Business">
Guía Didáctica
Guía Didáctica
Guía Didáctica
Información
Guía didáctica
MAD-UTPL
Facultad de Ingenierías y Arquitectura
Gobernanza de Tecnologías de la
Información
Guía didáctica
Tecnologías de la información IX
Autoras:
MAD-UTPL
Universidad Técnica Particular de Loja
Reconocimiento-NoComercial-CompartirIgual
4.0 Internacional (CC BY-NC-SA 4.0)
Usted acepta y acuerda estar obligado por los términos y condiciones de esta Licencia, por lo que, si existe el
incumplimiento de algunas de estas condiciones, no se autoriza el uso de ningún contenido.
Los contenidos de este trabajo están sujetos a una licencia internacional Creative Commons
Reconocimiento-NoComercial-CompartirIgual 4.0 (CC BY-NC-SA 4.0). Usted es libre de Compartir —
copiar y redistribuir el material en cualquier medio o formato. Adaptar — remezclar, transformar y construir
a partir del material citando la fuente, bajo los siguientes términos: Reconocimiento- debe dar crédito de
manera adecuada, brindar un enlace a la licencia, e indicar si se han realizado cambios. Puede hacerlo
en cualquier forma razonable, pero no de forma tal que sugiera que usted o su uso tienen el apoyo de la
licenciante. No Comercial-no puede hacer uso del material con propósitos comerciales. Compartir igual-Si
remezcla, transforma o crea a partir del material, debe distribuir su contribución bajo la misma licencia del
original. No puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otras a
hacer cualquier uso permitido por la licencia. https://creativecommons.org/licenses/by-nc-sa/4.0/
01 de abril, 2022
MAD-UTPL
Índice Índice
1. Datos de información................................................................................ 8
1.1. Presentación de la asignatura.......................................................... 8
1.2. Competencias genéricas de la UTPL............................................... 8
1.3. Competencias específicas de la carrera......................................... 8
1.4. Problemática que aborda la asignatura........................................... 9
2. Metodología de aprendizaje...................................................................... 9
3. Orientaciones didácticas por resultados de aprendizaje............................ 10
Primer bimestre............................................................................................. 10
Semana 1 .................................................................................................... 10
Semana 2 .................................................................................................... 15
Semana 3 .................................................................................................... 25
Semana 4 .................................................................................................... 33
4 MAD-UTPL
Actividades de aprendizaje recomendadas............................................... 39
Índice
Autoevaluación 2.......................................................................................... 40
Semana 5 .................................................................................................... 42
Semana 6 .................................................................................................... 51
Semana 7 .................................................................................................... 58
Semana 8 .................................................................................................... 64
Segundo bimestre......................................................................................... 65
Semana 9 .................................................................................................... 65
5 MAD-UTPL
Semana 10 .................................................................................................. 77
Índice
Semana 11 .................................................................................................. 84
Semana 12 .................................................................................................. 87
Semana 13 .................................................................................................. 95
Semana 14 .................................................................................................. 96
6 MAD-UTPL
Autoevaluación 7.......................................................................................... 107
Índice
7 MAD-UTPL
1. Datos de información
8 MAD-UTPL
1.4. Problemática que aborda la asignatura
2. Metodología de aprendizaje
9 MAD-UTPL
3. Orientaciones didácticas por resultados de aprendizaje 1 Bimestre
Primer bimestre
Semana 1
10 MAD-UTPL
1.1. Gobernanza Corporativa
11 MAD-UTPL
1. Trato igualitario y protección a los intereses de los accionistas.
12 MAD-UTPL
1.2. Gobernanza de TI
1.2.1. Definición
Tabla 1.
Preguntas sobre gobierno corporativo y gobierno de TI
13 MAD-UTPL
Preguntas sobre gobierno corporativo Preguntas sobre gobernanza de TI
¿Cómo se aseguran los proveedores de ¿Cómo se asegura la alta dirección de que
finanzas de que los gerentes no roban el sus organizaciones de TI y CIO no roben el
capital que suministran o lo invierten en malos capital que aportan o invierten en malos
proyectos? proyectos? 1 Bimestre
¿Cómo controlan los proveedores de finanzas ¿Cómo controla la alta dirección a su CIO y
a los gerentes? su organización de TI?
1.2.2. Importancia
14 MAD-UTPL
aumentar la productividad y eficiencia mientras reduce y mitiga los
riesgos al mismo tiempo.
Actividad 1
Semana 2
1.2.3. Cobertura
15 MAD-UTPL
Figura 1.
Áreas de enfoque del Gobierno de TI
Gestión de recursos de TI
1 Bimestre
Entrega de
valor de TI
Implulsores de
Alineamiento Gestión de
valor para los
estratégico riesgos
interesados
Evaluación del
rendimiento
Alineamiento estratégico
16 MAD-UTPL
La alineación estratégica suele ser compleja y multifacética, pero debe
ser abordada por el gobierno de tal forma que se garantice inversiones
correctas. El gobierno de TI no se interesa únicamente por la alineación
entre la organización de TI con el de la organización en general. De acuerdo
a (IT Governance Institute, 2003), también se trata de si las operaciones de 1 Bimestre
Figura 2.
Alineación empresarial/IT
Estrategia
empresarial
Operaciones Actividades de
alineamiento Estrategia de TI
empresariales
Operaciones de
TI
17 MAD-UTPL
Entrega de valor
Figura 3.
Vistas del valor de TI.
- Retorno de inversión
- Retorno de activos
- Retorno por empleado Unidad de negocio Gestión de
financiero
- Tiempo de traer un nuevo negocio
producto al mercado
- Ventas por el nuevo producto Unidad de negocio
- Calidad de producto o operacional
servicio
18 MAD-UTPL
Gestión de riesgos
mediante:
19 MAD-UTPL
Evaluación del rendimiento
20 MAD-UTPL
y Reclutamiento y, más importante, retención de personal de TI
calificado.
personal.
Actividad 1
Actividad 2
21 MAD-UTPL
Autoevaluación 1
1 Bimestre
Lea detenidamente cada una de las preguntas y seleccione la alternativa
correcta según corresponda.
22 MAD-UTPL
3. ¿Cuál de las siguientes preguntas corresponden al gobierno
corporativo?
23 MAD-UTPL
8. En la gestión del riesgo el CEO:
c. a y b.
24 MAD-UTPL
Semana 3
En esta semana vamos a estudiar el enfoque GRC, un marco de trabajo que 1 Bimestre
permite administrar la gobernabilidad, gestionar los riesgos empresariales
y el cumplimiento de las obligaciones regulatorias internas y externas de
una organización. Para comprender este enfoque, iniciaremos deduciendo
que significa y que representa el acrónimo GRC. Luego, revisaremos los
aspectos fundamentales que se deben tener en cuenta en cada uno de estos
conceptos: gobernanza, riesgo y cumplimiento. Tenga en cuenta que, el
enfoque GRC a pesar de que hace énfasis en la gobernabilidad TI, se amplía
para abordar todo lo concerniente a prácticas y principios para administrar
requisitos de gobernanza de toda la organización.
G: Gobernanza
R: Riesgo
C: Cumplimiento
Gobernanza
25 MAD-UTPL
de las partes interesadas para que todos estén claros de cómo opera la
organización. Recuerde que, todas las organizaciones y empresas tienen
problemas y requisitos de gobernanza. La gobernanza es algo inherente y
presente en cualquier organización.
