negocio y de las TI competente

S
P
P Mantener productos y servicios de calidad

S

P
óptimos
P

P

67
la innovación de negocio
Conocimiento, experiencia e iniciativas para
P

P

P

óptimos
S

P

68
Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5
Descripción: Cuadro de dos dimensiones que muestra las relacionadas entre las metas
relacionadas con TI y los procesos del modelo de COBIT 5. En este caso podemos
diferencias las metas relacionadas con TI en la cabecera superior de los procesos de COBIT
que se encuentran en la cabecera izquierda. En esta relación también se tiene en cuenta la
prioridad P (Primaria) o S (Secundaria).
Propósito: Identificar los procesos que ayuden a cumplir las metas relacionadas con TI.
Alcance: Solo se consideran los procesos del primer dominio de gestión de COBIT 5.
69
Alinear,
Planific
ar y
Organiz
ar
APO01
Procesos de COBIT 5 - Columna
Meta relacionada con las TI - Fila
Gestionar el Marco de P
Alineamiento de TI y la estrategia de negocio
Compromiso de la dirección ejecutiva para tomar decisiones relacionadas
Financiera
S
con TI
S
Riesgos de negocio relacionados con las TI gestionados
S
Entrega de servicios de TI de acuerdo a los requisitos del negocio
Cliente Uso adecuado de aplicaciones, información y soluciones tecnológicas

Seguridad de la información, infraestructuras de procesamiento y
S aplicaciones
Interno
Optimización de activos, recursos y capacidades de las TI

Capacitación y soporte de procesos de negocio integrando aplicaciones y
S

Tabla 10: Mapeo entre las metas relacionadas con TI y los Procesos del modelo de COBIT 5
Personal del negocio y de las TI competente y motivado

Aprendizaje
Crecimiento
Conocimiento, experiencia e iniciativas para la innovación de negocio

y
70
APO02
APO03
Gestionar
Gestión de TI
Arquitectura
la P
Gestionar la Estrategia P
S
S
con TI
S
S
S
Uso adecuado de aplicaciones, información y soluciones tecnológicas
S Seguridad de la información, infraestructuras de procesamiento y
aplicaciones
P
P

P
S

S

S
S

71
APO05
APO04
Empresarial
Gestionar Portafolio
P
Gestionar la Innovación S
S
con TI
S
S
S
S
S
aplicaciones
P

S

P

72
APO06
APO07
Humanos
y los Costes
Gestionar los Recursos

Gestionar el Presupuesto
S
S
S
S
con TI
S
S
S
S
S Entrega de servicios de TI de acuerdo a los requisitos del negocio

aplicaciones
P
S

P

P

73
APO09
APO08
Gestionar
Relaciones
de Servicio
Gestionar los Acuerdos
las
P
S
S
con TI
S
S
P
P Entrega de servicios de TI de acuerdo a los requisitos del negocio
S
aplicaciones

P

S

74
APO11
APO10
Gestionar
Proveedores
Gestionar la Calidad
los
S
con TI
S
P
S Entrega de servicios de TI de acuerdo a los requisitos del negocio
S
S

S
aplicaciones
P
S

S

S
S

75
APO12
APO13
Gestionar el Riesgo
Gestionar la Seguridad
con TI
P
P
S
S

S
S

P
P
aplicaciones

S

S

76
EVALUACIÓN DE LA CAPACIDAD DE LOS PROCESOS
ACTUALES DE IT-EXPERT (RESULTADO DE LISTAS DE
REVISIÓN)
Evaluaciones del dominio de gestión

Descripción: Resultado de la evaluación de capacidad de todos los proceso del dominio
APO. Esta evaluación se realiza para obtener el nivel actual de la empresa.
Propósito: Identificar el nivel de capacidad de cada proceso de dominio APO.
Alcance: Se consideraron solo los procesos del dominio APO que estén alineados a los
objetivos de TI. Asimismo, la evaluación se basó en las listas de revisión adjuntas en el
Anexo 2. Para realizar la fase dos se debe analizar el estado actual o nivel de capacidad
de los procesos de la empresa en el dominio Alinear, Planear y Organizar. Los Procesos
APO comprenden de 13 procesos. Sin embargo, para el análisis de la empresa IT-Expert
no se considerara el proceso “APO06Gestionar el Presupuesto y los Costes”, debido a
que esta no se alinea a los objetivos de TI de la empresa.
Los siguientes cuadros describen los resultados de la evaluación de los procesos APO
en la empresa IT-Expert en los siguientes procesos:
APO01 Gestionar el Marco de Gestión de TI
APO02 Gestionar la Estrategia
APO03 Gestionar la Arquitectura Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar Portafolio
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las Relaciones
APO09 Gestionar los Acuerdos de Servicio
APO10 Gestionar los Proveedores

APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Hay que tener en cuenta que en cada cuadro tenemos los tres criterios de evaluación con
valores porcentuales. Estos valores porcentuales están con color de fondo amarillo y que
luego se promedian para obtener el nivel de capacidad de cada proceso en el nivel 1.
Para analizar e identificar el valor porcentual tenemos evaluar el proceso mediante listas
de revisión que se encuentran en el anexo 2 del presente documento.
Criterios de evaluación
Meta del Proceso (Os): Estos son los objetivos que se cumplen en cada meta de cada
proceso en los dominios de COBIT 5. Para la evaluación se tendrá un nivel de
cumplimiento de cada meta del 1 al 4, siendo la escala de la siguiente forma:
Nivel Descripción
Cumple en su
1
minoría
Cumple
2
parcialmente
Cumple en su
3
mayoría
4 Cumple totalmente.
Fórmula para obtener el valor porcentual de la Meta proceso del Proceso se usa la
siguiente formula, Nivel de Meta (NM):
78
Ejemplo: Para el dominio APO01 el NM1 es 2 y el NM2 es 3
[ ] [ ]
Prácticas Base (BPs): Estas son las actividades a realizarse en el proceso, estas
actividades están dentro de las mejores prácticas en el GEIT. Cada actividad del proceso
contiene tareas, para medir el cumplimiento de las actividades con relación a las tareas
de cada actividad se evalúa por porcentaje de tareas logradas en cada actividad entre el
(0% - 100%).
Fórmula para obtener el valor porcentual de las prácticas base se tiene en cuenta el
resultado de las listas de revisión mediante el resultado del cumplimiento de las tareas
de cada práctica base en la empresa IT-Expert. Luego de obtener los valores de cada
práctica base se promedian para obtener el valor porcentual promedio de las prácticas
base del proceso, Cumplimiento de práctica base (CPB):
Ejemplo: Para el dominio APO01 el CPB1 es 30%, el CPB2 es 22%, el CPB3 es 13% y
el CPB4 es 24%
79
Producto de Trabajo (WPs): El producto de trabajo es el entregable de cada proceso en
el dominio APO. Para la evaluación de esta parte se contabilizaran los entregables
existentes y los que no existen, (SI - NO).
Teniendo en cuenta si se contempla la creación de este producto de trabajo o entregable

se contara con un SI y si no se contempla se contara como un NO, Producto
Contemplado (PC):
Por medio de estos tres indicadores podremos obtener el grado o alcance en el nivel de
capacidad uno23, Cumplimiento (Os) Cumplimiento (BPs) Cumplimiento (WPs).
23
El nivel 1 del Nivel de capacidad es el que sigue del nivel más bajo (nivel 0), el nivel
1 es tomado como base en el proyecto, pues el nivel cero es teniendo en cuenta que no
se tiene nada de la empresa IT-Expert que cumpla con los mínimos niveles en las
buenas prácticas que se da en empresas que implementan por 1era vez un modelo de
gestión.
80
Calificación de la capacidad actual de los procesos seleccionados
Luego de analizar las listas de revisiones se puede obtener este cuadro que nos indica
que la empresa IT-Expert en el proceso APO01 tiene un total de 46.6% de capacidad en
el nivel 1.
Evaluación APO01
APO01 Gestionar el Marco de Gestión de TI 46.6
81
Aclarar y mantener el gobierno de la misión y la visión
corporativa de TI. Implementar y mantener mecanismos y
autoridades para la gestión de la
Descripción del Proceso
Información y el uso de TI en la empresa para apoyar los
objetivos de gobierno en consonancia con las políticas y
los principios rectores.
Proporcionar un enfoque de gestión consistente que

permita cumplir los requisitos de gobierno corporativo e
Declaración del Propósito del
incluya procesos de gestión, estructuras, roles y
Proceso
responsabilidades organizativos, actividades fiables y
reproducibles y habilidades y competencias.
Meta del Proceso (Os) (1-4) 50
Se ha definido y se mantiene un conjunto eficaz de

APO01-O1 3
políticas.
Todos tienen conocimiento de las políticas y de cómo

deberían
APO01-O2 1
Implementarse.
Prácticas Base (BPs) % 46
APO01-BP1 Definir la estructura organizativa. 50
APO01-BP2 Establecer roles y responsabilidades 85.7
Mantener los elementos catalizadores del sistema de

APO01-BP3 22.2
gestión
APO01-BP4 Comunicar los objetivos y la dirección de gestión 0
APO01-BP5 Optimizar la ubicación de la función de TI. 100
APO01-BP6 Definir la propiedad de la información (datos) y del 50
82
sistema.
APO01-BP7 Gestionar la mejora continua de los procesos 40
Mantener el cumplimiento con las políticas y

APO01-BP8 20
procedimientos
Producto de Trabajo (WPs) S/N 42.9
APO01-WP1 Políticas relativas a TI no
APO01-WP2 Acciones de remediación por no cumplimiento no
APO01-WP3 Evaluación de las opciones para la organización de TI si
APO01-WP4 Definir la función operacional de las funciones de TI si
APO01-WP5 Definición de estructura y funciones organizativas si
APO01-WP6 Directrices operativas de la organización si
APO01-WP7 Reglas básicas de comunicación si
APO01-WP8 Definición de roles y responsabilidades relativos a TI si
APO01-WP9 Definición de prácticas de supervisión no
APO01-WP10 Evaluaciones de la capacidad de los procesos no
APO01-WP11 Oportunidades de mejoras de proceso no
Objetivos y métricas de rendimiento para el seguimiento

APO01-WP12 no
de la mejora de procesos
APO01-WP13 Comunicación de objetivos de TI no
APO01-WP14 Directrices para la clasificación de datos no
83
el nivel 1. Y pertenece a uno de los procesos que deben ser implementados con más
urgencia en la empresa, debido a que se debe tener una gestión y control en la empresa
de forma más eficiente y completa.
Evaluación APO02
APO02 Gestionar la Estrategia 26.2
Aclarar y mantener el gobierno de la misión y la

visión corporativa de TI. Implementar y mantener
mecanismos y autoridades para la gestión de la
información y el uso de TI en la empresa para apoyar
los objetivos de gobierno en consonancia con las
políticas y los principios rectores.

permita cumplir los requisitos de gobierno
Declaración del Propósito del corporativo e incluya procesos de gestión,
Proceso estructuras, roles y responsabilidades organizativos,
actividades fiables y reproducibles y habilidades y
competencias.
Meta del Proceso (Os) (1-4) 30.0
84
Todos los aspectos de la estrategia de TI están
APO02-O1 2
alineados con la estrategia del negocio.
La estrategia de TI es coste-efectiva, apropiada,

APO02-O2 1
realista, factible, enfocada al negocio y equilibrada.
Se pueden derivar objetivos a corto plazo claros,

concretos, y trazables de iniciativas a largo plazo
APO02-O3 1
específicas, y se pueden traducir, por tanto, en
planes operativos.
APO02-O4 TI es un generador de valor para el negocio. 1
Existe conciencia de la estrategia de TI y una clara

APO02-O5 1
asignación de responsabilidades para su entrega.
Prácticas Base (BPs) % 15.3
APO02.01 Comprender la dirección de la empresa. 66.7
Evaluar el entorno, capacidades y rendimiento

APO02.02 25.0
actuales.
APO02.03 Definir el objetivo de las capacidades de TI. 0.0
APO02.04 Realizar un análisis de diferencias. 0.0
APO02.05 Definir el plan estratégico y la hoja de ruta. 0.0
APO02.06 Comunicar la estrategia y la dirección de TI. 0.0
APO02-WP1 Fuentes y prioridades para cambios no
APO02-WP2 Línea de referencia de capacidades actuales no
Diferencias y riesgos relacionados con las

APO02-WP3 no
capacidades actuales
85
APO02-WP4 Análisis FODA de capacidades si
APO02-WP5 Objetivos de TI a alto nivel si
APO02-WP6 Requerimientos del negocio y capacidades de TI no
APO02-WP7 Propuesta de cambio en la arquitectura del negocio no
Diferencias y cambios requeridos para alcanzar la

APO02-WP8 no
meta de capacidad
Declaración del valor beneficio para el entorno

APO02-WP9 no
deseado
APO02-WP10 Definición de iniciativas estratégicas si
APO02-WP11 Evaluación de riesgo si
APO02-WP12 Hoja de ruta estratégica no
APO02-WP13 Plan de comunicación si
APO02-WP14 Paquete de comunicación si
APO03Gestionar la Arquitectura Empresarial
el nivel 1. Y es el segundo proceso que tiene los más bajos niveles en la evaluación del
nivel de capacidad. Es importante el proceso para la empresa IT-Expert debido a los
diferentes cambios que hay en la arquitectura de la empresa, de ahí la importancia de la
implementación de un proceso que gestione la arquitectura empresarial y todos sus
cambios.
86
Evaluación APO03
APO03 Gestionar la Arquitectura Empresarial 14.6
Establecer una arquitectura común compuesta por los procesos de

negocio, la información, los datos, las aplicaciones y las capas de la
arquitectura tecnológica de manera eficaz y eficiente para la
realización de las estrategias de la empresa y de TI mediante la
creación de modelos clave y prácticas que describan las líneas de
partida y las arquitecturas objetivo. Definir los requisitos para la
Descripción del
taxonomía, las normas, las directrices, los procedimientos, las
Proceso
plantillas y las herramientas y proporcionar un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar
la calidad de la información y generar ahorros de costes potenciales
mediante iniciativas tales como la reutilización de bloques de
componentes para los procesos de
construcción.
Representar a los diferentes módulos que componen la empresa y

Declaración del
sus interrelaciones, así como los principios rectores de su diseño y
Propósito del
evolución en el tiempo, permitiendo una entrega estándar, sensible y
Proceso
eficiente de los objetivos operativos y estratégicos.
APO03-O1 La arquitectura y los estándares son eficaces apoyando a la 1
87
empresa.
Todos tienen conocimiento de las políticas y de cómo deberían

1
APO03-O2 implementarse.
Existen dominios apropiados y actualizados y/o arquitecturas

1
APO03-O3 federadas que proveen información fiable de la arquitectura.
Se utiliza un marco de arquitectura de empresa y una metodología

común, así como un repositorio de arquitectura integrado, con el fin 1
APO03-O4 de permitir la reutilización de eficiencias dentro de la empresa.
APO03-BP1 Desarrollar la visión de la arquitectura de empresa. 0.0
APO03-BP2 Definir la arquitectura de referencia. 11.1
APO03-BP3 Seleccionar las oportunidades y las soluciones. 0.0
APO03-BP4 Definir la implantación de la arquitectura. 0.0
APO03-BP5 Proveer los servicios de arquitectura empresarial. 0.0
APO03-WP1 Alcance de la arquitectura definido si
APO03-WP2 Principios de arquitectura no
APO03-WP3 Caso de negocio y propuesta de valor del concepto de arquitectura no
APO03-WP4 Descripciones de dominio de partida y definición de la arquitectura si
APO03-WP5 Modelo de arquitectura de procesos no
APO03-WP6 Modelo de la arquitectura de la información no
APO03-WP7 Estrategia de Implementación a alto nivel y estrategia de migración no
88
APO03-WP8 Arquitecturas de transición no
APO03-WP9 Necesidades de recursos no
APO03-WP10 Descripciones de las fases de implementación no
APO03-WP11 Requisitos de gobierno de la arquitectura no
APO03-WP12 Orientación para el desarrollo de soluciones no
APO04Gestionar la Innovación
el nivel 1. Este proceso tiene el resultado más bajo debido a que no existe un proceso
que contemple la gestión de la innovación. Este proceso será parte del portafolio de
procesos a definirse para la empresa IT-Expert.
Evaluación APO04
APO04 Gestionar la Innovación 12.7
89
Mantener un conocimiento de la tecnología de la información y las
tendencias relacionadas con el servicio, identificar las oportunidades
de innovación y planificar la manera de beneficiarse de la innovación
en relación con las necesidades del negocio. Analizar cuáles son las
Descripción del oportunidades para la innovación empresarial o qué mejora puede
Proceso crearse con las nuevas tecnologías, servicios o innovaciones
empresariales facilitadas por TI, así como a través de las tecnologías
ya existentes y por la innovación en procesos empresariales y de TI.
Influir en la planificación estratégica y en las decisiones de la
arquitectura de empresa.
Declaración del Lograr ventaja competitiva, innovación empresarial y eficacia y

Propósito del eficiencia operativa mejorada mediante la explotación de los
Proceso desarrollos tecnológicos para la explotación de la información.
El valor de empresa es creado mediante la cualificación y puesta en

APO04-O1 escena de los avances e innovaciones tecnológicas más apropiadas, 1
los métodos y las soluciones TI utilizadas.
Los objetivos de la empresa se cumplen por la mejora de los

APO04-O2 beneficios de la calidad y/o la reducción de costes como resultado 1
de la identificación e implementación de soluciones innovadoras.
La innovación se permite y se promueve y forma parte de la cultura

APO04-O3 de 1
la empresa.
APO04-BP1 Crear un entorno favorable para la innovación. 20.0
APO04-BP2 Mantener un entendimiento del entorno de la empresa. 33.3
APO04-BP3 Supervisar y explorar el entorno tecnológico. 25.0
90
Evaluar el potencial de las tecnologías emergentes y las ideas
APO04-BP4 0.0
innovadoras.
APO04-BP5 Recomendar iniciativas apropiadas adicionales. 0.0
APO04-BP6 Supervisar la implementación y el uso de la innovación. 0.0
Oportunidades de innovación vinculadas a los motivadores del

APO04-WP1 no
negocio
APO04-WP2 Análisis de investigación de las posibilidades de innovación no
APO04-WP3 Evaluación de las ideas de innovación no
Alcance de la prueba de concepto y descripción de los casos de

APO04-WP4 no
negocio
APO04-WP5 Comprobar los resultados de las iniciativas de pruebas de concepto. no
APO04-WP6 Resultados y recomendaciones de las pruebas de concepto no
APO04-WP7 Análisis de las iniciativas rechazadas no
APO04-WP8 Plan de Innovación no
APO04-WP9 Programa de reconocimiento y recompensa no
APO04-WP10 Valoración del uso de enfoques innovadores no
APO04-WP11 Evaluación de los beneficios de la innovación no
APO04-WP12 Planes de innovación ajustados no
APO05Gestionar Portafolio
91
el nivel 1. Este proceso gestiona los portafolios de activos, se debe implementar el
proceso con un alineamiento a los objetivos de la empresa.
Evaluación APO05
APO05 Gestionar Portafolio 29.2
Ejecutar el conjunto de direcciones estratégicas para la inversión

alineada con la visión de la arquitectura empresarial, las
características deseadas de inversión, los portafolios de servicios
relacionados, considerar las diferentes categorías de inversión y
recursos y las restricciones de financiación. Evaluar, priorizar y
equilibrar programas y servicios, gestionar la demanda con los
Descripción del
recursos y restricciones de fondos, basados en su alineamiento con
Proceso
los objetivos estratégicos así como en su valor y riesgo corporativo.
Mover los programas seleccionados al portafolio de servicios
activos listos para ser ejecutados. Supervisar el rendimiento global
del portafolio de servicios y programas, proponiendo ajustes si
fuesen necesarios en respuesta al rendimiento de programas y
servicios o al cambio en las prioridades corporativas.
Declaración del Optimizar el rendimiento del portafolio global de programas en

Propósito del respuesta al rendimiento de programas y servicios y a las
Proceso cambiantes prioridades y demandas corporativas.
APO05-O1 Se ha definido una mezcla apropiada de inversión alineada con la 1
92
estrategia corporativa.
APO05-O2 Fuentes de fondos de inversión identificados y están disponibles. 1
Casos de negocio de programa evaluados y priorizados antes de que

APO05-O3 1
se asignen los fondos.
Existe una vista precisa y comprensiva del rendimiento de las

APO05-O4 1
inversiones del portafolio.
Los cambios en el programa de inversiones se reflejan en los

APO05-O5 1
portafolios relevantes de servicios, activos y recursos de TI.
Los beneficios han sido generados debido a los beneficios de la

APO05-O6 1
monitorización.
APO05-BP1 Establecer la mezcla del objetivo de inversión. 0.0
APO05-BP2 Determinar la disponibilidad y las fuentes de fondos.
APO05-BP3 Evaluar y seleccionar los programas a financiar. 50.0
Supervisar, optimizar e informar sobre el rendimiento del portafolio

APO05-BP4 0.0
de inversiones.
APO05-BP5 Mantener los portafolios.
APO05-BP6 Gestionar la consecución de beneficios. 66.7
APO05-WP1 Mezcla de inversión definida -
Identificar recursos y capacidades necesarias para soportar la

APO05-WP2 no
estrategia
APO05-WP3 Observaciones a la estrategia y a las metas no
93
APO05-WP4 Opciones de financiación -
APO05-WP5 Expectativas de retorno de inversión -
APO05-WP6 Casos de negocio de programa si
APO05-WP7 Evaluaciones de los casos de negocio no
APO05-WP8 Programas seleccionados con hitos del retorno de inversión (ROI) -
APO05-WP9 Informes de rendimiento del portafolio de inversiones -
APO05-WP10 Portafolios de programas, servicios y activos actualizados si
APO05-WP11 Resultados de los beneficios y comunicaciones relacionadas -
APO05-WP12 Acciones correctivas para mejorar la producción de beneficio no
el nivel 1. Teniendo en cuenta los objetivos de la empresa virtual IT-Expert, se debe
implementar de manera urgente el proceso Gestionar los recursos humanos.
Evaluación APO07
94
APO07 Gestionar los Recursos Humanos 23.3
Proporcionar un enfoque estructurado para garantizar

una óptima estructuración, ubicación, capacidades de
decisión y habilidades de los recursos humanos. Esto
Descripción del Proceso incluye la comunicación de las funciones y
responsabilidades definidas, la formación y planes de
desarrollo personal y las expectativas de desempeño, con
el apoyo de gente competente y motivada.
Declaración del Propósito del Optimizar las capacidades de recursos humanos para
Proceso cumplir los objetivos de la empresa.
La estructura organizacional y las relaciones de TI son

APO07-O1 1
flexibles y dan respuesta ágil.
Los recursos humanos son gestionados eficaz y

APO07-O2 1
eficientemente.
APO07-BP1 Mantener la dotación de personal suficiente y adecuado. 60.0
APO07-BP2 Identificar personal clave de TI. 50.0
APO07-BP3 Mantener las habilidades y competencias del personal. 14.3
APO07-BP4 Evaluar el desempeño laboral de los empleados. 28.6
Planificar y realizar un seguimiento del uso de recursos

APO07-BP5 66.7
humanos de TI y del negocio.
APO07-BP6 Gestionar el personal contratado. 50.0
95
APO07-WP1 Evaluaciones de requisitos de personal no
APO07-WP2 Planes de desarrollo de carrera y de competencias no
APO07-WP3 Planes de aprovisionamiento de personal no
APO07-WP4 Matriz de habilidades y competencias no
APO07-WP5 Planes de desarrollo de habilidades no
APO07-WP6 Revisión de informes si
APO07-WP7 Metas personales no
APO07-WP8 Evaluaciones de desempeño si
APO07-WP9 Planes de mejora no
APO07-WP10 Inventario de recursos humanos del negocio y de TI no
APO07-WP11 Análisis de deficiencias en la obtención de recursos no
APO07-WP12 Registros de utilización de recursos si
APO07-WP13 Políticas de contratación de personal -
APO07-WP14 Acuerdos contractuales -
APO07-WP15 Revisiones de acuerdos contractuales -
el nivel 1. Este Proceso será definido en la empresa, pues no se contempla en la
arquitectura empresarial de IT-Expert.
96
Evaluación APO08
APO08 Gestionar las Relaciones 29.4
Gestionar las relaciones entre el negocio y TI de

modo formal y transparente, enfocándolas hacia el
objetivo común de obtener resultados empresariales
exitosos apoyando los objetivos estratégicos y dentro
Descripción del Proceso de las restricciones del presupuesto y los riesgos
tolerables. Basar la relación en la confianza mutua,
usando términos entendibles, lenguaje común y
voluntad de asumir la propiedad y responsabilidad en
las decisiones claves.
Crear mejores resultados, mayor confianza en la

tecnología y conseguir un uso efectivo de los
Proceso
recursos.
Las estrategias, planes y requisitos de negocio están

APO08-O1 bien entendidos, 1
documentados y aprobados.
Existencia de buenas relaciones entre la empresa y

APO08-O2 1
las TI.
APO08-O3 Las partes interesadas del negocio son conscientes 1

de las oportunidades
97
posibilitadas por la TI.
APO08-BP1 Entender las expectativas del negocio. 14.3
Identificar oportunidades, riesgos y limitaciones de TI

APO08-BP2 20.0
para mejorar el negocio.
APO08-BP3 Gestionar las relaciones con el negocio. 40.0
APO08-BP4 Coordinar y comunicar. 75.0
Proveer datos de entrada para la mejora continua de

APO08-BP5 0.0
los servicios.
APO08-WP1 Expectativas de negocio aclaradas y acordadas no
APO08-WP2 Acuerdo en los siguientes pasos y planes de acción no
APO08-WP3 Decisiones claves acordadas no
APO08-WP4 Estado de las quejas y del escalado si
APO08-WP5 Plan de comunicación si
APO08-WP6 Paquetes de comunicación si
APO08-WP7 Respuestas de los clientes no
APO08-WP8 Análisis de satisfacción no
APO08-WP9 Definición de proyectos de mejora potencial no
98
el nivel 1. Este nivel es el más alto del proceso y representa un nivel con objetivos y
metas altamente alcanzados.
Evaluación APO09
APO09 Gestionar los Acuerdos de Servicio 56.3
Alinear los servicios basados en TI y los niveles de

servicio con las necesidades y expectativas de la
empresa, incluyendo identificación, especificación,
diseño, publicación, acuerdo y supervisión de los
servicios TI, niveles de servicio e indicadores de
rendimiento.
Asegurar que los servicios TI y los niveles de servicio

cubren las necesidades presentes y futuras de la
Proceso
empresa.
La empresa puede usar de modo efectivo los

APO09-O1 1
servicios TI tal como se han definido en el catálogo.
Los acuerdos de servicio reflejan las capacidades y

APO09-O2 1
necesidades de la TI
APO09-O3 Los servicios TI rinden como está estipulado en los 1
99
acuerdos de servicio.
APO09-BP1 Identificar servicios TI. 33.3
APO09-BP2 Catalogar servicios basados en TI. 66.7
APO09-BP3 Definir y preparar acuerdos de servicio. 80.0
APO09-BP4 Supervisar e informar de los niveles de servicio. 40.0
APO09-BP5 Revisar acuerdos de servicio y contratos. 100.0
Carencias identificadas de los servicios TI de cara al

APO09-WP1 no
negocio
APO09-WP2 Definición de servicios estándar si
APO09-WP3 Definición de servicios si
APO09-WP4 Portafolio de servicios de actualizado si
APO09-WP5 Catálogos de servicio si
APO09-WP6 Acuerdos de nivel de servicio si
APO09-WP7 Acuerdos de nivel operativos (OLAs). si
APO09-WP8 Informes de rendimiento del nivel de servicio si
APO09-WP9 Planes de acción de mejora y remedio no
APO09-WP10 SLAs actualizados si
100
el nivel 1.
Evaluación APO10
APO10 Gestionar los Proveedores 41.2
Administrar todos los servicios de TI prestados por

todo tipo de proveedores para satisfacer las
necesidades del negocio, incluyendo la selección de
Descripción del Proceso los proveedores, la gestión de las relaciones, la
gestión de los contratos y la revisión y supervisión
del desempeño, para una eficacia y cumplimiento
adecuados.
Declaración del Propósito del Minimizar el riesgo de proveedores que no rindan y

Proceso asegurar precios competitivos.
APO10-O1 Los proveedores rinden según lo acordado. 1
El riesgo de los proveedores se evalúa y trata

APO10-O2 1
adecuadamente. TI.
APO10-O3 Las relaciones con los proveedores son eficaces. 1
101
Identificar y evaluar las relaciones y contratos con

APO10-BP1 50.0
proveedores.
APO10-BP2 Seleccionar proveedores. 50.0
APO10-BP3 Gestionar contratos y relaciones con proveedores. 42.9
APO10-BP4 Gestionar el riesgo en el suministro. 50.0
Supervisar el cumplimiento y el rendimiento del

APO10-BP5 50.0
proveedor.
APO10-WP1 Relevancia del contratista y criterios de evaluación -
APO10-WP2 Catálogo de proveedores si
Revisiones potenciales de los contratos con los

APO10-WP3 no
proveedores
APO10-WP4 Roles y responsabilidades de los proveedores si
APO10-WP5 Procesos de revisión y comunicación si
APO10-WP6 Resultados y sugerencias de mejora no
APO10-WP7 Identificar el riesgo de entrega del proveedor no
Identificar requisitos contractuales para minimizar

APO10-WP8 -
riesgo
Criterios de supervisión del cumplimiento de los

APO10-WP9 -
proveedores
Resultados de las revisiones de la supervisión del

APO10-WP10 -
cumplimiento de os proveedores
102
Solicitudes de Información (RFIs) y peticiones de
APO10-WP11 -
propuestas (RFPs) a proveedores
APO10-WP12 Evaluaciones de RFIs y RFPs -
Resultados decididos tras las evaluaciones de

APO10-WP13 -
proveedores
que la empresa IT-Expert en el proceso APO011 tiene un total de 34.8.6% de capacidad
en el nivel 1. Este nivel es alto de forma relativa, pero tiene un valor P-Parcialmente
alcanzado lo que nos indica que debe ser realizada la oportunidad de mejora con
urgencia, esta oportunidad de mejora será la definición del proceso que no existe en la
empresa IT-Expert.
Evaluación APO11
APO11 Gestionar la Calidad 34.8
Definir y comunicar los requisitos de calidad en todos
Descripción del Proceso los procesos, procedimientos y resultados

relacionados de la organización, incluyendo
controles, vigilancia constante y el uso de prácticas
103
probadas y estándares de mejora continua y
esfuerzos de eficiencia.
Asegurar la entrega consistente de soluciones y

Declaración del Propósito del servicios que cumplan con los requisitos de la
Proceso organización y que satisfagan las necesidades de las
partes interesadas.
Las partes interesadas están satisfechas con la

APO11-O1 calidad de los servicios 1
y las soluciones.
Los resultados de los proyectos y de los servicios

APO11-O2 entregados son 1
predecibles.
Los requisitos de calidad están implementados en

APO11-O3 1
todos los procesos.
APO11-BP1 Establecer un sistema de gestión de la calidad (SGC). 12.5
Definir y gestionar los estándares, procesos y

APO11-BP2 0.0
prácticas de calidad.
APO11-BP3 Enfocar la gestión de la calidad en los clientes. 16.7
APO11-BP4 Supervisar y hacer controles y revisiones de calidad. 71.4
Integrar la gestión de la calidad en la implementación

APO11-BP5 33.3
de soluciones y la entrega de servicios.
APO11-BP6 Mantener una mejora continua 42.9
104
Roles, responsabilidades y capacidades de decisión
APO11-WP1 no
del SGC.
APO11-WP2 Planes de gestión de la calidad si
APO11-WP3 Resultados de la revisiones de eficacia del SGC no
APO11-WP4 Estándares de gestión de la calidad no
APO11-WP5 Requisitos de los clientes para la gestión de la calidad no
APO11-WP6 Criterios de aceptación si
Revisión de los resultados de la calidad de los

APO11-WP7 si
servicios, incluyendo la opinión de los clientes.
APO11-WP8 Resultados de las revisiones y auditorias de calidad si
Metas y métricas del proceso de calidad de los

APO11-WP9 si
servicios
Resultados de la supervisión de la calidad de los

APO11-WP10 si
servicios y las soluciones entregados
APO11-WP11 Causas raíz de los fallos en la calidad de la entrega no
Comunicaciones sobre las mejores prácticas y la

APO11-WP12 no
mejora continua
Ejemplos de las mejores prácticas para ser

APO11-WP13 no
compartidos.
Resultados de revisiones de análisis comparativos de

APO11-WP14 si
la calidad
105
que la empresa IT-Expert en el proceso APO012 tiene un total de 38.0% de capacidad
en el nivel 1.Este resultado nos muestra que debemos implementar el proceso en la
empresa.
Evaluación APO12
APO12 Gestionar el Riesgo 38.0
Identificar, evaluar y reducir los riesgos relacionados

con TI de forma continua, dentro de niveles de
tolerancia establecidos por la dirección ejecutiva de
la empresa.
Integrar la gestión de riesgos empresariales

relacionados con TI con la gestión de riesgos
empresarial general (ERM) y equilibrar los costes y
Proceso
beneficios de gestionar riesgos empresariales
relacionados con TI.
El riesgo relacionado con TI está identificado,

APO12-O1 1
analizado, gestionado y reportado.
APO12-O2 Existe un perfil de riesgo actual y completo. 1
106
Todas las acciones de gestión para los riesgos
APO12-O3 1
significativos están gestionadas y bajo control.
Las acciones de gestión de riesgos están

APO12-O4 1
efectivamente implementadas.
APO12-BP1 Recopilar datos. 42.9
APO12-BP2 Analizar el riesgo. 57.1
APO12-BP3 Mantener un perfil de riesgo. 57.1
APO12-BP4 Expresar el riesgo. 20.0
Definir un portafolio de acciones para la gestión de

APO12-BP5 66.7
riesgos.
APO12-BP6 Responder al riesgo. 50.0
Datos en el entorno de operación relacionados con el

APO12-WP1 no
riesgo
Datos en eventos de riesgo y en factores

APO12-WP2 no
contribuyentes
APO12-WP3 Elementos y factores de riesgo emergentes no
APO12-WP4 Alcance de los esfuerzos de análisis de riesgos si
APO12-WP5 Escenarios de riesgo de TI si
APO12-WP6 Resultados de análisis de riesgos si
Escenarios de riesgo documentados por línea de

APO12-WP7 no
negocio y función
107
Perfil de riesgo agregado, incluyendo el estado de las
APO12-WP8 si
acciones de gestión del riesgo
Análisis de riesgos e informes del perfil de riesgos

APO12-WP9 no
para las partes interesadas
Revisión de resultados de evaluaciones de riesgos de

APO12-WP10 no
terceras partes
APO12-WP11 Oportunidades para la aceptación de un riesgo mayor no
APO12-WP12 Propuestas de proyecto para reducir el riesgo si
Planes de respuesta para incidentes relacionados

APO12-WP13 si
con el riesgo
APO12-WP14 Comunicaciones del impacto del riesgo no
APO12-WP15 Causas raíz relacionadas con el riesgo no
APO13Gestionar la Seguridad
el nivel 1. Un nivel muy bajo para este proceso, esto requiere una definición del proceso
ya que no se encuentra dentro de los procesos de la empresa IT-Expert.
108
Evaluación APO13
APO13 Gestionar la Seguridad 27.1
Definir, operar y supervisar un sistema para la

gestión de la seguridad de la información.
Mantener el impacto y ocurrencia de los incidentes

de la seguridad de la información dentro de los
Proceso
niveles de apetito de riesgo de la empresa.
Está en marcha un sistema que considera y trata

efectivamente los
APO13-O1 1
requerimientos de seguridad de la información de la
empresa.
Se ha establecido, aceptado y comunicado por toda la

APO13-O2 empresa un plan 1
de seguridad.
Las soluciones de seguridad de la información están

APO13-O3 implementadas y 1
operadas de forma consistente en toda la empresa.
APO13-BP1 Establecer y mantener un SGSI. 0.0
Definir y gestionar un plan de tratamiento del riesgo

APO13-BP2 28.6
de la seguridad de la información.
APO13-BP3 Supervisar y revisar el SGSI. 40.0
109
APO13-WP1 Política de SGSI si
APO13-WP2 Declaración de alcance del SGSI no
Plan de tratamiento de riesgos de seguridad de la

APO13-WP3 si
información
APO13-WP4 Casos de negocio de seguridad de información no
APO13-WP5 Informes de auditoría del SGSI no
APO13-WP6 Recomendaciones para mejorar el SGSI no
Resumen de calificación de la capacidad actual de los procesos seleccionados

