Capítulo 1: Marco para la gobernanza de las empresas TI

Sección uno: descripción general

Definición del dominio
Objetivos del dominio
Objetivos de aprendizaje
Referencia de examen CGEIT
Tarea y declaraciones de conocimiento
Preguntas de autoevaluación
Respuestas a preguntas de autoevaluación
Recursos sugeridos para estudios adicionales

Sección dos: contenido

1. Componentes de un marco para la gobernanza de las empresas TI
2. Prácticas, estándares y marcos de la industria de gobernanza de TI
3. Controladores comerciales relacionados con el gobierno de TI
4. Habilitadores del Gobierno de TI
5. Técnicas utilizadas para identificar la estrategia de TI
6. Componentes, principios y conceptos relacionados con la arquitectura
empresarial
7. Estructuras organizacionales y sus roles y responsabilidades
8. Métodos para gestionar el cambio organizacional, de procesos y cultural
9. Modelos y métodos para establecer la responsabilidad por los requisitos de
información, los datos y la propiedad del sistema, y los procesos de TI
10. Procesos / mecanismos de supervisión de la gobernanza de TI
11. Procesos / mecanismos de informes de gobernanza de TI
12. Técnicas de comunicación y promoción
13. Metodologías y técnicas de aseguramiento
14. Técnicas y procesos de mejora continua Notas al final
Sección uno: descripción general

DEFINICIÓN DE DOMINIO
Garantizar la definición, el establecimiento y la gestión de un marco para la
gobernanza de la TI empresarial en consonancia con la misión, la visión y los
valores de la empresa.
OBJETIVOS DE DOMINIO
El objetivo de este dominio es definir, establecer y mantener un marco de
gobernanza de tecnología de la información (TI), al tener el liderazgo, las
estructuras organizacionales y los procesos necesarios para:
• Asegurar la alineación con el gobierno de la empresa
• Controlar el entorno de la información comercial y de la tecnología de la
información mediante la implementación de buenas prácticas
• Asegurar el cumplimiento de los requisitos externos

El gobierno de TI se preocupa de garantizar que los objetivos empresariales se

logran evaluando las necesidades, condiciones y opciones de los interesados:
establecer la dirección mediante la priorización y la toma de decisiones; y
monitorear el desempeño, cumplimiento y progreso en contra de la dirección y
objetivos acordados (evaluar, dirigir, monitorear [EDM] ]). La gestión de TI se
preocupa de garantizar que las actividades de planificación, construcción,
ejecución y supervisión (PBRM) se ajusten a la dirección establecida por el órgano
de gobierno para alcanzar los objetivos de la empresa.

La premisa de este dominio es que la gobernanza de las TI se ha convertido en

una de las principales preocupaciones de la Junta Directiva y la alta dirección
ejecutiva en todo el mundo. La tecnología de la información ha evolucionado en
las últimas décadas para convertirse en fundamental para mantener el
crecimiento, la innovación y la transformación, para reducir y contener los costos,
y para apoyar las operaciones comerciales en curso de la mayoría de las
empresas. TI está siempre presente, y se ha convertido en un activo que
pertenece a las reuniones de la sala de juntas, de la misma manera que otros
recursos (es decir, humanos, financieros, etc.).
OBJETIVOS DE APRENDIZAJE
El objetivo de dominio es que las juntas directivas, los profesionales y los
ejecutivos entiendan su participación requerida en el gobierno corporativo de TI
(GEIT). El personal involucrado en GEIT necesita saber cómo asesorar a la junta
directiva para que puedan evaluar, dirigir y monitorear el uso de TI en su
organización. El personal también debe comprender los amplios requisitos para la
gobernanza efectiva, los elementos y las acciones necesarios para desarrollar un
marco, si no existe uno, y un plan de acción para implementarlo o mejorarlo, si es
que existe.
CGEIT EXAM REFERENCE
El dominio representa el 25 por ciento del examen CGEIT (aproximadamente 38
preguntas).
TAREAS Y DECLARACIONES DE CONOCIMIENTO

TAREAS
Hay 11 tareas dentro de este dominio que un candidato de CGEIT debe saber
cómo realizar. Se relacionan con tener que desarrollar, o ser parte del desarrollo
de, un marco de gobierno de TI.