1 Bimestre
Riesgo
26 MAD-UTPL
Las organizaciones deben cumplir con las políticas, las reglas y leyes
estatales establecidas en toda una serie de niveles. Para ello, necesitan
procesos sólidos que garanticen que las actividades están operando en
conformidad con los criterios establecidos en estas normas. Además, aún
con la adopción de las normas, las actividades deben seguir desarrollándose 1 Bimestre
Cumplimiento
Para evitar las sanciones que pueden presentarse por falta de controles
y para gestionar adecuadamente los riesgos, se habla de cumplimiento.
De esta forma, bajo criterios internos y externos de cumplimiento, las
organizaciones deben demostrar que todas sus operaciones se ejecutan
acorde a los criterios empresariales y a las políticas y leyes estatales,
nacionales e internacionales.
27 MAD-UTPL
interno y externo y, además, garantizar que las operaciones se ejecutan
siguiendo criterios de cumplimiento también internos y externos que estén
siendo establecidos.
28 MAD-UTPL
Figura 4.
Gobernanza GRC
Gobernanza
Operaciones Ética
1 Bimestre
Estrategia
Procesos Personas
Tecnología
Risk Regulaciones
Appetite externas
Gestión de
riesgos Cumplimiento
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
29 MAD-UTPL
Algunos beneficios resumidos del enfoque GRC son:
procesos y tecnología
Centralizar la información
Tener convergencia
Control interno
Implementar procesos de auditoría
Impactar en la cultura organizacional
30 MAD-UTPL
organización, porque todos los involucrados deben adherirse a los principios
éticos y a las mejores prácticas propuestas, así como a leyes, normas y
estándares formales apropiados.
Algunas de las experiencias que han sufrido las organizaciones al no contar 1 Bimestre
Abusos de poder
Errores de juicios financieros
Actividades delictivas
Falta o mal manejo de toma de decisiones
Se reducen las capacidades de la organización para innovar
No existe una buena cultura organizacional
Disipaciones de poderes
31 MAD-UTPL
Figura 5.
Responsabilidades de gobernanza GRC.
1 Bimestre
Responsabilidades
Gobernanza
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
32 MAD-UTPL
Actividades de aprendizaje recomendadas
Actividad 1 1 Bimestre
Lea el recurso propuesto para que pueda comprender cómo puede realizar
la adopción de un enfoque GRC. En el recurso se presentan los pasos del
estado actual GRC y los resultados de estado futuro deseado, para lo cual
revise Enfoque GRC
Semana 4
Una vez que hemos aprendido los conceptos clave del enfoque GRC
y hemos revisado los principios concernientes a gobernanza y sus
responsabilidades asociadas. En esta semana, vamos a analizar los
principios de riesgos y cumplimiento. Para ello, primero analizamos
un proceso de 4 pasos para gestionar adecuadamente los riesgos.
Seguidamente, revisaremos cómo establecer un alcance para el
cumplimiento y que áreas deberíamos considerar.
1. Evaluación y planificación
2. Identificación y análisis
3. Explotación y desarrollo de estrategia en respuesta a los riesgos
4. Seguimiento
33 MAD-UTPL
Revisemos más adelante detalladamente los temas para definir qué
actividades involucran cada uno de estos pasos.
Evaluación y planificación
1 Bimestre
Las organizaciones están constantemente sometidas a algún tipo de
riesgo. Ya sea por regulaciones globales, nacionales o algún otro aspecto
como el clima, la salud, etc. Considere también que, la globalización, la
competencia, la crisis monetaria, la crisis sanitaria son factores que pueden
ser fluctuantes, pero afectan el desempeño de la organización.
Identificación y análisis
34 MAD-UTPL
Explotación y desarrollo de estrategias en respuesta a los riesgos
1. Analizar oportunidades
2. Desarrollar planes de gestión de riesgos
3. Implementar estrategias
Seguimiento de riesgos
1. Monitorear cambios
2. Establecer factores de riesgo
3. Monitoreo de la organización y el ambiente
4. Evaluar pasos previos
35 MAD-UTPL
2.4. Cumplimiento GRC
36 MAD-UTPL
El cumplimiento empresarial debe verse como un proceso continuo,
no como un proyecto de una sola vez. Sin embargo, los requisitos de
cumplimiento continúan impulsando las agendas comerciales, ya que
las empresas son responsables de cumplir con la miríada de mandatos
específicos de sus mercados o áreas de operación particulares. En la 1 Bimestre
Tabla 2.
Alcance para gobernanza GRC
Área
Alcance
empresarial
Estrategia Se debe pensar en estrategias para la sostenibilidad de la organización. A
medida qué las organizaciones desarrollan sus planes estratégicos deben
determinar que regulaciones son más relevantes de acuerdo a su ámbito
de aplicación.
Organización Al momento de realizar el diseño organizacional se debe pensar en cómo
la estructura puede tener estándares de cumplimiento. Para ello se pueden
crear diversos comités, órganos o juntas para proponer criterios de diseño
organizacional. Uno de ellos podría ser que las direcciones ejecutivas y el
presidente o CEO sean dos personas diferentes.
Procesos Los procesos clave o centrales de la organización deben estar
documentados. Además, se debe garantizar que existen mecanismos que
soportan o respaldan que la ejecución de estos procesos se da de acuerdo
a los estándares de cumplimiento establecidos.
Aplicaciones y Las aplicaciones deben diseñarse, desarrollarse y probarse garantizando
datos criterios de cumplimiento. Uno de estos criterios tiene que ver con la
integridad de los datos. Los datos deben ser debidamente tratados de
acuerdo a las regulaciones.
Infraestructura Las instalaciones deben estar dispuestas para cumplir diversas
necesidades y garantizar la seguridad y disponibilidad del trabajo.
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
37 MAD-UTPL
Flexibilidad: la tecnología podría ayudar a que las respuestas frente
a los cambios regulatorios se den con mayor facilidad. Esto podría
incluir la generación de reportes o Dashboard de datos. A través
de este tipo de iniciativas la organización puede adaptarse más
1 Bimestre
rápidamente a los cambios.
38 MAD-UTPL
Crear planes de comunicación para comunicar a las partes
interesadas y al personal en general los enfoques, principios y reglas
de gobernanza que se han de llevar a cabo en diferentes niveles.
Actividad 1
Actividad 2
Actividad 3
39 MAD-UTPL
Autoevaluación 2
1 Bimestre
Lea detenidamente cada una de las preguntas y seleccione la alternativa
correcta según corresponda.
a. Gobernanza.
b. Riesgo.
c. Cumplimiento.
a. Gestión de riesgos.
b. Cumplimiento.
c. Gobernanza.
a. Riesgos.
b. Gobernanza.
c. Cumplimiento.
40 MAD-UTPL
6. Los principios de cumplimiento están directamente relacionados con:
41 MAD-UTPL
Semana 5
42 MAD-UTPL
(Moeller, 2013) (p.29) indica que los gerentes de las empresas son los
responsables de implementar y administrar los procesos de control interno,
mientras que los auditores actúan como partes independientes con el fin de
revisar y evaluar estos controles e informar a la gerencia y a otras partes sí
son los adecuados. 1 Bimestre
Tabla 3.
5 Componentes y 17 principios del control interno
5 Componentes 17 Principios
Control ambiental 1. Demuestra compromiso con la integridad y los
valores éticos.