Descripción: Resumen de la calificación de la capacidad actual de los procesos
seleccionados. Este cuadro reúne el alcance en valores cuantitativo el alcance en el nivel
1 de los procesos en el domino APO. Cada valor de alcance está representado por letras
que a su vez son la representación de cada rango porcentual del alcance alcanzado por
proceso.
Propósito: Mostrar de manera resumida el nivel de capacidad de cada proceso, así

como, la escala obtenida. Esto nos brinda una visión general del alcance de cada
proceso en el nivel uno.
Nivel Valor Descripción
N 0%-15% No Alcanzado
P 15%-50% Parcialmente Alcanzado
L 50%-85% Ampliamente Alcanzado
F 85%-100% Completamente Alcanzado
110
Asimismo, nos indica los procesos en que la empresa obtiene un nivel muy bajo y alto,
las partes en que debemos trabajar más y en las que estamos con un buen nivel de
capacidad.
Alcance: Solo se consideraron los procesos seleccionados y el nivel 1 de capacidad
N 0%-15% P 15%-50% L 50%-85% F 85%-100%
Tabla 11: Calificación de la capacidad actual de los procesos seleccionados
Calificación de la capacidad actual de los procesos seleccionados
Nivel de Capacidad del Proceso
ID Nombre del Proceso ¿En el Nivel Nivel Nivel Nivel Nivel Nivel
Proceso alcance? 0 1 2 3 4 5
APO01 Gestionar el Marco de Gestión de TI SI P
APO02 Gestionar la Estrategia SI P
Gestionar la Arquitectura
SI N
APO03 Empresarial
APO04 Gestionar la Innovación SI N
APO05 Gestionar Portafolio SI P
APO06 Gestionar el Presupuesto y los Costes NO
APO07 Gestionar los Recursos Humanos SI P
APO08 Gestionar las Relaciones SI P
APO09 Gestionar los Acuerdos de Servicio SI L

Alinear, Planear y Organizar
APO10 Gestionar los Proveedores SI P
APO11 Gestionar la Calidad SI P
APO12 Gestionar el Riesgo SI P
111
APO13 Gestionar la Seguridad SI P
Fuente: Elaboración propio
Para esta fase se concluye que el valor actual de la empresa IT-Expert en el nivel 1 de
los niveles de capacidad de COBIT enfocados en los procesos que el marco propone , en
este caso el primer nivel de gestión APO, es muy bajo, pues en 9 de los 12 proceso que
se están considerando tiene un nivel de capacidad de P-Parcialmente alcanzado, en los
procesos 3 y 4 los niveles alcanzados son N-No alcanzado y solo un proceso, el proceso
9, tiene un nivel L-Altamente alcanzado. Esta información es la entrada para poder
definir el nivel de capacidad deseado en todos los procesos APO y las oportunidades de
mejora que deben realizarse mediante el plan de implementación para la empresa IT-
Expert.
112
FASE 3 - ¿DÓNDE QUEREMOS IR? ESTABLECER EL
ESTADO FUTURO DESEADO
En esta fase se establecen los objetivos de mejora en base a un análisis de brechas entre
el nivel de capacidad actual de los procesos y el deseado, el estado actual de la empresa
se obtiene mediante una evaluación de nivel de capacidad mediante la herramienta PAM
del marco de referencia COBIT 5. Algunas de las soluciones propuestas serán
fácilmente aplicables, mientras que otras serán un reto. Es necesario priorizar las
soluciones que son más fáciles de alcanzar y que aparentemente aportan mayores
beneficios. Posteriormente se debe describir un plan de alto nivel con las potenciales
soluciones.
NIVEL DE CAPACIDAD DE LOS PROCESOS DESEADOS

Descripción: Diagrama que indica el nivel de capacidad deseado en cada proceso.
Propósito: Mostrar la brecha entre la nivel actual y el nivel deseado.
Alcance: Solo se consideraron los procesos seleccionados.
Como primera actividad de esta fase se ha definido cuál va a ser el nivel de capacidad
que se quiere lograr alcanzar mediante este proyecto. Se ha tomado en cuenta los
procesos evaluados en la fase anterior, es decir, los que tienen una relación del tipo
primario con logro de las metas relacionadas a TI. En el gráfico a continuación, se
puede observar el nivel de capacidad actual de los procesos dentro del alcance y el
nivel deseado para cada uno de ellos.
Ilustración 17: Nivel de capacidad de los procesos de la empresa IT-Expert
113
NIVEL DESEADO
NIVEL ACTUAL
Se puede apreciar que la mayoría de los procesos tienen una calificación P

(Parcialmente Alcanzado) a excepción del proceso APO09 en el nivel de capacidad
uno. Según el modelo de evaluación elegido (PAM), para alcanzar un nivel de
capacidad dos es necesario primero tener una calificación L (Largamente Alcanzado) o
F (Completamente Alcanzado) en el nivel de capacidad uno. Por ese motivo, se ha
decidido que el nivel de capacidad deseado es el nivel uno, pero con una calificación
aprobatoria necesaria para que en un futuro se pueda apuntar al nivel siguiente. Lo que
se quiere alcanzar al finalizar este proyecto es que los procesos obtengan una
calificación F en el nivel uno de capacidad.
LISTA DE OPORTUNIDADES DE MEJORA

Descripción: Contiene la relación de oportunidades de mejoras obtenidas del análisis de
brechas de los niveles de capacidad actuales y deseados.
Propósito: La implementación de las oportunidades de mejora sirve para alcanzar el

nivel de capacidad deseado.
114
Alcance: Propuestas de mejora para todos los procesos del dominio APO
Para alcanzar la calificación definida en el punto anterior, se han identificado una serie
de oportunidades de mejora, las cuales serán listadas en el siguiente cuadro.
Tabla 12: Lista de oportunidades de mejora para la empresa IT-EXPERT
CODIGO NOMBRE DESCRIPCION
OP01 Rediseño del modelo de Se rediseñan los procesos ya implementados en la empresa,

procesos teniendo en cuenta las prácticas de gestión propuestas por COBIT
5. Así como otros marcos de referencias y estándares con los
cuales se relaciona COBIT.
OP02 Modelado de procesos Se modelaran los procesos que no se encuentren definidos como
parte de la propuesta del modelo de gestión.
OP03 Definición de políticas Se crearan las políticas necesarias para la supervisión y control
del cumplimiento de los objetivos estratégicos y el alineamiento
de estos objetivos con los objetivos de TI.
OP04 Creación de plantillas de Elaboración de plantillas de los entregables sugeridos por COBIT
entregables para cada proceso de gestión con el fin de facilitar la
implementación del modelo propuesto.
OP05 Implementación de un Conjunto de procedimientos documentados necesarios para

sistema de gestión de implantar la Gestión de la Calidad, partiendo de una estructura
calidad organizativa y de unos recursos determinados. Basado en la ISO
9001
OP06 Implementación de un Conjunto de políticas sobre la gestión de la información, Basado

sistema de seguridad de la en la ISO 27001
información
115
Algunas de las mejoras afectan a varios procesos, mientras que otras solo ayudan a
mejorar la calificación de ciertos procesos específicos. A continuación, se muestra el
alcance con relación a los procesos de cada una de las oportunidades de mejoras
identificadas.
Tabla 13: Mapeo Procesos APO - Oportunidades de Mejora de la empresa IT-Expert
Mapeo Procesos APO - Oportunidades de Mejora
Oportunidades de mejora
Procesos OP01 OP02 OP03 OP04 OP05 OP06
APO01
APO02
APO03
APO04
APO05
APO07
APO08
APO09
APO10
APO11
APO12
APO13
Ahora que se cuenta con las oportunidades de mejora identificadas, es necesario

priorizarlas. Para esto, se definido utilizar un método de priorización basado en la
116
dificultad de la implantación y el impacto en la organización. De esta manera, se logrará
identificar que oportunidades de mejora son las que son más fáciles de aplicar y mejores
beneficios aportan.
Dificultad de la Implantación
La dificultad en la implantación de una acción de mejora puede ser un factor clave a

tener en cuenta, puesto que puede llegar a determinar la consecución, o no, del mismo.
Se procederá a priorizarlas de menor a mayor grado de dificultad.
Dificultad
1 MUCHA 2 BASTANTE 3 POCA 4 NINGUNA
Impacto en la Organización
Se define como el resultado de la actuación a implantar, medido a través del grado de

mejora conseguido (un cambio radical tiene un impacto mucho mayor que pequeños
cambios continuos). Es importante también tener en cuenta el grado de despliegue al
que afecta la medida. Si ésta afecta a varias titulaciones su impacto será mayor y la
prioridad también deberá serlo.
Impacto
1 NINGUNO 2 POCO 3 BASTANTE 4 MUCHO
Prioridad de la Mejora
La prioridad será calcula mediante la suma del valores determinados de la dificultad de

implantación y el impacto en la organización de la oportunidad de mejora.
PRIORIDAD = DIFICULTAD + IMPACTO
117
A continuación se muestra el resultado de aplicar este método de priorización, del cual
se puede apreciar que las oportunidades de mejora con un nivel de prioridad alto son:
“OP01-Rediseño del modelo de procesos de procesos” y “OP02-Modelado de
procesos”.
Tabla 14: Priorización de oportunidades de mejora para la empresa IT-Expert
Priorización de oportunidades de mejora
Procesos Dificultad Impacto Prioridad
OP01 4 4 8
OP02 3 4 7
OP03 1 3 4
OP04 2 3 5
OP05 1 3 4
OP06 1 3 4
CUADRO INTEGRADO DE MEJORA

Descripción: Cuadro de resumen que integra la calificación del nivel de capacidad
actual de los procesos, el nivel deseado y las oportunidades de mejora identificadas en
el punto anterior.
Propósito: Mostrar de manera resumida los tres puntos anteriormente desarrollados.
Alcance: solo se utilizaron como datos de entrada los tres puntos anteriormente
desarrollados.
118
El siguiente cuadro muestra nos da una visión global de todo lo desarrollado en esta
fase. Se puede apreciar la calificación del nivel de capacidad evaluado de cada proceso,
así como, la calificación del nivel deseado. También, se aprecia las oportunidades de
mejoras y su impacto sobre los procesos a mejorar, así como, su prioridad en base al
color de cada una.
119
Tabla 15: Cuadro integrado de mejora para la empresa IT-Expert
Cuadro integrado de mejora
ID Proceso Nombre del Proceso Nivel Nivel Nivel Nivel

Oportunidades de mejora Nivel 1 Nivel Deseado
2 3 4 5
APO01 Gestionar el Marco de Gestión de TI OP01 OP03 OP04 P Nivel 1 (F)
APO02 Gestionar la Estrategia OP02 OP03 OP04 P Nivel 1 (F)
APO03 Gestionar la Arquitectura Empresarial OP01 OP03 OP04 N Nivel 1 (F)
APO04 Gestionar la Innovación OP01 OP03 OP04 N Nivel 1 (F)
APO05 Gestionar Portafolio OP01 OP03 OP04 P Nivel 1 (F)
APO07 Gestionar los Recursos Humanos OP02 OP04 P Nivel 1 (F)
APO08 Gestionar las Relaciones OP01 OP03 OP04 P Nivel 1 (F)
APO09 Gestionar los Acuerdos de Servicio OP01 OP03 OP04 L Nivel 1 (F)
APO10 Gestionar los Proveedores OP01 OP03 OP04 P Nivel 1 (F)
APO11 Gestionar la Calidad OP02 OP04 OP05 P Nivel 1 (F)

Alinear, Planear y Organizar
APO12 Gestionar el Riesgo OP02 OP04 P Nivel 1 (F)
APO13 Gestionar la Seguridad OP02 OP03 OP04 OP06 P Nivel 1 (F)
Leyenda
OP Número de la oportunidad de mejora asociado es de alto nivel
OP Número de la oportunidad de mejora asociado es de medio nivel
OP Número de la oportunidad de mejora asociado es de bajo nivel
120
PLAN DE MEJORAMIENTO DE ALTO NIVEL
Descripción: Plan de alto nivel para la implementación de las mejoras identificadas en
el análisis de brechas.
Propósito: Sirve de guía para el desarrollo de un plan de implementación detallado de

las mejoras e identificadas
Alcance: Abarca la implementación de las oportunidades de mejora OP01 “Rediseño

del modelo de procesos de procesos”, OP02 “Modelado de procesos” y OP4 “Creación
de plantillas de entregables”
Una vez priorizadas las oportunidades de mejoras, se realiza un plan de mejoramiento

de alto el cual debe contener la hoja de ruta que indicará cuándo y cuánto tiempo tomará
la implantación de cada oportunidad de mejora presentes en el alcance del plan. El
alcance del plan de mejoramiento abarca las oportunidades de mejora: “OP01-Rediseño
del modelo de procesos de procesos”, “OP02-Modelado de procesos” y “OP04-
Creación de plantillas de entregables “, las cuales se desarrollarán en el ciclo académico
2014-2 según la siguiente hoja de ruta.
Tabla 16: Hoja de ruta del proyecto IMGETI
Hoja de ruta
Semana
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
OP01
OP02
OP04
Fuente: Elaboración Propia
Las oportunidades de mejoras principales son el resultado de haber realizado una

evaluación teniendo en cuenta la dificultad de la implementación de la oportunidad de
121
mejora y el impacto positivo que puede causar está a la empresa IT-Expert. En esta fase
se crea un plan de mejoramiento de alto nivel que contiene las oportunidades de mejoras
principales obtenidas, para luego definir planes o programas de mejoras específicos que
luego de una evaluación serán puestos en marcha en la fase cinco. Cada plan o
programa de mejora detallado está relacionado a los diferentes habilitadores del modelo
COBIT5. En este sentido, el plan de mejora detallado que brinde mayor valor y facilite
el cumplimento de los objetivos de la empresa será el elegido para la implementación.
122
FASE 4 - ¿QUÉ ES PRECISO HACER? IDENTIFICAR LAS
BRECHAS
La fase cuatro del proyecto IMGETI se enfoca en la definición de los planes de mejora
detallados o programas que se proponen para la empresa IT-Expert a partir de las
soluciones de alto nivel. Además, en este proceso se define cuál de estos programas
propuestos provee mayor valor a la empresa y que ayude al cumplimiento de los
objetivos estratégicos, con la priorización de las iniciativas potenciales se deben
desarrollar proyectos de grandes beneficios y fáciles de implementar. Además, con el
fin de evitar la duplicación de esfuerzos se debe mantener reuniones con los Jefes de
diferentes proyectos y la gerencia de IT-Expert.
Priorizar las iniciativas potenciales

Para realizar la justificación del proyecto IMGETI se definen con la Gerencia de la
empresa que procesos van a ser revisados sin cruzar información con los diferentes
proyectos que se implementaran. La empresa cuenta con dos procesos, Gestión de
Riesgo y Gestión de Servicios, existentes que serán redefinidos e implementados por un
proyecto. Además, hay otros proyectos relacionados a la Seguridad de Información y
Arquitectura empresarial de IT-Expert que usaran diferentes Marcos de referencias,
Normas o Frameworks.
Finalmente existe un proyecto que implementara el dominio de DSS (Entregar, dar

Servicio y Soporte) de COBIT 5, para este último se tuvo en cuenta un grupo de
actividades y reuniones que ayudan a tener los proyectos con el marco COBIT 5
alineados y comunicados.
Para el resto de proyectos se realiza una matriz que describe la relación que hay entre
COBIT5 y las diferentes herramientas utilizadas por estos proyectos. Ya que COBIT 5
es un marco de referencia que en su desarrollo consideró estándares y marcos de
referencia24, se realizó un mapeo de herramientas para entender la relación e
24 “COBIT 5 se desarrolló teniendo en cuenta un número considerable de estándares y

marcos de referencia” Cfr. COBIT Un marco de negocio para el gobierno y la gestión
de las TI de la empresa 2012:60
123
integración entre la parte estratégica de la empresa y los proyectos de implementación
que no están basados en COBIT 5.
Tabla 17: Mapeo de COBIT5 vs Herramientas
COBIT 5 ISO/IEC 20000 ISO/IEC 27002 ITIL V3 2011 OTROS
APO01 Gestionar el 3.1 6. Organización 25. 7 Pasos para

marco de Responsabilidad de la Seguridad la Mejora de
gestión de TI de la dirección de la Procesos
4.4 Mejora Información
continua
APO02 Gestionar la 4.0 Planificación 1 Creación de la

estrategia e Estrategia
implementación
de la gestión del
servicio
5.0 Planificación
e
implementación
de servicios
nuevos o
modificados
124
APO03 Gestionar la El núcleo de

arquitectura TOGAF es el
empresarial Método de
Desarrollo de la
Arquitectura
(ADM
Architecture
Development
Method en
inglés) que está
relacionado con
las prácticas de
desarrollo de una
visión de la
arquitectura
(ADM Fase A),
con la definición
de arquitecturas
de referencia
(ADM Fases B, C,
D), con la
selección de
oportunidades y
soluciones (ADM
Fase E) y con la
definición de la
implementación
de la
arquitectura
(ADM Fases F,
125
G). Varios de los

componentes de
TOGAF se
corresponden
con las prácticas
de COBIT 5 de
provisión de
servicios de
arquitectura
empresarial.
Entre ellas se
incluyen la
Gestión de
Requerimientos
ADM, Principios
de la
Arquitectura,
Gestión de
Partes
Interesadas,
Evaluación de la
Preparación para
la
Transformación
del Negocio,
Gestión de
Riesgos,
Planificación
Basada en
Capacidad,
126
Cumplimiento de
Arquitectura y
Contratación en
Arquitectura.
APO04 Gestionar la
innovación
APO05 Gestionar el 3.1 3. Gestión del Marco de

portafolio Responsabilidad Portafolio de Habilidades para
de la Dirección Servicios la Era de la
4.0 Planificación Información
e (Skills
implementación Framework for
de la gestión del the Information
servicio Age, SFIA)
5.0 Planificar e
127
implementar
servicios nuevos
o modificados
APO06 Gestionar el 1.4. 2. Gestión

presupuesto y Presupuestar y Financiera
los costes contabilizar los
servicios de TI
APO07 Gestionar los 8. Seguridad de SFIA - Referencia

recursos los Recursos de habilidades
humanos Humanos
APO08 Gestionar las 7.2 Gestión de 2 Gestión de la

relaciones las relaciones Demanda
con el negocio
APO09 Gestionar los 5.0 Planificar e 2. Gestión de la

acuerdos de implantar Demanda
servicio servicios nuevos 3. Gestión de la
o modificados Cartera de
6.0 Gestión del Servicios
nivel del servicio 5. Gestión del
Catálogo de
Servicios
6. Gestión del
Nivel del Servicio
26. Informes del
128
Servicio
APO10 Gestionar los 7.3 Gestión de 11. Gestión de Cuerpo de

proveedores proveedores proveedores Conocimiento de
Gestión de
Proyectos
(Project
Management
Body of
Knowledge -
PMBOK)
Procesos de
adquisiciones del
PMBOK
APO11 Gestionar la ISO/IEC

calidad 9001:2008
129
APO12 Gestionar el ISO/IEC ISO/IEC

riesgo 27002:2011 27001:2005
Sistemas de
gestión de la
seguridad de
información—
Requerimientos,
Sección 4
ISO/IEC 31000 6.
Procesos para la
Gestión del
Riesgo
APO13 Gestionar la ISO/IEC Diseño de ISO/IEC

seguridad 27002:2011 Servicio, 4.7 27001:2005
Gestión de la Sistemas de
Seguridad de la gestión de la
Información. seguridad de
información—
Requerimientos,
Sección 4
NIST (National
Institute of
Standards and
Technology)
SP800-53
Controles de
Seguridad
Recomendados
para Sistemas de
Información
130
Federales de
EE.UU.
Mediante esta tabla de relación que hay entre el Marco de referencia COBIT5 y las
demás herramientas Se podrá obtener la relación que existe entre las herramientas
usadas por los diferentes proyectos de la empresa IT-Expert y el proyecto IMGETI
basado en COBIT5 y así ver cómo se puede trabajar de forma integral con los demás
proyectos. Luego de realizar una reunión con los demás proyectos y coordinar con la
gerencia de IT-Expert y el Cliente Gerente se definieron los procesos que se
propusieron en el proyecto IMGETI:
Oportunidades de Mejora
Modelo de procesos
Gestionar el marco gestión de TI
Rediseño de modelo de procesos
Gestionar la arquitectura empresarial
131
Gestionar Portafolio
Gestionar los Recursos Humanos
Cada proceso representa un plan de mejora detallado, la selección de estos procesos fue
el resultado de reuniones en las que se tomó en cuenta principalmente el valor que su
implementación daría a la empresa. A continuación se presentarán las definiciones de
procesos que se proponen a la empresa IT-Expert, las cuales han sido revisadas por la
empresa de apoyo Quality Services. La definición de procesos del segundo nivel están
anexadas en el documento, estos procesos presentan la las actividades correspondientes
al modelo COBIT5.
Procesos propuestos para implementación
DEFINICIÓN DE PROCESO GESTIONAR EL MARCO GESTIÓN

DE TI
Descripción
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar

y mantener mecanismos y autoridades para la gestión de la información y el uso de TI
en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y
Propósito
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de

gobierno corporativo e incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y
competencias.
Alcance
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la

empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO
(Alinear Planear y Organizar)
132
Descripción del proceso
Declarativa
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en
la gestión del marco de gestión de TI.
Definir la estructura organizativa.
Establecer roles y responsabilidades.
Mantener los elementos catalizadores del sistema de gestión.
Comunicar los objetivos y la dirección de gestión.
Optimizar la ubicación de la función de TI.
Definir la propiedad de la información (datos) y del sistema.
Gestionar la mejora continua de los procesos.
Mantener el cumplimiento con las políticas y procedimientos.
Roles
Los roles de la empresa que intervienen en el presente proceso serán detallados en el
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y
el área funcional a la que pertenece.
Rol Descripción Área funcional
Gestor de Implementar la redefinición de Operaciones

arquitectura de TI procesos. Rediseño de procesos
priorizando las iniciativas para la
mejora del proceso y rediseñar los
procesos para cumplir con las políticas
y procedimientos.
Analista de riesgos Aplicar las medidas necesarias para Riesgo de operaciones

mantener un control de riesgos,
133
garantizar un adecuado control en los

procesos.
Analista de Aplicar los objetivos de TI a la Seguridad de información

seguridad seguridad de información en la
empresa, las medidas de mejora para la
seguridad de información y adoptar las
acciones necesarias para realizar los
procesos relacionados a la seguridad
de información adoptando las políticas
y procedimientos propuestos.
Gerente alumno Encargado de desarrollar diferentes Gerencia

actividades como desarrollar las
actividades en la definición,
alineación y el establecimiento de una
estructura organizativa, definir los
roles y las responsabilidades, integrar
los principios de TI con los del
negocio entre otras actividades.
Gerente de Considerar las maneras de mejorar la Gerencia

servicios eficiencia mediante la priorización de
acciones para realizar la mejora
continua y adoptar las acciones
necesarias para realizar el soporte de
servicios adoptando las políticas y
procedimientos propuestos.
Stakeholders
Todos los involucrados en el presente proceso y sus respectivas descripciones son
mencionados a continuación
Stakeholder Descripción
Comité Toma de decisiones y gobierno de la empresa IT-Expert
134
Gerente general Gerente de la empresa que requiere la información a nivel
estratégica desplegada para su consulta.
Gerente profesor Encargado de aprobación y consulta sobre los diferentes

procesos en la empresa IT-Expert
Entradas del proceso

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve
descripción y el encargado de elaborar el mismo.
Entradas Descripción Encargado de

Elaboración
Modelo de arquitectura de Modelo de arquitectura de procesos para la definición Gobierno - Comité

procesos de procesos en la empresa IT-Expert.
Niveles de autoridad Niveles de autoridad a cada usuario asignado a los Gobierno - Comité
asignados diferentes roles en la empresa IT-Expert.
Roles y responsabilidades Roles, Perfiles y Responsabilidades asignados a los Gerencia

asignados diferentes procesos en la empresa IT-Expert.
Principios de gobierno Reglas de negocio con la cultura y principios por Gobierno - Comité
corporativo parte del Gobierno y comité de las empresas.
Comunicación de gobierno Información con los diferentes requerimientos de Gobierno - Comité

corporativo parte del Gobierno y comité de las empresas.
Principios, Comunicados y Principios, comunicados y políticas de la dirección Gobierno - Comité

Políticas de la empresa por el Gobierno y comité de las
empresas.
Estrategia del negocio Estrategia de negocio de las empresa, contienen los Gobierno - Comité
objetivos de negocio y requerimientos de las partes
interesadas.
Políticas y procedimientos Políticas y procedimientos para identificar los Gerencia

procesos críticos.
135
Entradas Descripción Encargado de
Elaboración
Políticas y procedimientos Políticas y procedimientos para realizar el Gerencia

seguimiento y cumplimiento de las obligaciones de
todos los empleados.
Salidas de proceso
En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve
descripción y el encargado de elaborar el mismo.
Salidas Descripción Encargado
Definición de estructura y Definición de funciones en la empresa IT-Expert, Gerencia

funciones organizativas definición de la estructura de la empresa IT-Expert.
Directrices operativas de la Normas y directrices de las operaciones internas en la Gerencia

organización organización.
Reglas básicas de Reglas de negocio en la comunicación con el Gerencia

comunicación Gobierno o comité de la empresa IT-Expert.
Definición de roles y Documento en el que se encuentra la definición de Gerencia

responsabilidades roles y responsabilidades de cada empleado en la
empresa IT-Expert.
Políticas relativas a TI Reglas de negocio con la tecnología de información Gerencia

dentro de la empresa.
Comunicación de objetivos Documento con los objetivos de TI en la empresa. Riesgo de

de TI operaciones
Definir la función Definición de las actividades y funciones que se Gerencia

operacional de las funciones realizan a nivel operacional relacionadas a TI.
de TI
136
Salidas Descripción Encargado
Evaluación de las opciones Opciones de la organización de TI para la empresa. Gerencia

para la organización de TI Incluye una evaluación de la estrategia empresarial.
Directrices para el control y Políticas y reglas de negocio para realizar el control Gerencia
seguridad de datos y mantener segura la información.
Evaluación de capacidad de Evaluación mediante las herramientas de Cobit5 para Gerencia

procesos obtener el nivel de capacidad de la empresa.
Objetivos y métricas de Objetivos y métricas de rendimiento para el Operaciones

rendimiento seguimiento de la mejora de procesos
Acciones de remediación Acciones apropiadas para la remediación del no Gerencia

para el no cumplimiento cumplimiento, esto incluye cambio de
requerimientos.
Caracterización
ID Entrada Actividad Salida Descripción Responsa
ble
A.0 … Inicio Necesidad de Necesidad de Gerente

Marco de Gestionar el Marco de alumno
Gestión de TI Gestión de TI
A.1 Modelo de A.1.Definir la Definición de Establecer una Gerente

arquitectura de estructura estructura y estructura alumno
procesos organizativa. funciones organizativa interna y
organizativas / extensa que refleje las
Directrices necesidades del
operativas de la negocio y las
organización / prioridades de TI.
Reglas básicas Implementar las
de estructuras de gestión
comunicación requeridas (p. ej.,
comités) para permitir
que la toma de
137
ble
decisiones se lleve a
cabo de la forma más
eficaz y eficiente
posible.
A.2 Niveles de Establecer roles Definición de Establecer, acordar y Gerente

autoridad y roles y comunicar roles y alumno
asignados / responsabilidad responsabilidad responsabilidades del
Roles y es es personal de TI, así
responsabilida como de otras partes
des asignados interesadas con
responsabilidades en
las TI corporativas,
que reflejen
claramente las
necesidades generales
del negocio y los
objetivos de TI, así
como la autoridad, las
responsabilidades y la
rendición de cuentas
del personal relevante.
A.3 Principios de Mantener los Políticas Mantener los Gerente

gobierno elementos relativas a TI elementos alumno
corporativo catalizadores del catalizadores del
sistema de sistema de gestión y
gestión del entorno de control
de la TI de la empresa
y garantizar que están
integrados y alineados
con la filosofía y el
estilo operativo de
138
ble
gobierno y de gestión
de la empresa. Estos
elementos
catalizadores incluyen
una comunicación
clara de
expectativas/requisito
s. El sistema de
gestión debería
fomentar la
cooperación
interdepartamental y
el trabajo en equipo,
promover el
cumplimiento y la
mejora continua y
tratar las desviaciones
en el proceso
(incluidos los fallos).
A.4 Comunicación Comunicar los Comunicación Comunicar la Gerente

de gobierno objetivos y la de objetivos de sensibilización y la alumno /
corporativo / dirección de TI comprensión de los Analista de
Principios, gestión objetivos y la riesgos /
Comunicados dirección de TI a las Analista de
y Políticas partes interesadas y seguridad
usuarios pertinentes a
lo largo de toda la
empresa.
139
ble
A.5 Estrategia del Optimizar la Definir la Posicionar la Gerente

negocio ubicación de la función capacidad de TI en la alumno
función de TI operacional de estructura
las funciones de organizativa global
TI / valuación para reflejar en el
de las opciones modelo de empresa la
para la importancia de TI en
organización de la organización,
TI especialmente su
criticidad para la
estrategia empresarial
y el nivel de
dependencia de TI. La
línea de reporte del
CIO debe ser
proporcional a la
importancia de las TI
en la empresa.
A.6 Necesidad de A.6.Definir la Directrices para Definir y mantener las Gerente

definir la propiedad de la el control y responsabilidades de alumno
propiedad de información y seguridad de la propiedad de la
la información del sistema datos información (datos) y
y del sistema los sistemas de
información.
Asegurar que los
propietarios toman
decisiones sobre la
clasificación de la
información y los
sistemas y su
protección de acuerdo
con esta clasificación.
140
ble
A.7 Políticas y Gestionar la Evaluación de Evaluar, planificar y Gerente

procedimiento mejora continua capacidad de ejecutar la mejora alumno /
s de los procesos procesos / continua de procesos Gestor de
Objetivos y y su madurez para arquitectur
métricas de asegurar que son a de TI /
rendimiento capaces de entregarse Gerente de
conforme a los servicios /
objetivos de la Analista de
empresa, de gobierno, seguridad
de gestión y de
control. Considerar
las directrices de la
implementación de
procesos de COBIT,
estándares
emergentes,
requerimientos de
cumplimiento,
oportunidades de
automatización y la
realimentación de los
usuarios de los
procesos, el equipo
del proceso y otras
partes interesadas.
Actualizar los
procesos y considerar
el impacto en los
catalizadores del
proceso.
141
ble
A.8 Políticas y Mantener el Acciones de Poner en marcha Gerente

procedimiento cumplimiento remediación procedimientos para alumno /
s con las políticas para el no mantener el Gestor de
y cumplimiento cumplimiento y arquitectur
procedimientos medición del a de TI /
funcionamiento de las Gerente de
políticas y otros servicios /
catalizadores del Analista de
marco de referencia; seguridad
hacer cumplir las
consecuencias del no
cumplimiento o del
desempeño
inadecuado. Seguir las
tendencias y el
rendimiento y
considerarlos en el
diseño futuro y la
mejora del marco de
control.
A.9 Marco de Fin … Fin del proceso Gerente

gestión de TI alumno /
Gestionado Gestor de
arquitectur
a de TI /
Gerente de
servicios /
Analista de
seguridad
142
Diagrama de proceso
Ilustración 18: Proceso Gestionar el Marco Gestión de TI – (Propuesta)
DEFINICIÓN DE PROCESO GESTIONAR LA ARQUITECTURA
EMPRESARIAL
Descripción
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y

mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la
empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los
principios rectores.
Propósito

gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades
organizativos, actividades fiables y reproducibles y habilidades y competencias.
Alcance
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la empresa
IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear
y Organizar)

Declarativa
Establecer una arquitectura común compuesta por los procesos de negocio, la información,
los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y
eficiente para la realización de las estrategias de la empresa y de TI mediante la creación
de modelos clave y prácticas que describan las líneas de partida y las arquitecturas
objetivo.
Roles
siguiente cuadro, en el cual se menciona el nombre del Rol, su respectiva descripción y el
área funcional a la que pertenece.
Gestor de la Es el encargado de asegurar la Área de Tecnologías de la

Arquitectura integridad de la arquitectura, en Información
términos de abordar adecuadamente
todos los intereses de las partes
interesadas mediante compensaciones
eficientes (Por ejemplo, seguridad vs
rendimiento)
STAKEHOLDERS
Gerente general de IT-Expert Tiene interés en que la arquitectura empresarial este alineada
con los objetivos de la empresa
Gestor de la Arquitectura Tiene la responsabilidad del diseño arquitectónico y la

documentación del modelo de referencia desde un perspectiva
más alta hasta un nivel netamente técnico

En el siguiente recuadro se menciona la entrada que tendrá el proceso, su breve descripción
y el encargado de elaborar el mismo.
Entrada Descripción Encargado de Elaboración
Petición de Trabajo de Existe una necesidad de Encargado del área solicitante

Arquitectura realizar un cambio en la
arquitectura empresarial actual.
Salidas del proceso

En el siguiente recuadro se menciona la salida que tendrá el proceso, su breve descripción
145
Salida Descripción Encargado de Elaboración
Publicación de documentos Es necesario, después de Gestor de la Arquitectura

post-implementación implementar las soluciones que
permitieron alcanzar la
arquitectura objetivo, publicar
las guías de soporte y uso de la
arquitectura actualizadas, así
como, los reportes de los
indicadores establecidos
Caracterización
ENTRADA ACTIVIDAD SALIDA DESCRIPCIÓN RESPONSABLE
Petición de Existe una necesidad de

Encargado del
0. Inicio Trabajo de realizar un cambio en la
área solicitante
Arquitectura arquitectura empresarial
Se desarrolla la visión de la
arquitectura, la cual
Visión de la
proporciona una primera
1. Desarrollar la Arquitectura
Petición de visión de la
descripción de alto nivel de Gestor de la
Trabajo de
las arquitecturas de actual y Arquitectura
Arquitectura arquitectura de
objetivo, cubriendo los
empresa Principios de
dominios de negocio,
arquitectura
información, datos,
aplicaciones y tecnología
Visión de la Se define la arquitectura de

Definición de
Arquitectura referencia, la cual describe
2. Definir la la arquitectura
la situación actual y el Gestor de la
arquitectura de
objetivo de la arquitectura Arquitectura
referencia
de manera más detallada
Principios de
para los dominios negocio,
arquitectura
información, datos,
146
aplicaciones y tecnología
Se analizan las diferencias

entre las arquitecturas de
3. Seleccionar
Plan de referencia y objetivo,
Definición de la las Gestor de la
implementació considerando tanto la
arquitectura oportunidades y Arquitectura
n y migración perspectiva técnica como la
las soluciones
del negocio y agrupándolos
a ambos en paquetes de
trabajo del proyecto
4. Definir la Se detalla el plan de

Plan de implantación de Requisitos de implementación y de
Gestor de la
implementación la gobierno de la migración validando que se
Arquitectura
y migración arquitectura cuenten con los recursos
arquitectura necesarios para su ejecución
Abarca las guías y

supervisión de los proyectos
5. Proveer los Publicación de
Requisitos de servicios de documentos a implementar, así como, la
Gestor de la
gobierno de la post-
medición y comunicación Arquitectura
arquitectura arquitectura implementació
de los valores aportados por
empresarial n
la arquitectura
Publicación de
documentos
6. Fin
post-
implementación
Diagrama del proceso

Ilustración 19: Proceso Gestionar la Arquitectura Empresarial – (Propuesta)
147
DEFINICIÓN DE PROCESO GESTIONAR PORTAFOLIO
Descripción
Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de

la arquitectura empresarial, las características deseadas de inversión, los portafolios de
servicios relacionados, considerar las diferentes categorías de inversión en recursos y las
restricciones de los mismos. Evaluar, priorizar y equilibrar programas y servicios,
gestionar la demanda con los recursos y restricciones de estos, basados en su alineamiento
con los objetivos estratégicos así como en su valor y riesgo corporativo. Mover los
proyectos seleccionados al portafolio de proyectos activos listos para ser ejecutados.
Supervisar el rendimiento global del portafolio de proyectos, proponiendo ajustes si fuesen
necesarios en respuesta al rendimiento de estos o al cambio en las prioridades de IT-
Expert.
Propósito
Optimizar el rendimiento del portafolio global de proyectos en respuesta al rendimiento de

estos y el valor que brinden a la empresa y a las cambiantes prioridades y demandas
corporativas.
Alcance
148
Muestra los procesos necesarios para la gestión de portafolios de proyectos para la empresa
IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear Planear
y Organizar)

Declarativa
El proceso consiste en la realización de los sub procesos que cumplen con el objetivo en la
gestión de portafolios de proyectos.
Establecer la mezcla del objetivo de inversión
Determinar la disponibilidad y las fuentes de recursos
Evaluar y seleccionar los programas a realizar
Supervisar, optimizar e informar sobre el rendimiento del portafolio de proyectos
Mantener los portafolios
Gestionar la obtención de beneficios
Roles
Realiza funciones de relación entre el

proyecto y objetivos, realización del equilibro
en la inversión y el proyecto para establecer Gerencia
Gerente alumno una estrategia donde se alinean los objetivos
de los proyectos con el objetivo de la empresa
Establece la disponibilidad de los recursos Gerencia

para los proyectos y determina la implicación
149
del uso de esto en cada proyecto
Realiza las actividades para identificar la

brecha entre el avance de los proyectos y
como estos responden al uso de recursos en la
empresa. Además, brinda un informe al
Gerencia
comité del avance de los proyectos para luego
determinar hitos, asignar recursos, registrar en
el portafolio de proyectos los proyectos
activos y aceptados
Encargado de realizar actividades para

supervisas los portafolios de proyectos y
evaluar posibles cambios en caso surgiesen Gerencia
estos, controlar avance de los proyectos y
enviar para una revisión al comité
Crear y mantener los proyectos de IT-Expert,

delegar estos a responsables de servicios, Gerencia
recursos humanos y Jefes de proyectos
Usar métricas para revisar avance de

proyectos, cumplimiento entre otros métodos
Gerencia
de evaluación e implementar acciones
correctivas
STAKEHOLDERS
Encargado de evaluar el avance de los proyectos y como