T1. 1 Asegurar que se establezca un marco para la gobernanza de la TI

empresarial y permita alcanzar las metas y objetivos de la empresa para crear
valor para las partes interesadas, tomando en cuenta la realización de beneficios,
el riesgo, la optimización y la optimización de los recursos.
T1.2 Identificar los requisitos y objetivos para el marco para la gobernanza de TI
empresarial. incorporando los aportes de facilitadores tales como principios,
políticas y marcos: procesos; estructuras organizativas: cultura, ética y
comportamiento; información: servicios, infraestructura y aplicaciones: personas,
habilidades y competencias.
T1.3 Asegurarse de que el marco para la gobernanza de las TI de las empresas
atienda los requisitos internos y externos aplicables (por ejemplo, principios,
políticas y normas, leyes, regulaciones, capacidades de servicio y contratos).
T1.4 Asegurar que los procesos de planificación estratégica se incorporen en el
marco para la gobernanza de las TI empresariales
T1.5 Asegurar la incorporación de la arquitectura empresarial (EA) en el marco
para la gobernanza de las TI empresariales con el fin de optimizar las soluciones
de negocio habilitadas por TI.
T1.6 Asegurarse de que el marco para la gobernanza de TI empresarial incorpore
procesos y actividades integrales y repetibles.
T1.7 Asegurar que se establezcan los roles, las responsabilidades y las
responsabilidades para los sistemas de información y los procesos de TI.
Tl.8 Asegurarse de que los problemas relacionados con el marco para la
gobernanza de TI empresarial se revisen, supervisen, notifiquen y remedien.
T1.9 Asegurar que las estructuras organizativas estén en su lugar para permitir
una planificación e implementación efectiva de las inversiones comerciales
habilitadas por TI.
T1.10 Asegurar el establecimiento de un canal de comunicación para reforzar el
valor de la gobernanza de las TI empresariales y la transparencia de los costos,
beneficios y riesgos de TI en toda la empresa.
T1.11 Asegurar que el marco para la gobernanza de TI empresarial se evalúe
periódicamente, incluida la identificación de oportunidades de mejora.

DECLARACIONES DE CONOCIMIENTO
El candidato de CGEIT debe tener una buena comprensión de cada una de las 14
áreas delineadas por las siguientes declaraciones de conocimiento. Estas
declaraciones son la base para el examen. Cada declaración se define y su
relevancia y aplicabilidad a esta práctica de trabajo se describen brevemente de la
siguiente manera:
Conocimiento de:
KS1.1 componentes de un marco para la gobernanza de las TI empresariales
GEIT no ocurre en el vacío. Es una parte integral de la empresa y el sistema por el
cual las organizaciones son dirigidas y controladas. Debido a la dependencia
comercial en TI. Los problemas de gobierno empresarial (incluido el gobierno
empresarial, el gobierno corporativo) ya no se pueden resolver sin considerar las
TI. La gobernanza de la empresa debería, por lo tanto, impulsar y establecer el
marco para GEIT.
KS1.2 Prácticas, estándares y marcos de la industria de gobierno de TI
COBIT es el marco comercial de ISACA para el gobierno y la gestión de TI
empresarial. Comprender este marco y sus principios subyacentes es fundamental
para establecer y mejorar las prácticas y procesos para la gobernanza efectiva de
las TI empresariales. Muchas prácticas, estándares y marcos de trabajo de la
industria son complementarios de COBIT. Por lo tanto, el conocimiento de estas
prácticas, estándares y marcos de trabajo de la industria, especialmente qué,
cuándo y cómo se usan, se vuelve importante para un GEIT efectivo.
KS1.3 Controladores comerciales relacionados con el gobierno de TI
En un contexto comercial y económico en constante cambio, es importante
detectar los impulsores del negocio (puntos de dolor o desencadenar eventos en
el entorno interno o externo) que constituyen la necesidad de una práctica GEIT
nueva o revisada.
KS1.4 habilitadores de gobierno de TI
La gestión y gestión eficiente y efectiva de las TI empresariales requiere un
enfoque holístico, teniendo en cuenta varios componentes que interactúan. Estos
componentes son habilitadores que respaldan la implementación de un sistema
integral de gobierno y gestión para TI empresarial. Los habilitadores se definen
ampliamente como cualquier cosa que pueda ayudar a lograr los objetivos de la
empresa.

KS1.5 Técnicas utilizadas para identificar la estrategia de TI

Al establecer los enfoques de dirección y elaboración para implementar mejoras
en toda la empresa en GEIT. es crucial vincular estas iniciativas a la misión, visión
y estrategia de la organización. Ser efectivo. GEIT debe existir dentro de estos
enunciados organizacionales definitorios. Por lo tanto, es importante que los
profesionales entiendan por qué la estrategia de TI es importante y cómo puede
vincularse con la estrategia empresarial aprovechando técnicas como el análisis
de fortalezas, debilidades, oportunidades y amenazas (SWOT) y el Boston
Consulting Group (BCG) matriz de participación de crecimiento.