2. Ejerce la responsabilidad de fiscalización.
3. Establece estructura, autoridad y responsabilidad.
4. Demuestra compromiso con la competencia.
5. Hace cumplir la rendición de cuentas.
Evaluación del riesgo 6. Especifica objetivos adecuados
7. Identifica y analiza el riesgo
8. Evalúa el riesgo de fraude
9. Identifica y analiza cambios significativos.
Actividades de control 10. Selecciona y desarrolla actividades de control.
11. Selecciona y desarrolla controles generales sobre la
tecnología.
12. Despliega actividades de control a través de políticas
y procedimientos.
43 MAD-UTPL
5 Componentes 17 Principios
Información y comunicación 13. Utiliza información relevante
14. Se comunica internamente
15. Se comunica externamente
Monitoreo de actividades 16. Realiza evaluaciones continuas y/o separadas. 1 Bimestre
17. Evalúa y comunica deficiencias.
Nota. Adaptado de Schandl, A., & Foster, P. (2019). Coso Inter Control - Integrated
Framework: An implementation guide for health care provider industry.
Tabla 4.
Partes interesadas internas
44 MAD-UTPL
Interesados Internos Beneficios de COBIT
Proveedores de aseguramiento Ayuda a gestionar la dependencia con proveedores
externos de servicios y asegurar la existencia de
controles internos eficaces.
Gestión de riesgos Ayuda con la identificación y gestión de los riesgos 1 Bimestre
relacionados con IT.
Tabla 5.
Partes interesadas externas
45 MAD-UTPL
Figura 6.
Principios de COBIT.
46 MAD-UTPL
3.2.2. Objetivos de gobierno y gestión
Figura 7.
Objetivos de gobierno y gestión
DSS MEA
Entregar, Dar Monitorizar,
Servicio y Evaluar y
Soporte Valorar
47 MAD-UTPL
Figura 8.
Modelo base de COBIT
1 Bimestre
Nota. Adaptado de COBIT Core Model [Fotografía], por ISACA, 2019, COBIT 2019
Framework: Introduction and Methodology.
(ISACA, 2019) (p.21) menciona que, para cumplir con los objetivos de
gobierno y gestión, las empresas deben establecer y adaptar un sistema de
gobierno a partir de componentes. Estos componentes interactúan entre sí
proporcionando un sistema holístico y que de forma individual y colectiva
contribuyen al buen funcionamiento del gobierno de la empresa en cuanto a
IT.
48 MAD-UTPL
Actividades de aprendizaje recomendadas
Actividad 1 1 Bimestre
Organización y Personas
Información y Tecnología
Socios y proveedores
Cadena de valor y procesos
49 MAD-UTPL
Cadena de valor del servicio: Son todas las actividades que realiza una
empresa para entregar un servicio o producto a sus consumidores
agregando valor.
Tabla 6.
Prácticas de ITIL
Prácticas Gestión General Prácticas Gestión del servicio Prácticas Gestión Técnicas
Gestión de arquitectura Gestión de la disponibilidad Gestión de implementación
Mejora continua Análisis de negocio Gestión de infraestructura y
Gestión de seguridad de la Gestión de la capacidad y plataformas
información desempeño Desarrollo y gestión de
Gestión del conocimiento Control de cambios software
Medición y reporte Gestión de incidentes
Gestión del cambio Gestión de activos de TI
organizacional Gestión de eventos y
Gestión del portafolio monitoreo
Gestión de proyectos Gestión de problemas
Gestión de relaciones Gestión de liberación
Gestión de riesgos Gestión de catálogo de
Gestión financiera del servicio servicio
Gestión de la estrategia Gestión de configuración del
Gestión de proveedores servicio
Gestión del personal y talento Gestión de continuidad del
servicio
Diseño de servicio
Service Desk
Gestión de niveles de
servicios
Gestión de solicitudes de
servicio
Validación y pruebas del
servicio
Como se pudo evaluar en la tabla anterior, ITIL ofrece una gran cantidad
de prácticas que sirven a la infraestructura de IT para brindar sus servicios
de manera eficiente. Sin embargo, de acuerdo a (Moeller, 2013) (p.93)
dentro de la gestión financiera de servicio es una práctica que la gerencia
50 MAD-UTPL
financiera y la gerencia de IT tiende a ignorar ya que para ambos tiende a ser
un tema difícil de tratar por desconocer de temas financieros en el caso de
IT y conceptos técnicos en el caso de las personas financieras. A pesar de
aquello, las organizaciones deben tener un control interno importante e ITIL
les ayuda a ejecutarla. El objetivo que tiene el control de gestión financiera 1 Bimestre
Semana 6
51 MAD-UTPL
Finalmente, la capa más externa representa a todos los profesionales de
IT, quienes usan herramientas y metodologías comprobadas (COSO, ISO,
TOGAF, COBIT) para planificar, diseñar. Evaluar, controlar y brindar el soporte
requerido al negocio.
1 Bimestre
Figura 9.
Calder – Moir.
GREEN IT
GOBERNANZA, TOGAF
CONFORMIDAD Y CUMPLIMIENTO
PLANES
GESTIÓN DE ADMINISTRACIÓN DE
ESTRATÉGICOS
RIESGOS, CONTROLES
AUDITORÍA ZACHMAN
MODELO DE FRAMEWORK
NEGOCIO ESTRATEGIA DE
PLANES INFORMACIÓN
DE NEGOCIO RIESGO,
ENTORNO CONFORMIDAD Y
CUMPLIMIENTO ARQUITECTURA
EMPRESARIAL
DE NEGOCIOS BALANCE
BALANCE DE TI SCORECARD
ESTRATEGIAS ESTRATEGIA
SCORECARD ESTRATEGIA
DEL NEGOCIO DEL PRINCIPIOS
DE TI
NEGOCIO ISO DE TI
PROTECCIÓN OPERACIONES
38500 PREPARACIÓN
DE DATOS DE NEGOCIO OPERACIONES
CAMBIO PROYECTOS PRINCE 2
COBIT OPERACIONES PROGRAMAS
DE TI PMBOK
ISO 27001 BALANCE DE LA
MÉTODOS
GESTIÓN DE TECNOLOGÍA E
MSP
TCO/ROI ACTIVOS DE TI INFORMACIÓN ALINEAMIENTO
52 MAD-UTPL
3.5. Estándares ISO 9001, 27002 y 38500
(Moeller, 2013) (p. 109) acota que los estándares ISO deben ser de
conocimiento para cualquier alto ejecutivo de tal forma que pueda adoptar
el adecuado para su negocio. En la presente sección se tratará tres de ellos.
La ISO 9001 que ayuda con prácticas de calidad para procesos comerciales
y de fabricación, la 27002 y 38500 que ayuda a definir las características de
los procesos para la gestión de servicios, esenciales para un servicio de alta
calidad.
Las normas de la serie ISO 9000 se crearon con el fin de precisar los
requisitos que debería tener un sistema de gestión de calidad. Su origen
se da en Japón en las décadas de 1950 y 1960, cuando su proceso de
fabricación de automóviles fue reconocida de mejor calidad que la de los
Estados Unidos.
De las 3 normas indicadas, la que contiene los requisitos para cumplir con
un sistema de gestión de calidad y su certificación es la ISO 9001: 2008.