Comité estos sustentan sus objetivos al alineamiento del objetivo
de la empresa IT-Expert
150
Evaluar el avance y cumplimiento de los proyectos con
respecto a sus resultados
El Gerente profesor se encarga de validar las inversiones

de recursos para los proyectos tomando como referencia el
alcance de estas
Verifica e identifica las opciones de recursos para los

proyectos
Encargado de establecer los procedimientos para la

evaluación de los proyectos luego del feedback del comité
para que estos se lleven a cabo de forma eficiente
Gerente profesor
Identificar la desviación del proyecto real y estimado para

evaluar la brecha de incumplimiento y evaluar el proyecto
bajo otras métricas de control
Eliminar proyectos alcanzados o superados
Considerar la orientación a expertos asesores o fuentes de

información para el apoyo a los proyectos con necesidad
de apoyo

Encargado de
Entrada Descripción
Elaboración
Propuesta del proyecto a realizar para

Propuesta de proyecto Gerencia
la empresa IT-Expert
Principios de la Principios con el objetivo estratégico

empresa (objetivo, de IT-Expert, la Misión y la Visión Gerencia
misión visión) de la empresa
151
Encargado de
Entrada Descripción
Elaboración
Objetivo estratégico de IT-Expert

Definición objetivo
para realizar la alineación con el
estratégico de IT- Gerencia
objetivo del proyecto mediante el uso
Expert
de la TI
Observaciones a la Objetivos de los proyectos alineados

estrategia y a las metas y bien integrados al objetivo Gerencia
del proyecto estratégico de IT-Expert
Información de resultados del

Expectativas de retorno
proyecto para la empresa IT-Expert
de inversión de Gerencia
(Implementación de un Modelo,
recursos
Solución, Aplicativo, etc...)
Criterios para evaluar la los

beneficios del proyecto, los riesgos
Criterios de evaluación Gerencia
del proyecto, el impacto del proyecto
en la empresa
Portafolio de proyectos aprobados

Portafolio de proyectos Gerencia
para desarrollar
Feedback revisión de Retorno con la evaluación de los

Comité
portafolio de proyectos proyectos
Conjunto de proyectos con

información general de estos
Portafolio de proyectos Gerencia
(Avance, Objetivos, Indicadores,
etc...)
Resultados de la supervisión de los

Resultados de
resultados de las métricas Gerencia
supervisión
establecidas en los proyectos
152
Salidas del proceso
Encargado de
Salida Descripción
Elaboración
Observaciones a la Objetivos de los proyectos alineados y

estrategia y a las metas bien integrados al objetivo estratégico Gerencia
del proyecto de IT-Expert
Información de resultados del proyecto

Expectativas de retorno
para la empresa IT-Expert
de inversión de Gerencia
(Implementación de un Modelo,
recursos
Solución, Aplicativo, etc...)
Comunicado de Portafolio de proyectos aprobados para

Comité
proyectos a realizar desarrollar
Proyectos Proyectos con retorno de inversión de

seleccionados con hitos recursos, con resultados positivos a Gerencia
y retorno de inversión mejorar la empresa IT-Expert
Información con el cambio realizado en

Resultado de la el proyecto y el ajuste realizado sin que
Gerencia
revisión del cambio afecte la integración con el objetivo
estratégico de la empresa IT-Expert
Informe con avance real y planeado de

Informe de rendimiento los proyectos con evidencia de las
Gerencia
de portafolios actividades establecidas en el
cronograma
Dashboard métricas de
Tablero de control del avance de los
proyectos de Gerencia
proyectos a lo largo del ciclo
portafolios
Portafolio de proyectos
Conjunto de proyectos con información Gerencia
actualizados
general de estos (Avance, Objetivos,
153
Encargado de
Salida Descripción
Elaboración
Indicadores, etc..) actualizados
Acciones correcticas Ejecución de medidas de mitigación al

Gerencia
implementadas proyecto con resultados negativos
Caracterización
ID Entrada Actividad Salida Descripción Responsable
Proyecto
propuesta /
Principios de
la empresa
(objetivo,
C.0 … Inicio Inicio del proceso Gerencia
misión visión)
/ Definición
objetivo
estratégico de
IT-Expert
154
Revisar y
garantizar la
claridad de las
estrategias y
servicios actuales
corporativos y de
TI. Definir una
adecuada mezcla
de inversión,
basada en los
Proyecto
costes, la
propuesta /
alineación con la
Principios de
estrategia y
la empresa Establecer la Observaciones
medidas
(objetivo, mezcla del a la estrategia
C.1 financieras, tales Gerencia
misión visión) objetivo de y a las metas
como coste,
/ Definición inversión del proyecto
retorno de
objetivo
inversión esperado
estratégico de
a lo largo de todo
IT-Expert
el ciclo de vida
económico, grado
de riesgo y tipo de
beneficio para los
programas del
portafolio. Ajustar
las estrategias
corporativas y de
TI cuando sea
necesario.
Determinar las
Observaciones Determinar la Expectativas
fuentes potenciales
a la estrategia disponibilidad de retorno de
C.2 de fondos, Gerencia
y a las metas y las fuentes inversión de
diferentes
del proyecto de recursos recursos
opciones de
financiación y las
155
implicaciones de
las fuentes de
financiación sobre
las expectativas
del retorno de
inversión.
Decidir qué
proyectos
candidatos
deberían ser
trasladados al
portafolio de
proyectos activos.
Determinar si los
proyectos
Criterios de Proyectos rechazados
Evaluar y
evaluación / seleccionados deberían ser
seleccionar
C.3 Comunicado con hitos y conservados para Gerencia
los proyectos
de proyectos a retorno de ser considerados
a realizar
realizar inversión en el futuro, o
provistos con
algún tipo de
inversión de
recursos para
determinar si el
caso de negocio
puede ser
mejorado o
descartado
156
Regularmente,
Informe de
supervisar y
rendimiento de
Supervisar, optimizar el
portafolios /
optimizar e rendimiento del
Feedback Dashboard
informar portafolio de
revisión de métricas de
C.4 sobre el inversiones y de Gerencia
portafolio de proyectos de
rendimiento los programas
proyectos portafolios /
del portafolio individuales a lo
Resultado de
de proyectos largo de todo el
la revisión del
ciclo de vida de
cambio
inversión.
Mantener los
portafolios de
Portafolio de programas y
Portafolio de Mantener los
C.5 proyectos proyectos de Gerencia
proyectos portafolios
actualizados inversión,
servicios de TI y
activos de TI.
Supervisar los
beneficios de
proporcionar y
Gestionar la Acciones mantener servicios
Resultados de
C.6 obtención de correcticas y capacidades TI Gerencia
supervisión
beneficios implementadas apropiadas,
basadas en el caso
de negocio
acordado actual.
Acciones Gestión de
C.7 correcticas Fin … portafolios Gerencia
implementadas realizado
157
Ilustración 20: Proceso Gestionar Portafolio – (Propuesta)
DEFINICIÓN DE PROCESO GESTIONAR LOS RECURSOS

HUMANOS
Descripción
Proporcionar un enfoque estructurado para garantizar una óptima estructuración,

ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la
comunicación de las funciones y responsabilidades definidas, la formación y planes de
desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y
motivada.
Propósito
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la empresa.
Alcance
Muestra la estructura del proceso "Gestionar los recursos humanos" diseñado para la
empresa IT-Expert basado en el marco de referencia COBIT 5.
158
Declarativa
gestión de portafolios de recursos.
Mantener la dotación de personal
Mantener las habilidades y competencias
Realizar seguimiento del uso de recursos
Evaluar el desempeño
Roles
Jefe de Recursos Encargado de elaborar y controlar el Área de Recursos Humanos

Humanos proceso de reclutamiento, selección,
ingreso e inducción del personal.
Proyectar y coordinar programas de
capacitación y entrenamiento para los
empleados, a fin de cumplir con los
planes de formación
STAKEHOLDERS
159
Gerente de proyectos Tiene interés en el uso eficiente de los recursos humanos
asignados a cada proyecto
Jefe de recursos humanos Es un socio estratégico en lo que respecta al vínculo con el

cliente interno y externo. Colabora para que cada empleado
mejore sus capacidades con el fin de generar un mayor valor
agregado en la organización

Necesidad de gestionar el Existe un necesidad de Jefe de Recursos Humanos

personal administrar el personal de
manera óptima
Salidas del proceso

Plan de mejora del desempeño Plan basado en los resultados Jefe de Recursos Humanos
del proceso de evaluación y los
requisitos de capacitación y
desarrollo de competencias
Caracterización
160
Necesidad de Existe un necesidad de

Jefe de recursos
0. Inicio gestionar el administrar el personal de
humanos
personal manera óptima
Se evalúa la capacidad de
Necesidad de 1. Mantener la
Personal los recursos humanos para Jefe de recursos
gestionar el dotación de
contratado cumplir con los objetivos humanos
personal personal
empresariales
Programas de
2. Mantener las Se gestiona las habilidades
Personal formación Jefe de recursos
habilidades y y competencias necesarias
contratado ejecutados y humanos
competencias del personal.
revisados
Registrar el uso de los

Programas de
3. Realizar recursos. Identificar las
formación Informes de Jefe de recursos
seguimiento del carencias y proporcionar
ejecutados y uso de recursos humanos
uso de recursos datos de entrada a los planes
revisados
de aprovisionamiento
Se realizan evaluaciones de
rendimiento respecto a los
Informes de uso 4. Evaluar el Plan de mejora Jefe de recursos
objetivos individuales
de recursos desempeño del desempeño humanos
derivados de los objetivos
empresariales
Plan de mejora
5. Fin
del desempeño

Ilustración 21: Proceso Gestionar los Recursos Humanos – (Propuesta)
161
Se proponen cuatro planes de implementación detallados que parten de los procesos que
brindan mayor valor a la empresa IT-Expert, y que presentan mayor impacto en los
resultados obtenidos y que no conllevan mucha dificultad en su implementación. De los
cuatro planes de implementación detallados se identifica el más importante para su
implementación en la empresa IT-Expert. Los resultados del plan de implementación con
más valor y aceptación para la empresa IT-Expert es el relacionado al proceso “Gestionar
el marco de gestión de TI”, pues contiene los productos de trabajo con mayor facilidad de
habilitar el logro de los objetivos de TI.
162
FASE 5 - ¿CÓMO CONSEGUIREMOS LLEGAR? DEFINIR
EL PLAN DE IMPLEMENTACIÓN
En la fase cinco del proceso de implementación se ejecutan los programas priorizados. Este
programa plantea la implementación del proceso “Gestionar el marco de gestión de TI”. Se
debe mantener monitoreado y documentado la implementación de las mejoras adoptando y
adaptando las mejores prácticas enfocadas a IT-Expert y los cambios de las políticas y
procesos.
A continuación me muestra al detalle los productos de trabajo del plan o programa de

implementación de este proceso modelo propuesto por el COBIT 5 y aplicado en la
empresa IT-Expert.
Productos de Trabajo de la Implementación

El entregable de la implementación está compuesto por cinco productos de trabajo, estos
son: Políticas, Estructura organizativa, Modelo de procesos, Roles y Métricas. Estos
productos formaran parte de la información de IT-Expert y serán registrados en los
siguientes documentos de la empresa:
Tabla 18: Productos de trabajo del proyecto IMGETI
IMGETI
COD PRODUCTOS DE TRABAJO DOCUMENTO
WP1 Políticas Políticas de IT-Expert
WP2 Estructura Organización MOF
WP3 Modelo de procesos MEMORIA
WP4 Roles ROF
163
Métricas - Tablero de
WP5 FORM, Excel y Graficas
indicadores
Fuente: Elaboración Propia
Los habilitadores o elementos que permiten activar el impulso a lograr los objetivos de TI
en la empresa propuestos por COBIT son:
Tabla 19: Habilitadores de COBIT5
COBIT 5
COD CATALIZADORES
CAT1 1.Principios políticas y marco de referencia
CAT2 2.Procesos
CAT3 3.Estructura Organizativa
CAT4 4.Cultura ética y comportamiento
CAT5 5.Información
CAT6 6.Servicios infraestructura y aplicaciones
CAT7 7.Personas habilidades y competencias
Estos habilitadores presentan la siguiente correspondencia con los productos de trabajo que
se entregan a IT-Expert.
Tabla 20: Productos de trabajo y Habilitadores
164
COBIT & IMGETI
COD IMGETI
COD
COBIT5
WP1 WP2 WP3 WP4 WP5
CAT1 X
CAT2 X
CAT3 X
CAT4
CAT5
CAT6 X
CAT7 X
Como se ve en la tabla, los productos de trabajo están se vinculan con los catalizadores que
COBIT propone. Esto significa que los elementos a implementar son habilitadores y que su
definición y manejo en adelante ayudara a lograr los objetivos de TI que hay en la empresa
IT-Expert.
A continuación se definen los productos del trabajo de la implementación del proceso.
MODELO DE PROCESOS
El modelo de procesos aplicado a la empresa IT-Expert toma como referencia el propuesto
por COBIT. Debido a que es un modelo de referencia, no se tomara en cuenta los procesos
que no estén vinculados al cumplimiento de los objetivos de IT-Expert.
Tabla 21: Modelo COBIT y Procesos Implementados
165
Modelo de proceso propuesto por COBIT5 Proceso Aterrizado e Implementado
COD Actividades Propuestos Actividades Implementadas en IT-Expert
APO1 A.1.Definir_la_estructura_organizativa.docx A.1.Definir la estructura organizativa.
A.2.Mantener los elementos catalizadores del sistema de

APO3 A.3Mantener_los_elementos_catalizadores_del_sistema_de_gestión gestión
APO6 A.6.Definir_la_propiedad_de_la_información_y_del_sistema A.3.Definir la propiedad de la información y del sistema
APO4 A.4Comunicar_los_objetivos_y_la_dirección_de_gestión A.4.Comunicar los objetivos y la dirección de gestión
APO7 A.7.Gestionar_la_mejora_continua_de_los_procesos A.5.Gestionar la mejora continua de los procesos
A.6. Mantener el cumplimiento con las políticas y

APO8 A.8.Mantener_el_cumplimiento_con_las_políticas_y_procedimientos procedimientos
APO2 A.2.Establecer_roles_y_responsabilidades.docx
APO5 A.5.Optimizar_la_ubicación_de_la_función_de_TI
La implementación del modelo de procesos cuenta con la propuesta del modelo mediante
el documento Definición de procesos y la ejecución de las actividades del proceso a lo
largo del ciclo de implementación, la salida de cada sub proceso del proceso “Gestionar el
marco de gestión de TI” implementado en IT-Expert se presentan a lo largo del presente
documento. A continuación se presenta la definición del proceso implementado en la
empresa IIT-Expert.
DEFINICION DEL PROCESO GESTIONAR EL MARCO DE

GESTIÓN DE TI
DESCRIPCIÓN
Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y

mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la
empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los
principios rectores.
166
PROPOSITO

gobierno corporativo e incluya procesos de gestión, estructuras, roles y responsabilidades
organizativos, actividades fiables y reproducibles y habilidades y competencias.
ALCANCE
Muestra los procesos necesarios para Gestionar el marco de gestión de TI para la

empresa IT-Expert usando COBIT 5 como marco de referencia en el dominio APO (Alinear
Planear y Organizar)
167
DESCRIPCIÓN DEL PROCESO 1.GESTIONAR EL MARCO DE GESTION DE TI
DECLARATIVA
gestión del marco de gestión de TI.
Definir la estructura organizativa
Mantener los elementos catalizadores del sistema de gestión
Definir la propiedad de la información y del sistema
Comunicar los objetivos y la dirección de gestión
Gestionar la mejora continua de los procesos
Mantener el cumplimiento con las políticas y procedimientos
ROLES

Arquitecto de TI Implementar la redefinición de procesos. Operaciones

Rediseño de procesos priorizando las
iniciativas para la mejora del proceso y
rediseñar los procesos para cumplir con las
políticas y procedimientos.
Gestor de riesgos Aplicar las medidas necesarias para Riesgo de operaciones

mantener un control de riesgos, garantizar
un adecuado control en los procesos.
Gestor de la Aplicar los objetivos de TI a la seguridad de Seguridad de información
seguridad información en la empresa, las medidas de

mejora para la seguridad de información y
adoptar las acciones necesarias para realizar
168
los procesos relacionados a la seguridad de
información adoptando las políticas y
Gerente alumno Encargado de desarrollar diferentes Gerencia

actividades como desarrollar las actividades
en la definición, alineación y el
establecimiento de una estructura
organizativa, definir los roles y las
responsabilidades, integrar los principios de
TI con los del negocio entre otras
actividades.
Gerente de Considerar las maneras de mejorar la Gerencia

servicios eficiencia mediante la priorización de
acciones para realizar la mejora continua y
adoptar las acciones necesarias para realizar
el soporte de servicios adoptando las
políticas y procedimientos propuestos.
STAKEHOLDERS

Comité Toma de decisiones y gobierno de la empresa IT-Expert
Gerente general Gerente de la empresa que requiere la información a nivel estratégica

desplegada para su consulta.
Gerente profesor Encargado de aprobación y consulta sobre los diferentes procesos en la

empresa IT-Expert
ENTRADAS DEL PROCESO

169
Artefacto Descripción Encargado de elaboración
Modelo de arquitectura de procesos

Modelo de arquitectura de procesos para la definición de procesos en la Gobierno - Comité
empresa IT-Expert.
Reglas de negocio con la cultura y

Políticas de gobierno corporativo políticas por parte del Gobierno y Gobierno - Comité
comité de las empresas.
Información con los diferentes

Comunicación de gobierno
requerimientos de parte del Gobierno - Comité
corporativo
Gobierno y comité de las empresas.
Principios, comunicados y políticas

Principios, Comunicados y
de la dirección de la empresa por el Gobierno - Comité
Políticas
Gobierno y comité de las empresas.
Políticas y procedimientos para

Políticas y procedimientos Gerencia
identificar los procesos críticos.
Políticas y procedimientos para

realizar el seguimiento y
Políticas y procedimientos Gerencia
cumplimiento de las obligaciones
de todos los empleados.
SALIDAS DEL PROCESO

Artefacto Descripción Encargado de elaboración
Definición de funciones en la
Definición de estructura y empresa IT-Expert, Definición de
Gerencia
funciones organizativas la estructura de la empresa IT-
Expert.
170
Normas y directrices de las
Políticas operativas operaciones internas en la Gerencia
organización.
Reglas de negocio en la
Plan de comunicación comunicación con el Gobierno o Gerencia
comité de la empresa IT-Expert.
Reglas de negocio con la

Políticas relativas a TI tecnología de información dentro Gerencia
de la empresa.
Documento con los objetivos de TI

Comunicación de objetivos de TI Riesgo de operaciones
en la empresa.
Evaluación mediante las

Evaluación de capacidad de herramientas de Cobit5 para
Gerencia
procesos obtener el nivel de capacidad de la
empresa.
Objetivos y métricas de
Objetivos y métricas de
rendimiento para el seguimiento de Operaciones
rendimiento
la mejora de procesos
Acciones apropiadas para la

Acciones de remediación para el no remediación del no cumplimiento,
Gerencia
cumplimiento esto incluye cambio de
requerimientos.
171
CARACTERIZACIÓN
1.0 … Inicio Requerimiento Necesidad de Gerente alumno

de mejora Gestionar el Marco de
continua del Gestión de TI
Marco de
Gestión de TI
1.1 Modelo de Definir la Definición de Establecer una Gerente alumno

arquitectura estructura estructura y estructura
de procesos organizativa. funciones organizativa interna y
organizativas / extensa que refleje las
Directrices necesidades del
operativas de negocio y las
la organización prioridades de TI.
/ Reglas Implementar las
básicas de estructuras de gestión
comunicación requeridas (p. ej.,
comités) para permitir
que la toma de
decisiones se lleve a
cabo de la forma más
eficaz y eficiente
posible.
1.2 Principios de Mantener los Políticas Mantener los Gerente alumno

gobierno elementos relativas a TI elementos
corporativo catalizadores catalizadores del
del sistema de sistema de gestión y
gestión del entorno de control
de la TI de la empresa
y garantizar que están
integrados y
alineados con la
filosofía y el estilo
operativo de gobierno
172
y de gestión de la
empresa. Estos
elementos
catalizadores incluyen
una comunicación
clara de
expectativas/requisito
s. El sistema de
gestión debería
fomentar la
cooperación
interdepartamental y
el trabajo en equipo,
promover el
cumplimiento y la
mejora continua y
tratar las desviaciones
en el proceso
(incluidos los fallos).
1.3 Necesidad de Definir la Directrices Definir y mantener Gerente alumno

definir la propiedad de para el control las responsabilidades
propiedad de la información y seguridad de de la propiedad de la
la información y del sistema datos información (datos) y
y del sistema los sistemas de
información.
Asegurar que los
propietarios toman
decisiones sobre la
clasificación de la
información y los
sistemas y su
protección de acuerdo
con esta clasificación.
1.4 Comunicación Comunicar los Comunicación Comunicar la Gerente alumno

de gobierno objetivos y la de objetivos de sensibilización y la / Analista de
corporativo / dirección de comprensión de los riesgos /
173
Principios, gestión TI objetivos y la Analista de
Comunicados dirección de TI a las seguridad
y Políticas partes interesadas y
usuarios pertinentes a
lo largo de toda la
empresa.
1.5 Políticas y Gestionar la Evaluación de Evaluar, planificar y Gerente alumno

procedimiento mejora capacidad de ejecutar la mejora / Gestor de
s continua de procesos / continua de procesos arquitectura de
los procesos Objetivos y y su madurez para TI / Gerente de
métricas de asegurar que son servicios /
rendimiento capaces de entregarse Analista de
conforme a los seguridad
objetivos de la
empresa, de gobierno,
de gestión y de
control. Considerar
las directrices de la
implementación de
procesos de COBIT,
estándares
emergentes,
requerimientos de
cumplimiento,
oportunidades de
automatización y la
realimentación de los
usuarios de los
procesos, el equipo
del proceso y otras
partes interesadas.
Actualizar los
procesos y considerar
el impacto en los
catalizadores del
proceso.
174
1.6 Políticas y Mantener el Acciones de Poner en marcha Gerente alumno
procedimiento cumplimiento remediación procedimientos para / Gestor de
s con las para el no mantener el arquitectura de
políticas y cumplimiento cumplimiento y TI / Gerente de
procedimiento medición del servicios /
s funcionamiento de las Analista de
políticas y otros seguridad
catalizadores del
marco de referencia;
hacer cumplir las
consecuencias del no
cumplimiento o del
desempeño
inadecuado. Seguir
las tendencias y el
rendimiento y
considerarlos en el
diseño futuro y la
mejora del marco de
control.
1.7 Marco de Fin … Fin del proceso Gerente alumno

gestión de TI / Gestor de
Gestionado arquitectura de
TI / Gerente de
servicios /
Analista de
seguridad
7.1 Definición de Mantener la Dotación de Actividades internas Gerente alumno

estructura y dotación del personal del proceso Mantener
funciones personal estructurado la dotación del
organizativas personal
3.2 Políticas Definir la Modelo de Actividades internas Gerente alumno

operativas arquitectura arquitectura de del proceso Definir la
de referencia procesos arquitectura de
175
referencia
B. Objetivos y Establecer los Objetivos de Actividades internas Gerente alumno

2 métricas de objetivos de cumplimiento del proceso
rendimiento cumplimiento alineados a la Establecer los
y rendimiento. mejora objetivos de
continua de los cumplimiento y
procesos rendimiento.
B. Evaluación de Recopilar y Procesos Actividades internas Gerente alumno

3 capacidad de procesar los internos del del proceso Recopilar
procesos datos de dominio y procesar los datos
cumplimiento Supervisar, de cumplimiento y
y rendimiento. Evaluar y rendimiento.
Valorar
Rendimiento y
Conformidad
B. Acciones de Asegurar la Implementació Actividades internas Gerente alumno

5 remediación implantación n de medidas del proceso Asegurar
para el no de medidas correctivas la implantación de
cumplimiento correctivas. alineadas a las medidas correctivas.
políticas de la
empresa.
A. Mejora Evaluar el Principios Actividades internas Gobierno(Comit

1 continua del sistema de rectores de del proceso Evaluar el é educativo)
sistema de gobierno gobierno sistema de gobierno
gobierno corporativo
A. Mejora Orientar el Objetivos del Actividades internas Gobierno(Comit

2 continua del sistema de gobierno del proceso Orientar é educativo)
sistema de gobierno. el sistema de
gobierno gobierno.
A. Mejora Supervisar el Efectividad y Actividades internas Gobierno(Comit

3 continua del sistema de funcionamient del proceso é educativo)
sistema de gobierno. o del gobierno Supervisar el sistema
176
gobierno de gobierno.
177
DIAGRAMA DEL PROCESO
Ilustración 22: Proceso Gestionar el Marco Gestión de TI
178
DESCRIPCIÓN DEL PROCESO 1.1.DEFINIR LA ESTRUCTURA
ORGANIZATIVA
DECLARATIVA
Establecer una estructura organizativa interna y extensa que refleje las necesidades del
negocio y las prioridades de TI. Implementar las estructuras de gestión requeridas (p. ej.,
comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y
eficiente posible.
ROLES

Gerente alumno Desarrolla las actividades en la definición, Gerencia

alineación y el establecimiento de una
estructura organizativa que será aprobada
por el Gerente de la empresa IT-Expert.
STAKEHOLDERS

Gerente profesor Encargado de establecer estructura organizativa. Gestionar la

implementación de las estructuras de gestión.
179
Modelo de arquitectura de Modelo de arquitectura de Gobierno - Comité

procesos procesos para la definición de
procesos en la empresa IT-Expert.
SALIDAS DEL PROCESO

Definición de estructura y Definición de funciones en la Gerencia

funciones organizativas empresa IT-Expert, Definición de
la estructura de la empresa IT-
Expert.
Políticas operativas Normas y directrices de las Gerencia

operaciones internas en la
organización.
Plan de comunicación Plan de comunicación establecida Gerencia

entre el Gobierno o comité de la
empresa IT-Expert con la
gerencia.
180
CARACTERIZACIÓN
Modelo de
Inicio de Gerente
1,1,0 … Inicio arquitectura de
procesos alumno
procesos
Definir el
alcance, las
funciones
internas y
externas, los
roles internos y
Definición de
Modelo de externos, y las
Definir estructura estructura y Gerente
1,1,1 arquitectura de capacidades y los
organizacional funciones alumno
procesos derechos de
organizativas
decisión
requeridos,
incluidas
actividades de TI
realizadas por
terceras partes.
Definición de Decisiones para

estructura y resultados Establecer Gerente
1,1,2 Establecer
funciones corporativos actividades alumno
organizativas identificados
181
Establecer un
Comité
Estratégico de TI
(o equivalente) a
nivel del Consejo
de
Administración.
Este comité
debería
asegurarse de que
el gobierno de
Decisiones para TI, como parte
Establecer un Implicancia de
resultados del gobierno Gerente
1,1,3 comité Stakeholders
corporativos corporativo, está alumno
estratégico de TI establecida
identificados contemplado de
forma adecuada,
debe aconsejar
sobre la dirección
estratégica y
revisar las
inversiones
principales, en
representación
del consejo de
administración al
completo.
182
Establecer un
comité directivo
de TI (o
equivalente)
compuesto por la
dirección
ejecutiva, de
negocio y de TI
para determinar
las prioridades de
los programas de
inversión de TI
Organización de
de acuerdo con la
Implicancia de Establecer un TI relacionado
estrategia y Gerente
1,1,4 Stakeholders comité directivo con modelos de
prioridades de alumno
establecida de TI arquitectura
negocio de la
corporativa
empresa; realizar
un seguimiento
del estado de los
proyectos y
resolver los
conflictos de
recursos; y
supervisar los
niveles de
servicio y las
mejoras en el
servicio.
Iniciar definición
Organización de
de roles y
TI relacionado
responsabilidades Converger Gerente
1,1,5 con modelos de Converger
/ Iniciar actividades alumno
arquitectura
definición de
corporativa
estructuras
183
Identificar las
decisiones
necesarias para
Definición de alcanzar los
Iniciar definición Identificar
estructura y resultados Gerente
1,1,6 de roles y decisiones
funciones corporativos y la alumno
responsabilidades estratégicas
organizativas estrategia de TI y
para la gestión y
ejecución de
servicios de TI.
Definir los roles

y las
responsabilidades
Iniciar definición Definir roles y Roles y de cada función Gerente
1,1,7
de estructuras responsabilidades responsabilidades dentro de la alumno
estructura
organizativa
relativa a TI.
184
Establecer la
implicación de
las partes
interesadas
críticas para la
toma de
Roles y Elaborar matriz decisiones Gerente
1,1,8 Matriz RACI
responsabilidades RACI (quiénes rendirán alumno
cuentas, quiénes
son responsables,
quiénes deben ser
consultados y
quiénes
informados).
Proporcionar
políticas para
cada estructura
de gestión
(incluyendo
órdenes,
objetivos, marco
Elaborar las temporal,
Políticas Gerente
1,1,9 Matriz RACI políticas para las seguimiento,
operativas alumno
funciones supervisión y
vigilancia), así
como las
entradas
requeridas y las
salidas esperadas
en cuanto a las
reuniones.
185
Identificar las
decisiones
necesarias para
alcanzar los
resultados
corporativos y la
estrategia de TI y
para la gestión y
ejecución de
servicios de TI.
Establecer y
mantener una
estructura óptima
Políticas Elaborar plan de Plan de Gerente
1,1,10 de enlace,
Operativas comunicación comunicación alumno
comunicación y
coordinación
entre el negocio
(Comité,
Gerencia) y las
funciones de TI
(Gestor de
operaciones)
dentro de la
empresa y con
entidades no
pertenecientes a
la empresa.
186
Proporcionar
políticas para
cada estructura
de gestión
(incluyendo
órdenes,
objetivos, marco
Estructura temporal,
Plan de Gerente
1,1,11 Fin organizativa seguimiento,
comunicación alumno
definida supervisión y
vigilancia), así
como las
entradas
requeridas y las
salidas esperadas
en cuanto a las
reuniones.
Actividades
Definición de internas del
Mantener la Dotación de
estructura y proceso Gerente
7.1 dotación del personal
funciones Mantener la alumno
personal estructurado
organizativas dotación del
personal
Actividades
Definir la Modelo de internas del
Políticas Gerente
3.2 arquitectura de arquitectura de proceso Definir
operativas alumno
referencia procesos la arquitectura de
referencia
187
Ilustración 23: Proceso Definir la Estructura Organizativa
188
DESCRIPCIÓN DEL PROCESO 1.2.MANTENER LOS ELEMENTOS
CATALIZADORES
DECLARATIVA
Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la
TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo
operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen
una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar
la cooperación interdepartamental y el trabajo en equipo, promover el cumplimiento y la
mejora continua y tratar las desviaciones en el proceso (incluidos los fallos).
ROLES

Gerente alumno Integrar los principios de TI con los del Gerencia

negocio, alinear marco de trabajo,
procesos de TI, Evaluar buenas practicas,
crear un conjunto de políticas con para el
control interno de TI.
Gobierno Encargado de realizar la Evaluación, Dirección ejecutiva

Orientación y Supervisión del sistema de
gobierno.
STAKEHOLDERS

189
Gerente general Transmitir la visión, dirección y la estrategia corporativa a la

empresa. Asegurarse que los procedimientos estén en
funcionamiento.
Principios de gobierno Reglas de negocio con la cultura Gobierno - Comité

corporativo y principios por parte del
Gobierno y comité de las
empresas.

SALIDAS DEL PROCESO

Políticas relativas a TI Reglas de negocio con las Gerencia

tecnologías de información dentro
de la empresa.
190
CARACTERIZACIÓN
1,2,0 … Inicio Necesidad de Inicio de Gerente alumno

mantener procesos
elementos
catalizadores
1,2,1 Necesidad de Adquirir visión y Adquirir Gerente alumno

mantener comprensión y dirección de comprensión de
elementos visión estrategia la visión, la
catalizadores adquirida dirección y la
estrategia
corporativas
(Misión, Visión
y Objetivos).
191
1,2,2 visión y Atender la Cultura ética y Tener en cuenta Gerente alumno

dirección de cultura ética y códigos de el entorno
estrategia códigos de conducta interno de la
adquirida conducta atendidos empresa,
incluyendo la
cultura y la
filosofía de
gestión, la
tolerancia al
riesgo, la
seguridad, los
valores éticos, el
código de
conducta, la
rendición de
cuentas y los
requisitos de
integridad en la
gestión.
192
1,2,3 Cultura ética y Inferir e Principios de Inferir e integrar Gerente alumno

códigos de integrar TI integrados los principios de
conducta con principios TI con los
atendidos de negocio principios de
negocio,
motivando en la
cultura
empresarial
definida por la
empresa IT-
Expert.
1,2,4 Principios de Alinear Necesidad de Iniciar Gerente alumno

TI integrados alineamiento alineamiento de
con principios políticas
de negocio
1,2,5 Necesidad de Entorno de Entorno de Alinear el Gerente alumno

alineamiento control y control de TI entorno de
políticas alineado con control de TI
políticas de TI con las políticas
de TI, mantener
el riesgo
controlado.
193
1,2,6 Entorno de Estándares Principios de Evaluar las Gerente alumno

control de TI gobierno buenas prácticas
alineado con corporativo y estándares
políticas de TI para aplicación
en IT-Expert (p.
ej., normativa
específica de
ITIL para
servicios) e
integrarlos
donde
corresponda.
194
1,2,7 Principios Políticas de Estándares y Alinear las Gerente alumno

rectores de gobierno códigos de políticas de
gobierno prácticas de gobierno con
corporativo gobierno todas las buenas
alineados prácticas y
estándares de
gestión y
evaluar las
buenas prácticas
disponibles con
marcos de
control
internacionales
(COSO).
1,2,8 Estándares y Obtener Políticas Políticas Gerente alumno

códigos de alineación alineadas alineadas
prácticas de
gobierno
alineados
195
1,2,9 Políticas Aplicar Alineamiento Aplicar las Gerente alumno

alineadas alineamiento aplicado políticas y
marcos de
referencia en la
cultura de la
empresa para
motivar la
realización de
los objetivos de
la empresa.
196
1,2,1 Alineamiento Crear un Políticas Crear un Gerente alumno

0 aplicado conjunto de relativas a TI conjunto de
políticas políticas para
conducir las
expectativas de
control de TI en
temas clave
relevantes, como
calidad,
seguridad,
confidencialidad
, controles
internos, uso de
activos de TI,
ética y derechos
de propiedad
intelectual.
1,2,1 Políticas Evaluar las Políticas Evaluar y Gerente alumno

1 relativas a TI políticas evaluadas y actualizar las
actualizadas políticas, como
mínimo una vez
al año, para
ajustarlas a los
cambiantes
entornos
operativos o de
negocio.
197
1,2,1 Políticas Implantar Políticas Implantar y Gerente alumno

2 evaluadas y políticas implantadas aplicar las
actualizadas políticas de TI a
todo el personal
relevante, de
forma que estén
incorporadas y
sean parte
integral de las
operaciones
empresariales.
198
1,2,1 Políticas Asegurar Funcionamient Asegurarse de Gerente alumno

3 implantadas funcionamient o de que los
o procedimientos procedimientos
asegurado estén en
funcionamiento
para realizar un
seguimiento del
cumplimiento
con las políticas
y definir las
consecuencias al
no llegar a
cumplir los
indicadores
1,2,1 Funcionamient Fin … Fin de procesos Gerente alumno

4 o de
procedimientos
asegurado
A.1 Mejora Evaluar el Principios Actividades Gobierno(Comit

continua del sistema de rectores de internas del é educativo)
sistema de gobierno gobierno proceso Evaluar
gobierno corporativo el sistema de
gobierno
199
Ilustración 24: Proceso Mantener los Elementos Catalizadores
200
DESCRIPCIÓN DEL PROCESO 1.3.DEFINIR LA PROPIEDAD DE LA
INFORMACIÓN Y DEL SISTEMA DE TI
DECLARATIVA
Definir y mantener las responsabilidades de la propiedad de la información (datos) y los

sistemas de información. Asegurar que los propietarios toman decisiones sobre la
clasificación de la información y los sistemas y su protección de acuerdo con esta
clasificación.
ROLES

Gerente alumno Proveer políticas y directrices, definir, Gerencia

mantener y proporcionar herramientas
adecuadas para garantizar la seguridad de
información. Definir e implementar
procedimientos para asegurar la integridad y
consistencia en la información.
STAKEHOLDERS

Comité Definir la prioridad de la información y mantener las responsabilidades

de la prioridad de la información.
201
Requerimiento de negocio Necesidad de definir la propiedad Gerencia

de la información y del sistema
SALIDAS DEL PROCESO

Directrices para el control y Políticas y reglas de negocio para Gerencia

seguridad de datos realizar el control y mantener
segura la información. futuros
proyectos
CARACTERIZACIÓN
1,3,0 … Inicio Necesidad de Inicio de Gerente

definir la proceso alumno
propiedad de
información
del sistema
1,3,1 Necesidad de Proveer Políticas y Proveer Gerente

definir la políticas y directrices políticas y
202
propiedad de directrices propuestas directrices para alumno

información asegurar la
del sistema adecuación y
consistencia de
la clasificación
de la
información
(datos) en toda
la empresa.
1,3,2 Políticas y Definir, Seguridad de Definir, Gerente

directrices mantener y información mantener y alumno
propuestas proporcionar garantizada proporcionar
herramientas
adecuadas,
técnicas y
directrices para
garantizar la
seguridad y
control
efectivo sobre
la información
y los sistemas
en
colaboración
con el
propietario
(Base de datos,
Libros Excel,
Soluciones,
etc...).
1,3,3 Seguridad de Crear y Soporte al Crear y Gerente

información mantener mantenimiento mantener un alumno
203
garantizada información de la inventario de

información la información
(sistemas y
datos) que
incluya un
listado de los
propietarios,
custodios y
clasificaciones.
Incluir los
sistemas
subcontratados
y aquellos
cuya propiedad
debe
permanecer
dentro de la
empresa.
1,3,4 Soporte al Definir e Políticas para Definir e Gerente

mantenimiento implementar el control y implementar alumno
de la procedimientos seguridad de procedimientos
información datos para asegurar
la integridad y
consistencia de
toda la
información
almacenada en
formato
electrónico,
tales como
bases de datos,
almacenes de
datos (data
204
warehouses) y
archivos de
datos.
1,3,5 Políticas para Fin … Fin de proceso Gerente

el control y alumno
seguridad de
datos
3.2 Políticas Definir la Modelo de Actividades Gerente

operativas arquitectura de arquitectura de internas del alumno
referencia procesos proceso
Definir la
arquitectura de
referencia
205
Ilustración 25: Proceso Definir la Propiedad de la Información y del Sistema de TI
206
DESCRIPCIÓN DEL PROCESO 1.4.COMUNICAR LOS OBJETIVOS Y LA
DIRECCIÓN DE GESTIÓN
DECLARATIVA
Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las

partes interesadas y usuarios pertinentes a lo largo de toda la empresa.
ROLES

Gerente alumno Comunicar continuamente los objetivos de Gerencia

TI.
Gestor de riesgos Aplicar las medidas necesarias para Riesgo de operaciones

mantener un control de riesgos,
garantizando un adecuado control en los
procesos.
Gestor de la Aplicar los objetivos de TI a la seguridad Seguridad de información

seguridad de información en la empresa.

gobierno.
STAKEHOLDERS

207
Comité Comunican todo lo relevante al gobierno corporativo.
Gerente general Apoyar los objetivos de TI a la empresa.
Gerente profesor Comunicar la sensibilidad de los objetivos al comité. Dar soporte al

proceso de comunicación.