KS1.6 componentes principios y conceptos relacionados con la arquitectura

empresarial (EA)
GEIT y EA son conceptos relacionados y entrelazados. Comprender los conceptos
de EA es importante para analizar y anticipar las interdependencias entre las
adopciones de GEIT y EA en la organización.
KS1.7 estructuras organizacionales y sus roles y responsabilidades
Eficaz GEIT incluye la gobernanza de las estructuras organizativas para garantizar
que las decisiones relacionadas con TI se produzcan en un entorno transparente y
para permitir el contacto y el intercambio efectivos entre las empresas y la gestión
de TI. Estas estructuras se pueden ver como un modelo de cómo funcionará
conceptualmente el marco para GEIT.
KS1.8 Métodos para gestionar el cambio organizacional, de procesos y
cultural
La implementación o mejora exitosa depende de implementar el cambio apropiado
de la manera correcta. En muchas empresas, no hay suficiente énfasis en la
gestión de los aspectos humanos, de comportamiento y culturales del cambio y
motivar a los interesados para que acepten el cambio. Habilitar el cambio es uno
de los mayores desafíos para la implementación de GEIT.
KS1.9 Modelos y métodos para establecer la responsabilidad de los
requisitos de información, la propiedad de los datos y del sistema, y los
procesos de TI
La responsabilidad es crucial para una gobernanza efectiva. Para GEIT. la
responsabilidad tiene un contexto especial: para los requisitos de información, la
propiedad de los datos y del sistema, y los procesos relacionados con TI. La forma
en que se establece la responsabilidad, tanto a nivel de gestión (planificar,
construir, ejecutar, supervisar) como de gobernanza (evaluar, dirigir, supervisar),
debe entenderse bien para que tenga lugar un buen GEIT.
KS1.10 Procesos / mecanismos de supervisión de la gobernanza de TI
El concepto de gestión y supervisión del rendimiento y sus técnicas asociadas son
muy útiles para mejorar y asignar GEIT a los imperativos de la organización. El
uso del cuadro de mando integral (BSC) y sus mecanismos para traducir la
estrategia en acciones medibles desempeña un papel importante en este contexto.
KS1.11 Procesos / mecanismos de informe de gobierno de TI
Para una comunicación efectiva con todas las partes interesadas, es importante
garantizar que el rendimiento de TI de la empresa y la medición e informe de
conformidad sean transparentes.
KS1.12 técnicas de comunicación y promoción
Para un GEIT efectivo los grupos de partes interesadas necesitan un alto nivel de
aceptación del proceso GEIT. El conocimiento de los métodos y técnicas de
marketing y comunicación (por ejemplo, afirmar, persuadir, tender puentes, atraer)
desempeña un papel importante para ayudar a definir y vender mensajes clave a
públicos específicos.

KS1.13 metodologías y técnicas de aseguramiento

El conocimiento y la aplicación de metodologías y técnicas de aseguramiento son
la base para la aplicación de las iniciativas y prácticas de gobernanza. Sin
controles y controles GEIT apropiados, según lo prescrito por las metodologías y
técnicas de aseguramiento (aseguramiento de la planificación, aseguramiento del
alcance, garantía de ejecución), la calidad y la sostenibilidad de las iniciativas y
prácticas pueden no cumplir con los requisitos internos y externos.
KS1.14 técnicas y procesos de mejora continua
La aplicación de un enfoque de ciclo de vida de mejora continua proporciona un
método para que las empresas aborden la complejidad y los desafíos que
normalmente se encuentran durante la implementación de GEIT. Hay tres
componentes interrelacionados con el ciclo de vida:
• el ciclo central de mejora continua
• la habilitación del cambio
• la gestión del programa
RELACIÓN DE LA TAREA CON LAS DECLARACIONES DE CONOCIMIENTO
Las declaraciones de tareas son lo que se espera que el candidato de CGEIT
sepa cómo hacer. Las declaraciones de conocimiento delinean lo que se espera
que sepa el candidato de CGEIT para realizar las tareas. La tarea y las
declaraciones de conocimiento están mapeadas en la figura 1.1 en la medida en
que es posible hacerlo. Tenga en cuenta que, aunque a menudo hay
superposición, cada enunciado de tarea generalmente se correlacionará con
varias declaraciones de conocimiento.
PREGUNTAS DE AUTOEVALUACIÓN
Las preguntas de autoevaluación de CGEIT respaldan el contenido de este
manual y proporcionan una comprensión del tipo y la estructura de las preguntas
que generalmente aparecen en el examen. Las preguntas se escriben en un
formato de opción múltiple y están diseñadas para una mejor respuesta. Cada
pregunta tiene una raíz (pregunta) y cuatro opciones (opciones de respuesta). La
raíz puede escribirse en forma de pregunta o en una declaración incompleta. En
algunos casos, se puede incluir un escenario o un problema de descripción. Estas
preguntas normalmente incluyen una descripción de una situación y requieren que
el candidato responda dos o más preguntas según la formación HI proporcionada.
Muchas veces una pregunta requerirá que el candidato elija la respuesta MÁS
probable o MEJOR entre las opciones provistas.