53 MAD-UTPL
En la siguiente figura, se muestra un modelo de gestión de calidad basado
en procesos que está impulsado por procedimientos internos para mejoras
continuas, así como las solicitudes de los clientes. De acuerdo a (Moeller,
2013) (p.113) el proceso de mejora continua no es nuevo para los altos
mandos. Los profesionales de desarrollo de sistemas también han utilizado 1 Bimestre
Figura 10.
Sistema de gestión de calidad por procesos.
Gestión
Responsabilidad
Calidad
Gestión
Gestión
Recurso
Gestión
Análisis y
Sistema
Mejora
Producto
Realización
Cliente
Cliente Satisfacción
Requisitos Necesidades
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
54 MAD-UTPL
3.5.2. Normas de seguridad de TI: ISO 27001 y 27002
Las normas ISO 27001 y 27002 forman parte de la familia ISO 27000:2018 y
ayudan a establecer un sistema de seguridad de la información o SGSI con
políticas, procedimientos, recursos y demás actividades necesarias para que 1 Bimestre
Figura 11.
Relaciones de la familia de normas ISMS.
Vocabulario estándar -
Cláusula 5.2 27000
Guías específicas de
estándares - 27010 27011 2 1017 27018 27019
Cláusula 5.5
Controles específicos de
estándar (fuera del alcance de 2703 x 2704 x
este documento)
Según (Moeller, 2013) (p.112) el primer paso que las empresas deben
realizar si desean implementar la ISO 27002, es identificar sus propias
necesidades y requisitos de seguridad de la información. Esto requiere
hacer una evaluación de riesgos de seguridad de la información de acuerdo
con los procesos de riesgos empresariales del comité de organizaciones
patrocinadoras (COSO). Dentro del esquema de esta norma se puede
encontrar:
55 MAD-UTPL
1. Alcance
2. Términos y definiciones
3. Necesidad de una política de seguridad de alto nivel
4. Requisitos
y Infraestructura de seguridad de la información 1 Bimestre
56 MAD-UTPL
3.5.3. ISO 38500
El ISO 38500 proporciona un marco de seis principios para que las empresas
evalúen, dirijan y monitoreen el uso de las TI. A continuación se detallan
(Moeller, 2013) (p.120): 1 Bimestre
Principio 1: Responsabilidad
Principio 2: Estrategia
Principio 3: Adquisición
Principio 4: Rendimiento
Principio 5: Cumplimiento
57 MAD-UTPL
Actividades de aprendizaje recomendadas
Actividad 1 1 Bimestre
Semana 7
La gerencia debe poner empeño en identificar todos los riesgos que puedan
poner en riesgo la operación del negocio.
(UN Office for Disaster Risk Reduction, s.f.) menciona que la gestión de
riesgos es el proceso de identificar, analizar y cuantificar las probabilidades
de pérdidas y efectos secundarios que se producen por algún desastre. De
igual forma, identifica acciones preventivas, correctivas y reductivas que
deben realizarse.
58 MAD-UTPL
4. Seguimiento de los riesgos: Se debe implementar procesos continuos
para evaluar el estado actual de los riesgos detectados, y en el caso de
que ocurran evaluar el progreso de las acciones correctivas.
En el mundo de los negocios existen varias prácticas que permiten a una 1 Bimestre
COSO ERM es un marco que ayuda a las empresas a tener una definición
lógica de lo que se entiende por riesgo a nivel empresarial. La versión 2017
es la última actualización y pretende, según (Deloitte, 2017) (p.20):
Una mayor comprensión del valor de la gestión del riesgo para ejecutar
y definir la estrategia.
Acondiciona de mejor manera las expectativas de gobierno y
supervisión.
Mayor transparencia para los stakeholders.
Interpreta la evolución de la tecnología y la difusión del análisis de
datos que soporta para la toma de decisiones.
59 MAD-UTPL
de riesgos empresariales a lo largo del tiempo a la luz de cambios
sustanciales y qué revisiones se necesitan.
La OCEG es una organización sin fines de lucro que ayuda a las empresas a
mejorar su gobierno, gestión de riesgos y cumplimiento. El “libro rojo”, libro
publicado por la OCEG muestra su desarrollo de un modelo de capacidad de
GRC. Este modelo de capacidad tiene varios conceptos similares a COSO
ERM y otros de GRC e incluyen los siguientes objetivos: (Moeller, 2013)
(p.153-154)
Actividad 1
60 MAD-UTPL
Autoevaluación 3
1 Bimestre
Lea detenidamente cada una de las preguntas y seleccione la alternativa
correcta según corresponda.
61 MAD-UTPL
4. Gestión de proyectos, gestión de portafolio, gestión de seguridad de la
información pertenecen al grupo de prácticas de ITIL.
a. General.
b. Servicio. 1 Bimestre
c. Técnicas.
a. Adquisición.
b. Factor humano.
c. Rendimiento.
a. Gestión de portafolio.
b. Gestión de riesgos.
c. Gestión de servicios.
62 MAD-UTPL
8. Es una herramienta sencilla para ayudar a las organizaciones a
implementar la norma ISO/IEC 38500 para el gobierno de TI en el
mundo real.
b. Zachman.
c. PCI DSS.
9. Permite que todas las empresas hablen un mismo idioma para afirmar
que tienen algún sistema implementado.
a. COSO.
b. ISO.
c. PETI.
63 MAD-UTPL
Semana 8
1 Bimestre
Hemos culminado con el estudio del primer bimestre. Por ello, le invitamos
a prepararse para rendir la evaluación presencial correspondiente al primer
bimestre. Le sugerimos algunos lineamientos que pueden ayudarle:
¡Muchos éxitos!
64 MAD-UTPL
Segundo bimestre
Semana 9
65 MAD-UTPL
existen muchos retos. Por ello, en esta unidad vamos a analizar 3 tipos de
tecnología que son más comunes en la gestión de TI y los problemas de
gobierno que estas tecnologías traen consigo.
66 MAD-UTPL
Figura 12.
Tipos de modelos de servicio de nube.
Servicio
Servicio
Servicio
67 MAD-UTPL
Los beneficios de estos tipos de modelos de servicio son:
68 MAD-UTPL
las autoridades soliciten datos de la organización que se puedan
proporcionar sin comprometer otra información.
69 MAD-UTPL
a obedecer los requisitos locales de privacidad en nombre de sus
clientes.
4.2. Virtualización
70 MAD-UTPL
Figura 13.
Esquema de virtualización.
OS OS OS OS OS OS OS OS OS
2 Bimestre
Almacenamiento
compartido
71 MAD-UTPL
Debemos tomar en cuenta que la virtualización ha permitido que las
organizaciones no se preocupen por la gestión de la infraestructura de
almacenamiento. Por ejemplo, para que una organización pueda adquirir
un nuevo servidor para un centro de datos debe tener varios recursos
como personas, procesos y procedimientos específicos para dicho fin. Sin
embargo, con la virtualización se pueden crear nuevas máquinas virtuales
con un solo clic, lo que permite que se pueda eludir toda esta cantidad de
recursos (personas, procesos, procedimientos). 2 Bimestre
72 MAD-UTPL
buen funcionamiento de las operaciones TI y los procesos de GRC que
hemos mencionado, la administración de TI debería determinar que se
mantengan estándares de control interno adecuado para los entornos
virtualizados.
4.4. Seguridad TI
73 MAD-UTPL
controles internos efectivos y políticas y procedimientos de seguridad
sólidos, y trabajando con todos los niveles de la empresa para establecer un
entorno de seguridad efectivo.