Comunicación de gobierno Información con los diferentes Gobierno - Comité

corporativo requerimientos de parte del
Gobierno y comité de las
empresas.
Principios, Comunicados y Principios, comunicados y Gobierno - Comité

Políticas políticas de la dirección de la
empresa por el Gobierno y comité
de las empresas.
SALIDAS DEL PROCESO

Comunicación de objetivos de TI Documento con los objetivos de Riesgo de operaciones

TI en la empresa. Carpeta
compartida de proyectos y finaliza
el proceso creando un documento
de incidencias para futuros
proyectos
208
CARACTERIZACIÓN
1.4.0 … Inicio Comunicación Inicio de proceso Gerente alumno

de gobierno
corporativo
1.4.1 Comunicación Comunicar Objetivos Comunicar Gerente alumno

de gobierno objetivos comunicados continuamente los
corporativo objetivos y la
dirección de TI.
1.4.2 Objetivos Asegurar Comunicación Asegurar que las Analista de

comunicados comunicación asegurada comunicaciones riesgos
reciban apoyo de
la dirección
ejecutiva, tanto de
palabra como
mediante
acciones,
empleando todos
los canales
disponibles.
1.4.3 Comunicación Comunicar Principios, Iniciar Analista de

asegurada Comunicados comunicación seguridad
y Políticas
1.4.4 Principios, Garantizar Información Garantizar que la Analista de

Comunicados información garantizada información seguridad
y Políticas comunicada
engloba una clara
articulación de la
misión, los
objetivos de
servicio, la
seguridad, los
controles
209
internos, la
calidad, el código
ético/de conducta,
las políticas y
procedimientos,
los roles y las
responsabilidades,
etc.
1.4.5 Información Detallar información Comunicar la Analista de

garantizada información detallada información con seguridad
el nivel de detalle
adecuado para
cada respectiva
audiencia dentro
de la empresa.
1.4.6 información Finalizar Comunicación Información Analista de

detallada Comunicación finalizada comunicada clara, seguridad
con los objetivos
de servicio,
seguridad y
controles
internos, etc.
Correctamente
descritos.
1.4.7 Comunicación Soportar Comunicación Proporcionar Analista de

finalizada comunicación de objetivos recursos riesgos
de TI suficientes y
cualificados para
dar soporte al
proceso
comunicativo.
1.4.8 Comunicación Fin … Fin de proceso Analista de

de objetivos
210
de TI riesgos
A.2 Mejora Orientar el Objetivos del Actividades Gobierno(Comité

continua del sistema de gobierno internas del educativo)
sistema de gobierno. proceso Orientar
gobierno el sistema de
gobierno.
211
Ilustración 26: Proceso Comunicar los Objetivos y la Dirección de Gestión
212
DESCRIPCIÓN DEL PROCESO 1.5.GESTIONAR LA MEJORA CONTINUA DE
LOS PROCESOS
DECLARATIVA
Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar

que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de
gestión y de control. Considerar las directrices de la implementación de procesos de
COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de
automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y
otras partes interesadas. Actualizar los procesos y considerar el impacto en los
catalizadores del proceso.
ROLES

Gerente alumno Evaluar, analizar e identificar los procesos Gerencia

críticos del negocio basándose en el
rendimiento y cumplimiento de los riesgos
relacionados.
Arquitecto de TI Implementar la redefinición de procesos. Operaciones

Rediseño de procesos priorizando las
iniciativas para la mejora del proceso.
Gerente de servicios Considerar las maneras de mejorar la Gerencia

eficiencia mediante la priorización de
acciones para realizar la mejora continua.
Gestor de la Aplicar las medidas de mejora para la Seguridad de información

seguridad seguridad de información.

213
gobierno.
STAKEHOLDERS

Comité Promover la mejora continua en todos los procesos considerando las

directrices de la implementación de los procesos de COBIT5.
Gerente profesor Encargado de supervisar la reacción de las funciones de los empleados

con respecto al proceso de mejora continua.

Políticas y procedimientos Políticas y procedimientos para Gerencia

identificar los procesos críticos.
SALIDAS DEL PROCESO

Evaluación de capacidad de Evaluación mediante las Gerencia

procesos herramientas de Cobit5 para
obtener el nivel de capacidad de la
empresa.
214
Objetivos y métricas de Objetivos y métricas de Operaciones
rendimiento rendimiento para el seguimiento
CARACTERIZACIÓN
1,5,0 … Inicio Efectividad y Inicio de Gestor de

funcionamiento procesos arquitectura de
del gobierno TI
1,5,1 Efectividad y Identificar Procesos Identificar los Gestor de

funcionamiento procesos críticos procesos arquitectura de
del gobierno críticos identificados críticos de TI
negocio
basándose en el
rendimiento,
cumplimiento y
los riesgos
relacionados.
1,5,2 Procesos Procesos Iniciar Inicio de Gerente de

críticos priorizar procesos proceso servicios
identificados Evaluar,
Analizar,
Identificar y
Priorizar.
1,5,3 Iniciar Evaluar Evaluación de Evaluar la Gerente de

procesos capacidad de capacidad del servicios
procesos proceso e
identificar
objetivos de
215
mejora.
1,5,4 Iniciar Analizar Análisis Analizar las Gerente de

procesos realizado diferencias en servicios
la capacidad y
control del
proceso.
1,5,5 Iniciar Identificar Opciones de Identificar las Gerente de

procesos mejora opciones de servicios
identificados mejora y
rediseño de
procesos.
1,5,6 Iniciar Priorizar Objetivos y Priorizar Gestor de

procesos métricas de iniciativas para arquitectura de
rendimiento la mejora de TI
procesos
basadas en el
potencial coste-
beneficio.
1,5,7 Evaluación de Converger Procesos Finalización de Gerente de

capacidad de procesos finalizados procesos servicios
procesos / Evaluar,
Análisis Analizar,
realizado / Identificar y
Opciones de Priorizar.
mejora
identificados /
Objetivos y
métricas de
rendimiento
1,5,8 Procesos Implementar Mejoras Implementar Gerente alumno

finalizados mejoras implementadas las mejoras
acordadas,
216
funcionando
como una
práctica normal
del negocio y
establecer
objetivos y
métricas de
rendimiento
que permitan el
seguimiento de
las mejoras del
proceso.
1,5,9 Mejoras Considerar Maneras de Considerar las Gerente alumno

implementadas maneras de mejorar la maneras de
mejorar eficiencia y mejorar la
eficacia eficiencia y
consideradas eficacia (p. ej.,
mediante
formación,
documentación,
estandarización
y
automatización
de procesos).
1,5,10 Maneras de Aplicar Prácticas de Aplicar Analista de

mejorar la prácticas de mejora prácticas de seguridad
eficiencia y mejora aplicadas gestión de
eficacia calidad para la
consideradas actualización
de procesos.
1,5,11 Prácticas de Evaluar Procesos Evaluar Gerente alumno

mejora procesos correctos / procesos
aplicadas Procesos
217
desactualizados
1,5,12 Procesos Retirar Fin del proceso Se retiran los Gerente alumno
desactualizados procesos procesos que
están
desactualizados
con la
implementación
de proyectos
innovadores
1,5,13 Fin del proceso Fin … Fin del proceso Gerente alumno
B.2 Objetivos y Establecer Objetivos de Actividades Gerente alumno

métricas de los objetivos cumplimiento internas del
rendimiento de alineados a la proceso
cumplimiento mejora Establecer los
y continua de los objetivos de
rendimiento. procesos cumplimiento y
rendimiento.
B.3 Evaluación de Recopilar y Procesos Actividades Gerente alumno

capacidad de procesar los internos del internas del
procesos datos de dominio proceso
cumplimiento Supervisar, Recopilar y
y Evaluar y procesar los
rendimiento. Valorar datos de
Rendimiento y cumplimiento y
Conformidad rendimiento.
A.3 Mejora Supervisar el Efectividad y Actividades Gobierno(Comité

continua del sistema de funcionamiento internas del educativo)
sistema de gobierno. del gobierno proceso
gobierno Supervisar el
sistema de
gobierno.
218
Ilustración 27: Proceso Gestionar la Mejora Continua de los Procesos
219
DESCRIPCIÓN DEL PROCESO 1.6.MANTENER EL CUMPLIMIENTO CON
LAS POLÍTICAS Y PROCEDIMIENTOS
DECLARATIVA
Poner en marcha procedimientos para mantener el cumplimiento y medición del

funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer
cumplir las consecuencias del no cumplimiento o del desempeño inadecuado. Seguir las
tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de
control.
ROLES

Gerente alumno Realizar seguimiento de las actividades, Gerencia

control, monitoreo y cumplimiento de las
políticas.
Arquitecto de TI Rediseñar los procesos para cumplir con las Gerencia

Gerente de servicios Adoptar las acciones necesarias para realizar Gerencia

el soporte de servicios adoptando las
políticas y procedimientos propuestos.
Gestor de la Adoptar las acciones necesarias para realizar Seguridad de información

seguridad los procesos relacionados a la seguridad de
información adoptando las políticas y

gobierno.
220
STAKEHOLDERS

Comité Proponer políticas y procedimientos relacionados a los objetivos de TI.
Gerente profesor Encargado de supervisar el cumplimiento de las políticas y

procedimientos de TI.

Políticas y procedimientos Políticas y procedimientos para Gerencia

realizar el seguimiento y
cumplimiento de las obligaciones
de todos los empleados.
SALIDAS DEL PROCESO

Acciones de remediación para el Acciones apropiadas para la Gerencia

no cumplimiento remediación del no cumplimiento,
esto incluye cambio de
requerimientos y comunicación
con el gobierno para definir
nuevos proyectos en el siguiente
periodo.
221
CARACTERIZACIÓN
1,6,0 … Inicio Políticas y Inicio de Gerente

procedimientos proceso alumno
1,6,1 Políticas y Realizar Seguimiento Hacer un Gerente

procedimientos seguimiento iniciado seguimiento del alumno
cumplimiento
con políticas y
procedimientos.
1,6,2 Seguimiento Validar Cumplimiento Se realizan las Gerente de

iniciado cumplimiento valido / actividades servicios
Cumplimiento necesarias para
invalido validar el
cumplimiento
de las políticas y
procedimientos
en la empresa.
1,6,3 Cumplimiento Analizar Acciones de Analizar los Gerente

invalido incumplimientos remediación incumplimientos alumno
para el no y adoptar las
cumplimiento acciones
apropiadas
(puede incluir el
cambio de
requerimientos).
1,6,4 Acciones de Integrar Rendimiento y Integrar Analista de

remediación rendimiento y cumplimiento rendimiento y seguridad
para el no cumplimiento integrado cumplimiento
cumplimiento / dentro de los
Cumplimiento objetivos
Valido individuales del
personal.
222
1,6,5 Rendimiento y Evaluar Desempeño de Evaluar Gestor de
cumplimiento desempeño de catalizadores periódicamente arquitectura
integrado catalizadores evaluados el desempeño de de TI
los catalizadores
del marco de
referencia y
adoptar las
acciones
necesarias.
1,6,6 Desempeño de Adoptar Acciones Adoptar las Gerente

catalizadores acciones necesarias acciones alumno
evaluados necesarias adoptadas apropiadas.
1,6,7 Acciones Analizar Tendencias y Analizar las Analista de

necesarias tendencias y Cumplimiento tendencias en el seguridad
adoptadas cumplimiento analizado y funcionamiento
validado y cumplimiento.
1,6,8 Tendencias y Fin … Fin de proceso Gerente

Cumplimiento alumno
analizado y
validado
B.5 Acciones de Asegurar la Implementación Actividades Gerente

remediación implantación de de medidas internas del alumno
para el no medidas correctivas proceso
cumplimiento correctivas. alineadas a las Asegurar la
políticas de la implantación de
empresa. medidas
correctivas.
223
Ilustración 28: Proceso Mantener el Cumplimiento con las Políticas y Procedimientos
224
POLÍTICAS
Las políticas establecidas por el proyecto IMGETI para la sección de Políticas de TI son:
Es responsabilidad del asistente de gerencia:
A. Revisar el ROF, MOF, Políticas, modelo de procesos, y la memoria de la empresa

al menos una vez por ciclo.
B. Actualizar el ROF, MOF y la memoria de la empresa.
C. Retirar los procesos desactualizados del modelo de procesos.
D. Agregar los nuevos procesos al modelo del modelo de procesos.
E. Notificar al personal de la empresa las políticas de misma al inicio de cada ciclo y

cada vez que se realiza algún cambio.
F. Realizar el seguimiento del cumplimiento de las políticas.
G. Crear cuentas de correo electrónico en el servicio Gmail para cada nuevo proyecto
al inicio de ciclo con el formato “CodigoProyecto_AñoCiclo@gmail.com”. Por
ejemplo: “RAEF_201301@gmail.com”.
H. Notificar el correo creado y su contraseña. Además, del acceso a las carpetas

compartidas de IT-Expert y los Formularios para el registro de actividades y
reuniones mediante un mensaje a su correo universitario.
I. Es responsabilidad del Gerente general de la empresa IT-Expert.
J. Autorizar los cambios del ROF, MOF, Modelo de procesos, políticas y memoria de
la empresa.
K. Es responsabilidad del Jefe de proyecto:
L. Cambiar la contraseña del correo asignado a su proyecto.
M. Registrar semanalmente las actividades realizadas durante la semana en el

formulario de avance del proyecto.
225
N. Registrar semanalmente las reuniones celebradas durante la semana en el
formulario de reuniones.
226
ESTRUCTURA ORGANIZATIVA
La estructura organizacional implementada por el proyecto IMGETI es el siguiente:
Ilustración 29: Organigrama de IT-Expert 2014 Implementado
ARQUITECTO DE TI
Descripción
Encargado de administrar la arquitectura empresarial para proponer soluciones

conciliadoras a las necesidades de los interesados.
Perfil
Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías EUP,

TOGAF.
Funciones
Recolectar y comprender los requisitos
Proponer modelos que respondan a los requisitos.
Validar y refinar el modelo propuesto.
Realizar mantenimiento de los modelos.
Persona Asignada
227
Alumno de Taller de Desempeño Profesional II
GESTOR DE RIESGOS
Descripción
Encargado de realizar las evoluciones de riegos de TI, así como proponer los cambios
necearías para mitigar los riesgos identificados.
Perfil
Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías PMBOK,

ITIL, COBIT.
Funciones
Identificar, cuantificar y priorizar los riesgos de TI
Realizar evoluciones de riesgos regularmente.
Proponer cambios para minimizar los riesgos.
Sigue una metodología para las evaluaci8mes con el fin de que estas sean objetivas y
repetibles.
Persona Asignada
GESTOR DE LA SEGURIDAD
Descripción
Tiene como misión planificar, coordinar y mantener la seguridad de la información de la

empresa. Capacidad de tomar decisiones, comunicativo y conocimientos de metodologías
COBIT, ISO 27001.
Funciones
228
Planificar, coordinar y mantener la seguridad de la información en IT-Expert
Educar a los usuarios sobre seguridad de la información.
Realizar análisis de vulnerabilidades en los dispositivos de red de la empresa.
Reunir evidencias para la investigación de incidentes de seguridad.
Persona Asignada
ROLES
ARQUITECTO DE TI
Tiene la misión de asegurar la integridad de la arquitectura, en términos de abordar
adecuadamente todas las preocupaciones pertinentes de sus grupos de interés, relacionando
de todos los diferentes puntos de vista entre ellos. Lo que busca es la conciliación de
manera satisfactoria las preocupaciones conflictivas de diferentes grupos de interés,
mostrando las compensaciones y consideraciones tomadas.
GESTOR DE RIESGOS
Se encarga del proceso de identificación, cuantificación y priorización de los riesgos
comparándolos con el criterio para su aceptación dentro del marco de los objetivos
relevantes para la empresa. Realiza evaluaciones del riesgo periódicamente y siguiendo
una metodología para realizar los cambios en los requerimientos del sistema y en la
situación de los riesgos; por ejemplo: activos, amenazas, vulnerabilidades, impactos,
valoración del riesgo y cuantos cambios significativos ocurran.
GESTOR DE LA SEGURIDAD
Tiene como misión planificar, coordinar y mantener la seguridad de la información de la
empresa. Deben educar a los usuarios sobre la seguridad de la información, instalar
software de seguridad, supervisar las redes para detectar los puntos vulnerables de
seguridad, responder a los ataques cibernéticos, y en algunos casos, reunir datos y pruebas
que se utilizarán en la persecución de la delincuencia cibernética.
229
MÉTRICAS
Se establecen métricas que ayuden a la gerencia de la empresa IT-Expert a un control
adecuado de los procesos, en este caso al proceso implementado.
INDICADORES
Se establecieron los siguientes indicadores:
Reuniones realizadas con las autoridades
Nivel de avance del proyecto
Nivel de actividades realizadas en el proyecto
NIVEL DE REUNIONES REALIZADAS CON LAS AUTORIDADES

Definición: Mide el porcentaje de reuniones realizadas con las autoridades de la empresa
IT-Expert y con el Cliente del proyecto.
Expresión matemática:
Objetivos: Se debe alcanzar un 80% de reuniones con las autoridades de IT-Expert sobre
el número de semanas para lograr un alineamiento correcto a los requerimientos del cliente
y a las políticas de la empresa.
Consideraciones de gestión:
Verde Amarillo Rojo
X>=80% 60%<=X<80% X<60%
Periodicidad e intensión: Semanal
Fuentes de información: Reporte del formulario Google Drive “Reuniones del proyecto”
230
NIVEL DE AVANCE REAL DEL PROYECTO
Definición: Mide el Porcentaje de la brecha entre el número de actividades planificadas y
las actividades realizadas sobre el número de actividades planificas del proyecto.
Expresión matemática
Objetivos: La brecha de actividades realizadas con actividades planificadas debe ser

menor al 10%.
Consideraciones de gestión:
Verde Amarillo Rojo
X<=10% 10%<=X<25% X>=25%
Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”
NIVEL DE ACTIVIDADES REALIZADAS EN EL PROYECTO

Definición: Mide el porcentaje de avance de los proyectos a la fecha.
Expresión matemática
Objetivos: Las actividades realizadas deben ser mayores o iguales al 90% de las
actividades planificadas para no ocasionar retrasos en el proyecto.
Consideraciones de gestión
Verde Amarillo Rojo
X>=90% 85%<=X<90% X<85%
Fuentes de información: Reporte del formulario Google Drive “Avance del proyecto”
231
Para la implementación de cualquier proyecto es necesario una constante comunicación
con la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la
implementación envuelve la actualización y creación de información y documentación para
la empresa. Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5
para que funcionen como elementos que impulsan el cumplimiento de los objetivos de TI
en la empresa. La implementación del modelo de procesos propuesto por COBIT 5 debe
estar alineado al negocio de la empresa, esto conlleva a la aplicación y adaptación de los
subprocesos propuestos por el modelo de procesos de COBIT 5.
232
FASE 6 - ¿HEMOS CONSEGUIDO LLEGAR?
DESARROLLAR EL PLAN DE IMPLEMENTACIÓN
En esta fase se debe supervisar las mejoras a través de métricas. En el proyecto IMGETI,
una vez implementado el plan o programa de implementación con mayor logro y
cumplimiento de objetivos de TI en la empresa se deben establecer indicadores para el
proceso implementado así como un medio por el cual pueden ser controlados por la
gerencia y reportados al comité, para IT-Expert esto se empleara un Tablero de indicadores
que se desarrolló como parte de la implementación de métricas. Los beneficios deben
monitorearse y medirse estableciendo metas para cada métrica en el programa
implementado.
Tablero De Indicadores
Definición:
El tablero de indicadores es un documento digital alojado en los servicios de Google Drive.

Este documento esta enlazado con dos formularios que permiten registrar la información
de los proyectos y de esta forma alimentarse de data a tiempo real. Presenta índices y
graficas que ayudan a monitorear y controlar el estado actual de los proyectos.
Objetivo:
Los objetivos del desarrollo del tablero de control son los siguientes
Medir el índice del proceso implementado enfocándose en las sesiones de formación, las
actividades realizadas en los proyectos y la brecha del avance real con el planificado
Disminuir el tiempo del desarrollo de los reportes presentados al comité
Diseñar un reporte alojado en la nube con sincronización a tiempo real que puede ser
accesible 24/7 directamente a la parte del gobierno de IT-Expert
Alcance:
233
El tablero de indicadores se desarrolló teniendo en cuenta el reporte que se elabora
bimestralmente por gerencia para extenderse al comité. Y tiene como alcance reducir la
elaboración del reporte mediante el uso de formularios del servicio de Google Drive.
El reporte que arroja el tablero de indicadores es a tiempo real 24/7 pues se aloja en el
servicio de la nube de Google Drive.
Los formularios que alimentan la data para generar el reporte de indicadores debes ser
registrado semanalmente por los jefes de cada proyecto. Se implementaron políticas para
este procedimiento.
Formulario Reuniones Del Proyecto

El formulario de reuniones de los proyectos tiene como datos de ingreso:
Numero de Semana
Fecha de registro
Código del proyecto
Autoridad con quien se celebra la reunión
Acuerdos a los que se llegue en dicha reunión
Esta información es fundamental para realizar el reporte que controlara las reuniones
realizadas por el proyecto.
Ilustración 30: Formulario de reuniones del proyecto
234
Formulario Avance Del Proyecto

El formulario de avance de los proyectos tiene como datos de ingreso:
Numero de Semana
Código del proyecto
Avance real del proyecto en dos decimales con coma decimal
Actividades de avance planificado
Actividades de avance real
Observaciones en las actividades
Esta información es fundamental para realizar el reporte que controlara el avance de las
actividades realizadas por el proyecto.
235
Ilustración 31: Formulario de avance del proyecto
Reporte De Informe De Avance Y Reuniones De It-Expert

El reporte presenta la información solicitada en el reporte que se envía al comité
bimestralmente y además los indicadores del proceso.
Avance del proyecto

El grafico del avance nos permite monitorear de forma visual el avance real del proyecto
con respecto al avance planificado.
Ilustración 32: Avance por proyecto
236
Reuniones por proyecto

Este grafico de barras muestra la cantidad de reuniones celebradas por cada proyecto con
diferentes autoridades establecidas por la empresa IT-Expert y el Cliente del proyecto.
Ilustración 33: Reuniones por proyecto
Informe de EDT
El informe EDT presenta el desarrollo de las actividades con respecto a lo planeado. Esta
información es la evidencia de una adecuada gestión del proyecto y brinda un informe más
detallado del desarrollo de las actividades.
Ilustración 34: Informe EDT
237
Informe de reuniones
El informe de las reuniones celebradas por los jefes del proyecto nos muestra los acuerdos
a los que se llegaron con el cliente del proyecto y las diferentes autoridades establecidas en
la empresa IT-Expert.
Ilustración 35: Informe de reuniones
238
Resumen de avances comparativo

El resumen de avances muestra el indicador mediante semáforo de cómo se encuentra la
brecha entre el avance planificado y real de todos los proyectos. Estos índices fueron
definidos en las métricas de los Productos de trabajos.
Ilustración 36: Resumen de avances semáforos
239
Ilustración 37: Resumen de avances gráficos
Resumen de reuniones comparativo

Este índice indica el número de reuniones comparativo entre todos los proyectos. Esto
puede mostrar un ratio o promedio normal de las reuniones que se deben realizar con las
autoridades de la empresa y el cliente del proyecto.
Ilustración 38: Resumen de reuniones
240
Al establecer las métricas de rendimiento se debe verificar el cumplimiento de los

objetivos de cada indicador y que esté de acuerdo con los requerimientos del negocio
establecidos por la gerencia. El cuadro de indicadores cumple con la supervisión de las
mejoras implementadas pues sus métricas de rendimiento que ayudaran a controlar el
rendimiento del proceso y a tomar medidas de mitigación. Es indispensable contar con un
plan de riesgos y de acciones a realizar como contingencia y mitigación para regularizar
los índices arrojados por el cuadro de indicadores.
241
FASE 7 - ¿CÓMO MANTENEMOS VIVO EL IMPULSO?
MONITOREAR Y CONTROLAR EL DESEMPEÑO DE LA
IMPLEMENTACIÓN
En esta fase se realiza revisa la efectividad del éxito global del proyecto mediante una
evaluación de nivel de capacidad. También se identifican las mejoras o las lecciones que se
obtienen de toda la implementación para finalmente presentar las mejoras futuras que
ayudarían a mejorar a la empresa. Estas mejoras son los tres procesos propuestos que no
fueron implementados, pero son aplicables en la empresa IT-Expert.
Evaluación
Luego de analizar las listas de revisiones por segunda vez se puede obtener este cuadro que
nos indica que la empresa IT-Expert en el proceso APO01 tiene un total de 86.80% de
capacidad en el nivel 1.
Tabla 22: Evaluación de proceso Gestionar el marco de gestión de TI
Evaluación APO01
APO01 Gestionar el Marco de Gestión de TI 86.80
Aclarar y mantener el gobierno de la misión y la visión

Descripción del Proceso corporativa de TI. Implementar y mantener mecanismos
y autoridades para la gestión de la
242
Información y el uso de TI en la empresa para apoyar los
objetivos de gobierno en consonancia con las políticas y

permita cumplir los requisitos de gobierno corporativo e
incluya procesos de gestión, estructuras, roles y
Proceso
responsabilidades organizativos, actividades fiables y
reproducibles y habilidades y competencias.
Meta del Proceso (Os) (1-4) 100.00%
Se ha definido y se mantiene un conjunto eficaz de

APO01-O1 3
políticas.
Todos tienen conocimiento de las políticas y de cómo

deberían
APO01-O2 3
Implementarse.
Prácticas Base (BPs) % 81.83%
APO01-BP1 Definir la estructura organizativa. 88.5
APO01-BP2 Establecer roles y responsabilidades 85.7
Mantener los elementos catalizadores del sistema de

APO01-BP3 90.5
gestión
APO01-BP4 Comunicar los objetivos y la dirección de gestión 50.0
APO01-BP5 Optimizar la ubicación de la función de TI. 100.0
Definir la propiedad de la información (datos) y del

APO01-BP6 85.0
sistema.
APO01-BP7 Gestionar la mejora continua de los procesos 75.0
243
APO01-BP8 80.0
procedimientos
Producto de Trabajo (WPs) S/N 78.57%
APO01-WP1 Políticas relativas a TI si
APO01-WP2 Acciones de remediación por no cumplimiento No
APO01-WP3 Evaluación de las opciones para la organización de TI Si
APO01-WP4 Definir la función operacional de las funciones de TI Si
APO01-WP5 Definición de estructura y funciones organizativas Si
APO01-WP6 Directrices operativas de la organización Si
APO01-WP7 Reglas básicas de comunicación Si
APO01-WP8 Definición de roles y responsabilidades relativos a TI Si
APO01-WP9 Definición de prácticas de supervisión Si
APO01-WP10 Evaluaciones de la capacidad de los procesos Si
APO01-WP11 Oportunidades de mejoras de proceso Si
Objetivos y métricas de rendimiento para el seguimiento

APO01-WP12 Si
APO01-WP13 Comunicación de objetivos de TI No
APO01-WP14 Directrices para la clasificación de datos No
En la última fase, se revisó la efectividad de la implementación mediante una segunda

evaluación de la capacidad de nivel uno para el proceso implementado, cuyo resultado se
muestra a continuación.
244
Tabla 4. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de
TI
Evaluación de capacidad de nivel 1
del proceso Gestionar el marco de gestión de TI
Cumplimiento del objetivos 100%
Ejecución de prácticas base 81.83%
Uso de productos de trabajo 78.57%
Resultado de evaluación 86.80% = F-completamente alcanzado
Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de
P-parcialmente alcanzado a F-completamente alcanzado. Por lo que, se valida que la
implementación del proceso fue satisfactoria.
Lecciones Aprendidas
Es indispensable contar con la implementación del dominio de Gobierno de TI, este
domino es el primer paso para alinear los objetivos del negocio con los objetivos de TI. La
información que se obtiene de los resultados del cuadro de indicadores sin duda es
fundamental para realizar una toma de decisiones correcta.
En caso algún proyecto se retrase se pueden tomar las medidas necesarias para agilizar las
actividades de cada uno.
Si no hay un adecuado control por parte de las autoridades y el cliente del proyecto se
pueden tomar las acciones correctivas para regular este índice.
Pero toda acción y decisión parte de un conocimiento brindado por la información que
arrojan los cuadros de control que son documentos alojados en la nube, que es una
herramienta de tecnología de información. De esta forma se adecua las TI para brindar
apoyo y soportar las decisiones a la parte corporativa de la empresa.
245
Mejoras Futuras
Implementación del dominio EDM (Evaluar, Dirigir y Monitorear) en la empresa IT-
Expert.
Implementar los procesos restantes que aplican al dominio APO (Alinear, Planificar y
Organizar):
Gestionar Arquitectura Empresarial
Gestionar Portafolios de Proyectos
Gestionar Recursos Humanos
246
247
GESTIÓN DEL PROYECTO
El quinto capítulo recopila los distintos planes asociados a la gestión del proyecto según la
metodología PMBOK. Se describe el producto final y se mencionan las lecciones
aprendidas durante el desarrollo del proyecto. En este capítulo encontraremos las
referencias hechas en las primeras páginas del presente documento.
248
PRODUCTO FINAL
La implementación de un modelo estratégico de TI para la empresa IT-Expert mediante
COBIT 5, esto provee resultado cualitativos en diferentes aspectos:
Redefinición de procesos, basados en los dominios de COBIT, para poder adaptarse a los
nuevos grados de madurez, se estructuran los procesos en base a los nuevos tiempos de
cada servicio, definidos con estructuras internacionalmente aceptadas, auditables, medibles
y que integran las mejores prácticas.
Redefinición de roles, responsabilidades y funciones: con intención de asegurar los nuevos

roles, se estructuran, con nuevos indicadores en las nuevas y claridad en los roles y
responsabilidades.
Fortalecimiento en la alineación entre la planificación estratégica de negocios y

planificación estratégica de TI.
Análisis de Riesgos. Un punto fundamental es la inclusión de la Gestión de los Riesgos de

TI. Para llevar adelante este plan se mejoró la metodología y la gestión de los riesgos se
basó en forma inicial a RISK IT. Un punto importante es que en el ciclo anual de Gestión
de Riesgos de TI, se utilizan los principales puntos de control enmarcados en COBIT para
cada proceso de TI y el análisis de Riesgos parte de dicha guía para asegurar el
alineamiento a dicho Marco entre otros factores importantes.
249
GESTIÓN DEL TIEMPO
Ilustración 39: Cronograma
251
252
253
254
Elaboración Propia
255
GESTIÓN DE LOS RECURSOS HUMANOS
Jefe de Proyecto: Supervisar y controlar la ejecución de las actividades para que se
cumplan todos los objetivos del proyecto. El jefe de proyecto cumple la labor de gestionar el
proyecto de forma eficaz, eficiente y de alta calidad.
Comité: Evaluar el proyecto bajo los estándares establecidos por la Carrera de Ingeniería de
Sistemas de la Universidad Peruana de Ciencias Aplicadas. El comité cumple la labor de
gestionar el proyecto de forma eficaz, eficiente y de alta calidad. El comité brindara una
evaluación manteniendo los estándares en la gestión de proyectos de un Ingeniero de
Sistemas, esto permite mejorar en los diferentes aspectos del rol del Ingeniero de Sistemas.
Cliente Profesor: Brindar la información necesaria e Indicar los requerimientos necesarios

para cumplir con el objetivo principal del proyecto y la aprobación de los entregables del
proyecto. El gerente de IT-Expert brindara la información necesaria para poder definir los
requerimientos y plantear a su vez los objetivos del proyecto.
Gerente Profesor: Brindar apoyo y asesoría durante el desarrollo del proyecto. Por su parte
el Gerente profesor brindará el apoyo y soluciones a las dudas e interrogantes planteadas por
los Jefes de Proyecto para el desarrollo del mismo.
Gerente Alumno: Controlar y supervisar el avance eficaz de los proyectos y mantener

informado a los alumnos de Taller de Proyectos informados de las actividades de la empresa
IT-Expert. Además, la gerente alumno mantendrá un control que ayudara a gestionar mejor
el proyecto y brindara información de actividades de la empresa, de esta forma se tendrá
conocimiento de las fechas de diversas evaluaciones.
256
Analista QA: Verificar y Validar la calidad de los entregable del proyecto. Asimismo,
mediante observaciones se podrán corregir las fallas, defectos y errores que se cometan en la
gestión del proyecto. Asimismo, ayudara en la mejora continua de los Jefes de Proyecto.
Para Quality Services no se fue necesario aun disponer del servicio de un analista, por lo que
no se maneja una gestión del recurso.
Para el alumno de apoyo se Maneja en el Outlook Calendar las reuniones, citas y acuerdos
con el alumno apoyo. Además se maneja una carpeta compartida en la que se administraran
los archivos que se manejen entra los jefes de proyecto y el alumno de apoyo.
257
GESTIÓN DE LAS COMUNICACIONES
Se realizaron comunicaciones con los profesores Cliente y Gerente de tipo reunión
(semanalmente) y por correo electrónico (periódicamente).
Los inconvenientes que surgieron fueron en días feriados, se tuvo que recuperar realizando
dos reuniones seguidas las semanas posteriores a la semana de los días feriados.
Se realizó comunicación de tipo Sincronización de documentos compartidos con los

Profesores Cliente, Gerente y Alumno Gerente para la evidencia de las actividades
realizadas.
El inconveniente que surgió fue un retraso en la semana 12 en el proyecto, que se actualizo

la semana 13, debido a la acumulación de actividades.
Se realizó comunicación con el alumno de apoyo por correo electrónico para la asignación
de sus actividades.
Inconveniente es que solo existe un alumno de apoyo para las actividades, esto se solucionó
luego que este se liberó mediante el cumplimiento de sus actividades con otros proyectos y
posteriormente se le delego a nuestro proyecto.
258
GESTIÓN DE LOS RIESGOS
Tabla 23: Gestión de Riesgos
# Riesgo Probabilidad Impacto Estrategia de mitigación
1 Disponibilidad Probable Alto Comunicación constante con el

horaria del cliente. Así como, la
profesor reprogramación de nuevas
cliente. reuniones para subsanar
reuniones canceladas.
2 Incumplimient Improbable Medio Mantener una comunicación

o de constante con nuestro recurso
actividades por alumno. Acordar la posibilidad
parte del de solicitar la ayuda de otro
recurso alumno recurso alumno si el asignado no
asignado puede cumplir con sus
actividades ya sea por motivos
de salud o personales.
3 Cambio de Improbable Alto Tomar en consideración los

Gerencia en objetivos a largo plazo.
IT-Expert Implementar la gestión del
cambio para abordar los posibles
cambios de los objetivos de la
empresa.
4 Subestimación Probable Medio Dejar una holgura de tiempo

del tiempo de para las actividades relacionadas
desarrollo de al desarrollo de entregables en el
los artefactos cronograma.
Elaboración Propia
259
Actividades de seguimiento y control
Definir de medidas de mitigación y contingencia.
Implementar controles para los riegos con criticidad alta.
Los jefes del proyecto tiene el deber de supervisar de manera continua los riesgos
identificados
Actuar de manera inmediata ante la materialización de un riesgo siguiendo los planes de

contingencia
Procedimiento
Identificación de los riesgos del proyecto
Registro de riesgos
Priorización de los riesgos
Evaluación del riesgo
Definición de las acciones que permitan neutralizar o mitigar el riesgo
Para los riesgos de severidad media a alta a los que no se haya añadido un paquete de trabajo
en la EDT, se definirá un plan de contingencia.
Se realizará el seguimiento y control de los riesgos de manera continua.
Tabla 24: Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales
Objetivos del Proyecto
Condiciones Definidas para Escalas de Impacto de un Riesgo sobre los Principales

Objetivos del Proyecto
260
Escala de Impacto
Objetivo del
Bajo Moderado Alto
Proyecto
Aumento del tiempo

Aumento del tiempo Aumento del tiempo
Tiempo
<3% del 3-6%
>6%
Disminución del El producto terminado del