En cada caso, el candidato debe leer la pregunta cuidadosamente, eliminar las

respuestas incorrectas conocidas y luego hacer la mejor elección posible. Conocer
las preguntas formales en las que se formulan las preguntas, y cómo estudiar y
conocer a fondo lo que se probará, ayudará al candidato a responder
correctamente las preguntas.
1-1 Además del gobierno corporativo, ¿cuál de los siguientes es un componente
clave de un marco de gobierno corporativo?
1. Gobernar el valor
2. Gobierno de activos clave
3. Gobierno empresarial
4. Gobierno financiero

La forma más efectiva de implementar la gobernanza de TI empresarial en una

empresa es mediante el uso de:
1. caso de negocios.
2. Tarjeta de puntuación equilibrada IT (BSC).
3. ciclo de vida en fases.
4. conjunto de métricas de rendimiento de TI.

¿Cuál de los siguientes debe lograrse PRIMERO para permitir la implementación

de un marco para la gobernanza de las TI empresariales?
1. Establecer el deseo de cambiar
2. Formar un equipo de implementación
3. Empoderamiento del jugador de rol
4. Incrustar nuevos enfoques

RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIÓN

Las respuestas correctas se muestran en negrita.
1-1 A. La gobernanza del valor solo se ocupa de la perspectiva limitada del valor,
que no es uno de los componentes clave especificados del gobierno corporativo.
B. El gobierno de activos clave representa solo la perspectiva limitada de los
activos clave, que no es uno de los componentes clave especificados del gobierno
corporativo.
C. La gobernanza empresarial y el gobierno corporativo se encuentran en el
centro del gobierno corporativo. La gobernanza empresarial se relaciona con
el elemento de desempeño del gobierno corporativo y el gobierno
corporativo se relaciona con el elemento de conformidad del gobierno
corporativo.
D. El gobierno financiero representa solo la perspectiva limitada de las finanzas,
que no es uno de los componentes clave especificados del gobierno corporativo.

1-2 A. Un caso de negocios se usa para justificar y monitorear el progreso de un

programa de inversión.
B. Un BSC de TI se utiliza para definir la estrategia de TI y para medir el
rendimiento de las iniciativas clave de TI en cuatro perspectivas o dimensiones
específicas.
C. El enfoque del ciclo de vida por fases para la gobernanza de la
implementación de TI empresarial es una práctica recomendada porque
aborda la complejidad y los desafíos que suelen encontrarse en la
gobernanza de la implementación de TI empresarial.
D. Un conjunto de medidas de rendimiento de TI se utiliza para supervisar el
rendimiento de TI.
1-3 A. Cualquier plan para modificar significativamente los procesos y
comportamientos existentes debe comenzar con el establecimiento de un
deseo común de cambio o un "becerro a la acción", que a menudo se puede
vincular a los puntos pagos actuales o desencadenar eventos.
B. Obtener la participación y participación del equipo de implementación óptimo a
menudo depende de la visión común o deseo de cambio.
C. Los jugadores de rol no pueden ser empoderados antes de que se establezca
un deseo de cambio.
D. Los nuevos enfoques solo pueden integrarse una vez que se establece el
deseo de cambiar y el llamado a la acción.