4.4.1. Principios
74 MAD-UTPL
seguridad, una empresa puede reducir la frecuencia y la gravedad de
las pérdidas relacionadas con la seguridad.
75 MAD-UTPL
Estos principios generales abordan las propiedades de la confidencialidad,
integridad y disponibilidad de la información de seguridad de TI.
Proporcionan una guía de gobierno general para establecer y mantener la
seguridad de la información.
4.4.2. Estrategias
Figura 14.
Estrategia de arriba hacia abajo sobre seguridad TI.
Políticas
de seguridad
Estrategias de
seguridad
Políticas y
estándares
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
76 MAD-UTPL
A continuación, vamos a describir el detalle de cada uno de estos
conceptos:
Actividad 1
Semana 10
77 MAD-UTPL
4.5. Plan de continuidad del negocio
Pero, ¿cómo podemos mapear las áreas que han de tomarse en cuenta
para el desarrollo de este plan? Para ello, se debe articular un conjunto de
criterios que deben considerar los aspectos y dominios de la organización
que mencionamos a continuación.
78 MAD-UTPL
Personas: Se deberá identificar las estrategias apropiadas para
mantener las habilidades y conocimientos básicos de las personas
en la empresa. Esto incluye describir la estructura organizacional, los
roles y funciones de la organización, planificaciones de sucesos, entre
otros.
79 MAD-UTPL
4.6. Catálogos de servicios TI
80 MAD-UTPL
3. El catálogo de servicios de TI debería ser un sistema de registro. Un
catálogo de servicios de TI procesable debe servir como un “sistema
de registro” que permita administrar una organización de servicios de
TI como un negocio dentro de un negocio. El catálogo de servicios de
TI puede proporcionar el vehículo para administrar la demanda de los
clientes, mapear los procesos de cumplimiento para cada servicio,
garantizar el cumplimiento del nivel de servicio, impulsar la eficiencia
de los procesos y realizar un seguimiento de los costos. 2 Bimestre
Actividad 1
Actividad 2
81 MAD-UTPL
Autoevaluación 4
a. Servicios.
b. Aplicaciones.
c. Infraestructura.
a. Escalabilidad.
b. Rendimiento.
c. BCP.
a. BCP.
b. SaaS.
c. PaaS.
82 MAD-UTPL
6. La virtualización es un esquema en donde:
a. Celulares o tablets.
b. Servicios.
c. Esquemas virtuales.
a. Sistemas TI.
b. Procesos de negocio.
c. Sistemas TI y procesos de negocio.
83 MAD-UTPL
Semana 11
2 Bimestre
5.1. Aplicaciones SOA
84 MAD-UTPL
un servicio comercial muy complejo. Al mismo tiempo, SOA debe
proporcionar niveles de servicio aceptables.
85 MAD-UTPL
7. Uso y mantenimiento: A lo largo del tiempo el software requiere de
mantenimiento como eliminar los defectos encontrados en su uso,
adaptarlo a nuevas necesidades y funcionalidades.
Tabla 7.
Comparación Metodología tradicional vs. ágiles
Nota. Adaptado de Orjuela Duarte, A., & Rojas C., M. (2 de junio de 2008). Las
Metodologías de Desarrollo Ágil como una Oportunidad para la Ingeniería del
Software Educativo. Medellín, Colombia
Identifican riesgos
Verifican que exista cumplimiento de aplicación de estándares,
políticas, procedimientos y regulaciones
Estudia el sistema de seguridad y evalúa los métodos de accesos
permitidos.
86 MAD-UTPL
Adicional a ello, para satisfacer los estándares de cumplimiento los gerentes
de proyectos pueden utilizar buenas prácticas que le sirvan de guías de
monitoreo y control; entre algunas podemos mencionar: PMBOK, CMMI, ISO
10006:2007. ISO IEC 12207:2008 y COBIT 2019.
Actividad 1
Actividad 2
Actividad 3
Semana 12
Gobernanza y PMBOK
87 MAD-UTPL
Para (Project Management Institute., 2017), un proyecto es un esfuerzo
temporal que se lleva a cabo para crear un producto, servicio o resultado
único. Este resultado puede ser tanto tangible o intangible. Se puede
considerar como proyecto el desarrollo de un nuevo sistema, producto,
migración de plataformas, cambio organizacional, compra de un nuevo
hardware, etc.
Figura 15.
Portafolio, programas y proyectos – Vista de alto nivel
Portafolio
Nota. Adaptado de Portfolios, Programs, and Projects – High Level View [Fotografía],
por Project Management Institute ,2008, The Standard For Portfolio Management –
Third Edition
88 MAD-UTPL
De acuerdo al (Project Management Institute, 2008), las organizaciones
tienen Frameworks de gobierno para guiar cada una de las actividades de
las organizaciones. El gobierno del portafolio de proyectos es un conjunto
de procesos organizacionales interrelacionados mediante los cuales una
organización prioriza, selecciona y asigna recursos internos limitados para
lograr mejor los objetivos organizacionales (p.5).
89 MAD-UTPL
Figura 16.
Relación entre gobierno, operaciones y gestión del portafolio
2 Bimestre
90 MAD-UTPL
Gestión de portafolio: Ayuda una guía para gestionar múltiples
proyectos relacionados.
Tabla 8.
Tipos de PMO
Actividad 1
91 MAD-UTPL
Autoevaluación 5
a. PMBOK.
b. TOGAF.
c. ITIL 2019.
92 MAD-UTPL
5. A nivel de gestión de configuración de TI, ¿cuáles son los conceptos
por los cuales las empresas suelen mostrar interés?
a. Metodología en cascada.
b. COBIT 2019.
c. Metodología ágil.
a. Control de calidad.
b. Auditores de TI.
c. Líder de proyecto.
a. Gobierno organizacional.
b. Gobierno de TI.
c. Gobierno de riesgos y controles.
93 MAD-UTPL
10. La oficina de PMO se encarga de:
94 MAD-UTPL
Semana 13
95 MAD-UTPL
Figura 17.
ECM insumos y proceso.
Capturar
2 Bimestre
Almacenar
Entregar
ECM
Conservar Gestionar
Actividad 1
Revise en internet software ECM existente y haga una lista priorizada de las
soluciones más utilizadas para gestionar el contenido empresarial y cuáles
son las ventajas.
Semana 14
96 MAD-UTPL
6.2. Auditoria interna
Figura 18.
Rol de la auditoría interna en la gobernanza de TI.
Alineamiento
estratégico
Auditoría interna,
Gestión del
áreas de enfoque Valor agregado
rendimiento
para la gobernanza
TI
Gestión de Gestión de
recursos riesgos
Nota. Adaptado de Quality Management System Process [Fotografía], por Moeller, R.,
2013, Executive’s guide to IT governance : improving systems processes with service
management, COBIT, and ITIL
97 MAD-UTPL
En la imagen podemos observar la participación de la auditoría interna con
respecto a la gobernanza de TI. A continuación, vamos a definir qué implica
esta participación en cada una de estas áreas:
Actividad 1
98 MAD-UTPL
Autoevaluación 6
a. Seguridad de información.
b. Auditoria interna.
c. Información estratégica.
3. No es un objetivo de ECM:
a. Capturar información.
b. Destruir información.
c. Almacenar información.
a. Virtual.
b. Física y virtual.
c. Física.
a. La estrategia empresarial.
b. La infraestructura.
c. Los recursos TI.