Áreas de alcance
Alcance alcance es apenas proyecto es inservible o
principales afectadas
apreciable inaceptable para el cliente
Degradación de la La reducción de la El producto terminado del

Calidad calidad es apenas calidad requiere la proyecto es inservible o
perceptible aprobación del cliente inaceptable para el cliente
Elaboración Propia
261
LECCIONES APRENDIDAS
Es muy importante desde un inicio del proyecto definir un buen plan de gestión de
comunicaciones, que contemple a todas las partes interesadas.
Todos los entregables de gestión del proyecto deben ser enviados a QS para su revisión.
262
CONCLUSIONES
En la primera evaluación, los procesos que componen el modelo obtuvieron una calificación
de P-Parcialmente alcanzado. Por lo que, su nivel de capacidad es 0 – Incompleto, esto
indica que IT-Expert no presenta nivel adecuado en la integración entre los objetivos
empresariales y los objetivos de TI.
Al realizar la segunda evaluación de capacidad del modelo de gestión estratégico de TI

propuesto, se obtuvo una calificación F-Completamente alcanzado, es decir se alcanzó el
nivel 1 de capacidad. Por lo tanto, se valida que la implementación fue exitosa e indica que
se establece el primer paso para una mejora continua en los diferente procesos establecidos,
los mismos que ayudan a mantener una empresa que integre sus objetivos estratégicos y sus
objetivos de TI.
Los resultados del plan de implementación con más valor y aceptación para la empresa IT-
Expert es el relacionado al proceso “Gestionar el marco de gestión de TI”, pues contiene los
productos de trabajo con mayor facilidad de habilitar el logro de los objetivos de TI.
Para la implementación de cualquier proyecto es necesario una constante comunicación con

la gerencia de la empresa y el cliente, pues la dificultad se incrementa a medida que la
implementación envuelve la actualización y creación de información y documentación para
la empresa.
Los productos de trabajo deben estar alineados a los habilitadores de COBIT 5 para que
funcionen como elementos que impulsan el cumplimiento de los objetivos de TI en la
empresa.
La implementación del modelo de procesos propuesto está alineado al negocio de la

empresa, esto conlleva a la aplicación y adaptación de los subprocesos propuestos por el
modelo de procesos del marco de referencia usado para este proyecto. Esto con el fin de
mantener una arquitectura de procesos bajo las buenas prácticas de un marco integrador.
Actualmente, existen muchos marcos de referencias y conjuntos de buenas prácticas

relacionadas a la TI, pero se ha encontrado que si son utilizados de manera colectiva se
tornan muy confusos y difíciles de integrar, incluso pueden llegar a obstruirse entre ellos.
263
COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de
trabajo, estándares o normas internacionales más usadas en la actualidad. Por lo que, la
implementación de futuros proyectos basadas en estas serán totalmente compatibles con el
modelo propuesto.
Existe una dependencia entre el cumplimiento de las necesidades de la alta dirección y los
objetivos de TI. El uso objetivo de soluciones de TI ayudan a mantener un control en el
cumplimiento de las necesidades del gobierno empresarial, tanto a nivel de los gerentes de
cada empresa como de los jefes de cada proyecto. Hecho que se hace evidente en los
controles y evaluaciones hacia la adecuada y eficiente gestión de los proyectos profesionales
en sus diferentes etapas.
El apoyo de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para
el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de
manera rápida porque se tenía mapeado a todos los responsables y partes interesadas.
264
RECOMENDACIONES
Se recomienda realizar evaluaciones de capacidad posteriores a la implementación del

proyecto con fin de mejorar el nivel de capacidad de los procesos de la empresa IT-Expert.
Así conforme al marco de referencia usado en este proyecto seguiremos con la mejora
continua en los diferentes procesos y habilitadores de objetivos.
Es necesario diseñar un modelo de gobierno de TI para la empresa IT-Expert con el fin de

crear y mejorar objetivos empresariales que fortalezcan la identidad y establezcan
eficientemente el perfil de la empresa.
Existe una necesidad de establecer una relación fuerte entre el Gobierno y la Gestión en IT-
Expert, con el fin de añadir valor a la empresa mediante la Gestión de planes de acción con
proyectos que se lleven a cabo para el cumplimiento de los objetivos establecidos por el
Gobierno, así se tendrá un control y equilibrio entre los riesgos y el retorno sobre TI y
también los procesos en concordancia con el modelo de propuesto.
Se recomienda implementar los principales procesos del dominio "Evaluar, Orientar y

Supervisar" y el dominio "Supervisar, Evaluar y Valorar" ya que los procesos de estos
dominios completan el ciclo de mejora continua del modelo estratégico APO (Alinear,
Planificar y Organizar) del cual se adaptó e implemento el proceso "Gestionar el marco de
gestión de TI". Los dominios "Evaluar, Orientar y Supervisar" y “Supervisar, Evaluar y
Valorar” están orientados al Gobierno y Control, ambos dominios son fundamentales en la
mejora continua de la empresa.
Se recomienda establecer una integración entre las diferentes empresa de la escuela de

ingeniería, de esta forma se pueden establecer proveedores, clientes, procesos,
documentación, políticas, roles, etc. Esto ayudara a crear un ambiente más real entre las
empresas virtuales.
265
GLOSARIO
Atributo (de capacidad) de un proceso: Una característica medible de una capacidad de

proceso aplicable a cualquier proceso.
Buena práctica: Una actividad o proceso probado que se ha puesto en práctica con éxito por
múltiples empresas y se ha demostrado que produce resultados fiables.
Capacidad de un proceso: Una caracterización de la capacidad de un proceso para alcanzar

las metas del negocio sean actuales o proyectadas.
Catalizador: Factores externos e internos que inician y afectan cómo la empresa o el

individuo actúan o cambian.
Estructura organizativa: Un catalizador del gobierno y de la gestión. Incluye la empresa y

sus estructuras, jerarquías y dependencias.
Gestión: Incluye el uso juicioso de medios (recursos, personas procesos, prácticas, etc.) para
conseguir un fin identificado. Es un medio o instrumento mediante el cual el grupo que
gobierna consigue un resultado u objetivo. La gestión es responsable de la ejecución dentro
de la dirección establecida por el grupo que gobierna. La gestión se refiere a las actividades
operacionales de planificación, construcción, organización y control que alinean con la
dirección que establece el grupo que gobierna y la información sobre dichas actividades.
Gobierno25: El marco, principios y políticas, estructuras, procesos y prácticas, información,

habilidades, cultura, ética y comportamiento que establecen la dirección y verifican que
cumplimiento y rendimiento de una empresa están alineados con el propósito general y los
objetivos definidos. El gobierno define quién tiene la responsabilidad última de que las
cosas se hagan, la responsabilidad y la capacidad de decisión (entre otros elementos).
25
El gobierno asegura que las necesidades, condiciones y opciones de las partes interesadas
son evaluadas para determinar los objetivos de empresa acordados y equilibrados que han de
ser alcanzados; establecer la dirección mediante la priorización y toma de decisiones; y
supervisando el rendimiento y el cumplimiento respecto a la dirección y objetivos
acordados. Cfr. COBIT 5 2012.
266
Gobierno de TI empresarial: Un enfoque de gobierno que garantiza que las tecnologías de
información y las relacionadas soportan y habilitan la estrategia de la empresa y la
consecución de las metas corporativas. También incluye el gobierno funcional de TI, por
ejemplo, garantizando que las capacidades de TI son provistas de forma eficiente y efectiva.
Marco de referencia: Es el conjunto de conceptos y criterios dentro de un estándar. Es

necesario para desarrollo de actividades debido a que sirve como una referencia para
enfrentarse a diversos problemas en un ambiente definido.
Modelo: Un modo de describir un conjunto de componentes y de como esos componentes se

relacionan entre ellos para describir el funcionamiento principal de un objeto, sistema o
concepto.
Objetivo: Declaración de un resultado deseado.
Objetivo de negocio: La traducción de la misión de la empresa desde una expresión de

intenciones a unas metas de rendimiento y resultados.
Objetivo de TI: Una declaración describiendo el resultado deseado de las TI empresariales

como soporte a los objetivos de la empresa. Un resultado puede ser un elemento, un cambio
significativo de estado o una mejora de capacidades significativa.
Práctica de gobierno/gestión: Para cada proceso COBIT, las prácticas de gobierno y

gestión proveen un conjunto completo de requerimientos de alto nivel para el gobierno y la
gestión efectiva y práctica de TI de una empresa. Se trata de declaraciones de acción de los
cuerpos de gobierno y gestión.
267
SIGLARIO
IMGETI: Implementación de un modelo de gestión estratégica de TI
EUP: Enterprise Unified Process
BPMN: Business Process Modeling Notation
ISACA: Information Systems Audit and Control Association
COBIT: Control Objectives for Information Systems and related Technology
ISO: International Organization for Standardization
GEIT: Gobierno corporativo de tecnologías de información.
268
BIBLIOGRAFÍA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012a)

COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.
Rolling Meadows: ISACA consulta: de abril de 2014
www.isaca.org COBIT Documents COBIT5-Framework-Spanish.pdf)
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012b)

COBIT 5 Procesos Catalizadores. Rolling Meadows: ISACA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012c)

COBIT 5 Implementation. Rolling Meadows: ISACA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA) (2012d)

Process Assessment Model (PAM): Using COBIT 5. Rolling Meadows: ISACA
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) (2014) Página

web oficial de ITIL que contiene información acerca del marco de trabajo (consulta: 9 de
junio de 2014) (www.itil-officialsite.com)
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) (2014) Página

web oficial de la ISO que contiene información acerca de los estándares internacionales
(consulta: 9 de junio de 2014) (www.iso.org)
269
ANEXOS
Proyecto: PIEGV – Definicion de la Metodologia de la Gestión de Incidencias para las empresas virtuales
ANEXOFecha:
1: Actas28/03/2014 N°:
de Reunión 1era Etapa 001
Acta de Reunión N°001

Sección 1. Información General
Código y Nombre del Proyecto Fecha de reunión Hora inicio Hora fin
PIEGV – Definicion de la Metodologia de la Gestión de 28/03/2014 5:00 pm 6:00 pm

Incidencias para las empresas virtuales
Elaborado por:
Juro Pereira, Peter

Asistentes Cargo Asistió
Juro Pereira, Peter Jefe de Proyecto Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si
Rosas Acevedo, Vania Cliente Si
Sección 2. Agenda
Nro. Tema
01 Descripción del proyecto.
02 Alcance del proyecto
03 Requerimientos del proyecto
Sección 3. Detalle de lo Tratado
Nro.
Descripción
Tema
01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.
02 Se vió el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio,
principalmente la Gestión de Incidencias y la Gestión de Eventos.
03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que
soporte todos los procesos en la etapa de operación del servicio.
Sección 4. Acuerdos
Nro. Acuerdo Acuerdo

01 La Gestión de Accesos queda fuera del alcance.
02 Las reuniones con el cliente se desarrollarán semanalmente los miércoles a partir del 02/04/2014 a
las 5pm.
270
Sección 5. Tareas
Nro. Descripción de la Tarea Responsable Fecha

Tarea
01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014
02 Investigar la Gestión de incidencias, Gestión de Eventos, Jefes de proyecto 02/04/2014

Gestión de Problema, Gestión de requerimiento y Peticiones
03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014
04 Investigar PinkVERIFY Jefes de proyecto 02/04/2014
Nombre: Peter Juro Pereira Nombre: Carlos Velásquez Vara Nombre: Vania Rosas Acevedo
Cargo: Jefe de Proyecto Cargo: Jefe de Proyecto Cargo: Cliente
271
Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
Fecha: N°: 02
Acta de Reunión N° 2
IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN 5:00 pm 6:00 pm

ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
Elaborado por:
Juro Pereira, Peter

Rosas Acevedo, Vania Cliente. Si
Sección 2. Agenda
Nro. Tema
01 Definir el alcance del proyecto
02 Acordar complementar el uso de diferentes metodologías
Nro.
Descripción
Tema
01 Seguridad de Informacion

01 Se eliminó el proyecto
02 Se acordó buscar una nueva propuesta de Cliente
272
Sección 5. Tareas

Tarea
01 Tareas de proyecto anterior eliminadas, nuevo proyecto Jefes de proyecto 02/04/2014
“IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta
información nos la dieron
02 Escoger un tema de seguridad de la información que pueda a Jefes de proyecto 02/04/2014

aplicarse a IT-Expert.
03 Proponer un cliente Jefes de proyecto 02/04/2014
273
Implementación de modelo de gestión estratégica en los servicios de TI para
Proyecto:
IT-Expert
Fecha: N°: 3
Implementación de modelo de gestión estratégica en los

09/04/2014 05:00 p.m. 06:00 p.m.
servicios de TI para IT-ExpertGESTI
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió Asistió
Juro Pereira, Peter Jefe de Proyecto Si Si
Velasquez Vara, Carlos Andres Jefe de Proyecto Si Si
Rosas Acevedo, Vania Cliente. Si Si
Sección 2. Agenda
Nro. Tema
01 Nuevo proyecto por definir
02 Establecer alcance de proyecto
Nro.
Descripción
Tema
01 Definir estrategia de crecimiento en la innovación.
02 Definir cuáles son los objetivos y proyecciones de los negocios.

01 Nuevo proyecto en marcha.
02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios

de ti para IT-Expert"
274
Sección 5. Tareas

Tarea
01 Investigación Cobit 5 03/04/2014
02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014

03 Project Charter v 1.0 Objetivos, problemática y alcance del 03/04/2014
proyecto
275
Proyecto:
IT-Expert
Fecha: N°: 4
Implementación de modelo de gestión estratégica de TI para 16/04/2014

05:00 p.m. 06:00 p.m.
la empresa IT-Expert - IMGETI
Elaborado por:
Velásquez Vara, Carlos A.
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si
Sección 2. Agenda
Nro. Tema
01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert
02 Revisión de Project Charter v1.0
Nro.
Descripción
Tema
01 Revisión los procesos del primer dominio de gestión según Cobit 5 (Alinear, planificar y organizar)
02 Revisión de la problemática , objetivos del proyecto, así como, sus indicadores de éxito.
01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso
02 Cambiar el objetivo especifico No 3 y su indicador de éxito.
276
Sección 5. Tareas

Tarea
01 Terminar el documento Project Charter al 100% Carlos Velásquez Semana 5
02 Realizar los demás entregables para la exposición ante el Carlos Velásquez, Semana 5
profesor gerente de IT-Expert Peter Juro
277
Implementación de un modelo de gestión estratégica en los servicios de TI
Proyecto:
para IT-Expert
Fecha: N°: 5

05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Revisión de project charter v1.1
02 Revisión de cronograma v1.1
03 Revision de artefactos solicitados
Nro.
Descripción
Tema
01 Asesoría de Project Charter.
02 Asesoría de Cronograma.
03 Feedback de artefactos de entrega.
04 Asesoría presentación al comité
05 Entregables relacionados a la gestión del proyecto
08 Recomendaciones de la presentación
01 Modificación del cronograma, nueva división de fases.
278
02 Modificación del project charter(marco teórico, resumen ejecutivo, objetivos)
03 Desarrollar los artefactos en base al PMBOK la guía.
Sección 5. Tareas

Tarea
02 Realizar nuevas modificacione a los entregables. Carlos Velásquez, Semana 5

Peter Juro
03 Preparar una presentacion para el comité con un maximo de una

grafica por artefacto.
279
Proyecto:
IT-Expert
Fecha: N°: 6
Implementación de modelo de gestión estratégica de TI para

30/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Revisión de la presentación
02 Guías de COBIT 5 necesarias
Nro.
Descripción
Tema
01 Revisión de la estructura de la presentación
02 Definir las guías necesarias de la familia COBIT 5 para consulta durante el proyecto
01 Mejora de estructura de la presentación (75% acerca del proyecto y 25% acerca de la gestión del proyecto)
02 Conseguir las guías COBIT 5: Enabling Processes y COBIT 5: Implementation
280
Sección 5. Tareas

Tarea
01 Mejorar la presentación antes de la semana 7 según lo acordado Carlos Velásquez Semana 6
02 Traer las guías de COBIT 5 definidas en la reunión Carlos Velásquez, Semana 7

Peter Juro
281
Proyecto:
IT-Expert
Fecha: N°: 7

07/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Revisión de cronograma
02 Revisión del EDT
03 Identificación de siguientes actividades
Nro.
Descripción
Tema
01 Se revisó el avance con respecto al cronograma y EDT del proyecto

Se vio conveniente una forma de realizar la identificación del Plan estratégico por medio de una reunión con el
02
comité
01 Identificación del plan estratégico a partir de una reunión con el comité
02 Obtener guías de COBIT 5 por el gerente de la empresa IT-Expert
03 Identificar objetivos a largo plazo de IT-Expert actualizados
282
Sección 5. Tareas

Tarea
01 Reunión con el Gerente profesor Peter Juro Pereira 08/05/2014
02 Investigación de las Guías EnablingProcess e Implementation. Carlos Velásquez, Semana 9

Peter Juro
283
Proyecto:
IT-Expert
Fecha: N°: 8

21/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Juro Pereira, Peter Jefe de Proyecto No
Rosas Acevedo, Vania Profesor Cliente Si
Sección 2. Agenda
Nro. Tema
01 Presentar los resultados de la reunión con el gerente de IT-Expert con relación a las metas de la empresa.
02 Presentar resumen de las guías COBIT implemetation y EnablingProcesses
03 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)
Nro.
Descripción
Tema
01 Revisión de lo obtenido en la reunión con el gerente de IT-Expert
02 Revisión de la metodología de implementación según COBIT 5: implementation
A pesar de que se tiene un plan estratégico en la memoria de la empresa virtual( que está
01
desactualizada), es necesario conseguir las proyecciones de IT-Expert.
02 En la siguiente reunión se revisarán los casos de éxito.
284
Sección 5. Tareas

Tarea
01 Reunirse con la Directora de la carrera y/o decano para obtener Peter Juro 28/05/2014
las proyecciones de crecimiento de la empresa IT-Expert.
02 Revisar exhaustivamente la metodología y las fases de Carlos Velásquez 28/05/2014
implementación.
285
Proyecto:
IT-Expert
Fecha: 01/06/2014 N°: 9

30/05/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Presentar resumen de las guías COBIT implemetation y EnablingProcesses
02 Ver los casos de éxito relacionados a COBIT 5 (repositorio académico de la UPC)
03 Presentar informes de estado del arte
Nro.
Descripción
Tema
01 Se revisaron los informes de las fuentes del estado del arte
02 Se revisaron las memorias pasadas de proyectos involucrados con IT-Expert
Nro. Acuerdo
Acuerdo
01 Definir los objetivos estratégicos de la empresa junto con el proyecto CD5
02 Las siguiente sesión se realizara la presentación del informe de las guías de la familia Cobit 5
286
Sección 5. Tareas

Tarea
01 Definir casos de negocio de la empresa IT-Expert a nivel Peter Juro Semana 11
Gerencia
02 Discutir con los integrantes del proyecto CD5 los objetivos Carlos Velásquez Semana 11
estrategicos
287
Proyecto:
IT-Expert
Fecha: 03/07/2014 N°: 10

03/07/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Revisión de la fase 1
03 Revisión de la memoria
Nro.
Descripción
Tema
01 Se revisaron los puntos débiles y eventos desencadenantes, y las responsabilidades de las partes interesadas
02 Se revisaron la cascada de metas, la evaluación de la capacidad de los procesos
Nro. Acuerdo
Acuerdo
01 Es necesario utilizar una terminología estándar en toda la memoria
02 Explicar los puntos señalados por la profesora cliente en la memoria
288
Sección 5. Tareas

Tarea
01 Realizar las correcciones correspondientes en los puntos Peter Juro Semana 15
relacionados a la fase 1 y fase 2 en la memoria
02 Buscar los mismos tipos de correcciones en la fase 3 Carlos Velásquez Semana 15
289
Proyecto:
IT-Expert
Fecha: 09/07/2014 N°: 11

09/07/2014 05:00 p.m. 06:00 p.m.
Elaborado por:
Sección 2. Agenda
Nro. Tema
01 Revisión del marco teórico
Nro.
Descripción
Tema
01 Se revisaron las partes de la memoria restantes
02 Se puso más importancia a la fase 3 y al marco teórico
Nro. Acuerdo
Acuerdo
01 Se deben corregir los puntos señalados en la memoria
02 Enviar la presentación del proyecto para una revisión
290
Sección 5. Tareas

Tarea
01 Corregir el formato de las tablas Peter Juro Semana 16
02 Agregar párrafos que expliquen mejor los entregables mostrados Carlos Velásquez Semana 16
en la fase 3
03 Enviar la presentación final del proyecto Peter Juro Semana 16
291
Proyecto: PIEGV – Definición de la Metodología de la Gestión de Incidencias para las empresas virtuales
Fecha: 28/03/2014 N°: 001
Acta de Reunión N°001

PIEGV – Definición de la Metodología de la Gestión de 28/03/2014 5:00 pm 6:00 pm

Incidencias para las empresas virtuales
Elaborado por:
Juro Pereira, Peter

Paul Rivas Galloso Gerente Si
Sección 2. Agenda
Nro. Tema
01 Descripción del proyecto.
02 Alcance del proyecto
03 Requerimientos del proyecto
Nro.
Descripción
Tema
01 Se definiócomo se encuentran actualmente la gestión de servicios de las empresas virtuales.
02 Se vio el alcance al cual se puede llegar con el proyecto, lo que involucra la etapa de operación del servicio,
principalmente la Gestión de Incidencias y la Gestión de Eventos.
03 Se planteó el tema de implementar una herramienta de código abierto como parte del alcance del proyecto que
soporte todos los procesos en la etapa de operación del servicio.

01 La Gestión de Accesos queda fuera del alcance.
02 Las reuniones con el cliente se desarrollarán semanalmente los martesa partir del 01/04/2014 a las
5pm.
03 Tratar de abarcar toda la fase de operación de ITIL v3.0
292
Sección 5. Tareas

Tarea
01 Definir el objetivo general y específicos Jefes de proyecto 30/03/2014
02 Investigar la Gestión de incidencias, Gestión de Eventos, Jefes de proyecto 02/04/2014

Gestión de Problema, Gestión de requerimiento y Peticiones
Proyecto: IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT
03 Investigar la etapa de operación de servicios de ITIL v3 Jefes de proyecto 02/04/2014
Fecha: N°: 02
04 Investigar COBIT 5 en la parte estrategica Jefes de proyecto 02/04/2014
IMGETI - IMPLEMENTACION DE MODELO DE GESTIÓN 5:00 pm 6:00 pm

Elaborado por:
Juro Pereira, Peter

Sección 2. Agenda
Nro. Tema
01 Definir el alcance del proyecto
02 Acordar complementar el uso de diferentes metodologías
Nro.
Descripción
Tema
01 Seguridad de Informacion

01 Se eliminó el proyecto
02 Se acordó buscar una nueva propuesta de Cliente
293
Sección 5. Tareas

Tarea
01 Tareas de proyecto anterior eliminadas, nuevo proyecto Jefes de proyecto 02/04/2014
“IMPLEMENTACION DE MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA EMPRESA IT-EXPERT”, esta
información nos la dieron
02 Escoger un tema de seguridad de la información que pueda a Jefes de proyecto 02/04/2014

aplicarse a IT-Expert.
03 Proponer un cliente Jefes de proyecto 02/04/2014
294
Proyecto:
IT-Expert
Fecha: N°: 3
Implementación de modelo de gestión estratégica en los

09/04/2014 05:00 p.m. 06:00 p.m.
servicios de TI para IT-ExpertGESTI
Elaborado por:
Juro Pereira, Peter
Asistentes Cargo Asistió Asistió
Juro Pereira, Peter Jefe de Proyecto Si Si
Velásquez Vara, Carlos Andrés Jefe de Proyecto Si Si
Rosas Acevedo, Vania Cliente. Si Si

Paul Rivas Galloso Gerente Si Si
Sección 2. Agenda
Nro. Tema
01 Nuevo proyecto por definir
02 Establecer alcance de proyecto
Nro.
Descripción
Tema
01 Definir estrategia de crecimiento en la innovación.
02 Definir cuáles son los objetivos y proyecciones de los negocios.

01 Nuevo proyecto en marcha.
02 Nombre de. Proyecto "Implementación de modelo de gestión estratégica en los servicios

de ti para IT-Expert"
Sección 5. Tareas

Tarea
01 Investigación COBIT 5 03/04/2014
02 Investigar la planificación y objetivos estratégicos de IT-Expert 03/04/2014

03 Project Charter v 1.0 Objetivos, problemática y alcance del 03/04/2014
proyecto
295
Proyecto:
IT-Expert
Fecha: N°: 4

04:00 p.m. 06:00 p.m.
Elaborado por:

Sección 2. Agenda
Nro. Tema
01 Lista de procesos del primer dominio de gestión de TI según COBIT 5 aplicables a IT-Expert
02 Revisión de Project Charter v1.0
03 Riesgo de duplicación de proyectos.
Nro.
Descripción
Tema
01 Revisión los procesos del primer dominio de gestión según COBIT 5 (Alinear, planificar y organizar)
02 Revisión de la problemática, objetivos del proyecto, así como, sus indicadores de éxito.
03 Se ve los procesos que tienen relación con la empresa IT-Expert
04 Se ve la relación que hay entre los procesos de la empresa con otras empresas.
01 El proceso "Gestionar el presupuesto y los costes" no aplica para nuestro caso
02 Cambiar el objetivo específico No 3 y su indicador de éxito.
296
03 Se tomaran los 13 procesos para implementar en la empresa IT-Expert.
Se llega a un acuerdo con el otro grupo que se quedara con el 3er dominio de (Entregar, dar servicio
04
y Soporte)
Sección 5. Tareas

Tarea
02 Realizar los demás entregables para la exposición ante el Carlos Velásquez, Semana 5
profesor gerente de IT-Expert Peter Juro
297
Implementación de un modelo de gestión estratégica en los servicios de TI
Proyecto:
para IT-Expert
Fecha: N°: 5

05:00 p.m. 06:00 p.m.
la empresa IT-Expert - IMGETI 23/04/2014
Elaborado por:

Sección 2. Agenda
Nro. Tema
01 Revisión de ProjectCharter v1.1
02 Revisión de cronograma v1.1
03 Revisión de artefactos solicitados
Nro.
Descripción
Tema
01 Asesoría de Project Charter.
02 Asesoría de Cronograma.
03 Feedback de artefactos de entrega.
04 Asesoría presentación al comité
05 Entregables relacionados a la gestión del proyecto
08 Recomendaciones de la presentación
298
01 Modificación del cronograma, nueva división de fases.
02 Modificación del ProjectCharter(marco teórico, resumen ejecutivo, objetivos)
03 Desarrollar los artefactos en base al PMBOK la guía.
Sección 5. Tareas

Tarea
02 Realizar nuevas modificacione a los entregables. Carlos Velásquez, Semana 5

Peter Juro
03 Preparar una presentacion para el comité con un maximo de una

grafica por artefacto.
299
ANEXO 2: EDT del Proyecto 1era Etapa
300
FORMATO DE SEGUIMIENTO A PROYECTO
TALLER DE PROYECTO 1
SEMESTRE 2014-01
EDT – SEMANA 1
Proyecto Siglas
IMGETI
IMPLEMENTACION DE MODELO DE GESTIÓN ESTRATÉGICA DE TI
PARA LA EMPRESA IT-EXPERT
Peter Juro Pereira

Jefes de Proyecto
Carlos Velásquez Vara
Empresa Virtual IT-Expert
Profesor Gerente Paul Rivas Galloso
Profesor Cliente Vania Rosas Acevedo
Actividad Planificado Real
Paquete/resultado Paquete/resultado Observaciones
1 Se plantea ITIL v3 Nuevo Objetivo General, Sin observaciones

como fuente principal Objetivos específicos,
de información para la Alcance.
investigación.
2 Se acuerda realizar la Se investigó la fase de Sin observaciones

investigación solo en la operación en de ITIL v3
parte de Gestión de para el proyecto.
Incidencias para el
proyecto.
3 Se propuso la Se logró investigar Pink Verify se investigó sin mucha

investigación de COBIT 5 Framework en profundidad.
diferentes marcos como un comienzo e ITIL v3 en
Pink Verify, COBIT 5,
301
etc. la fase Operación.
302
FORMATO DE SEGUIMIENTO A PROYECTO
SEMESTRE 2014-01
EDT – SEMANA 2
Proyecto Siglas
IMGETI
Peter Juro Pereira

Jefes de Proyecto
1 Modificación de Nuevo Objetivo General, Se cambió el proyecto “DEFINICIÓN

Project Charter Objetivos específicos, DE LA METODOLOGÍA DE LA
Alcance, GESTIÓN DE INCIDENCIAS PARA
LAS EMPRESAS VIRTUALES” por el
proyecto “IMPLEMENTACION DE
MODELO DE GESTIÓN
ESTRATÉGICA DE TI PARA LA
EMPRESA IT-EXPERT”
2 Modificación de Modificación de Sin observaciones

Cronograma actividades en el
cronograma y sus
diferentes Hitos
3 Modificación de Nuevo objetivo general y Sin observaciones
303
Objetivo General objetivos específicos por
definir con el cliente
4 Nueva captura de Reunión fijada para la Sin observaciones

requerimientos semana 3
5 Investigación de nuevo Reunión con el profesor Se acordó que el nuevo proyecto tomaría
marco de referencia de apoyo para definir un como marco de referencia COBIT 5 y
marco. estaría orientado a la parte estratégica de
TI.
304
SEMESTRE 2014-01
EDT – SEMANA 3
Proyecto Siglas

IMGETI
Peter Juro Pereira

Jefes de Proyecto
1 Investigación etapa Definición de procesos Sin observaciones.

estratégica COBIT 5 que están relacionados
con la etapa estratégica
2 Investigación de otros TOGAF, ITIL, ISO 27001 Sin observaciones.

marcos de referencia
3 Proyect Charter v1.0 Se realizó el Proyect Sin observaciones.

Charter en un 40%.
4 Definición de Objetivos Se definió el objetivo Sin observaciones.

principal y los objetivos
específicos
305
SEMESTRE 2014-01
EDT – SEMANA 4
Proyecto Siglas
IMGETI
Peter Juro Pereira

Jefes de Proyecto
1 Project Charter v1.1 Se realizó el Project Sin observaciones.

Charter en un 100%.
2 Documento Gestión de Se realizó la primera Sin observaciones.

Comunicaciones v1.0 versión del documento

Personal v1.0 versión del documento

Riesgo v1.0 versión del documento
5 Documento Matriz de Se realizó la primera Sin observaciones.

306
6 Documento Plan Se realizó la primera Sin observaciones.
Gestión de Alcance versión del documento
v1.0

Gestión de Calidad v1.0 versión del documento
9 Documento Registro de Se realizó la primera Sin observaciones.

Interesados v1.0 versión del documento
10 Cronograma v1.0 Se realizó la primera Sin observaciones.

versión del documento
11 Documento Diccionario Se realizó la primera Sin observaciones.

de EDT v1.0 versión del documento
12 Índice de Memoria v1.0 Se realizó la primera Sin observaciones.

307
SEMESTRE 2014-01
EDT – SEMANA 5
Proyecto Siglas
IMGETI
IMPLEMENTACION DE UN MODELO DE GESTIÓN ESTRATÉGICA DE TI
Peter Juro Pereira

Jefes de Proyecto
1 Project Charter v1.2 Se realizó el Project Se cambió el marco teórico el resumen

Charter en un 100%. ejecutivo, los objetivos


Personal v1.0 versión del documento

Riesgo v1.0 versión del documento
5 Documento Matriz de Se realizó la primera Sin observaciones.

308
Gestión de Alcance versión del documento
v1.0

Gestión de Calidad v1.0 versión del documento
9 Documento Registro de Se realizó la primera Sin observaciones.

Interesados v1.0 versión del documento
10 Cronograma v1.2 Se realizó la primera Se define un nuevo modelo para el

versión del documento cronograma
11 Documento Diccionario Se realizó la primera Sin observaciones.

de EDT v1.0 versión del documento
12 Índice de Memoria v1.0 Se realizó la primera Sin observaciones.