Nota: para obtener más preguntas de autoevaluación, es posible que también

desee obtener una copia del Manual de Preguntas, Respuestas y Explicaciones de
Revisión de CGEIT, cuarta edición, que consta de 250 preguntas de estudio de
opción múltiple, respuestas y explicaciones.
Sección dos: contenido

1.1 COMPONENTES DE UN MARCO PARA LA GOBERNANZA DE LAS

EMPRESAS
La gobernanza de las TI empresariales (GEIT) no ocurre en el vacío. GEIT es una
parte integral de la empresa y el sistema por el cual las organizaciones son
dirigidas y controladas. Debido a la dependencia comercial en TI. Los problemas
de gobierno corporativo (incluidos los negocios y el gobierno corporativo) ya no se
pueden resolver sin considerar las TI. Por lo tanto, el gobierno de la empresa
debería conducir y establecer el marco para GEIT.
GEIT es una parte integral del gobierno corporativo. Por lo tanto, es importante
comprender la necesidad y los componentes del gobierno corporativo antes de
discutir la gobernanza de las TI empresariales.

Gobierno Corporativo
Los casos recientes de alto perfil de fracasos corporativos y fraude han llevado al
gobierno corporativo a la cima de las agendas empresariales y políticas. Cada vez
más, las partes interesadas educadas y asertivas están preocupadas por la
gestión racional de sus intereses. Esto ha llevado a la aparición de principios y
estándares para la gobernanza empresarial. En los últimos años, se han publicado
varios códigos de conducta a nivel internacional y se ha promulgado legislación
para engendrar la práctica de una buena gobernanza empresarial. Estas
regulaciones establecen las responsabilidades de la junta y requieren que la junta
directiva ejerza la debida diligencia. Los resultados de la Encuesta Global
McKinsey 2009 indican que los programas de gobernanza sí crean valor para los
accionistas y la actual agitación económica ha aumentado la importancia de los
programas de gobernanza.

Kotter define la gobernanza empresarial como la siguiente:

La gobernanza empresarial es un conjunto de responsabilidades y prácticas

ejercidas por la junta directiva y la gerencia ejecutiva con el objetivo de
proporcionar una dirección estratégica, asegurar que se logren los objetivos,
verificar que los riesgos se gestionen adecuadamente y verificar que los recursos
de la empresa se usen de manera responsable.
Conformidad y rendimiento
En octubre de 2003, la Federación Internacional de Contadores (IF AC) publicó un
importante informe de encuesta que exploraba el concepto de gobierno
empresarial y presentaba una serie de estudios de casos que abarcaban 10
países y 10 sectores de mercado.5 El informe afirma que "el gobierno empresarial
constituye la totalidad el marco de rendición de cuentas de la organización "e
identifica dos dimensiones clave de la gobernanza empresarial: la conformidad y el
rendimiento, y determina que estas dos dimensiones deben estar en equilibrio. La
figura 1.2 ilustra los componentes.

La conformidad también se denomina gobierno corporativo, y cubre cuestiones

tales como la estructura del consejo, los roles y la remuneración de los ejecutivos.
Los códigos y / o estándares generalmente pueden abordar esta dimensión y el
cumplimiento está sujeto a aseguramiento / auditoría. También existen
mecanismos de supervisión bien establecidos que el consejo debe usar para
garantizar que los buenos procesos de gobierno corporativo sean efectivos (por
ejemplo, comités de auditoría).
La dimensión de rendimiento se centra en la estrategia y la creación de valor, y en
ayudar a la junta a tomar decisiones estratégicas, comprender su apetito por el
riesgo y sus principales impulsores de rendimiento, e identificar sus puntos clave
de toma de decisiones. Esta dimensión no se presta fácilmente a un régimen de
estándares y auditoría. En cambio, generalmente es deseable desarrollar una
gama de herramientas y técnicas de buenas prácticas que puedan aplicarse
inteligentemente dentro de diferentes tipos de empresas. A diferencia de la
dimensión de conformidad, normalmente no existen mecanismos de supervisión
específicos, como los comités de auditoría. En el proyecto de encuesta en el que
se basa el informe, el equipo del proyecto IF AC exploró y confirmó que esta
brecha de supervisión era un problema importante y propuso un enfoque (un
cuadro de mando estratégico) por el cual las empresas pueden gobernar mejor la
dimensión de desempeño.