99 MAD-UTPL
Semana 15
100 MAD-UTPL
para perfilar las prácticas y comportamientos que deben promocionarse o
prohibirse en una organización basados en valores, principios y creencias.
Este debe ser cumplido desde la alta gerencia hasta los colaboradores
operativos que conforman la empresa.
101 MAD-UTPL
Protección de seguridad de la información: Es importante declarar
normas que eviten la fuga de información de la compañía a terceros
ajenos a la empresa.
Este código debe estar respaldado por acciones y respuestas hacia las
violaciones de cada uno de los parámetros. Por lo general su manejo puede
gestionarse mediante el departamento de recursos humanos que conllevaría
a alguna sanción verbal, escrita o despido dependiendo al nivel de gravedad
de la falta realizada. Si alguna falta violenta derechos civiles puede ser
denunciado a autoridades externas.
102 MAD-UTPL
5. Encuestas a los empleados: Mediante la retroalimentación de estas
encuestas se podrá evaluar la cultura organizativa y si los mismos
sienten la libertad de expresar sus preocupaciones.
Las redes sociales son plataformas digitales que permiten a las personas 2 Bimestre
103 MAD-UTPL
Derechos de autor: Siempre se debe de citar las fuentes utilizadas en
cualquier publicación para evitar conflictos. Adicionalmente, se debe
verificar que dicha fuente es verídica y comprobada.
Las empresas están administradas por juntas directivas que son elegidas
por los accionistas y roles de las principales actividades de gestión; estos
miembros pueden ser pertenecientes a los miembros de administración
(internos) o totalmente independiente de las actividades de las empresas
(externos).
104 MAD-UTPL
contabilidad y financiero del emisor, y auditorías de los estados financieros
del emisor”.
Adicional, (Moeller, 2013) (p. 375) comenta que algunos de los gerentes de
nivel superior que sirven en comités de auditoría, suelen desconocer los
problemas y preocupaciones de gobernanza de TI. Los ejecutivos a nivel de
comité de auditoría a menudo se han familiarizado con un número limitado
de problemas de gobernanza relacionados con TI, tales como los planes
adecuados de continuidad de TI, posibles problemas legales con el uso
de las redes sociales o los ataques de virus/malware en la organización.
Sin embargo, este autor, recomienda que la alta dirección y las auditorías
de TI traten temas más técnicos con el comité de auditoría a pesar de
que su comunicación sea un poco compleja ya que por lo general estos
comités tratan asuntos netamente financieros y de riesgos no enfocados
directamente con TI.
Por tal razón, (Moeller, 2013)(p.375) indica que para algunas empresas ha
sido de gran utilidad implementar una sesión informativa trimestral con el
105 MAD-UTPL
comité de auditoría sobre los riesgos de gobierno de TI empresarial y los
problemas en evolución. Este tipo de sesiones ayudará a asesorar a los
miembros del comité sobre el gobierno de IT y cualquier problema de riesgo
y se puede realizar entre los integrantes de la auditoría de TI, el CIO y el
director ejecutivo de auditoría.
Actividad 1
Actividad 2
Actividad 3
Actividad 4
106 MAD-UTPL
Autoevaluación 7
107 MAD-UTPL
5. ¿Cuáles son las funciones del comité de auditoría?
108 MAD-UTPL
Semana 16
2 Bimestre
Estimados estudiantes culminamos con el estudio del segundo bimestre.
Por ello, le invitamos a prepararse para rendir la evaluación presencial
correspondiente al segundo bimestre. Le sugerimos algunos lineamientos
que pueden ayudarle:
¡Muchos éxitos!
109 MAD-UTPL
4. Solucionario
Autoevaluación 1
Pregunta Respuesta Retroalimentación
1 c La ley de Sarbanes – Oxley se creó con el fin de
transparentar las actividades que se realizan en la operación
Solucionario
del negocio e introducir nuevas responsabilidades al
gobierno corporativo.
2 a El gobierno corporativo es el encargado de dirigir, evaluar y
monitorear las actividades del negocio, para asegurarse que
este realizando de forma ética y en base a buenas prácticas.
3 c ¿Cómo se aseguran los proveedores de finanzas de que los
gerentes no roban el capital que suministran o lo invierten en
malos proyectos?
4 c El gobierno de TI es el encargado de dirigir las operaciones
de TI, con el fin de proporcionar valor al negocio y reducir los
riesgos.
5 a Costo por estación de trabajo y por transacción están
orientados a la infraestructura tecnológica.
6 b Se debe tomar en cuenta que el gobierno de TI permite
evaluar de forma holística cada componente que involucre
tecnología en la organización; por tal motivo, ayuda a
prevenir pérdidas financieras, procesos de negocios
afectados y el bajo cumplimiento, ya que el personal del
gobierno debe asegurarse de tomar las mejores decisiones
que permitan apoyar y evolucionar el estado de sus
tecnologías.
7 a Proporcionar pautas de arquitectura es responsabilidad
de la Junta de revisión de arquitectura de TI, mientas
que las pautas tecnológicas hacen referencia al Consejo
Tecnológico.
8 b La supervisión de los riesgos de TI y aceptar riesgos
residuales de TI es actividad del CEO; mientras que el
asegurar que la arquitectura de TI refleje la necesidad de
cumplimiento normativo es actividades de la Junta de
revisión de arquitectura de TI.
9 c El cumplimiento de los estándares y pautas tecnológicas es
actividad del Consejo Tecnológico; la supervisión y dirección
de los procesos claves de gobernanza de TI es del Comité
directivo de TI.
110 MAD-UTPL
Autoevaluación 1
Pregunta Respuesta Retroalimentación
10 a La gobernanza de TI dirige las decisiones en el ambiente
tecnológico y el gobierno corporativo dirige decisiones de
toda la empresa.
Solucionario
111 MAD-UTPL
Autoevaluación 2
Pregunta Respuesta Retroalimentación
1 b Las siglas GRC significan gobernanza, riesgo y
cumplimiento.
2 a La gobernanza persigue gestionar los requisitos de toda la
organización, incluyendo los requisitos TI.
3 a La gestión de riesgos implica gestionar diversos eventos.
Esta gestión tiene que ver con asumir o mitigar los riesgos
empresariales.
4 c En el cumplimiento se debe establecer controles para
garantizar que la organización opera de acuerdo a diversas
normas. Solucionario
112 MAD-UTPL
Autoevaluación 3
Pregunta Respuesta Retroalimentación
1 a Las NIFF y método cuantitativo no son marcos o estándares
utilizados en la implementación de un gobierno de TI.
2 a EDM (evaluar , dirigir, monitorear), APO (alinear, planificar
y organizar), BAI (construir, adquirir e implementar), BAI
(construir, adquirir e implementar), DSS (entregar, dar
servicio y soporte), MEA (monitorizar, evaluar y valorar) son
parte de COBIT 2019.
3 c Proveer valor a los interesados, enfoque holístico, gobierno
dinámico, diferencia entre gobierno y gestión, adaptable,
sistema de extremo a extremo son los principios básicos de Solucionario
COBIT, sirven como pautas para la gestión del día a día de
los sistemas de información.
4 a En prácticas de servicio encontramos a gestión de
disponibilidad, control de cambios, gestión de incidentes,
etc. Prácticas técnicas abarca desarrollo de software,
gestión de plataformas, entre otras.
5 b El ISO 38500 proporciona un marco de seis principios que
ayudan a asegurar el cumplimiento normativo y la correcta
implementación de los recursos de TI.