13 Actas de reunión con el Se obtiene información en los audios

profesor grabados
14 Actas de reunión con el Se obtiene información en los audios

profesor y con el cliente grabados
15 Se genera el índice de la Se crea la memoria del proyecto a partir

memoria del proyecto de los artefactos creados
309
SEMESTRE 2014-01
EDT – SEMANA 6
Proyecto Siglas
IMGETI
Peter Juro Pereira

Jefes de Proyecto
1 Presentación v1.0 Se realiza la presentación Sin observaciones.

al comité
2 Definición de las guías 1.Framework Se necesita comprar las guías 2 y 3.

de COBIT a consultar 2.Implementation
durante el proyecto. 3.Enabling process
310
SEMESTRE 2014-01
EDT – SEMANA 7
Proyecto Siglas
IMGETI
Peter Juro Pereira

Jefes de Proyecto
1 Obtener Guías COBIT 1.Framework Se pudo conseguir las Guías por medio
2.Implementation de la profesora Jessica Echenique. El día
3.Enabling process Sábado 10/05/2014
2 Investigación de 1.Framework Se realizara un estudio de las guías en lo

metodología y pasos a 2.Implementation que resta de las semanas 7 y Semana 8
seguir mediante las 3.Enabling Process para lograr identificar los pasos a seguir
Guías en los procesos de la implementación de
Modelo de gestión estratégica.
Definición de objetivos Se obtiene información a Mediante el uso de memorias de

de IT- Expert y Plan partir de Memorias proyectos pasados para la empresa IT-
estratégico. pasadas. Expert se identifican los objetivos y plan
estratégico.
311
312
SEMESTRE 2014-01
EDT – SEMANA9
Proyecto Siglas
IMGETI
Peter Juro Pereira

Jefes de Proyecto
Profesor Cliente VaniaRosas Acevedo
1 Buscar fuentes de Se encontraron las fuentes Se realizó las búsquedas en los

información para el que se usarán en la repositorios recomendados por el asesor.
estado del arte elaboración del estado del
arte
2 Revisión de los Se revisó los objetivos con Los objetivos son muy técnicos. Es
objetivos de la empresa el profesor cliente necesario una reunión adicional para
IT-Expert obtener las proyecciones de la empresa
IT-Expert
3 Identificar los puntos Se identificaron los puntos Sin observaciones.

débiles débiles a partir de un
análisis con la gerente
alumno de la empresa IT-
Expert.
313
4 Identificación de Se identificaron los Sin observaciones.
eventos disparadores eventos disparadores de la
empresa que motivan a la
implementación de una
gestión de TI
5 Identificar los Se inicia la identificación Retraso, sin finalizar.

interesados y sus roles y de las personas
responsabilidades. interesadas y sus roles y
responsabilidades para el
proyecto.
314
SEMESTRE 2014-01
EDT – SEMANA10
Proyecto Siglas
IMPLEMENTACION DE UN MODELO DE GESTIÓN IMGETI

Peter Juro Pereira

Jefes de Proyecto
1 Desarrollar Se desarrollaron 5 Sin observaciones

informes para el informes a partir de
estado del arte documentos
científicos sobre la
implementación de
una metodología para
la gestión estratégica
2 Reunión y Se presentaron los Los documentos científicos

presentación con el informes de la deben ser parte de un Journal.
profesor asesor investigación del
315
Mauricio para estado del arte al
revisión de los profesor para su
informes del estado revisión.
del arte
3 Identificación e Se finaliza la Actividades de la semana

interesados y sus identificación de los anterior.
roles y sus roles, interesados y
responsabilidades responsabilidades.
4 Identificación de los Se identificaron los Sin observaciones

objetivos de TI con objetivos de ti
los objetivos del vinculados o
negocio relacionados a los
objetivos del negocio
mediante el mapeo o
cascada de metas
316
SEMESTRE 2014-01
EDT – SEMANA11
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
1 Definir método para Se evalúan mediante Sin observaciones

la ejecución de la las listas de revisiones
evaluación todos los procesos
propuestos por COBT
5 para IT-Expert.
2 Determinar y Mediante la Sin observaciones

analizar el nivel de información obtenida
capacidad por las listas de
revisiones se empieza
a armar el documento
317
para analizar el nivel
de capacidad.
318
SEMESTRE 2014-01
EDT – SEMANA12
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
1 Determinar nivel de Se determina el nivel Sin observaciones.

capacidad de capacidad actual
de la empresa IT-
Expert.
2 Identificar A partir del nivel de Sin terminar

potenciales capacidad actual de la
oportunidades de empresa se identifican
mejora las potenciales
oportunidades de
mejora de la empresa
319
IT-Expert.
3 Investigación de Investigación y En proceso.

papers científicos desarrollo del estado
para el desarrollo del arte primera
del estado del arte. versión mediante el
tópico modelo. FORMATO DE SEGUIMIENTO A PROYECTO
SEMESTRE 2014-01
EDT – SEMANA13
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
320
1 Identificar Se logró identificar Finalizado.
potenciales los potenciales
oportunidades de oportunidades de
mejora mejora (Definición de
proceso, redefinición
de procesos y
desarrollo de
plantillas de
entregables)
2 Investigación de Se investigan En proceso

papers científicos documentos
para el desarrollo científicos en journas.
del estado del arte.
321
SEMESTRE 2014-01
EDT – SEMANA14
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
1 Priorización de Se priorizan las Sin observaciones

oportunidades oportunidades a
desarrollarse en el
proyecto.
2 Definición del plan Se define el plan de Sin observaciones

de implementación implementación de
alto nivel y Hoja de
ruta.
322
3 Desarrollo del Se desarrolla el esta Finalizado
estado del arte del arte y anexa a la
memoria
4 Entrega de la Se entrega la memoria Sin observaciones

memoria para para revisión del
revisión del profesor gerente.
Profesor gerente
323
SEMESTRE 2014-01
EDT – SEMANA15
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
1 Corrección del Se reciben Sin observaciones

feedback del recomendaciones del
profesor gerente profesor gerente.
2 Presentación y Se entrega el Sin observaciones

feedback de la documento luego del
memoria finalizada feedback del gerente
al cliente y su corrección.
324
SEMESTRE 2014-01
EDT – SEMANA16
Proyecto Siglas

Peter Juro Pereira

Jefes de Proyecto
1 Correcciones del Se desarrollaron las Sin observaciones

Cliente Profesor correcciones
necesarias a la
memoria.
2 Correcciones del Se realizan nuevas Sin observaciones

nuevo feedback del correcciones al
gerente documento por parte
del gerente la semana
15 al finalizar la
325
semana.
ANEXO 3: CRONOGRAMA DE ACTIVIDADES
326
327
ANEXO 4: Lista de Revisiones
APO01.01 Definir la estructura organizativa. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir el alcance, las funciones internas y 6 6 50.0

externas, los roles internos y externos, y las
capacidades y los derechos de decisión Aplica si
requeridos, incluidas actividades de TI
realizadas por terceras partes.
2. Identificar las decisiones necesarias para

alcanzar los resultados corporativos y la
Aplica no
estrategia de TI y para la gestión y ejecución
de servicios de TI.
3. Establecer la implicación de las partes

interesadas críticas para la toma de decisiones
(quiénes rendirán cuentas, quiénes son Aplica si
responsables, quiénes deben ser consultados y
quiénes informados).
4. Alinear la organización relativa a TI con los

modelos organizativos de arquitectura Aplica si
corporativa.
5. Definir el enfoque, los roles y las

responsabilidades de cada función dentro de la Aplica si
estructura organizativa relativa a TI.
6. Definir las estructuras y relaciones de

gestión para contribuir a las funciones y roles
Aplica no
de gestión y ejecución, en consonancia con la
dirección de gobierno establecida.
328
7. Establecer un Comité Estratégico de TI (o
equivalente) a nivel del Consejo de
Administración. Este comité debería
asegurarse de que el gobierno de TI, como
parte del gobierno corporativo, está
Aplica no
contemplado de forma adecuada, debe
aconsejar sobre la dirección estratégica y
revisar las inversiones principales, en
representación del consejo de administración
al completo.
8. Establecer un comité directivo de TI (o

equivalente) compuesto por la dirección
ejecutiva, de negocio y de TI para determinar
las prioridades de los programas de inversión
de TI de acuerdo con la estrategia y
Aplica no
prioridades de negocio de la empresa; realizar
un seguimiento del estado de los proyectos y
resolver los conflictos de recursos; y
supervisar los niveles de servicio y las mejoras
en el servicio.
9. Proporcionar directrices para cada

estructura de gestión (incluyendo órdenes,
objetivos, asistentes a reuniones, marco
Aplica no
temporal, seguimiento, supervisión y
vigilancia), así como las entradas requeridas y
las salidas esperadas en cuanto a las reuniones.
10. Definir reglas básicas de comunicación

mediante la identificación de las necesidades
comunicativas y la implementación de planes Aplica si
basados en dichas necesidades, teniendo en

cuenta la comunicación de arriba hacia abajo,
329
de abajo hacia arriba y horizontal.
11. Establecer y mantener una estructura

óptima de enlace, comunicación y
coordinación entre el negocio y las funciones Aplica si
de TI dentro de la empresa y con entidades no
pertenecientes a la empresa.
12. Verificar regularmente la adecuación y la

Aplica no
eficacia de la estructura organizativa.
APO01.02 Establecer roles y responsabilidades ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer, acordar y comunicar roles y 1 6 85.7

responsabilidades relativos a TI para todo el
personal de la empresa, de acuerdo con las
necesidades y los objetivos del negocio. Aplica si
Delimitar claramente las responsabilidades y
la rendición de cuentas, especialmente para la
aprobación y toma de decisiones.
2. Tener en cuenta los requisitos desde la

empresa y la continuidad del servicio de TI a
la hora de definir los roles, incluyendo el Aplica si
respaldo por parte de la plantilla y los
requisitos de formación interdisciplinar.
3. Contribuir al proceso de continuidad del

servicio de TI manteniendo actualizada la
Aplica si
información de contacto y las descripciones de
roles de la empresa.
4. Incluir en las descripciones de roles y

Aplica no
responsabilidades, la adhesión a las políticas y
los procedimientos de gestión, al código ético
330
y a las prácticas profesionales.
5. Implementar prácticas de supervisión

adecuadas para garantizar que los roles y las
responsabilidades se pongan en práctica de
forma correcta, para evaluar si todo el
personal tiene suficiente autoridad y recursos
para llevar a cabo sus roles y Aplica si
responsabilidades y para hacer una revisión
general del rendimiento. El nivel de
supervisión debería estar en consonancia con
la sensibilidad del puesto y el nivel de
responsabilidades asignadas.
6. Asegurar que la rendición de cuentas queda

definida a través de los roles y Aplica si
responsabilidades.
7. Estructurar los roles y las responsabilidades

para reducir las posibilidades de que un solo Aplica si
rol pueda comprometer un proceso crítico.
Mantener los elementos catalizadores del

¿Aplica? ¿Cumple?
APO01.03 sistema de gestión NO SI Prom
1. Adquirir comprensión de la visión, la 7 2 22

Aplica si
dirección y la estrategia corporativas.
2. Tener en cuenta el entorno interno de la

empresa, incluyendo la cultura y la filosofía de
gestión, la tolerancia al riesgo, la seguridad,
Aplica no
los valores éticos, el código de conducta, la
rendición de cuentas y los requisitos de
integridad en la gestión.
3. Inferir e integrar los principios de TI con los Aplica no
331
principios de negocio.
4. Alinear el entorno de control de TI con el

entorno de políticas de TI, con los marcos de
trabajo generales de gobierno de TI y procesos
de TI y los marcos de trabajo existentes a nivel
corporativo en cuanto a riesgo y control. Aplica si
Evaluar las buenas prácticas o los requisitos
específicos del sector (p. ej., normativa
específica del sector) e integrarlos donde
corresponda.
5. Alinearse con todos los estándares y

códigos de práctica de gobierno y gestión
aplicables a nivel nacional e internacional y
evaluar buenas prácticas disponibles, como el
Aplica no
Marco de Trabajo Integrado para Control
Interno de COSO y el Marco de Trabajo
Integrado para Gestión Empresarial del Riesgo
de COSO.
6. Crear un conjunto de políticas para conducir

las expectativas de control de TI en temas
clave relevantes, como calidad, seguridad,
Aplica no
confidencialidad, controles internos, uso de
activos de TI, ética y derechos de propiedad
intelectual.
7. Evaluar y actualizar las políticas, como

mínimo una vez al año, para ajustarlas a los Aplica no
cambiantes entornos operativos o de negocio.
8. Implantar y aplicar las políticas de TI a todo

el personal relevante, de forma que estén Aplica no
incorporadas y sean parte integral de las
332
operaciones empresariales.
9. Asegurarse de que los procedimientos estén

en funcionamiento para realizar un
seguimiento del cumplimiento con las Aplica no
políticas y definir las consecuencias de la no
conformidad.
Comunicar los objetivos y la dirección de

¿Aplica? ¿Cumple?
APO01.04 gestión. NO SI Prom
1. Comunicar continuamente los objetivos y la 3 0 0

dirección de TI. Asegurar que las
comunicaciones reciban apoyo de la dirección
Aplica no
ejecutiva, tanto de palabra como mediante
acciones, empleando todos los canales
disponibles.
2. Garantizar que la información comunicada

engloba una clara articulación de la misión,
los objetivos de servicio, la seguridad, los
controles internos, la calidad, el código
ético/de conducta, las políticas y
Aplica no
procedimientos, los roles y las
responsabilidades, etc. Comunicar la
información con el nivel de detalle adecuado
para cada respectiva audiencia dentro de la
empresa.
3. Proporcionar recursos suficientes y

cualificados para dar soporte al proceso Aplica no
comunicativo.
APO01.05 Optimizar la ubicación de la función de TI. ¿Aplica? ¿Cumple? NO SI Prom
333
1. Entender el contexto de la función de TI, 0 3 100
incluyendo una evaluación de la estrategia
empresarial y el modelo operativo
Aplica si
(centralizado, federado, descentralizado,
híbrido), importancia de TI, la situación y
opciones para la provisión.
2. Identificar, evaluar y priorizar las opciones

para la ubicación en la organización, los Aplica si
modelos operativos y de aprovisionamiento.
3. Definir la ubicación de la función de TI y

Aplica si
obtener aprobación.
Definir la propiedad de la información (datos)

¿Aplica? ¿Cumple?
APO01.06 y del sistema. NO SI Prom
1. Proveer políticas y directrices para asegurar 2 2 50

la adecuación y consistencia de la
Aplica no
clasificación de la información (datos) en toda
la empresa.
2. Definir, mantener y proporcionar

herramientas adecuadas, técnicas y directrices
para garantizar la seguridad y control efectivo Aplica si
sobre la información y los sistemas en
colaboración con el propietario.
3. Crear y mantener un inventario de la

información (sistemas y datos) que incluya un
listado de los propietarios, custodios y
Aplica no
clasificaciones. Incluir los sistemas
subcontratados y aquellos cuya propiedad
debe permanecer dentro de la empresa.
334
4. Definir e implementar procedimientos para
asegurar la integridad y consistencia de toda la
información almacenada en formato
Aplica si
electrónico, tales como bases de datos,
almacenes de datos (data warehouses) y
archivos de datos.
APO01.07 Gestionar la mejora continua de los procesos. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar los procesos críticos de negocio 3 2 40

basándose en el rendimiento, cumplimiento y
los riesgos relacionados. Evaluar la capacidad
del proceso e identificar objetivos de mejora.
Analizar las diferencias en la capacidad y Aplica si
control del proceso. Identificar las opciones de
mejora y rediseño de procesos. Priorizar
iniciativas para la mejora de procesos basadas
en el potencial coste-beneficio.
2. Implementar las mejoras acordadas,

funcionando como una práctica normal del
negocio y establecer objetivos y métricas de Aplica no
rendimiento que permitan el seguimiento de
las mejoras del proceso.
3. Considerar las maneras de mejorar la

eficiencia y eficacia (p. ej., mediante
Aplica si
formación, documentación, estandarización y
automatización de procesos).
4. Aplicar prácticas de gestión de calidad para

Aplica no
la actualización de procesos.
5. Retirar procesos, componentes o

Aplica no
catalizadores desactualizados.
335
¿Aplica? ¿Cumple?
APO01.08 procedimientos. NO SI Prom
1. Hacer un seguimiento del cumplimiento con 4 1 20

Aplica si
2. Analizar los incumplimientos y adoptar las

acciones apropiadas (puede incluir el cambio Aplica no
de requerimientos).
3. Integrar rendimiento y cumplimiento dentro

Aplica no
de los objetivos individuales del personal.
4. Evaluar periódicamente el desempeño de

los catalizadores del marco de referencia y Aplica no
adoptar las acciones necesarias.
5. Analizar las tendencias en el

funcionamiento y cumplimiento y adoptar las Aplica no
acciones apropiadas.
APO02.01 Comprender la dirección de la empresa. ¿Aplica? ¿Cumple? NO SI Prom
1. Desarrollar y mantener un entendimiento si 2 4 66.7

de las estrategias y objetivos del negocio, así
Aplica
como del entorno y los retos operativos
actuales.
2. Desarrollar y mantener un entendimiento si

Aplica
del entorno externo a la empresa.
3. Identificar las partes interesadas más no

importantes y obtener comprensión de sus Aplica
requerimientos.
4. Identificar y analizar las fuentes de los Aplica si
336
cambios en la empresa y en el entorno
externo.
5. Determinar prioridades para el cambio si

Aplica
estratégico.
6. Entender la actual arquitectura de empresa no

y trabajar con el proceso de arquitectura de
Aplica
empresa para determinar cualquier brecha
potencial en la arquitectura.
Evaluar el entorno, capacidades y rendimiento

¿Aplica?
APO02.02 actuales. ¿Cumple? NO SI Prom
1. Desarrollar un punto de referencia del no 3 1 25.0

negocio, entorno de TI, capacidades y
servicios actuales respecto al que las
necesidades futuras puedan ser comparadas.
Incluir el correspondiente detalle, a alto nivel,
de la arquitectura empresarial actual
(negocios, información, datos, aplicaciones y Aplica
dominios de tecnología), procesos de negocio,
procesos de TI y sus procedimientos,
estructura organizativa de TI, provisión de
servicios externos, gobierno de TI,
habilidades y competencias de TI en toda la
empresa.
2. Identificar los actuales y potenciales no

Aplica
riesgos y tecnologías en declive.
3. Identificar diferencias entre el negocio no

actual y las capacidades de TI, entre servicios
y estándares y mejores prácticas de referencia, Aplica
entre empresas competidoras y sus
capacidades de TI y entre un análisis
337
comparativo de las mejoras prácticas y la
provisión de servicios emergentes de TI.
4. Identificar los problemas, fortalezas, si

oportunidades y amenazas en el entorno
actual, las capacidades y servicios para
Aplica
entender el desempeño actual. Identificar las
áreas a mejorar en términos de la contribución
de TI a los objetivos del negocio.
APO02.03 Definir el objetivo de las capacidades de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Considerar la aprobación de tecnologías no 5 1 16.7

Aplica
emergentes e ideas innovadoras.
2. Identificar las amenazas por el rechazo a si

Aplica
las actuales y nuevas tecnologías adquiridas.
3. Definir los objetivos/metas de TI a alto no

nivel y cómo contribuirán a los objetivos de Aplica
negocio empresariales.
4. Definir el proceso de negocio requerido y no

deseado, las capacidades y los servicios de TI;
describir los cambios a alto nivel en la
arquitectura empresarial (negocio,
información, datos, aplicaciones y dominios
Aplica
tecnológicos), el negocio, los procesos y
procedimientos de TI, la estructura
organizativa de TI, proveedores de servicios
tecnológicos, gobierno de TI y las habilidades
y competencias.
5. Alinear y acordar los cambios en la no

arquitectura de empresa con el arquitecto Aplica
corporativo.
338
6. Demostrar trazabilidad de la estrategia del no
Aplica
negocio y sus necesidades.
APO02.04 Realizar un análisis de diferencias. Aplica ¿Cumple? NO SI Prom
1. Identificar todas las diferencias y cambios no 4 0 0.0

Aplica
necesarios para realizar en el entorno deseado.
2. Considerar las implicaciones a alto nivel de no

todas las diferencias. Considerar el valor de
los posibles cambios en el negocio y
Aplica
capacidades de TI, servicios de TI y
arquitectura empresarial y las consecuencias
de no realizarlos.
3. Evaluar el impacto de posibles cambios en no

el negocio y en los modelos operativos de TI,
la capacidad de investigación y desarrollo de Aplica
tecnología y los programas de inversión de
TI.
4. Mejorar la definición del entorno deseado y no

preparar una declaración de valor con los Aplica
beneficios a percibir de ese entorno.
APO02.05 Definir el plan estratégico y la hoja de ruta. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir las iniciativas necesarias para cerrar si 4 3 42.9

las diferencias y migrar del entorno actual al
deseado, incluyendo el presupuesto de Aplica
inversión/operativo, fuentes de financiación y
estrategia de provisión.
2. Identificar y abordar adecuadamente los si

riesgos, costes e implicaciones de los cambios Aplica
organizativos, evolución tecnológica,
requisitos normativos, reingeniería de los
339
procesos de negocio, dotación de personal,
oportunidades de internalización (insourcing)
y externalización (outsourcing), etc., en el
proceso de planificación.
3. Determinar dependencias, solapamientos, no

sinergias e impactos entre las iniciativas y Aplica
priorizar las iniciativas.
4. Identificar los requerimientos de recursos, si

planificación y presupuestos de Aplica
inversión/operacional de cada iniciativa.
5. Crear una hoja de ruta indicando la no

planificación y las interdependencias de las Aplica
iniciativas.
6. Traducir los objetivos en medidas de no

resultado representadas por métricas (qué) y
Aplica
objetivos (cuánto) que puedan ser
relacionados con los beneficios empresariales.
7. Obtener formalmente soporte de las partes no

Aplica
interesadas y obtener aprobación del plan.
APO02.06 Comunicar la estrategia y la dirección de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Desarrollar y mantener una red de si 1 3 75.0

aprobación, apoyo e impulso de la estrategia Aplica
de TI.
2. Desarrollar un plan de comunicación que si

cubra los mensajes necesarios, audiencias
Aplica
objetivo, mecanismos/canales de
comunicación y horarios.
3. Preparar un paquete de comunicaciones que Aplica si

entregue el plan de manera eficaz utilizando
340
los medios de comunicación y tecnologías
disponibles.
4. Obtener realimentación y actualizar el plan no

de comunicaciones y de entrega según sea Aplica
necesario.
Desarrollar la visión de la arquitectura de

¿Aplica? ¿Cumple? NO SI Prom
APO03-BP1 empresa.
1. Identificar a las partes interesadas clave de la

empresa y sus objetivos/preocupaciones y
definir los requisitos clave de la empresa a ser
Aplica no 11 0 0.0
considerados, así como la visión de la
arquitectura a ser desarrollada para satisfacer
los distintos requisitos de las partes interesadas.
2. Identificar los objetivos y los impulsores

estratégicos de la empresa y definir las
limitaciones con las que habrá que tratar,
Aplica no
incluyendo las limitaciones en toda la empresa
y las específicas del proyecto (duración,
planificación, recursos, etc.).
3. Alinear los objetivos de la arquitectura con

las prioridades estratégicas del plan Aplica no
empresarial.
4. Entender los deseos y las capacidades del

negocio y, a continuación, identificar las Aplica no
opciones para realizar dichas capacidades.
5. Evaluar la disposición de la empresa para el

Aplica no
cambio.
341
6. Definir qué está dentro y qué está fuera del
alcance de la arquitectura de partida y los
esfuerzos de arquitectura objetivo, entendiendo
Aplica no
que el punto de partida y el objetivo no
necesitan ser descritos con el mismo nivel de
detalle.
7. Confirmar y elaborar los principios de la

arquitectura, incluyéndose los principios de la
empresa. Asegurarse de que todas las Aplica no
definiciones existentes están vigentes y aclarar
cualquier área de ambigüedad.
8. Entender los objetivos estratégicos actuales

de la empresa y trabajar conjuntamente con el
procesos de planificación estratégica para
Aplica no
asegurarse que las oportunidades de
arquitectura de TI empresarial se apoyan en el
desarrollo del plan estratégico.
9. Crear la visión de la arquitectura atendiendo

a las preocupaciones de las partes interesadas,
en los requisitos de capacidad del negocio, en
Aplica no
el alcance, en las limitaciones y principios:
visión de alto nivel de las arquitecturas de
partida y objetivo.
10. Definir las proposiciones de valor, los

Aplica no
objetivos y métricas de la arquitectura objetivo.
11. Identificar los riesgos empresariales

asociados con el cambio de la nueva visión de
la arquitectura, evaluar el nivel de riesgo inicial Aplica no
(por ejemplo, crítico, marginal o despreciable)

y desarrollar una estrategia de mitigación para
342
cada riesgo importante.
12. Desarrollar el caso de negocio del concepto

de arquitectura empresarial, bosquejar los
planes y el trabajo de arquitectura y asegurar
Aplica no
que están aprobados para iniciar el proyecto
que esté alineado e integrado con la estrategia
empresarial.
APO03-BP2 Definir la arquitectura de referencia. ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener un repositorio de la arquitectura

que contenga los estándares, los componentes
reutilizables, el modelado, las relaciones, las
Aplica SI 8 1 11.1
dependencias y las vistas para permitir una
uniformidad en la organización y el
mantenimiento.
2. Seleccionar los puntos de vista de referencia

del repositorio de arquitectura que permitirán al
arquitecto demostrar cómo están siendo Aplica no
consideradas las preocupaciones de las partes
interesadas en la arquitectura.
3. Por cada punto de vista, seleccionar los

modelos necesarios para soportar cada uno de
ellos, utilizando las herramientas o métodos Aplica no
seleccionados y los niveles apropiados de
descomposición.
4. Desarrollar descripciones de dominio de

arquitectura de partida, utilizando el alcance y
nivel de detalle necesarios para apoyar la Aplica no
arquitectura objetivo y, hasta el punto que sea

posible, identificando los bloques relevantes
343
del repositorio de la arquitectura.
5. Mantener un modelo de arquitectura de

procesos como parte de las descripciones de
dominio de referencia y objetivo. Estandarizar
las descripciones y la documentación de los
procesos. Definir las funciones y
Aplica no
responsabilidades de los que deciden el
proceso, el propietario del proceso, los usuarios
del proceso, el equipo del proceso y cualquier
otra parte interesada que debieran estar
involucrados.
6. Mantener un modelo de arquitectura de

información como parte de las descripciones de
dominio de referencia y objetivo, que sea
consistente con la estrategia de la empresa y
que permita un uso óptimo de la información
para la toma de decisiones. Mantener un
diccionario de datos de la empresa que Aplica no
promueva una interpretación común y un
esquema de clasificación que incluya detalles
sobre el propietario de los datos, definición de
los niveles de seguridad apropiados y los
requisitos de retención y destrucción de los
datos.
7. Verificar la consistencia interna y precisión

de los modelos de la arquitectura y realizar un
análisis de diferencias entre el punto de partida
y el objetivo. Priorizar las desviaciones y Aplica no
definir los nuevos componentes o

modificaciones que se deben desarrollar en la
arquitectura objetivo. Resolver los impactos
344
potenciales, tales como las incompatibilidades,
inconsistencias o conflictos dentro de la
arquitectura prevista.
8. Realizar una revisión formal con las partes

interesadas para comprobar que la arquitectura
propuesta frente a la motivación original del Aplica no
proyecto de arquitectura y la declaración de
arquitectura funcionan.
9. Finalizar las arquitectura de los dominios de

negocio, información, datos, aplicaciones y
Aplica no
tecnología y crear un documento de definición
de la arquitectura.
APO03-BP3 Seleccionar las oportunidades y las soluciones. ¿Aplica? ¿Cumple? NO SI Prom
1. Determinar y confirmar los atributos clave

del cambio, incluyendo la cultura empresarial y
cómo ésta impactará en la implementación de Aplica no 10 0 0.0
la arquitectura de empresa, así como en las
capacidades de transición empresarial.
2. Identificar los motivadores de la empresa

que podrían limitar la secuencia de
implementación, incluyendo una revisión de los
Aplica no
planes estratégicos y de negocio de la empresa
y de las líneas de negocio y considerando la
madurez de la arquitectura de empresa actual.
3. Revisar y consolidar los resultados del

análisis de diferencias entre las arquitecturas de
partida y objetivo y evaluar sus implicaciones Aplica no
respecto a las potenciales oportunidades y

soluciones, interdependencias y alineación con
345
los vigentes programas habilitados para TI.
4. Evaluar las necesidades, las carencias, las

soluciones y los factores para identificar un
conjunto mínimo de requisitos funcionales cuya
Aplica no
integración en el plan de trabajo daría lugar a
una implementación más eficiente y eficaz de
la arquitectura objetivo.
5. Conciliar los requisitos ya consolidados con

Aplica no
las posibles soluciones.
6. Afinar las dependencias iniciales,

asegurándose que todas las restricciones sobre
los planes de implementación y migración Aplica no
están identificadas y se han consolidado en el
informe de análisis de dependencias.
7. Confirmar el grado de preparación de la

empresa y el riesgo asociado a la Aplica no
transformación empresarial.
8. Formular una implementación de alto nivel y

una estrategia de migración que servirán de
guía para la implementación de la arquitectura
Aplica no
objetivo y para la estructura de la arquitectura
de transición en línea con los objetivos
estratégicos y los plazos de la empresa.
9. Identificar y agrupar los principales paquetes

de trabajo en un conjunto de programas y
proyectos coherentes, respetando el enfoque y Aplica no
la dirección de la estrategia empresarial en su
implementación.
346
10. Desarrollar una serie de arquitecturas de
transición cuando sea necesario un enfoque
incremental por el alcance del cambio Aplica no
necesario para alcanzar la arquitectura de
información objetivo.
APO03-BP4 Definir la implantación de la arquitectura. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer lo que el plan de implementación

y migración deberían incluir como parte del
programa y plan de proyectos para asegurarse Aplica no 3 0 0.0
que están alineados con los requisitos de los
decisores aplicables.
2. Confirmar las fases y los progresos de la

arquitectura de transición y actualizarlos en el Aplica no
documento de definición de la arquitectura.
3. Definir los requisitos de gobierno de

Aplica no
implementación de la arquitectura.
Proveer los servicios de arquitectura

APO03-BP5 empresarial.
1. Confirmar el alcance y las prioridades y

No
proporcionar orientación para el desarrollo y 4 0 0.0
aplica
despliegue de soluciones.
2. Gestionar la cartera de servicios de

arquitectura de la empresa para asegurar el
Aplica no
alineamiento con los objetivos estratégicos y el
desarrollo de soluciones.
3. Gestionar los requisitos de la arquitectura

empresarial y dar soporte con los principios de
Aplica no
dicha arquitectura, modelos y componentes
básicos.
347
4. Identificar y alinear las prioridades de la
arquitectura empresarial a los motivadores del
valor. Definir y recoger los valores de las Aplica no
medidas y las métricas utilizadas y comunicar
el valor de la arquitectura empresarial.
5. Establecer un foro tecnológico para facilitar

guías de uso de la arquitectura, soporte en los
proyectos y guía en la selección de la
tecnología. Medir el cumplimiento con estos Aplica no
estándares y guías de referencia, incluyendo el
cumplimiento con requisitos externos y su
importancia para el negocio.
APO04-BP1 Crear un entorno favorable para la innovación. ¿Aplica? ¿Cumple? NO SI Prom
1. Crear un plan de innovación que incluya el

apetito por el riesgo, el presupuesto previsto
Aplica no 4 1 20.0
para invertir en la innovación y los objetivos de
la innovación.
2. Proveer de una infraestructura que pueda

permitir innovar, tales como herramientas de
colaboración para mejorar el trabajo entre Aplica si
diferentes ubicaciones geográficas y divisiones
de la empresa.
3. Crear un entorno que fomente la innovación

manteniendo iniciativas de recursos humanos
relevantes, tales como el reconocimiento de la
innovación y programas de reconocimiento, Aplica no
una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la
experimentación.
348
4. Mantener un programa que permita a los
empleados presentar ideas innovadoras y crear
Aplica no
una estructura adecuada de toma de decisiones
para evaluar y aplicar estas ideas.
5. Animar a innovar a los clientes, proveedores

Aplica no
y socios comerciales.
Mantener un entendimiento del entorno de la

APO04-BP2 empresa.
1. Mantener una comprensión de los motores

del negocio y de la industria, de la estrategia
corporativa, operaciones corporativas y otras
Aplica no 2 1 33.3
incidencias de modo que los potenciales
valores añadidos tecnológicos o innovaciones
TI puedan ser identificadas.
2. Realizar reuniones periódicas con las

unidades de negocio, divisiones y/o otras
entidades interesadas para entender los
problemas actuales del negocio, cuellos de Aplica si
botella de los procesos u otras limitaciones
donde las tecnologías emergentes o la
innovación TI puede crear oportunidades.
3. Entender los parámetros de inversiones

corporativas para la innovación y las nuevas
Aplica no
tecnologías, de modo que se desarrollen las
estrategias adecuadas.
APO04-BP3 Supervisar y explorar el entorno tecnológico. ¿Aplica? ¿Cumple? NO SI Prom
1. Comprender el interés de la empresa y su

potencial para adoptar nuevas innovaciones Aplica si 3 1 25.0
tecnológicas canalizando los esfuerzos de
concienciación en las innovaciones
349
tecnológicas más oportunas.
2. Realizar estudios y analizar el entorno

exterior, incluyendo sitios web apropiados,
Aplica no
diarios y conferencias para identificar
tecnologías emergentes.
3. Consultar con terceras personas expertas

cuando se necesite confirmar los resultados de
Aplica no
la investigación o como fuente de información
en tecnologías emergentes.
4. Recopilar las ideas innovadoras del personal

de TI y analizarlas para su posible Aplica no
implementación.
Evaluar el potencial de las tecnologías

APO04-BP4 emergentes y las ideas innovadoras.
1. Evaluar las tecnologías identificadas,

considerando aspectos tales como tiempo para
alcanzar la madurez, riesgo inherente de la
nueva tecnología (incluyendo posibles Aplica no 4 0 0.0
implicaciones legales), ajuste con la
arquitectura empresarial y potencial para
proporcionar valor añadido.
2. Identificar cualquier problema que pueda

necesitar ser resuelto o probado a través de una Aplica no
iniciativa de prueba de concepto.
3. Alcance de la iniciativa de prueba de

concepto, incluyendo resultados deseados,
Aplica no
presupuesto necesario, plazos de tiempo y
responsabilidades.
350
4. Obtener autorización para realizar la prueba
Aplica no
de concepto.
5. Realizar pruebas de concepto para evaluar

las tecnologías emergentes u otras ideas
innovadoras, identificar cualquier problema y
No
determinar si más implementaciones deberían
aplica
ser tenidas en cuenta, basándose en la
viabilidad y el potencial retorno de la inversión
(ROI).
APO04-BP5 Recomendar iniciativas apropiadas adicionales. ¿Aplica? ¿Cumple? NO SI Prom
1. Documentar los resultados de las pruebas de

concepto, incluyendo guía y recomendaciones Aplica no 4 0 0.0
para programas de innovación y tendencias.
2. Comunicar las oportunidades de innovación

viables en la estrategia TI y en los procesos de Aplica no
arquitectura empresarial.
3. Realizar un seguimiento de las pruebas de

concepto para medir el grado en que las
Aplica no
mismas han influenciado en las inversiones
reales.
4. Analizar y comunicar las razones por las que

Aplica no
se ha rechazado una prueba de concepto.
Supervisar la implementación y el uso de la

APO04-BP6 innovación.
1. Valorar la implementación de nuevas

tecnologías o innovaciones TI adoptadas como
parte de la estrategia TI y desarrollos de la Aplica no 4 0 0.0
arquitectura empresarial y su realización
durante programas de gestión de iniciativas.
351
2. Capturar lecciones aprendidas y
Aplica no
oportunidades de mejora.
3. Ajustar el plan de innovación, si fuese

Aplica no
necesario.
4. Identificar y evaluar el posible valor

Aplica no
obtenido como fruto del uso de la innovación.
APO05-BP1 Establecer la mezcla del objetivo de inversión. ¿Aplica? ¿Cumple? NO SI Prom
1. Validar que las inversiones TI y los servicios

TI actuales están alineados con la visión y los
principios corporativos, metas y objetivos Aplica no 5 0 0.0
estratégicos, visión de la arquitectura
empresarial y prioridades.
2. Conseguir un entendimiento común entre TI

y otras funciones de negocio sobre las
Aplica no
potenciales oportunidades de TI para conducir
y sustentar la estrategia corporativa.
3. Crear una mezcla de inversión que logre el

balance adecuado entre distintas dimensiones,
incluyendo el equilibrio justo de retornos a Aplica no
corto y largo plazo, beneficios financieros y no
financieros e inversiones de alto y bajo riesgo.
4. Identificar las categorías generales de

sistemas de información, aplicaciones, datos,
servicios de TI, infraestructura, activos de TI,
Aplica no
recursos, habilidades, prácticas, controles y
relaciones necesarias para sustentar la
estrategia corporativa.
352
5. Acordar una estrategia TI y unas metas,
considerando las interrelaciones existentes
entre la estrategia corporativa y los servicios Aplica no
TI, activos y otros recursos. Identificar y
facilitar sinergias que puedan ser alcanzadas.
Determinar la disponibilidad y las fuentes de

APO05-BP2 fondos.
1. Entender la disponibilidad y el compromiso

No
de los fondos actuales, el gasto actual aprobado 0 0
aplica
y la cantidad real gastada hasta la fecha.
2. Identificar las opciones para obtener

No
financiación adicional para las inversiones TI
aplica
internamente o de fuentes externas.
3. Determinar las implicaciones de la fuente de

financiación en las expectativas de retorno de Aplica
la inversión.
Evaluar y seleccionar los programas a

APO05-BP3 financiar.
1. Reconocer las oportunidades de inversión y

clasificarlas en línea con las categorías del
portafolio de inversiones. Especificar los
No
resultados empresariales esperados, todas las 1 1 50.0
aplica
iniciativas necesarias para alcanzar los
resultados esperados, costes, dependencias y
riesgos y como todo debe ser medido.
2. Realizar evaluaciones detalladas de todos los

caso de negocio de los programas, evaluando el Aplica no
alineamiento estratégico, beneficios
corporativos, riesgo y disponibilidad de
353
recursos.
3. Evaluar el impacto en el portafolio general

de inversiones por añadir los programas
Aplica si
candidatos, incluyendo cualquier cambio que
pueda ser requerido por otros programas.
4. Decidir qué programas candidatos deberían

ser trasladados al portafolio de inversiones
activas. Determinar si los programas
rechazados deberían ser conservados para ser No
considerados en el futuro, o provistos con aplica
algún tipo de inversión para determinar si el
caso de negocio puede ser mejorado o
descartado.
5. Determinar los hitos necesarios para el ciclo

de vida económico de cada programa
No
seleccionado. Asignar y reservar totalmente los
aplica
fondos para cada hito. Mover el programa al
portafolio de inversiones activas.
6. Establecer procedimientos para comunicar el

coste, beneficios y aspectos relativos al riesgo
No
de esos portafolios a los procesos de
aplica
priorización de presupuesto, gestión del coste y
gestión del beneficio.
Existe una vista precisa y comprensiva del

APO05-O4 rendimiento de las inversiones del portafolio.
1. Revisar regularmente el portafolio para

identificar y explotar sinergias, eliminar
Aplica no 3 0 0.0
programas duplicados e identificar y mitigar el
riesgo.
354
2. Cuando sucedan cambios, volver a evaluar y
a priorizar el portafolio para asegurar que está
alienado con la estrategia del negocio y que la
mezcla de inversión objetivo se mantiene, de No
modo que el portafolio esté optimizando el aplica
valor global. Esto puede requerir que los
programas cambien, se aplacen, se retiren o
bien que nuevos programas se inicien.
3. Ajustar los objetivos, previsiones,

presupuestos y, si fuese necesario, el grado de
monitorización empresariales para reflejar los
gastos en que se incurriría y los beneficios de No
la empresa que se obtendrían gracias a los aplica
programas del portafolio de inversiones
activas. Incorporar los gastos del programa en
el mecanismo de prorrateo de costes.
4. Proporcionar una vista precisa a las partes

No
interesadas sobre el rendimiento del portafolio
aplica
de inversiones.
5. Aportar informes ejecutivos para la revisión

por parte de la alta dirección de los progresos
No
de la empresa hacia las metas identificadas,
aplica
estableciendo qué debe seguir siendo gastado y
conseguido sobre qué franjas temporales.
6. Incluir en la supervisión periódica del

rendimiento información sobre en qué medida
los objetivos planificados han sido alcanzados,
Aplica no
el riesgo mitigado, las capacidades creadas, los
entregables obtenidos y las metas de
rendimiento, conseguidas.
355
7. Identificar desviaciones para:
• Control presupuestario entre el real y el
presupuesto
• Gestión del beneficio de:
– Real versus objetivos de inversión en
No
soluciones, probablemente expresados en
aplica
términos de ROI, NPV o tasa interna de retorno
(IRR)
– Tendencia actual del coste del portafolio de
servicios para la mejora de la productividad de
la entrega del servicio
8. Desarrollar métricas para medir la

contribución de TI a la empresa, y establecer
objetivos de rendimiento adecuados que
reflejen las metas de capacidad corporativas y Aplica no
de TI. Utilizar asistencia de expertos externos y
de datos de análisis comparativos para
desarrollar métricas.
Los cambios en el programa de inversiones se

APO05-O5 reflejan en los portafolios relevantes de ¿Aplica? ¿Cumple? NO SI Prom
servicios, activos y recursos de TI.
1. Crear y mantener portafolios de programas

de inversiones TI, servicios TI y activos TI,
No
que constituyan la base del presupuesto actual 0 0
aplica
de TI y soporten los planes estratégicos y
tácticos de TI.
2. Trabajar con los responsables de entrega del

servicio para mantener los portafolios de No
servicio y con los responsables de operaciones aplica
y arquitectos para mantener el portafolio de
activos. Apoyar los planes tácticos y
356
estratégicos de TI.
3. Eliminar los programas del portafolio de

inversiones activas cuando los beneficios
corporativos deseados han sido alcanzados o No
cuando está claro que los beneficios no serán aplica
alcanzados dentro del criterio de valor
establecido para el programa.
Los beneficios han sido generados debido a los