La dimensión de conformidad toma una vista histórica mientras que la vista de

desempeño 7 espera. Está claro que un buen gobierno corporativo es solo una
parte de la historia: la estrategia también es importante. El informe declara que, si
bien el gran énfasis en cuestiones de gobierno corporativo ha sido necesario a la
luz de los recientes
Escándalos corporativos, es importante recordar que el buen gobierno por sí solo
no puede hacer que una empresa tenga éxito. Es importante complementar y
equilibrar el buen gobierno corporativo con la creación de valor sostenible.
A través de los estudios de casos realizados. el informe IF AC identificó que en el
caso de las empresas exitosas generalmente había un "círculo virtuoso" que
surgió en base a una decisión consciente de tomar en serio el buen gobierno
corporativo porque era bueno para la empresa y no porque fuera requerido por la
ley o códigos formales de mejores prácticas. En aquellos casos exitosos en los
que el buen gobierno no se destacó como un factor clave para el éxito, se
encontró que un buen gobierno corporativo es necesario. pero no es suficiente,
base para el éxito, en otras palabras, mientras que el mal gobierno corporativo
puede arruinar una empresa. el buen gobierno corporativo no puede, por sí
mismo. asegurar el éxito El gobierno de la empresa, con su enfoque en los
aspectos de conformidad y rendimiento de las empresas, garantiza que las
empresas no pierdan de vista esta perspectiva.
En la discusión anterior, el gobierno corporativo se descompone en Gobierno
Corporativo (conformidad) y Gobierno Corporativo (rendimiento). Otros informes y
marcos utilizan terminología diferente y hacen referencia al Gobierno Corporativo
para lo que ISACA denomina Gobernanza Empresarial. A partir de esta impresión,
ISO / TEC utiliza el término "gobierno de TI para la organización" para referirse al
área de conocimiento de GEIT.
Gobernanza de los activos clave, incluida la TI
En la discusión del gobierno corporativo, Weill y Ross identifican seis activos clave
que deben ser gobernados, a través de los cuales una organización puede lograr
sus estrategias y generar valor comercial: activos humanos, activos financieros,
activos físicos, activos de propiedad intelectual (PI), información y Activos de TI y
activos de relación (figura 1.3). De acuerdo con Weill y Ross. "Los equipos
ejecutivos superiores crean mecanismos para gobernar la administración y el uso
de cada uno de estos activos tanto de forma independiente como conjunta. [... | El
gobierno de los activos clave se produce a través de una gran cantidad de
mecanismos organizativos, por ejemplo estructuras, procesos, procedimientos y
auditorías. "En el entorno digital actual, la gobernanza de los activos de TI se
vuelve cada vez más importante para garantizar la creación de valor fuera de TI
mientras se gestiona su riesgo comercial.
Para obtener más información sobre los componentes de un marco GEIT, en
términos de habilitadores necesarios. ver la sección 1.5 Técnicas utilizadas para
identificar la estrategia de TI.
1.2 PRÁCTICAS, ESTÁNDARES Y MARCOS DE LA INDUSTRIA DE
GOBERNANZA DE LA TI
COBIT es el marco comercial de ISACA para el gobierno y la gestión de TI
empresarial. Comprender este marco y sus principios subyacentes es fundamental
para establecer y mejorar las prácticas y procesos para la gobernanza efectiva de
las TI empresariales. Muchas prácticas, estándares y marcos de trabajo de la
industria son complementarios de COBIT. Por lo tanto, el conocimiento de estas
prácticas, estándares y marcos de trabajo de la industria, especialmente qué,
cuándo y cómo se usan, se vuelve importante para un GEIT efectivo.
Las empresas exitosas se han dado cuenta de que la junta directiva y los
ejecutivos deben adoptar la TI como cualquier otra parte importante de los
negocios. La junta directiva a menudo maneja departamentos tales como recursos
humanos, finanzas, etc. pero a menudo debido a la falta de conocimiento, este no
es el caso con la TI. Las juntas y la administración, tanto en el negocio como en
las funciones de TI, deben colaborar y trabajar juntas para que la TI esté incluida
dentro del enfoque de gestión y gobierno. Además, la legislación se está
aprobando cada vez más y las regulaciones implementadas para abordar esta
necesidad.
Bosque de marcos, estándares y buenas prácticas
Se ha dicho que hay un "bosque" de marcos de trabajo, estándares y buenas
prácticas en lo que respecta al gobierno y la gestión de las TI empresariales:

Un marco es una estructura generalmente aceptada, orientada a procesos de

negocio que establece un lenguaje común y permite procesos comerciales
repetibles.
Un estándar es un requisito obligatorio, un código de práctica o especificación
aprobada por una organización reconocida de estándares externos, como ISO.
Una práctica es una acción frecuente o habitual realizada (de buena gana o por
imperativo).
Este bosque es una indicación tanto de la necesidad como de la respuesta. las
demandas de las empresas de hoy en términos de gobierno y gestión de TI. Esta
situación ha estimulado el desarrollo, la importación desde otras disciplinas y la
aceptación de marcos gerenciales, métodos y metodologías que respaldan el
correcto funcionamiento de la función informática actual. El resultado ha sido la
proliferación de estándares y marcos, de los cuales los siguientes son ejemplos
representativos.
Gobernanza de la empresa TI
AS / NZS 8016: 2013: gobernanza de proyectos habilitados para TI (emitido en
2013, basado en ISO / EC 38500: 2008)
Marco de trabajo COBIT 5-A para el gobierno y la gestión de las TI empresariales
ISO / TEC 38502: 2014-Gobernanza del marco y modelo de TI
ISO / CEI TS 38501: 2015: gobernanza de la guía de implementación de TI
Gestión de TI Empresarial
Biblioteca de servicios de aplicación ASL
BiSL-Business Information Services Library
Integración del modelo de madurez de capacidad CMMI (en etapas y continuo)
Marco de trabajo COBIT 5-A para el gobierno y la gestión de las TI empresariales
Modelo EFQM-European Foundation for Quality Management
Modelo de capacidad de eSCM-eSourcing de Carnegie Mellon University (CMU)
Software Engineering Institute (SEI)
Mapa de operaciones de telecomunicaciones optimizado eTOM
Serie ISO / IEC 27000: familia de estándares de sistemas de gestión de la
seguridad de la información ISO / EC (ISMS)
Serie ISO 9000: conjunto de estándares internacionales para gestión de calidad y
garantía de calidad
ISO / IEC 20000-1: 2011 (anteriormente BS15000) -Tecnología de la información-
Gestión del servicio-Parte 1: Requisitos del sistema de gestión del servicio
Serie ISO 31000: familia de normas relacionadas con la gestión de riesgos
ISO 22301: 2012-Seguridad social-Sistemas de gestión de continuidad del
negocio-Requisitos
ISO / IEC '33000 series-Familia de estándares de evaluación de procesos ISO
ISO / IEC / TEEE 42010-Ingeniería de sistemas y software-Descripción de la
arquitectura
ISPL-Information Services Procurement Library
Biblioteca de Infraestructura ITTL-IT
M_o_R-Gestión del riesgo
MSP-Gestión de programas exitosos
PMBOK-Project Management Cuerpo de conocimiento
PREVCE2-Proyectos en entornos controlados
Modelo Six Sigma-Six Sigma para la gestión de la calidad
Gestión de calidad TiekIT para TI
TOGAF: el marco de arquitectura de grupo abierto
TQM-Gestión de calidad total
La mayoría de estos estándares se centran en aspectos específicos de la gestión
y el gobierno de TI. COBIT 5 se alinea con estos estándares y marcos a un alto
nivel y, por lo tanto, puede servir como el marco general para la gobernanza y la
gestión de TI empresarial. No se espera que el candidato de CGEIT aprenda a
fondo los estándares detallados para el examen. La relevancia de los estándares
desde una perspectiva GEIT y COBIT 5 como un marco integrador debería ser el
enfoque de aprendizaje.
COBIT 5 se proporciona como un ejemplo de un marco CGEIT a lo largo de este
manual para ilustrar los conceptos discutidos. El candidato CGEIT no será
probado en los aspectos específicos de COBIT 5 o cualquier estándar o marco.
COBIT 5
en el campo, se desarrollan y promueven muchos marcos de buenas prácticas
para guiar a los gerentes en la implementación de GEIT .; Uno de estos marcos es
COBIT; ISACA emitió COBIT 5 en abril de 2012. COBIT es un marco de libre
acceso que describe un conjunto de mejores prácticas para el gobierno, la gestión,
el control y la garantía de TI, y las organiza en torno a un marco lógico de
procesos relacionados con TI.
COBIT 5 proporciona un marco integral que ayuda a las empresas a lograr sus
objetivos de gobernanza y gestión de TI empresarial. En pocas palabras, ayuda a
las empresas a crear un valor óptimo de TI al mantener un equilibrio entre los
beneficios y los niveles de riesgo y el uso de los recursos. COBIT 5 permite que
las TI sean gobernadas y administradas de manera holística para toda la empresa,
abarcando las áreas de responsabilidad funcional y de TI de extremo a extremo,
considerando los intereses relacionados con TI de los interesados internos y
externos. COBIT 5 es genérico y útil para empresas de todos los tamaños, ya
sean comerciales, sin fines de lucro o en el sector público. COBIT 5 identifica 37
procesos de gobierno y gestión para TI. como se muestra en la figura 1.4.