6 c El principio de “Adquisición” se basa en las necesidades
detectadas tras un análisis pertinente. El principio de “Factor
Humano” refiere a políticas prácticas y las decisiones de TI
deben considerar el comportamiento humano.
7 b La gestión de riesgos permite identificar, en una fase
temprana, cualquier vulnerabilidad que afectar a la operación
del negocio.
8 a Zachman es un framework que ayuda a la arquitectura
empresarial más no a la ISO 38500.
9 b Las normas ISO son conocidas por garantizar que las
empresas cumplan con los más altos estándares para
brindar calidad, seguridad y eficiencia en sus productos.
10 a La ISO 9001 se enfoca en productos y servicios de calidad;
mientras que 27001 en la seguridad de la información. El
ISO 17799 es una norma que describe el código de buenas
prácticas para la gestión de seguridad y el 38500 se enfoca
en el gobierno de TI.
113 MAD-UTPL
Autoevaluación 4
Pregunta Respuesta Retroalimentación
1 a En la computación en la nube los recursos se ofrecen en
Internet a través de servicios.
2 c Cuando se aplica computación en la nube se evita que la
organización aprovisione y gestione la infraestructura de
recursos TI.
3 a Los tipos de modelos de servicios en la nube son IaaS, PaaS
y SaaS.
4 c El BCP es el plan de continuidad del negocio y no tiene que
ver con los conceptos en relación a la computación en la
nube. Solucionario
114 MAD-UTPL
Autoevaluación 5
Pregunta Respuesta Retroalimentación
1 b La arquitectura cliente-servidor y por capas no permite, son
poco escalables y no tienen buena tolerancia a fallos.
2 a SOA es una arquitectura compleja y costosa; sin embargo,
para el gobierno es útil, ya que conocen las tareas que
ejecuta cada servicio.
3 a Detectar nuevos CI y agregarlos a los CMS es parte de la
gestión de configuración de ITIL no SOA.
4 c PMBOK trata la gestión de proyectos y TOGAF es un
framework de arquitectura empresarial.
5 a Al hablar de arquitectura actual, futura y transición nos Solucionario
115 MAD-UTPL
Autoevaluación 6
Pregunta Respuesta Retroalimentación
1 a ECM significa gestión del contenido empresarial.
2 c ECM es un sistema de organización y recopilación de
información estratégica.
3 b Destruir información no es un objetivo ECM, lo que se
persigue es conservar información.
4 b En ECM se considera la información de forma física y virtual.
5 a Uno de los objetivos de la auditoria interna es evaluar si el
gobierno TI está alineado a la estrategia empresarial.
Solucionario
116 MAD-UTPL
Autoevaluación 7
Pregunta Respuesta Retroalimentación
1 a La misión, visión y valores facilitan al gobierno corporativo la
toma de decisiones.
2 c Los gerentes financieros y de operaciones, representante de
la auditoría interna, aseguramiento de calidad y área legal
corporativa deben asegurarse de que el código de conducta
tenga lineamientos que promocionen la transparencia,
respeto por los derechos humanos, imagen corporativa, etc.
3 a El uso de las redes sociales debe ser un motivo de
preocupación no solo para el área de marketing sino para
el gobierno y toda la corporación, ya que puede causar Solucionario
impactos negativos que dañen su reputación .
4 c Las políticas de redes sociales no deben considerar fecha de
publicación ni recompensas por el mal uso. Estas deben ser
explícitas referente a la prevención de fuga de información,
perfiles y derechos de autor.
5 a La selección de herramientas para el uso de participantes
de los proyectos y el manejo de las necesidades de los
stakeholders son actividades de la PMO.
117 MAD-UTPL
5. Referencias bibliográficas
Schandl, A., & Foster, P. (2019). Coso Inter Control - Integrated Framework: An
implementation guide for health care provider industry.
Muñoz, I., & Ulloa, G. (2011). Gobierno de TI – Estado del arte. Cali,
Colombia.
Hurwitz, J., Bloor, R., Kaufman, M., & Halper, F. (2009). Service Oriented
Architecture for Dummies. Indianapolis: Wiley Publishing, Inc.
118 MAD-UTPL
Josuttis, N. (2007). SOA in practice. California: O’Reilly Media, Inc.
119 MAD-UTPL
Instituto Ecuatoriano de Gobernanza Corporativa y el BID Invest. (2020).
Normas Ecuatorianas para el buen gobierno corporativo. Obtenido
de https://portal.supercias.gob.ec/wps/wcm/connect/bcb89c88-
f97d-46f7-9285-f27ed48ab401/CODIGO_DE_GOBERNANZA.
pdf?MOD=AJPERES&CACHEID=bcb89c88-f97d-46f7-9285-
f27ed48ab401
UN Office for Disaster Risk Reduction. (s.f.). Obtenido de Gestión del riesgo:
https://www.eird.org/cd/toolkit08/material/proteccion-infraestructura/
gestion_de_riesgo_de_amenaza/8_gestion_de_riesgo.pdf
Orjuela Duarte, A., & Rojas C., M. (2 de junio de 2008). Las Metodologías de
Desarrollo Ágil como una Oportunidad para la Ingeniería del Software
Educativo. Medellín, Colombia.
120 MAD-UTPL
6. Anexos
Junta Directiva
Tabla 9.
Roles y Responsabilidades para el Gobierno de TI de la Junta directiva
Responsabilidad
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del riesgo Gestión del rendimiento
estratégica
Junta Asegurar que la Asegurar que las Monitorear como la gerencia Ser consciente Evaluar el desempeño de la alta dirección en la Anexos
directiva gerencia haya inversiones de TI determina los recursos de TI de los riesgos operación de estrategias de TI.
implementado presenten un balance para satisfacer la estrategia de la de TI y sus Trabajar con el ejecutivo para definir y monitorear el
un proceso de entre riesgo y beneficio empresa consecuencias alto rendimiento de TI
planificación Existan procesos de Garantizar un equilibrio en las Evaluar la
estratégica gestión y prácticas inversiones de TI para garantizar efectividad del
eficaz la rentabilidad de la empresa monitoreo de
TI por parte de
la gerencia de
riesgos
121 MAD-UTPL
Responsabilidad
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del riesgo Gestión del rendimiento
estratégica
Comité de Proveer Confirmar que la Proveer una dirección de alto nivel Asegurarse que la Verificar el cumplimiento de la estrategia, la
Estrategia dirección arquitectura TI/ para el abastecimiento y el uso de gerencia cuente alineación de TI con el negocio.
de IT estratégica y Negocio está diseñada recursos de TI. con los recursos Evaluar la medición de desempeño entre TI y su
alineación de TI para brindar el máximo para garantizar la entrega de valor al negocio (promedio del valor de
con el negocio valor posible. gestión adecuada negocio).
de riesgos de TI.
Confirma que se
hayan gestionado
los riesgos
Nota. Adaptado de IT Governance Institute. (2003). Board Briefing on IT Governance . Rolling Meadows, Estados Unidos.
Obtenido de Board Briefing of IT Governance.
Anexos
122 MAD-UTPL
Gerencia Ejecutiva
Tabla 10.