APO05-O6 beneficios de la ¿Aplica? ¿Cumple? NO SI Prom
monitorización.
1. Utilizar las métricas acordadas y realizar

seguimiento sobre cómo los beneficios son
obtenidos, cómo evolucionan a lo largo del
ciclo de vida de programas y proyectos, cómo
son entregados desde los servicios TI y cómo Aplica si 1 2 66.7
resultan al someterlos a un análisis
comparativo interno y de la industria.
Comunicar los resultados a las partes
interesadas.
2. Implementar acciones correctivas cuando los

beneficios alcanzados se desvían
significativamente de los esperados. Actualizar
Aplica si
los casos de negocio para las nuevas iniciativas
e implementar procesos de negocio y mejoras
del servicio según se requiera.
3. Considerar obtener orientación de expertos

externos, líderes de la industria y datos de
Aplica no
análisis comparativos para probar y mejorar las
métricas y los objetivos.
357
Mantener la dotación de personal suficiente y
APO07-BP1 adecuada.
1. Evaluar las necesidades de personal de 2 3 60.0

forma regular o ante cambios importantes para
asegurar que:
• La función de TI cuenta con recursos
suficientes para apoyar de manera adecuada y
Aplica si
apropiada las metas y objetivos empresariales.
• La empresa cuenta con recursos suficientes
para apoyar de manera adecuada y apropiada
los procesos de negocio y los controles e
iniciativas TI.
2. Mantener los procesos de contratación y de

retención del personal de TI y del negocio en
Aplica Si
línea con las políticas y procedimientos de
personal globales de la empresa.
3. Incluir controles de antecedentes en el

proceso de contratación de TI para empleados,
contratistas y proveedores. El alcance y la Aplica no
frecuencia de estos controles depende de la
sensibilidad y/o criticidad de la función.
4. Establecer mecanismos flexibles de

dotación de recursos para apoyar a las
necesidades cambiantes del negocio, tales
Aplica no
como el uso de transferencias, contratistas
externos y acuerdos de servicio con terceras
partes.
5. Asegurarse de que el entrenamiento Aplica si

cruzado se lleva a cabo y que hay respaldo
358
para el personal clave para reducir la
dependencia de una sola persona.
APO07-BP2 Identificar personal clave de TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Minimizar la dependencia en una sola 1 1 50.0

persona en la realización de una función
crítica de trabajo mediante la captura de
conocimiento (documentación), el
Aplica si
intercambio de conocimientos, la
planificación de la sucesión, el respaldo
(backup) del personal, el entrenamiento
cruzado e iniciativas de rotación de puestos.
2. Como medida de seguridad, proporcionar

directrices sobre un tiempo mínimo de No
vacaciones anuales que deben tomar los aplica
individuos clave.
3. Tomar acciones expeditivas con respecto a No

cambios laborales, especialmente despidos. aplica
4. Probar regularmente los planes de respaldo

Aplica no
(backup) del personal.
Mantener las habilidades y competencias del

APO07-BP3 personal.
1. Definir las habilidades y competencias 6 1 14.3

necesarias y disponibles actualmente tanto de
Aplica no
recursos internos como externos para lograr
los objetivos de empresa, de TI y de procesos.
2. Proporcionar una planificación formal de la

carrera y desarrollo profesional para fomentar Aplica no
el desarrollo de competencias, oportunidades
de progreso personal y una menor
359
dependencia de personas clave.
3. Proporcionar acceso a repositorios de

conocimiento para apoyar el desarrollo de Aplica si
habilidades y competencias.
4. Identificar las diferencias entre las

habilidades necesarias y las disponibles y
desarrollar planes de acción para hacerles
frente de manera individual y colectiva, tales Aplica no
como formación (técnica y en habilidades de
comportamiento), contratación, redistribución
y cambios en las estrategias de contratación.
5. Desarrollar y ejecutar programas de

formación basados en los requisitos
organizativos y de procesos, incluidos los Aplica no
requisitos sobre conocimiento empresarial,
control interno, conducta ética y seguridad.
6. Llevar a cabo revisiones periódicas para

evaluar la evolución de las habilidades y
competencias de los recursos internos y Aplica no
externos. Revisar la planificación de la
sucesión.
7. Revisar los materiales y programas de

formación de manera regular para asegurarse
su adecuación a los requisitos empresariales
Aplica no
cambiantes y su impacto en los
conocimientos, aptitudes y habilidades
necesarias
Evaluar el desempeño laboral de los

APO07-BP4 empleados.
360
1. Considerar los objetivos funcionales/de 5 2 28.6
empresa como el contexto para establecer las Aplica si
metas individuales.
2. Establecer los objetivos individuales

alineados con los objetivos de los procesos
relevantes, de modo que exista una clara
contribución a los objetivos de TI y
empresariales. Basar las metas en objetivos
Aplica no
SMART (específicos, medibles, realizables,
pertinentes y de duración determinada) que
reflejen las competencias básicas, los valores
empresariales y las habilidades necesarias
para la(s) función(es).
3. Recopilar los resultados de la evaluación de

Aplica no
desempeño de 360 grados.
4. Implementar y comunicar un proceso

Aplica si
disciplinario.
5. Proporcionar instrucciones específicas para

el uso y almacenamiento de información
personal en el proceso de evaluación, de Aplica no
conformidad con la legislación laboral y sobre
datos personales aplicables
6. Proporcionar retroalimentación oportuna

sobre el desempeño frente a las metas del Aplica no
individuo.
7. Implementar un proceso de
remuneración/reconocimiento que premie el No
compromiso adecuado, el desarrollo de aplica
competencias y el logro exitoso de los
objetivos de desempeño. Asegurar que el
361
proceso se aplica de forma coherente y en
consonancia con las políticas de la
organización.
8. Desarrollar planes de mejora del

desempeño basados en los resultados del
proceso de evaluación y los requisitos de Aplica no
capacitación y desarrollo de competencias
identificados.
Planificar y realizar un seguimiento del uso de

APO07-BP5 recursos humanos de TI y del negocio.
1. Crear y mantener un inventario de recursos 1 2 66.7

Aplica no
humanos de negocio y TI.
2. Entender la demanda actual y futura de

recursos humanos para apoyar el logro de los
objetivos de TI y ofrecer servicios y
soluciones basados en la cartera de las Aplica si
iniciativas actuales relacionadas con las TI, la
cartera de inversiones futuras y las
necesidades operativas del día a día.
3. Identificar las carencias y proporcionar

datos de entrada a planes de
aprovisionamiento, así como a los procesos de No
contratación de la empresa y de TI. Crear y aplica
revisar el plan de personal, haciendo
seguimiento del uso real.
4. Mantener información adecuada sobre el

tiempo dedicado a diferentes tareas, trabajos, Aplica si
servicios o proyectos.
APO07-BP6 Gestionar el personal contratado. ¿Aplica? ¿Cumple? NO SI Prom
362
1. Implementar políticas y procedimientos que 2 2 50.0
describan cuándo, cómo y qué tipo de trabajo
puede ser realizado o incrementado por
Aplica si
consultores y/o contratistas, de acuerdo con la
política de contratación de TI de la
organización y el marco de control de TI.
2. Obtener un acuerdo formal por parte de los

contratistas en el inicio del contrato en cuanto
a que están obligados a cumplir con el marco
de control de TI de la empresa, tal como
políticas de control de seguridad, control de Aplica si
acceso físico y lógico, uso de las
instalaciones, requisitos de confidencialidad
de la información y los acuerdos de
confidencialidad.
3. Advertir a los contratistas de que la

gerencia se reserva el derecho de supervisar e
inspeccionar todo uso de los recursos de TI,
Aplica No
incluyendo correo electrónico,
comunicaciones de voz y todos los programas
y archivos de datos.
4. Proporcionar a los contratistas una

definición clara de sus funciones y
responsabilidades como parte de sus
Aplica No
contratos, incluidos requisitos explícitos para
documentar su trabajo en base a normas y
formatos previamente acordados.
5. Revisar el trabajo de los contratistas y basar No

la aprobación de los pagos en los resultados. aplica
6. Definir todo el trabajo a realizar por

No
terceras partes en contratos formales y sin
363
ambigüedades. aplica

asegurarse de que el personal contratado ha No
firmado y aceptado todos los acuerdos aplica
necesarios.

asegurarse de que las funciones de los No
contratistas y sus derechos de acceso son aplica
adecuados y en línea con los acuerdos.
APO08-BP1 Entender las expectativas del negocio. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar a las partes interesadas del negocio, sus 6 1 14.3

Aplica si
intereses y sus áreas de responsabilidad.
2. Revisar la orientación de la empresa, asuntos,

objetivos estratégicos actuales y alineamiento con la Aplica no
arquitectura empresarial.
3. Mantener una atención sobre los procesos de

negocio y actividades asociadas y entender los patrones
Aplica no
de demanda relacionados con el volumen y uso de
servicios.
4. Esclarecer las expectativas del negocio para los

servicios y soluciones basados en TI y asegurar que los
Aplica no
requisitos son definidos con criterios y métricas
aceptados por el negocio.
5. Confirmar el acuerdo sobre las expectativas del

negocio, los criterios de aceptación y las métricas para
Aplica no
las partes relevantes de la infraestructura TI por todas
las partes interesadas.
364
6. Gestionar las expectativas asegurando que las
unidades de negocio entienden las prioridades,
Aplica no
dependencias, restricciones financieras y la necesidad
de planificar peticiones.
7. Entender el entorno de negocio actual, limitaciones o

flujos de procesos, expansión o contracción geográfica Aplica no
y motivaciones de la industria/regulación.
Identificar oportunidades, riesgos y limitaciones de TI

APO08-BP2 para mejorar el negocio.
1. Entender las tendencias tecnológicas y las nuevas 4 1 20.0

tecnologías y cómo pueden aplicarse de modo
Aplica si
innovador para mejorar el rendimiento de los procesos
de negocio.
2. Tomar un papel proactivo en identificar y comunicar

a las partes interesadas clave las oportunidades, riesgos
Aplica no
y limitaciones. Esto incluye tecnologías, servicios y
modelos de negocios tanto actuales como emergentes.
3. Colaborar en acordar los siguientes pasos para las

principales nuevas iniciativas en colaboración con la
Aplica no
gestión de la cartera de servicios, incluyendo el
desarrollo de casos de negocio.
4. Asegurar que el negocio y la TI entienden y aprecian

los objetivos estratégicos y la visión de la arquitectura Aplica no
empresarial.
5. Coordinar durante la planificación de nuevas

iniciativas TI para asegurar la integración y el Aplica no
alineamiento con la arquitectura empresarial.
APO08-BP3 Gestionar las relaciones con el negocio. ¿Aplica? ¿Cumple? NO SI Prom
365
1. Asignar un responsable de la relación como punto 3 2 40.0
único de contacto por cada unidad de negocio
significativa. Asegurar que se ha identificado una Aplica no
entendimiento del negocio, suficiente concienciación
tecnológica y un nivel apropiado de autoridad.
2. Gestionar la relación de un modo formal y

transparente que asegure un enfoque en conseguir,
como objetivo común y compartido, resultados
Aplica no
exitosos apoyando los objetivos estratégicos dentro de
las limitaciones del presupuesto y de la tolerancia de
riesgos.
3. Definir y comunicar un proceso de reclamaciones y

escalado de las mismas para resolver cualquier Aplica no
incidencia en la relación.
4. Planificar interacciones específicas y calendarios

basados en objetivos acordados mutuamente y en un
lenguaje común (reuniones de revisión del servicio y Aplica si
del rendimiento, revisión de nuevas estrategias o
planes, etc.).
5. Asegurar que las decisiones claves son acordadas y

aprobadas por las partes interesadas responsables y Aplica si
relevantes.
APO08-BP4 Coordinar y comunicar. ¿Aplica? ¿Cumple? NO SI Prom
1. Coordinar y comunicar cambios y actividades de 1 3 75.0

transición tales como proyectos, planes de cambio,
Aplica si
planificaciones, políticas de lanzamiento, errores
conocidos y concienciación sobre formación.
2. Coordinar y comunicar actividades operativas, roles

y responsabilidades, incluyendo la definición de los Aplica si
tipos de petición, escalado jerárquico, periodos de
366
interrupción significativos (planeados o no) y
contenido y frecuencia de los informes del servicio.
3. Tomar consideración de la reacción del negocio ante

eventos que puedan influenciar en la relación con el Aplica no
mismo. Proporcionar soporte directo si fuera necesario.
4. Mantener un plan de comunicación extremo a

extremo que defina el contenido, frecuencia y
destinatarios de la información de la entrega del Aplica si
servicio, incluyendo el estado del valor entregado y los
riesgos identificados.
Proveer datos de entrada para la mejora continua de los

APO08-BP5 servicios.
1. Llevar a cabo análisis de satisfacción de clientes y 3 0 0.0

proveedores. Asegurar que se actúa sobre las
Aplica no
cuestiones detectadas y que se reportan los resultados y
estados.
2. Trabajar conjuntamente para identificar, comunicar e

Aplica no
implementar iniciativas de mejora.
3. Trabajar con la gestión del servicio y los propietarios

de los procesos para asegurar que los servicios basados
en TI y la gestión de los procesos del servicio son Aplica no
mejorados continuamente y las causas raíz de cualquier
incidente son identificadas y resueltas.
APO09-BP1 Identificar servicios TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Valorar los servicios TI actuales y los 4 2 33.3

niveles de servicio para identificar lagunas Aplica si
entre los servicios existentes y los procesos de
367
negocio de los que son base. Identificar áreas
de mejora de los servicios existentes y de las
opciones de nivel del servicio.
2. Analizar, estudiar y estimar la futura

demanda y confirmar la capacidad de los Aplica si
servicios TI existentes.
3. Analizar las actividades de los procesos de

negocio para identificar la necesidad de Aplica no
servicios TI nuevos o rediseñados.
4. Comparar los requisitos identificados con

los componentes del servicio existentes en el
catálogo. Si es posible, agrupar los
componentes del servicio existentes (servicios
Aplica no
TI, opciones de nivel de servicio y paquetes
de servicios) en nuevos paquetes de servicio
para cumplir con los requisitos de negocio
identificados.
5. Siempre que sea posible, relacionar

demanda con paquetes de servicio y crear
Aplica no
servicios estandarizados para obtener una
eficiencia global.
6. Revisar el catálogo de servicios TI

regularmente con la gestión del catálogo y la
gestión de relaciones del negocio para Aplica no
identificar servicios obsoletos. Acordar la
retirada de los mismos y proponer cambios.
APO09-BP2 Catalogar servicios basados en TI. ¿Aplica? ¿Cumple? NO SI Prom
1. Publicar los servicios TI, paquetes de 1 2 66.7

servicios y opciones de nivel del servicio Aplica si
activos de la cartera de servicios en los
368
catálogos relevantes.
2. Asegurar de forma continua que los

componentes de servicio en el portafolio y en
Aplica si
los catálogos de servicio relacionados están
completos y actualizados.
3. Informar al gestor de relaciones del negocio

de las actualizaciones en los catálogos de Aplica no
servicios.
APO09-BP3 Definir y preparar acuerdos de servicio. ¿Aplica? ¿Cumple? NO SI Prom
1. Analizar los requisitos para acuerdos de 1 4 80.0

servicios nuevos o modificados recibidos
desde la gestión de las relaciones con el
negocio para asegurar que los requisitos
puedan ser emparejados con los niveles de
servicio. Considerar aspectos tales como Aplica si
tiempos del servicio, disponibilidad,
rendimiento, capacidad, seguridad,
continuidad, cumplimiento normativo y
regulatorio, usabilidad y limitaciones de la
demanda.
2. Esbozar borradores de acuerdos de nivel de

servicio con el cliente basados en los
servicios, paquetes de servicios y opciones del Aplica si
nivel de servicio en los catálogos de servicio
relevantes.
3. Determinar, acordar y documentar los

acuerdos operativos internos para cimentar los
Aplica si
acuerdos de servicio con clientes, siempre que
sea aplicable.
369
4. Mantener una relación estrecha con la
gestión de proveedores para asegurar que los
contratos comerciales apropiados con
Aplica no
proveedores de servicio externos cimentan los
acuerdos de servicio con los clientes, siempre
que sea aplicable.
5. Ultimar acuerdos de servicio al cliente con

Aplica si
la gestión de relaciones del negocio.
Supervisar e informar de los niveles de

APO09-BP4 servicio.
1. Establecer y mantener medidas para 3 2 40.0

supervisar y recolectar datos del nivel del Aplica si
servicio.
2. Evaluar el rendimiento y proporcionar

informes regular y formalmente sobre el
rendimiento del acuerdo del servicio,
Aplica si
incluyendo desviaciones con respecto a los
valores acordados. Distribuir estos informes a
la gestión de las relaciones del negocio.
3. Hacer revisiones regulares para anticipar e

identificar tendencias en el rendimiento del Aplica no
nivel de servicio.
4. Proporcionar información de gestión

apropiada para ayudar en la gestión del Aplica no
rendimiento.
5. Acordar planes de acción y remedio para

los incidentes del rendimiento o tendencias Aplica no
negativas del mismo.
APO09-BP5 Revisar acuerdos de servicio y contratos. ¿Aplica? ¿Cumple? NO SI Prom
370
1. Revisar los términos de los acuerdos de 0 1 100.0
servicio regularmente para asegurar que son
efectivos y actuales y que los cambios en los
Aplica si
requisitos, servicios TI, paquetes de servicios
u opciones de nivel de servicio se tienen en
cuenta cuando sea apropiado.
Identificar y evaluar las relaciones y contratos

APO10-BP1 con proveedores.
1. Establecer y mantener criterios relativo al 1 1 50.0

tipo, relevancia y criticidad de los contratos y No
proveedores, focalizándose en aquellos de aplica
mayor importancia.
2. Establecer y mantener un criterio de

evaluación de contratos y proveedores que No
permita una revisión general del rendimiento aplica
de los proveedores de manera consistente.
3. Identificar, registrar y categorizar los

proveedores y contratos existentes de acuerdo
al criterio definido para mantener un registro Aplica si
detallado de los proveedores que deben ser
gestionados cuidadosamente.
4. Evaluar y comparar periódicamente el

rendimiento de los proveedores actuales y
alternativos para identificar oportunidades de Aplica no
mejora o la necesidad forzosa de reconsiderar
los contratos con los proveedores actuales.
APO10-BP2 Seleccionar proveedores. ¿Aplica? ¿Cumple? NO SI Prom
371
1. Revisar todas las RFIs y RFPs para 1 1 50.0
asegurar que:
• Definen claramente los requisitos.
• Incluyen un procedimiento para clarificar los
No
requisitos.
aplica
• Dan a los proveedores tiempo suficiente para
elaborar sus propuestas.
• Definen claramente los criterios y el proceso
de decisión.
2. Evaluar RFIs y RFPs de acuerdo al proceso

y criterios aprobados y mantener evidencia No
documental de las evaluaciones. Verificar las aplica
referencias de los proveedores candidatos.
3. Seleccionar el proveedor que mejor cumpla

No
la RFP. Documentar y comunicar la decisión
aplica
alcanzada y firmar el contrato.
4. En el caso específico de la adquisición de

software, incluir y hacer cumplir los derechos
y obligaciones de todas las partes en los
términos contractuales. Estos derechos y
obligaciones pueden incluir la propiedad y el
licenciamiento de la propiedad intelectual, el Aplica si
mantenimiento, las garantías, los procesos de
arbitraje, las condiciones de actualización y la
aptitud para el propósito definido, incluyendo
seguridad, depósito de garantía y derechos de
acceso.
372
desarrollos, incluir y hacer cumplir los
derechos y obligaciones de todas las partes en
los términos contractuales. Estos derechos y
obligaciones pueden incluir la propiedad y el
licenciamiento de la propiedad intelectual;
No
aptitud para el propósito definido, incluyendo
aplica
metodologías, pruebas, procesos de gestión de
la calidad, incluyendo los criterios de
evaluación del rendimiento, formas de pago,
garantías, los procesos de arbitraje, gestión de
recursos humanos y cumplimiento con las
políticas corporativas.
6. Obtener asesoramiento legal sobre los

acuerdo de adquisición de desarrollos en No
relación a la propiedad y el licenciamiento de aplica
propiedad intelectual.

infraestructuras, instalaciones y servicios
relacionados, incluir y hacer cumplir los
derechos y obligaciones de todas las partes en
los términos contractuales. Estos derechos y
Aplica no
obligaciones pueden incluir niveles de
servicio, procedimientos de mantenimiento,
controles de acceso, seguridad, revisiones de
rendimiento, formas de pago y procesos de
arbitraje.
Gestionar contratos y relaciones con

APO10-BP3 proveedores.
1. Asignar propietarios de la relaciones para Aplica no 4 3 42.9

cada proveedor y hacerles responsables de la
373
calidad del servicio proporcionado.
2. Especificar un proceso de comunicación

formal y de revisión, que incluyan las
Aplica si
interacciones con el proveedor y la
planificación.
3. Acordar, gestionar, mantener y renovar los

contratos con los proveedores. Asegurar que
los contratos son conformes con las normas Aplica si
corporativas y con los requisitos legales y
regulatorios.
4. Incluir en los contratos con los proveedores

de servicios clave disposiciones para revisar No
los lugares de trabajo y las prácticas y aplica
controles de la dirección o de terceras partes.
5. Evaluar la eficiencia de la relación con los

proveedores e identificar las mejoras Aplica no
necesarias.
6. Definir, comunicar y acordar las maneras

de implementar las mejoras requeridas en las Aplica no
relaciones.
7. Hacer uso de los procedimientos

establecidos para tratar los conflictos
contractuales haciendo uso primero, siempre
Aplica no
que sea posible, de relaciones y mecanismos
de comunicación eficaces que permitan
superar los problemas de servicio.
8. Definir y formalizar los roles y

responsabilidades de cada proveedor. Cuando Aplica Si
varios proveedores se combinan para
proporcionar un servicio, considerar asignar
374
un rol de proveedor líder a uno de los
proveedores para que asuma la
responsabilidad global del contrato.
APO10-BP4 Gestionar el riesgo en el suministro. ¿Aplica? ¿Cumple? NO SI Prom
1. Identificar, supervisar y, cuando sea 1 1 50.0

apropiado, gestionar los riesgos relacionados
con la capacidad del proveedor de entregar el Aplica no
servicio de forma eficiente, eficaz, segura,
fiable y continua.
2. A la hora de definir el contrato, para los

riesgos potenciales, incluir una descripción
clara de todos los requisitos de servicio,
incluyendo depósitos de garantía, proveedores
alternativos o acuerdos en suspenso para Aplica si
mitigar el riesgo de un posible fallo del
proveedor; los aspectos de seguridad, la
propiedad intelectual y los requisitos legales y
regulatorios.
Supervisar el cumplimiento y el rendimiento

APO10-BP5 del proveedor.
1. Definir y documentar los criterios para 1 1 50.0

supervisar el rendimiento de los proveedores
alineado con los acuerdos de nivel de servicio Aplica si
y asegurando que el proveedor informa según
estos criterios de forma regular y transparente.
2. Supervisar y revisar la entrega de servicios

para asegurar que el proveedor está
proporcionando una calidad del servicio Aplica no
adecuada, cumpliendo los requisitos y las
condiciones de los contratos.
375
3. Revisar el rendimiento y el coste de los
proveedores para asegurar que son
No
competitivos y fiables, en comparación con
aplica
proveedores alternativos y condiciones de
mercado.
4. Solicitar revisiones independientes de las

No
prácticas internas y los controles, si se
aplica
considera necesario.
5. Registrar y evaluar los resultados de la

revisión periódica y discutirlos con el No
proveedor para identificar las necesidades y aplica
oportunidades de mejora.
6. Supervisar y evaluar la información externa No

disponible sobre el proveedor. aplica
Establecer un sistema de gestión de la calidad

APO11-BP1 ¿Aplica? ¿Cumple? NO SI Prom
(SGC).
1. Asegurar que el marco de control de TI, el 7 1 12.5

negocio y los procesos de TI incluyen un
enfoque estándar, formal y continuo de
gestión de la calidad que está alineado con los
requerimientos empresariales. Dentro del
Aplica no
marco de control de TI y de los procesos de
negocio y de TI, identificar los requisitos y
criterios de calidad (por ejemplo, sobre la base
de los requerimientos legales y los requisitos
de los clientes).
2. Definir roles, tareas, capacidades de

decisión y responsabilidades para la gestión Aplica no
de la calidad, dentro de la estructura
376
organizativa.
3. Definir planes de gestión de la calidad para

los procesos, proyectos u objetivos
importantes, que estén alineados con los
Aplica si
criterios y políticas del sistema de la calidad a
nivel corporativo. Registrar los datos
relacionados con la calidad.
4. Supervisar y medir la eficacia y la

aceptación de la gestión de la calidad, y Aplica no
mejorarla cuando sea necesario.
5. Alinear la gestión de la calidad TI con la

gestión de la calidad a nivel corporativo
Aplica no
fomentando un enfoque de la calidad
estandarizado y continuo.
6. Obtener los inputs necesarios de las partes

interesadas internas y externas para la
Aplica no
definición de los requisitos y los criterios de
aceptación de la calidad.
7. Comunicar de manera eficaz el enfoque

(por ejemplo, mediante programas de Aplica no
formación en calidad formales y regulares).
8. Revisar periódicamente la relevancia,

eficiencia y eficacia de los procesos
Aplica no
específicos de gestión de calidad. Supervisar
el cumplimiento de los objetivos de la calidad.
Definir y gestionar los estándares, procesos y

prácticas de calidad.
377
1. Definir las normas, procedimientos y 2 0 0.0
prácticas de gestión de la calidad en
consonancia con los requisitos del marco de
control TI. Hacer uso de las mejores prácticas Aplica no
de la industria como referencia para la mejora
y adaptación de los procesos de gestión de la
calidad de la empresa.
2. Considerar los costes y los beneficios de las

Aplica no
certificaciones de calidad.
Enfocar la gestión de la calidad en los

clientes.
1. Enfocar la gestión de la calidad en los 5 1 16.7

clientes, mediante la determinación los
requisitos de los clientes externos e internos y
asegurando su el alineamiento de las normas y
Aplica si
prácticas de TI. Definir y comunicar los roles
y responsabilidades relativos a la resolución
de conflictos entre clientes/usuarios y la
organización TI.
2. Gestionar las necesidades y las expectativas

del negocio para cada proceso de negocio,
servicio operativo y nuevas soluciones de TI y
Aplica no
mantener sus criterios de aceptación de la
calidad. Capturar los criterios de aceptación
de la calidad para su inclusión en los ANS.
3. Comunicar los requisitos y expectativas del

cliente por toda la organización de negocio y Aplica no
de TI.
4. Obtener periódicamente los puntos de vista

Aplica no
del cliente sobre los procesos de negocio y la
378
provisión de servicios y la entrega de
soluciones TI, para determinar el impacto
sobre las normas y prácticas de TI y garantizar
que se cumplen las expectativas de los
clientes y se actúa en consecuencia.
5. Supervisar y revisar regularmente que el

SGC está de acuerdo a los criterios de
aceptación de la calidad. Incluir los
comentarios de los clientes, usuarios y la Aplica no
dirección. Responder a las discrepancias en
los resultados de las revisiones para lograr una
mejorar continua del SGC.
6. Capturar los criterios de aceptación de la

Aplica no
calidad para su inclusión en los ANS.
Supervisar y hacer controles y revisiones de

calidad.
1. Supervisar la calidad de los procesos y 2 5 71.4

servicios de forma permanente y sistemática
mediante la descripción, las métricas, los Aplica si
análisis, la mejora/ingeniería y controles de
los procesos.
2. Preparar y llevar a cabo revisiones de

Aplica si
calidad.
3. Informar de los resultados de las revisiones

Aplica si
y poner en marcha las mejoras necesarias.
4. Supervisar la calidad de los procesos, así

como el valor proporcionado por la calidad.
Asegurar que la medición, supervisión y Aplica si
registro de la información es utilizada por los

propietarios de los procesos para tomar las
379
acciones correctivas y preventivas necesarias.
5. Supervisar las métricas de calidad basadas

en objetivos alineadas con los objetivos
generales de calidad y cubriendo la calidad de Aplica si
todos los servicios y los proyectos
individuales.
6. Asegurar que la dirección y los propietarios

de los procesos revisan periódicamente el
Aplica no
rendimiento de la gestión respecto a las
métricas de calidad definidas.
7. Analizar los resultados del rendimiento de

Aplica no
la gestión de la calidad global.
Integrar la gestión de la calidad en la

APO11-BP5 implementación de soluciones y la entrega de ¿Aplica? ¿Cumple? NO SI Prom
servicios.
1. Integrar las prácticas de gestión de la 2 1 33.3

calidad en los procesos y prácticas de Aplica no
desarrollo de soluciones.
2. Supervisar de manera continua los niveles

de servicio e incorporar prácticas de gestión
Aplica si
de la calidad en todos los procesos y prácticas
de prestación de servicios.
3. Identificar y documentar las causas raíz de

las no conformidades y comunicar los
resultados a la dirección de TI y otras partes Aplica no
interesadas de manera oportuna para permitir
que se adopten las medidas correctivas
oportunas. Cuando sea necesario, realizar el
380
seguimiento de las revisiones.
APO11-BP6 Mantener una mejora continua ¿Aplica? ¿Cumple? NO SI Prom
1. Mantener y comunicar regularmente la 4 3 42.9

necesidad y los beneficios de la mejora Aplica si
continua.
2. Establecer una plataforma para compartir

las mejores prácticas y para capturar la
Aplica no
información sobre los defectos y errores que
permita aprender de ellos.
3. Identificar ejemplos recurrentes de los

defectos de calidad, determinar su causa raíz,
evaluar su impacto y resultado y acordar Aplica si
acciones de mejora con todos los miembros de
los proyectos y los servicios.
4. Identificar ejemplos recurrentes de los

defectos de calidad, determinar su causa raíz,
No
evaluar su impacto y resultado y acordar
aplica
acciones de mejora con todos los miembros de
los proyectos y los servicios.
5. Promover una cultura de calidad y mejora

Aplica no
continua.
6. Establecer un circuito de retroalimentación

entre la gestión de la calidad y la gestión de Aplica no
problemas.
7. Proporcionar a los empleados la formación

necesaria en los métodos y herramientas de Aplica no
mejora continua.
381
8. Realizar un análisis comparativo con los
resultados de las revisiones de calidad internas
frente a datos históricos, las directrices de la Aplica si
industria, las normas y datos de tipo similar en
otras empresas.
APO12-BP1 Recopilar datos. ¿Aplica? ¿Cumple? NO SI Prom
1. Establecer y mantener un método para la

recogida, clasificación y análisis de datos
relacionados con riesgo de TI, dando cabida a
Aplica si 4 3 42.9
múltiples tipos de eventos, múltiples
categorías de riesgo de TI y múltiples factores
de riesgo.
2. Registrar datos relevantes sobre el entorno

de operación interno y externo de la empresa
Aplica no
que pudieran jugar un papel significativo en la
gestión del riesgo de TI.
3. Medir y analizar los datos históricos de

riesgo de TI y de pérdidas experimentadas
tomados de datos y tendencias externas
disponibles, empresas similares de la industria Aplica no
– basados en eventos registrados, bases de
datos y acuerdos de la industria sobre
divulgación de eventos comunes.
4. Registrar datos sobre eventos de riesgo que

han causado o pueden causar impactos al
beneficio/valor facilitado por TI, a la entrega Aplica si
de programas y proyectos de TI y/o a las
operaciones y entrega de servicio de TI.
Capturar datos relevantes sobre asuntos
382
relacionados, incidentes, problemas e
investigaciones.
5. Para clases o eventos similares, organizar

los datos recogidos y destacar factores
contribuyentes. Determinar los factores Aplica no
contribuyentes comunes para eventos
múltiples.
6. Determinar las condiciones específicas que

existían o faltaban cuando ocurrieron los
eventos de riesgo y la forma en la cual las Aplica no
condiciones afectaban la frecuencia del evento
y la magnitud de la pérdida.
7. Ejecutar análisis periódicos de eventos y de

factores de riesgo para identificar asuntos
nuevos o emergentes relacionados con el
Aplica si
riesgo y para obtener un entendimiento de los
asociados factores de riesgo internos y
externos.
APO12-BP2 Analizar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir la amplitud y profundidad

apropiadas para los esfuerzos en análisis de
riesgos, considerando todos los factores de
riesgo y la criticidad en el negocio de los Aplica si 3 4 57.1
activos. Establecer el alcance del análisis de
riesgos después de llevar a cabo un análisis
coste-beneficio.
2. Construir y actualizar regularmente

escenarios de riesgo de TI, que incluyan Aplica no
escenarios compuestos en cascada y/o tipos de
383
amenaza coincidentes y desarrollar
expectativas para actividades de control
específicas, capacidades para detectar y otras
medidas de respuesta.
3. Estimar la frecuencia y magnitud de

pérdida o ganancia asociada con escenarios de
riesgo de TI. Tener en cuenta todos los
Aplica no
factores de riesgo que apliquen, evaluar
controles operacionales conocidos y estimar
niveles de riesgo residual.
4. Comparar el riesgo residual con la

tolerancia al riesgo e identificar exposiciones Aplica si
que puedan requerir una respuesta al riesgo.
5. Analizar el coste-beneficio de las opciones

de respuesta al riesgo potencial, tales como
evitar, reducir/mitigar, transferir/compartir y Aplica si
aceptar y explotar/capturar. Proponer la
respuesta al riesgo óptima.
6. Especificar requerimientos de alto nivel

para los proyectos o programas que
implementarán las respuestas de riesgo
seleccionadas. Identificar requerimientos y Aplica si
expectativas para los controles clave que son
apropiados para las respuestas de mitigación
de riesgos.
7. Validar los resultados de análisis de riesgos

antes de usarlos para la toma de decisiones,
confirmando que los análisis se alinean con Aplica no
requerimientos de empresa y verificando que
las estimaciones fueron apropiadamente
calibradas y examinadas ante una posible
384
parcialidad.
APO12-BP3 Mantener un perfil de riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Inventariar los procesos de negocio,

incluyendo el personal de soporte,
aplicaciones, infraestructura, instalaciones,
registros manuales críticos, vendedores,
Aplica no 3 4 57.1
proveedores y externalizados y documentar la
dependencia de los procesos de gestión de
servicio TI y de los recursos de
infraestructuras TI.
2. Determinar y acordar qué servicios TI y

recursos de infraestructuras de TI son
esenciales para sostener la operación de Aplica no
procesos de negocio. Analizar dependencias e
identificar eslabones débiles.
3. Agregar escenarios de riesgo actuales, por

Aplica si
categoría, línea de negocio y área funcional.
4. De forma regular, capturar toda la

información sobre el perfil de riesgo y
Aplica si
consolidarla dentro de un perfil de riesgo
agregado.
5. Sobre la base de todos los datos del perfil

de riesgo, definir un conjunto de indicadores
de riesgo que permitan la identificación rápida Aplica no
y la supervisión del riesgo actual y las
tendencias de riesgo.
6. Capturar información sobre eventos de

riesgos de TI que se han materializado, para Aplica si
su inclusión en el perfil de riesgo de TI de la
385
empresa.
7. Capturar información sobre el estado del

plan de acción del riesgo, para la inclusión en Aplica si
el perfil de riesgo de TI de la empresa.
APO12-BP4 Expresar el riesgo. ¿Aplica? ¿Cumple? NO SI Prom
1. Informar de los resultados del análisis de

riesgos a todas las partes interesadas afectadas
en términos y formatos útiles para soportar las
decisiones de empresa. Cuando sea posible,
Aplica no 4 1 20.0
incluir probabilidades y rangos de pérdida o
ganancia junto con niveles de confianza que
permitan a la dirección equilibrar el retorno
del riesgo.
2. Proporcionar a los responsables de toma de

decisiones un entendimiento de los escenarios
peor y más probables, exposiciones de
Aplica si
diligencia debida y consideraciones sobre la
reputación, legales y regulatorias
significativas.
3. Informar el perfil de riesgo actual a todas

las partes interesadas, incluyendo la
efectividad del proceso de gestión de riesgos,
la efectividad de los controles, diferencias, Aplica no
inconsistencias, redundancias, estado de la
remediación y sus impactos en el perfil de
riesgo.
4. Revisar los resultados de evaluaciones

objetivas de terceras partes, auditorías internas Aplica no
y revisiones del aseguramiento de la calidad y
mapearlos con el perfil de riesgo. Revisar las
386
diferencias y exposiciones identificadas para
determinar la necesidad de análisis de riesgos
adicionales.
5. De forma periódica, para áreas con un

riesgo relativo y una paridad de capacidad del
riesgo, identificar oportunidades relacionadas
Aplica no
con TI que podrían permitir la aceptación de
un mayor riesgo y un crecimiento y retorno
mayores.
Definir un portafolio de acciones para la

APO12-BP5 gestión de riesgos.
1. Mantener un inventario de actividades de

control que estén en marcha para gestionar al
riesgo y que permitan que el riesgo que se
tome esté alineado con el apetito y tolerancia
Aplica si 1 2 66.7
al riesgo. Clasificar las actividades de control
y mapearlas con las declaraciones de riesgo
específicas de TI y agrupaciones de riesgo de
TI.
2. Determinar si cada entidad organizativa

supervisa el riesgo y acepta la responsabilidad
Aplica no
para operar dentro de sus niveles de tolerancia
individuales y de portafolio.
3. Definir un conjunto de propuestas de

proyecto equilibradas diseñadas para reducir
el riesgo y/o proyectos que permitan
Aplica si
oportunidades estratégicas empresariales,
considerando costes/beneficios, el efecto en el
perfil de riesgo actual y las regulaciones.
APO12-BP6 Responder al riesgo. ¿Aplica? ¿Cumple? NO SI Prom
387
1. Preparar, mantener y probar planes que
documenten los pasos específicos a tomar
cuando un evento de riesgo pueda causar un
incidente significativo operativo o evolucionar Aplica si 2 2 50.0
en un incidente con un impacto de negocio
grave. Asegurar que los planes incluyan vías
de escalado a través de la empresa.
2. Categorizar los incidentes y comparar las

exposiciones reales con los umbrales de
tolerancia al riesgo. Comunicar los impactos
Aplica no
en el negocio a los responsables de toma de
decisiones como parte de la notificación y
actualizar el perfil de riesgo.
3. Aplicar el plan de respuesta apropiado para

minimizar el impacto cuando ocurren Aplica si
incidentes de riesgo.
4. Examinar eventos adversos/pérdidas del

pasado y oportunidades perdidas y determinar
sus causas raíz. Comunicar la causa raíz,
requerimientos de respuesta adicionales para
el riesgo y mejoras de proceso a los
Aplica no
responsables de toma de decisiones
apropiados y asegurarse de que la causa, los
requerimientos de respuesta y la mejora del
proceso se incluyan en los procesos de
gobierno del riesgo.
APO13-BP1 Establecer y mantener un SGSI. ¿Aplica? ¿Cumple? NO SI Prom
1. Definir el alcance y los límites del SGSI en Aplica no 7 0 0

términos de las características de la empresa,
388
la organización, su localización, activos y
tecnología. Incluir detalles de y justificación
para, cualquier exclusión del alcance.
2. Definir un SGSI de acuerdo con la política

de empresa y alineada con la empresa, la
Aplica no
organización, su localización, activos y
tecnología.
3. Alinear el SGSI con el enfoque global de la