Roles y Responsabilidades para el Gobierno de TI de la Gerencia Ejecutiva
Responsabilidad
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del riesgo Gestión del rendimiento
estratégica
CEO Alinea e integra la Dirige la optimización de Establece prioridades Adopta un marco Trabaja conjuntamente con el CIO para desarrollar
estrategia de TI con costes de TI. comerciales y asigna de riesgo, control el balance scorecard de IT asegurándose de que
los objetivos de Se asegura que el recursos para permitir un y gobernanza. estén correctamente alineados con el negocio.
negocio. presupuesto de TI y el plan efectivo desempeño de TI. Supervisa los
Alinea las de inversiones es realista Establece estructuras riesgos de TI y
operaciones de TI y se integra en el plan organizativas y acepta riesgos
con las operaciones financiero de la empresa. responsabilidades que residuales de TI.
de negocio. Se asegura de que los faciliten la implementación Incorpora
Mediar entre informes financieros de la estrategia de TI. responsabilidades
el negocio y la tengan una contabilidad para la gestión de
tecnología exacta de TI. riesgos.
Ejecutivos Comprender la Aprobar y controlar los Asignar los recursos de Proporciona Aprueba el cuadro de mando integral
de organización, su niveles de servicio negocio requeridos para evaluaciones de Supervisa los niveles de servicio
Anexos
negocio infraestructura y las Actuar como cliente de los asegurar un efecto gobierno impacto negocio Proporciona prioridades para abordar los
capacidades de TI servicios disponibles de TI de IT frente a los proyectos y a la gestión de problemas de rendimiento de TI y acciones
de la empresa. Identifique y adquiere operaciones riesgos de la correctivas.
Impulsa la nuevos servicios de TI. empresa
definición de
los requisitos
de negocio y
adueñarse de ellos.
Actúa como
patrocinador
de importantes
proyectos de TI.
123 MAD-UTPL
Responsabilidad
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del riesgo Gestión del rendimiento
estratégica
CIO Impulsa el Clarifica y demuestra el Provee de infraestructura de Evalúa riesgos, Asegura la gestión del día a día y verifica los
desarrollo de valor de TI. TI que facilite la creación y los mitiga procesos y controles de TI.
la estrategia de Busca de forma compartición de información efectivamente Implementa un cuadro de mando integral de TI
TI y la ejecuta, proactivaaumentar la de negocio a un costo y hace que los con pocas pero precisas medidas que reflejen el
asegurando que entrega de valor de TI. rentable. riesgos sean desempeño y su vinculación con la estrategia de
el valor medible Vincula los presupuestos Asegura la disponibilidad transparentes la empresa
se entregue a de TI a estrategias y de los recursos de TI, para los
tiempo y dentro del objetivos de negocio. habilidades e infraestructura interesados.
presupuesto, en Establece una disciplina para alcanzar los objetivos Implementa un
la actualidad y en sólida de gestión de estratégicos. framework de
futuro proyectos de TI. Estandariza arquitecturas y control
Implementa tecnología. Se asegura que
estándares y los roles sean
políticas de TI bien definidos
en la gestión de
riesgos de TI.
Nota. Adaptado de T Governance Institute. (2003). Board Briefing on IT Governance . Rolling Meadows, Estados Unidos. Obtenido
de Board Briefing of IT Governance.
Anexos
124 MAD-UTPL
Comité de apoyo a los ejecutivos y al CIO, generalmente coordinados por la oficina de proyectos del CIO, el
arquitecto jefe, el director de tecnología, etc.
Tabla 11.
Roles y Responsabilidades para el Gobierno de TI del Comité de Apoyo de los Ejecutivos.
Responsabilidad
Gestión del
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del rendimiento
riesgo
estratégica
Comité Define las Revisa, aprueba y financia Equilibra las inversiones entre Se asegura que Define medidas de éxito del proyecto
directivo de TI prioridades de las iniciativas, evalúa cómo el soporte y crecimiento de la en todos los Da seguimiento al progreso de los
proyectos han mejorado los procesos de empresa proyectos exista principales proyectos de TI.
Evalúa el ajuste negocio. un componente Supervisa y dirige los procesos claves de
estratégico de Asegura la identificación de gestión de gobernanza de TI
las propuestas de todos los costos y el riesgos.
Realiza cumplimiento de análisis de Actúa como
revisiones costo/beneficio. patrocinador del
del portafolio Realiza revisiones del portafolio control, riesgos
para mantener para optimizar costos. y framework de
la relevancia gobernanza
estratégica Toma decisiones Anexos
claves sobre el
gobierno de TI.
Consejo Proporciona Consultar / asesorar sobre la Asesoría sobre productos de Asegura que Verifica el cumplimiento de los estándares y
Tecnológico pautas selección de tecnología dentro infraestructura. se realicen pautas tecnológicas.
tecnológicas de los estándares. Direcciona estándares y evaluaciones
Monitorea la Ayuda con la revisión de prácticas tecnológicas. acerca de
relevancia de variaciones las nuevas
los últimos tecnologías.
desarrollos de
TI desde una
perspectiva
comercial.
125 MAD-UTPL
Responsabilidad
Gestión del
Rol Alineación Entrega de Valor Gestión de los recursos de IT Gestión del rendimiento
riesgo
estratégica
Junta de Proporcionan Consulta / asesora en la Dirige el diseño de arquitectura Asegura que Verifica el cumplimiento de las pautas
revisión de pautas de aplicación de arquitectura. la arquitectura arquitectónicas
arquitectura arquitectura de TI refleja la
de TI necesidad de
cumplimiento
normativo y
legislativo, el
uso ético de
información y la
continuidad de
negocio.
Nota. Adaptado de IT Governance Institute. (2003). Board Briefing on IT Governance . Rolling Meadows, Estados Unidos.
Obtenido de Board Briefing of IT Governance.
Anexos
126 MAD-UTPL
Anexo 2. Componentes de sistema de gobierno
Componente Descripción
Describen una serie
de actividades
Procesos
organizadas cuya
serie de resultados Servicios, Estructuras
infraestructura organizativas
contribuyen a la y aplicaciones
consecución de los
objetivos relacionados
con IT. Sistema de
Cultura, ética y
gobierno Flujos y
comportamiento elementos de
información
Principios, Personas,
políticas, habilidades y
procedimientos competencias
127 MAD-UTPL
Componente Descripción
Son considerados un factor de éxito en las actividades de gobierno y
gestión.
Anexos
128 MAD-UTPL
Anexo 3. Componentes COSO ERM
Información,
Gobierno y Cultura Estrategia y objetivos Desempeño Revisión comunicación y
reporte
• La junta directiva • Analizar el • Identifica • Evalúa los • Aprovecha la
• Establece contexto riesgos cambios información
estructuras empresarial • Evalúa la sustanciales y la
operativas • Define el apetito severidad de • Revisa los tecnología
• Define la cultura del riesgo los riesgos. riesgos y el • Comunica
deseada • Evalúa • Prioriza los desempeño los
• Demuestra estrategias riesgos • Propone mejoras riesgos de
compromiso alternativas • Implementa la en la gestión información
con los valores • Formula los respuesta al de riesgos • Informe
éticos objetivos riesgo empresariales sobre
• Atrae, desarrolla empresariales • Desarrolla un riesgos,
y retiene portafolio de cultura y
individuos riesgos desempeño
competentes.
129 MAD-UTPL
Anexo 4. Comparativa entre proyectos, programas y portafolios
Nota. Adaptado de Project Management Institute. (2008). The standard for portfolio
management. Pennsylvania: Project Management Institute, Inc
130 MAD-UTPL