Aplica no
gestión de la seguridad en la empresa.
4. Obtener autorización de la dirección para

Aplica no
implementar y operar o cambiar el SGSI.
5. Preparar y mantener una declaración de

aplicabilidad que describa el alcance del Aplica no
SGSI.
6. Definir y comunicar los roles y las

responsabilidades de la gestión de la seguridad Aplica no
de la información.
7. Comunicar el enfoque de SGSI. Aplica no
APO13-BP2 Definir y gestionar un plan de tratamiento del

riesgo de la seguridad de la información.
1. Formular y mantener un plan de tratamiento

de riesgos de seguridad de la información
alineado con los objetivos estratégicos y la
arquitectura de la empresa. Asegurar que el
plan identifica las prácticas de gestión y las Aplica no 5 2 28.6
soluciones de seguridad apropiadas y óptimas,
con los recursos, las responsabilidades y las
prioridades asociadas para gestionar los riegos
identificados de seguridad de información.
389
2. Mantener un inventario de componentes de
la solución implementados para gestionar los
Aplica si
riesgos relacionados con la seguridad como
parte de la arquitectura de la empresa.
3. Desarrollar propuestas para implementar el

plan de tratamiento de riesgos de seguridad de
la información, sustentados en casos de
Aplica no
negocio adecuados que incluyan consideren la
financiación la asignación de roles y
responsabilidades.
4. Proporcionar información para el diseño y

desarrollo de prácticas de gestión y soluciones
Aplica si
seleccionadas en base al plan de tratamiento
de riesgos de seguridad de información.
5. Definir la forma de medición de la

efectividad de las prácticas de gestión
seleccionadas y especificar la forma de utilizar
Aplica no
estas mediciones para evaluar la efectividad y
producir resultados reproducibles y
comparables.
6. Recomendar programas de formación y

concienciación en seguridad de la Aplica no
información.
7. Integrar la planificación, el diseño, la

implementación y la supervisión de los
procedimientos de seguridad de información y
otros controles que permitan la prevención y Aplica no
detección temprana de eventos de seguridad,
así como la respuesta a incidentes de
seguridad.
390
APO13-BP3 Supervisar y revisar el SGSI. ¿Aplica? ¿Cumple? NO SI Prom
1. Realizar revisiones periódicas del SGSI,

incluyendo aspectos de políticas, objetivos y
prácticas de seguridad del SGSI. Considerar
los resultados de auditorías de seguridad, Aplica si 3 2 40.0
incidentes, resultados de mediciones de
efectividad, sugerencias y retroalimentación
de todas las partes interesadas.
2. Realizar auditorías internas al SGSI a

Aplica no
intervalos planificados.
3. Realizar revisiones periódicas del SGSI por

la Dirección para asegurar que el alcance
Aplica no
sigue siendo adecuado y que se han
identificado mejoras en el proceso del SGSI.
4. Proporcionar información para el

mantenimiento de los planes de seguridad para
que consideren las incidencias de las Aplica si
actividades de supervisión y revisión
periódica.
5. Registrar las acciones y los eventos que

podrían tener un impacto en la efectividad o el Aplica no
desempeño del SGSI.
391
ANEXO 5: Mapa de Procesos
Actuales procesos de la empresa IT-Expert.
Ilustración 40: Mapa de procesos
Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del
Primer Dominio de Gestión 26
26
Este modelo no es parte del marco de referencia COBIT 5, pero es útil como apoyo en las
actividades que se realizaran en el transcurso del proyecto.
392
Descripción: Cuadro de doble entrada que muestra la relación entre los procesos
identificados en el mapeo anterior (Mapeo entre las metas relacionadas con TI y los
Procesos del modelo de COBIT 5) con los procesos actuales de la empresa IT-Expert.
Propósito: Tener una trazabilidad entre la situación actual de la empresa y el modelo de

procesos de COBIT 5.
Alcance: Solo se considera los procesos del primer dominio de gestión de COBIT 5.
Tabla 25: Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT
5 del Primer Dominio de Gestión
Mapeo entre los procesos actuales de IT-Expert y Modelo de Procesos de COBIT 5 del
Primer Dominio de Gestión
Procesos Actuales de IT-Expert
de
Portafolio
Planteamiento Estratégico
Gestión de Conocimiento
ID
Gestión de Servicios TI
Gestión de Riesgos TI
Nombre del Proceso

Gestión de Recursos
Gestión de Cambio
Gestión de Calidad
Proceso
de
Proyectos
Gestión
Gestionar la Arquitectura
APO03 Empresarial
APO04 Gestionar la Innovación
APO05 Gestionar Portafolio
APO06 Gestionar el Presupuesto y los Costes
393
APO13 Gestionar la Seguridad
394
ANEXO 6: Actas de Reunión 2da Etapa
Reuniones Profesor Gerente
395
396
397
398
399
400
401
402
403
404
Reuniones Profesor Cliente
405
406
407
408
409
410
411
412
Reuniones Alumno Gerente
413
414
415
416
417
ANEXO 7: EDT del Proyecto 2da Etapa
418
419
420
421
422
423
424
425
426
427
428
429
430
431
ANEXO 8: Actas de Aceptación de los Entregables de la
Implementación del Modelo de Gestión Estratégica
432
ANEXO 9: Acta de Aceptación de la Gestión del Proyecto
433
ANEXO 10: Constancia de Servicio de Validación y
Verificación QS
434
435
436
437
ANEXO 11: Certificado de Aprobación
438
ANEXO 12: Paper Científico
Implementación del Proceso “Gestionar el Marco de Gestión de TI del dominio APO”
de COBIT 5 para una pequeña empresa
Peter Juro, Carlos A. Velásquez, Vania Rosas
Universidad Peruana de Ciencias Aplicadas, Facultad de Ingeniería
Prolongación primavera 2390, Lima, Perú, Lima 33
u201011057@upc.edu.pe, u201011417@upc.edu.pe, vania.rosas@upc.edu.pe
Abstract
Nowadays, an appropriate information management in companies is crucial to succeed in a very competitive

business environment and doing a correct decision making. Therefore, TI management is critic from a strategy
level view. This paper shows the research about the implementation of the process named “Managing the
management TI frame” in a small company that offers information technology services. This implementation is
based on ISACA “COBIT 5 Implementation” methodology. The reference model process that is used was
obtained from the TI management first domain of the COBIT 5 reference frame and the process evaluation
model used was the PAM (Process Assessment Model) model from the same reference frame. For this
investigation job, firstly, a current-capacity evaluation of all process was done and also the level capacity goals
were done as well; after performing a gap analysis, required improvements to reach level capacity goal were
proposed, which were implemented in the company. Furthermore, it was determined to apply improvements
related to a process using an evaluation that is based on the implementation difficulty level (time, required
knowledge) and the benefits they would provide. Later, a second evaluation was performed to check if the
capacity goal was reached for the elected process; indeed, it was reached and it shows that is very feasible to
implement the models proposed from the reference frame.
Keywords: COBIT 5, APO, implementation, strategic management model of IT.
Resumen
439
Actualmente el manejo adecuado de información en las empresas es fundamental para sobresalir en un
ambiente competitivo a nivel empresarial y realizar una correcta toma de decisiones. En este sentido, la gestión
de TI desde un nivel estratégico es vital. Este artículo muestra el trabajo realizado en la implementación del
proceso “Gestionar el marco de gestión de TI” en una pequeña empresa de servicios de tecnología de
información. Esta implementación se realizó siguiendo la metodología de implementación propuesta por la
guía de ISACA “COBIT 5 Implementation”. El modelo de procesos de referencia usado fue obtenido del
primer dominio de gestión de TI del marco de referencia COBIT 5 y el modelo de evaluación de procesos
utilizado fue PAM (Process Assessment Model) del mismo marco de referencia. Para este trabajo, se realizó en
primera instancia una evaluación de la capacidad actual de los procesos y se definió también el nivel de
capacidad objetivo de los mismos. Después de un análisis de brechas, se propusieron las mejoras necesarias
para alcanzar el nivel de capacidad objetivo, las cuales se implementaron en la empresa. Se determinó aplicar
las mejoras relacionadas al proceso mediante una evaluación basada en la dificultad de implementación
(tiempo, conocimiento necesario) y los beneficios que producirían estas mejoras. Posteriormente, se realizó
una segunda evaluación para ver si efectivamente se había alcanzado el nivel de capacidad objetivo para el
proceso elegido, lo cual se logró y muestra lo factible que es implementar el modelo de todos los dominios del
marco de referencia.
Palabras clave: COBIT 5, APO, implementación, modelo de gestión estratégica de TI.
Área temática: Gobierno y gestión de TI
Introducción
La tecnología de información (TI) no es un tema nuevo, más bien todo lo contrario. Sin embargo, desde que la
automatización de la gestión de la misma ha sido posible, se ha convertido en una herramienta clave para las
empresas. Pasó de ser un elemento de la empresa que solo desempeñaba una función de soporte y de manera
aislada del negocio a ser un elemento que interactúa con toda la organización, pues administra el recurso más
valioso de la empresa, la información. Gracias a eso, actualmente los servicios de TI representan una parte
esencial de los procesos de negocio.
Pero no todas las organizaciones realizan una correcta gestión de TI, sobre todo aquellas que no están
consolidadas, las pymes, estas presentan ciertos problemas vinculados a la gestión de TI, ya que la tecnología
de la información por sí sola no asegura nada. Algunos de los problemas que enfrentan la mayoría de estas
440
organizaciones en la gestión de TI son: Falta de alineamiento entre los objetivos de TI y los estratégicos, una
pobre gestión de proyectos, inversiones que no generan beneficio alguno, falta de control y seguimiento, y
gestión de servicios inadecuada.
Por ello, es importante identificar alguna herramienta que ayude a corregir estos problemas. Actualmente,
existen muchos marcos de referencias y conjuntos de buenas prácticas relacionadas a la TI, pero se ha
encontrado que si son utilizados de manera colectiva se tornan muy confusos y difíciles de integrar, incluso
pueden llegar a obstruirse entre ellos.
ISACA, la Asociación de Auditoría y Control de Sistemas de Información, tomando en cuenta esto ha

desarrollado un marco de referencia integrador, el cual permite a las empresas entender la importancia
estratégica de TI e integra las mejores prácticas, estándares u otros marcos relacionados a TI bajo un solo
nombre, COBIT 5. Este marco propone el gobierno y gestión de la TI, como solución para dar apoyo a las
empresas en la planeación estratégica, y sobre todo en la toma de decisiones.
Este artículo tiene como objetivo presentar la implementación de un modelo de gestión estratégica basado en
COBIT 5 para un pyme dedicada a brindar servicios de TI. La metodología de implementación usada se
encuentra en la guía “COBIT 5: Implementation”, el modelo de evaluación de procesos usado se encuentra en
la guía “COBIT 5: Process Assessment Model” y el modelo de referencia de procesos en la guía “COBIT 5:
Enabling Processes”.
A continuación, se detallará la estructura del presente artículo. En la sección 2, se muestra la información de la

revisión de la literatura de modelos de gobierno y gestión de TI. La sección 3 contiene el modelo propuesto de
gestión estratégica de TI basado en el dominio APO del marco de referencia COBIT 5. En la sección 4, se
muestra la validación del modelo propuesto. Por último, las conclusiones son presentadas en la sección 5.
Revisión de modelos de gobierno y gestión de TI
En [2], se propone un modelo de gestión basado en COBIT 5 y la ISO 27002 orientado a la seguridad de la
información del ERP implementado en la empresa EP PETROECUADOR, en el cual se validó el
involucramiento de la alta gerencia en todas las iniciativas propuestas, para lo cual se tuvo que identificar los
procesos que más aportaban valor a los objetivos de la alta gerencia mediante la cascada de metas. El principal
aporte de esta investigación se ve reflejado en el uso de COBIT 5, no solamente como un marco de referencia
de procesos, sino más bien como un medio para potenciar un proyecto estratégico mediante el gobierno
441
corporativo de TI, basado en el análisis de riesgo, la protección y uso adecuado de uno de los activos más
importantes de una organización “La información”. El modelo propuesto ha considerado los siete
catalizadores: 1 - Política y principios, 2 - procesos, 3 - estructura organizativa, 4 – Servicios e infraestructura,
5 – información, 6 - Cultura, ética y comportamientos, 7 – Gente, habilidades y competencias, los cuales se
especificaron usando la norma inicialmente mencionada.
Por otro lado, en [13], se propone un modelo de gobierno y gestión de TI que alinee el área de TI con la
estrategia del negocio enfocado en la etapa de transformación digital de la industria editorial. La investigación
se basa en el modelo genérico de gobierno y gestión de TI M3GTI, el cual posee tres ejes principales:
Gobierno de TI, que permite alinear desde un vista de TI a las empresas de la industria editorial en su proceso
de transformación digital; Gestión de TI, que permite apoyar a las empresas en su proceso de transformación
digital; y por último, documentación y modelado, que presenta la documentación y modelado los procesos de
forma genérica basándose en el gobierno y gestión de TI. La propuesta se apoya en COBIT 5 como marco de
referencia, y utiliza la técnica de la cascada de metas para obtener los procesos relevantes para el sector. Uno
de los aportes más importantes es la definición de la brecha estratégica de la industria editorial, que permite
definir cuáles deben ser los puntos en que se debe concentrar mayor esfuerzo, y que combinado con la técnica
de la cascada, al final se pudo obtener los procesos de TI filtrados y priorizados, los cuales componen el
modelo propuesto.
Por otra parte, [15] propone un modelo de gobierno de TI para entidades bancarias de Colombia, que satisfaga
las necesidades legales y corporativas de este sector. Para realizar este modelo se tuvo que escoger una base de
referencia así como otros marcos que apoyen a las estrategias de gobierno. Se seleccionó la ISO 38500:2008,
ya que es una norma internacional que brinda un estándar para que la dirección de las organizaciones evalúe,
dirija y controle el uso de las tecnologías de la información. Los marcos de apoyo que complementa el marco
base y apoyan el gobierno de TI son: COBIT 4.1, CMMIDEV, ISO 27001, ISO 27002 e ISO 9001.
Para crear este modelo, primero ser tuvo que identificar los requerimientos de TI claves para el modelo de
gobierno de TI, los cuales se obtuvieron del Sistema de Control Interno para la gestión de tecnología, el cual
está orientado a cubrir los requerimientos de TI y a contribuir al logro de los objetivos institucionales, y que
por cumplir de ley las entidades bancarias deben tener. Después de determinar los requerimientos de TI, el
marco base y los marcos de apoyo, se procedió a definir el modelo, el cual consistió en agrupar los 19
requerimientos de TI identificados en los 6 principios de la Norma ISO 38500:2008. Posterior a esto, se
determinó cuales actividades de los marcos de apoyo ayudarían a cumplir con los objetivos de los 6 principios
de ISO 38500:2008 y finalmente se determinó una serie de indicadores de gestión que permitan evaluar el
cumplimiento de las metas propuestas.
442
Adicionalmente, este trabajo propone un método de autoevaluación del nivel de madurez del gobierno de TI
también basado en la ISO 385000:2008. Asimismo, añade a su propuesta una guía de implementación, la cual
se desarrolla de la siguiente manera: fase 1 – Obtener el compromiso de la alta dirección, fase 2 – Determinar
el estado actual, fase 3 – Establecer el estado futuro deseado, fase 4 – Identificar las brechas, fase 5 – Definir el
plan de implementación, fase 6 – Desarrollar el plan de implementación, y por último, la fase 7 – Monitorear y
controlar el desempeño de la implementación.
En un cuarto artículo, [1] se presenta un modelo para el gobierno de las TI para universidades como parte del
marco de referencia GTI4U, el cual que se basa y respeta por completo el modelo de gobierno de la ISO
38500, pero agrega un conjunto de herramientas que facilitan su implementación en entornos universitarios. El
modelo GTI4U está compuesto por los siguientes tres niveles.
El primer nivel incluye todos los elementos de la norma ISO 38500: 1 - modelo de gobierno TI, compuesto por
tres actividades: Evaluar, Dirigir y Monitorizar, 2 - principios, que expresan cuales son los comportamientos
que deben adoptarse a la hora de la toma de decisiones y son: Responsabilidad, estrategia, adquisición,
desempeño, cumplimiento y componente humano, y 3 - buenas prácticas y diccionario de términos. El segundo
está compuesto por un modelo de madurez (MM) para cada principio, que se utilizará para establecer en qué
nivel de madurez de gobierno de las TI se encuentra cada universidad. La escala de calificación posee seis
valores: 0 – Inexistente, 1 – Inicial, 2- Repetible, 3 – Definido, 4- Medible y 5 – Optimizado. Y el tercero está
compuesto por un conjunto de indicadores que van servir para medir hasta qué punto se satisfacen los criterios
presentados en la norma. Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será
evaluado a partir de un conjunto de indicadores agrupados en tres tipos diferentes: Las cuestiones de madurez
(CM), que son preguntas diseñadas con el objetivo de situar automáticamente a la organización en el nivel que
le corresponde dentro del Modelo de Madurez de Gobierno TI de cada principio, los indicadores de evidencia
de gobierno (IEG), que son buenas prácticas que deben estar presentes en la organización para mejorar su
madurez de gobierno de las TI, y por último, los indicadores cuantitativos de gobierno (ICG), que son
evidencias de cuál es el estado de madurez de algunos aspectos tecnológicos de la organización.
Finalmente, en [12] se presenta un Modelo Unificado e Integrado de Procesos para la Gobernanza y la Gestión
de TI que reúna las mejores prácticas de la industria, de tal manera que las organizaciones no tengan que
estudiar los diversos estándares existentes, sino que exista un modelo único que puedan tomar como base para
la personalización de su esquema de gobierno y gestión de TI, de acuerdo a las características propias de la
organización. Para el desarrollo del modelo, se revisaron los siguientes marcos de referencia: ISO 38500, el
modelo Calder Moir, COBIT 5, PMBOK, ISO 20000, ITIL, CMMI y el modelo APQC. A partir de los marcos
de trabajo o modelos de buenas prácticas mencionados, se definió un modelo unificado e Integrado de procesos
para la gobernanza y gestión de TI que recoge los procesos clave, de extremo a extremo en el ciclo de vida de
la información, siguiendo la siguiente metodología: Primero, se evaluaron las coincidencias y diferencias de
443
todos los procesos sugeridos para obtener la relación de procesos más completa. Segundo, se seleccionaron los
procesos más relevantes. Tercero, se agruparon los procesos en tres niveles: Estratégico, operativo y de
soporte. Y por último, se realizó la descripción de los procesos definidos en el mapa de procesos.
El modelo propuesto en el nivel estratégico, el cual engloba los procesos estratégicos clave para el
establecimiento y desarrollo de la estrategia para el buen gobierno de TI, posee tres áreas: 1 - Evaluación,
Dirección y Monitorización de TI, 2 - Planificación y Organización, y 3 - Gestión de la Demanda. En el nivel
operativo, en el cual se encuentran aquellos procesos ligados directamente con la realización del producto o
prestación del servicio, propone cuatro áreas: 4 - Gestión de Programas y Proyectos, 5 - Gestión de
Aplicaciones, 6 - Gestión de Servicios, y 7 - Gestión de Operación. Y en el nivel de soporte y monitorización,
en el cual se encuentran aquellos procesos horizontales que ayudan y se interrelacionan fuertemente con los
procesos de los grupos anteriores, se dividen en dos áreas: 8 - Procesos de soporte y 9 - Procesos de
Monitorización.
El modelo propuesto permite el alineamiento entre TI y el negocio, así como, una mayor interrelación entre los
procesos de manera que TI se integra en la organización y deja de operar como una entidad aislada. Sin
embargo, el modelo propuesto no detalla los procesos, es decir no indica sus entradas, salidas, y flujo de
actividades, lo cual sería una muy buena base para las empresas y facilitaría bastante la implantación del
modelo.
Aplicación del modelo de gestión estratégica de TI
La presente sección muestra trabajo realizado en la implementación del modelo del proceso Gestionar el marco
de gestión de TI propuesto por el marco de referencia COBIT 5. Para realizar esta implementación, se ha
seguido la metodología de implementación propuesta por ISACA en la guía COBIT 5: Implementation. Esta se
consta de siete fases: ¿Cuáles son los motivos? ¿Dónde estamos ahora? ¿Dónde queremos ir? ¿Qué es preciso
hacer? ¿Cómo conseguiremos llegar? ¿Hemos conseguido llegar? y ¿Cómo mantenemos vivo el impulso?
En la primera fase, es fundamental establecer en la organización la necesidad del cambio a nivel directivo, pues
sin un patrocinio ejecutivo es menos probable el éxito del proyecto. Con este fin, se identificaron los puntos
débiles y eventos desencadenantes del cambio, los cuales sirvieron como motivadores del cambio que fueron
comunicados a la dirección para crear conciencia y fortalecer su apoyo, y son mostrados en la tabla 1.
Asimismo, es importante también considerar las necesidades de las partes interesadas. Por eso, se identificaron
444
los intereses y expectativas de las mismas, así como, las responsabilidades y el nivel de apoyo relacionado al
proyecto.
Motivadores del cambio
Duplicación de tareas o responsabilidades
Desconocimiento de las políticas
Gestión del conocimiento ineficiente
Gestión de los documentos ineficiente
Tabla 1. Motivadores del cambio identificados
En la segunda fase, era necesario en primera instancia identificar cómo TI agrega valor a la empresa, es decir,
determinar la manera en que los objetivos de TI ayudan alcanzar los objetivos de la organización. Para esto, se
tuvo que realizar la cascada de metas, la cual muestra la trazabilidad entre los objetivos de negocio, los
objetivos de TI y los de procesos. Gracias a este mapeo, se pudo identificar los procesos clave mostrados la
tabla 2, los cuales se sometieron a una evaluación de procesos para determinar su capacidad.
Procesos Número de metas de TI

relacionados
APO01 Gestionar el Marco de Gestión de 3

TI
APO02 Gestionar la Estrategia 3
APO03 Gestionar la Arquitectura 3

Empresarial
APO04 Gestionar la Innovación 2
APO05 Gestionar Portafolio 1
APO07 Gestionar los Recursos Humanos 3
445
APO08 Gestionar las Relaciones 3
APO09 Gestionar los Acuerdos de Servicio 1
APO10 Gestionar los Proveedores 1
APO11 Gestionar la Calidad 2
APO12 Gestionar el Riesgo 2
APO13 Gestionar la Seguridad 2
Tabla 2. Procesos alineados a los objetivos de TI
Para la evaluación de los procesos, se utilizó el modelo de evaluación de procesos propuesto por ISACA
COBIT Process Model Assessment (PAM), ya que al estar basado en la ISO/IEC 15504 permite realizar una
evaluación confiable, coherente y repetible. Este modelo propone seis niveles de capacidad: 0-incompleto, 1-
ejecutado, 2-gestionado, 3-establecido, 4-predecible y 5-optimizado. Cada nivel se evalúa independientemente
y tiene una escala de cuatro calificaciones: N-no alcanzado, P-parcialmente alcanzado, L-ampliamente
alcanzado y F-completamente alcanzado. Para determinar la calificación, es necesario evaluar los atributos de
capacidad asociados a cada nivel mediante el uso de fuentes de evidencias ya sean de realización del proceso
(relacionada con el objetivo del proceso definido en el modelo de referencia de procesos) o de la capacidad del
proceso (relacionada con las practicas base propuestas en el modelo de evaluación).
En este punto, se decidió realizar una evaluación del nivel de capacidad uno a los procesos seleccionados
anteriormente. Por lo tanto, era necesario evaluar el atributo de capacidad asociado a este nivel: Desempeño
del proceso. La evaluación se basó en el cumplimiento del propósito del proceso, las prácticas base y los
productos de trabajo generados por el proceso. Después de realizar la evaluación, los resultados fueron los
mostrados en la tabla 3.
446
Procesos Calificación
APO01 Gestionar el Marco de Gestión de P

TI
APO02 Gestionar la Estrategia P
APO03 Gestionar la Arquitectura N

Empresarial
APO04 Gestionar la Innovación N
APO05 Gestionar Portafolio P
APO07 Gestionar los Recursos Humanos P
APO08 Gestionar las Relaciones P
APO09 Gestionar los Acuerdos de Servicio L
APO10 Gestionar los Proveedores P
APO11 Gestionar la Calidad P
APO12 Gestionar el Riesgo P
APO13 Gestionar la Seguridad P
Tabla 3. Resultado de evaluación de capacidad de nivel 1
Tal como se puede observar, la mayoría de los procesos obtuvieron una calificación P-parcialmente alcanzado
o inferior a excepción de uno. Por lo que, su nivel de capacidad sería 0-Incompleto, ya que para decir que un
proceso tiene un nivel de capacidad determinado, en este caso de nivel uno, debe obtener al menos una
calificación L-ampliamente alcanzado en la evaluación.
En la tercera fase, se determinó junto a la gerencia el nivel de capacidad deseado para los procesos evaluados,
el cual fue el nivel 1-ejecutado. Una que se tuvo definido el nivel de capacidad actual y el deseado, se realizó
un análisis de brechas con el fin de identificar las posibles mejoras que ayudasen a lograr alcanzar el nivel de
capacidad objetivo.
447
Las posibles mejoras se basaban en la adopción de algunas prácticas base que no se realizaban en la
organización, lo que involucraba el diseño o rediseño de los procesos, creación de roles, políticas y plantillas
de productos de trabajo.
En la fase cuatro, se realizó una evaluación para priorizar y seleccionar las mejoras propuestas. Dicha
evaluación se basó en la dificultad de la implementación (el tiempo estimado, la capacidad de conocimiento
necesaria) y los beneficios post-implementación.
En este caso, se escogieron las mejoras relacionadas al proceso Gestionar el marco de gestión de TI, pues las
prácticas base asociadas a este proceso no involucraban gran conocimiento técnico ni tampoco un periodo de
implementación largo y al ser un proceso que alimentaba a otros, su mejora iba a repercutir no solo en el
mismo sino también en otros procesos que utilizaban los productos de trabajo que este generase. Además,
muchos de los puntos débiles identificados al inicio de la implementación eran resueltos mediante la mejora de
dicho proceso.
En la fase cinco, se realizó la implementación del proceso, es decir, se realizaron las actividades necesarias
para establecer las prácticas claves del proceso en la empresa, así como, la ejecución de un plan del cambio
para mitigar posibles escenarios desfavorables a la implementación. En la siguiente tabla, se muestran las
prácticas claves del proceso.
448
Prácticas claves a implementar
Definir la estructura organizativa
Establecer roles y responsabilidades
Mantener los elementos catalizadores del sistema de gestión
Comunicar los objetivos y la dirección de gestión
Gestionar la mejora continua de los procesos
Mantener el cumplimiento con las políticas y procedimientos
Tabla 4. Prácticas clave a implementar
La implementación de estas prácticas involucró la creación de nuevos roles y responsabilidades propias del
proceso, las cuales se formalizaron mediante la actualización de los documentos MOF y ROF de la empresa.
Además, para minimizar la resistencia al cambio por parte del personal, se definieron plantillas de los
productos de trabajo generados por el proceso, ya que estas reducen los errores y el esfuerzo en la elaboración
de los productos de trabajo.
En la fase seis, se tuvo que supervisar el desempeño del proceso implementado mediante el uso de indicadores.
Para lo cual, se definió un objetivo para cada métrica, así como, las medidas iníciales para las mismas y cada
cierto periodo de tiempo, se recopiló la nueva información de las métricas para compararlas con los objetivos
definidos en un inicio. De esta manera, se pudo identificar algunas variaciones y tomar acciones correctivas en
el caso que los resultados no eran los esperados. Para realizar un control de las métricas de manera cómoda, se
crearon cuadros de control que mostraban el estado de los siguientes indicadores de la tabla 5.
Indicadores
Porcentaje de políticas documentadas y actualizadas
Porcentaje del personal que comprenden las políticas
Porcentaje de procesos documentados y actualizados
449
Número de incidentes por incumplimiento de políticas
Frecuencia de revisión y actualización de las políticas
Porcentaje de partes interesadas que comprenden las políticas
Frecuencia de evaluaciones de mejora continua
Tabla 5. Indicadores del proceso Gestionar el marco de gestión de TI
Validación
En la última fase, se revisó la efectividad de la implementación mediante una segunda evaluación de la

capacidad de nivel uno para el proceso implementado, cuyo resultado se muestra en la tabla 6.
Evaluación de capacidad de nivel 1
del proceso Gestionar el marco de gestión de TI
Cumplimiento del objetivos 100%
Ejecución de prácticas base 81.83%
Uso de productos de trabajo 78.57%
Resultado de evaluación 86.80% = F-completamente alcanzado
Tabla 6. Evaluación de capacidad de nivel 1 del proceso Gestionar el marco de gestión de TI
Se puede observar del cuadro anterior que se logró mejorar la calificación del proceso de P-parcialmente
alcanzado a F-completamente alcanzado. Por lo que, se puede decir que la implementación del proceso fue
satisfactoria.
Conclusiones
450
COBIT 5 es un marco que integra las mejores prácticas planteadas por otros marcos de trabajo, estándares o
normas internacionales más usadas en la actualidad. Por lo que, la implementación de futuros proyectos
basadas en estas serán totalmente compatibles con el proceso implementado.
Al realizar la segunda evaluación de capacidad del proceso Gestionar el marco de gestión de TI, se obtuvo una
calificación F-Completamente alcanzado, con lo que dicho proceso logra tener un nivel 1 de capacidad. Por lo
tanto, se puede decir que la implementación fue exitosa.
El apoyo y concientización de la dirección ejecutiva desde un inicio del proyecto fue un factor importante para
el éxito del mismo, ya que cada vez que se presentaba un inconveniente, se resolvía de manera rápida porque
se tenía mapeado a todos los responsables y partes interesadas.
451
Referencias
[1] A. Fernández, Modelo de Gobierno de las TI para Universidades (GTI4U),

http://www.gti4u.es/pdf/capitulo10-gobierno-de-las-ti-para-universidades-gti4u.pdf, Mayo 2014.
A. Mera, Diseño del modelo de gestión de seguridad de la información del sistema ERP de EP Petroecuador de
acuerdo a norma ISO/IEC 27002 y COBIT 5, http://repositorio.espe.edu.ec/handle/21000/8073, Mayo 2014.
A. Rubio, Modelo de Procesos de Gobernanza y Gestión de TI –MPI-GTI, Universidad Politécnica de Madrid,

2012.
I.L. Muñoz, G. Ulloa, Gobierno de TI Estado del arte,

http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf, Mayo 2014.
Information Systems Audit And Control Association (ISACA), COBIT5 Un Marco de Negocio para el
Gobierno y la Gestión de las TI dela Empresa, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, Process Enablers. Rolling Meadows:
ISACA, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, COBIT 5 for Information Security.
Rolling Meadows: ISACA, 2012.
Information Systems Audit and Control Association (ISACA) COBIT5, Implementation. Rolling Meadows:
ISACA, 2012.
Information Systems Audit and Control Association (ISACA), Process Assessment Model (PAM): Using
COBIT 5, 2012.
Information Technology Infrastructure Library (ITIL), Página web oficial de ITIL que contiene información
acerca del marco de trabajo, Mayo 2014
International Organization for Standardization (ISO), Página web oficial de la ISO que contiene información
acerca de los estándares internacionales, Mayo 2014
J. Carrillo, A.P. Rubio, Modelo de Procesos Integrado de Gobernanza y Gestión de TI, Revista Aemes, vol. 9,
No 1, 29-45.
J. Saavedra, A. Torres, Modelo de Gobierno de TI como apoyo al proceso de transformación digital en

empresas de la industria editorial, http://hdl.handle.net/10906/70808, Mayo 2014.
L.Y. Chavarro, N. Hoyos, Y. Muriel, Gobierno de ti en Pymes: caso empresas privadas de seguridad en
Bogotá, http://repository.ucatolica.edu.co:8080/jspui/handle/10983/1323, Mayo 2014.
452
M.H. Correa, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de Colombia,
http://bibliotecadigital.icesi.edu.co/biblioteca_digital/handle/10906/70666, Mayo 2014.
M.E. Correa, B.A. Parra, Modelo y guía para la implementación de Gobierno de TI en Entidades Bancarias de
Colombia, http://hdl.handle.net/10906/70666, Mayo 2014.
453
ANEXO 13: Poster y Brief
454
La gestión de la información es muy importante en la actualidad, en un ambiente de
competitividad empresarial es vital para realizar una correcta toma de decisiones mediante el
uso adecuado de la tecnología de información. El modelo a implementar proporciona un
marco integral que ayuda a IT-Expert a lograr sus objetivos y entregar valor mediante un
gobierno efectivo de TI. Asimismo, se logra una apropiada arquitectura que permite que la
tecnología de información se relacione con el gobierno empresarial y que se administre
alineando los objetivos de TI a los objetivos del negocio.
Para esto, el modelo a implementar estará basado en los principios de COBIT 5, el marco de
referencia integrado que está alineado con los últimos marcos y normas más relevantes y
usadas por las organizaciones actualmente.
455

Proyecto Profesional Juro - Velásquez PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Proyecto Profesional Juro - Velásquez PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Implementación de un modelo de gestión

estratégico de TI para la empresa IT-Expert

Item Type info:eu-repo/semantics/bachelorThesis

Authors Juro Pereira, Peter; Velásquez Vara, Carlos Andrés

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Download date 07/12/2019 02:08:10

Link to Item http://hdl.handle.net/10757/582052

Escuela de Ingeniería de Sistemas y Computación

Carrera de Ingeniería de Sistemas de Información

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN

Memoria del Proyecto Profesional para la obtención del Título Profesional de

U201011057, Peter Juro Pereira

Escobar Urueña, Marcela

Lima, Octubre 2015

Actualmente el manejo adecuado de la información en las empresas es fundamental para

El presente documento muestra el trabajo realizado en el proyecto “Implementación de un

RESUMEN EJECUTIVO .................................................................................................................................... II

TABLA DE CONTENIDOS ................................................................................................................................. V

DESCRIPCIÓN DEL PROYECTO ........................................................................................................................ 3

OBJETO DE ESTUDIO ........................................................................................................................................ 4

MARCO TEORICO ......................................................................................................................................... 18

ESTADO DEL ARTE........................................................................................................................................ 28

ESTADO DEL ARTE .......................................................................................................................................... 29

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN ESTRATEGICA EN IT-EXPERT ............................................ 45

GESTIÓN DEL PROYECTO ........................................................................................................................... 248

PRODUCTO FINAL ........................................................................................................................................ 249

CONCLUSIONES ......................................................................................................................................... 263

RECOMENDACIONES ................................................................................................................................. 265

GLOSARIO .................................................................................................................................................. 266

SIGLARIO ................................................................................................................................................... 268

BIBLIOGRAFÍA ............................................................................................................................................ 269

ANEXOS ..................................................................................................................................................... 270

ANEXO 1: ACTAS DE REUNIÓN 1ERA ETAPA ......................................................................................................... 270

ILUSTRACIÓN 1: DIAGRAMA DE EQUIPO ......................................................................................................................... 9

TABLA 1: DOMINIO DEL PROBLEMA .............................................................................................................................. 4

El presente documento representa la memoria del proyecto “Implementación de un modelo

En el capítulo 1, se describe el problema que existe en la Gestión de Tecnologías de

DOMINIO DEL PROBLEMA

La trazabilidad entre las necesidades No existe un modelo de gobierno y gestión de

Falta de integración entre los No existe una adecuada administración de la

Fuente: Elaboración propia

PLANTEAMIENTO DEL PROBLEMA

Gestionar adecuadamente el marco de gestión de TI

Un manejo adecuado de los portafolios de proyectos

OBJETIVO DEL PROYECTO

OG: Implementar un modelo de gestión de TI para la alineación, planificación y

OE3: Implementar el modelo de gestión de TI propuesto en la empresa IT-Expert

IE2 – Certificado de QS de las definiciones de procesos del modelo propuesto

IE3 – Acta de aceptación de los entregables de la implementación del modelo propuesto

El presente proyecto tendrá como resultado final la implementación de un modelo de gestión

Plan de Gestión del Tiempo

Tabla 2: Plan de gestión de tiempo (Fases e hitos del proyecto)

Project Charter Alta

Cascada de metas Alta

Estado del arte

Exposición de fin de Memoria parcial Alta

Exposición de fin de Memoria Final Alta

Fuente: Elaboración propia

Los entregables son aquellos que están en cursiva

Tabla 3: Actividades semanal / Entregables

Semana Actividades / Entregables

Investigar marco de referencia de COBIT 5

Semana 3 Desarrollar Project Charter