Fuente: ISACA, COBIT 5, EE. UU., 2012, Figura 16

COBIT 5 se alinea con otros estándares y marcos relevantes a un alto nivel, y por
lo tanto puede servir como el marco general para la gobernanza y la gestión de TI
empresarial. Algunos marcos complementarios importantes están representados
en la figura 1.5 y posicionados hacia los procesos y dominios COBIT 5 como se
muestra en la figura anterior,

COBIT 5 es un marco único e integrado porque:

• Se alinea con otros estándares y marcos recientes y relevantes, y por lo tanto le
permite a la empresa usar COBIT 5 como el integrador principal de la estructura
de gobierno y gestión.
• Está completo en cobertura empresarial, proporcionando una base para integrar
de manera efectiva otros marcos, estándares y prácticas utilizados.
• Proporciona una arquitectura simple para estructurar los materiales de
orientación y producir un conjunto de productos consistente.
• Integra todo el conocimiento previamente disperso en diferentes marcos de
ISACA. ISACA ha investigado el área clave de GEIT durante muchos años y ha
desarrollado marcos tales como COBIT. Val IT, Risk IT. Modelo de negocio para la
seguridad de la información (BMIS). Informe de la Junta sobre gobernanza de TI e
ITAF.

1.3 CONDUCTORES DE NEGOCIOS RELACIONADOS CON LA GOBERNANZA

DE TI
En un contexto empresarial, económico y tecnológico en constante cambio
(informática en la nube, BYOD, big data, Internet de las cosas, etc.), es importante
detectar los impulsores de negocio (puntos de dolor o desencadenar eventos en el
entorno interno o externo) que constituyen un necesidad de prácticas GEIT nuevas
o revisadas.

Muchos factores pueden indicar la necesidad de nuevas prácticas de GEIT o

revisadas. Es sin embargo es importante tener en cuenta que estos síntomas
pueden no solo señalar problemas subyacentes que deben abordarse, sino que
también pueden ser indicativos de otros problemas (o una combinación de
factores). Por ejemplo, si las empresas tienen la percepción de que los costos de
TI son inaceptablemente elevados, esto puede deberse a problemas de gestión y /
o gestión (como el uso de criterios inadecuados en el proceso de gestión de
inversiones de TI), pero también a un legado de la falta de inversión en TI que
ahora se manifiesta en la necesidad de inversiones significativas.
Al utilizar los puntos problemáticos o desencadenar eventos como el punto de
partida para las iniciativas GEIT, el caso comercial de mejora se relacionará con
los problemas que se experimentan, lo que mejorará la aceptación. Se puede
crear un sentido de urgencia dentro de la empresa que es necesario para iniciar la
implementación. Además, se pueden identificar ganancias rápidas y se puede
demostrar el valor agregado en áreas que son las más visibles en la empresa.
Esto proporciona una plataforma para introducir más cambios y puede ayudar a
obtener un amplio compromiso de la administración superior y apoyo para
cambios más generalizados.

Puntos típicos de dolor

Las prácticas New7 o GEIT revisadas normalmente pueden resolver o ser parte de
una solución a los siguientes síntomas:
• Frustración empresarial con iniciativas fallidas, costos de TI crecientes y una
percepción de bajo valor comercial. Mientras que muchas empresas continúan
aumentando, entonces "las inversiones en TI". el valor de estas inversiones y el
rendimiento general de TI a menudo se cuestionan o no se realizan por completo.
Esto puede ser indicativo de un problema GEIT donde la comunicación entre TI y
la empresa no debe ser probada y debe establecerse una visión común sobre el
rol y el valor de TI. También puede ser una consecuencia de una cartera y un
proyecto subóptimo, de una propuesta y de mecanismos de aprobación.

• Incidentes importantes relacionados con el riesgo comercial relacionado con TI,

como la pérdida de datos o la falla del proyecto. Estos incidentes significativos a
menudo son la punta del iceberg y los impactos pueden verse exacerbados si
reciben atención pública y / o de los medios. La investigación adicional a menudo
conduce a la identificación de desajustes más profundos y estructurales, o incluso
una completa falta de una cultura de TI consciente de los riesgos dentro de la
empresa. Entonces se requieren prácticas de GEIT más fuertes para obtener una
visión completa7 y una sólida comprensión del riesgo relacionado con TI y cómo
debería ser administrado.
• Los problemas de entrega de servicios externos, como los niveles de servicio
acordados, no se cumplen consistentemente. Los problemas con la entrega de
servicios por parte de proveedores de servicios externos pueden deberse a
problemas de gobernabilidad tales como la falta de adaptación definida o
inadecuada de procesos de administración de servicios de terceros ( incluyendo
control y monitoreo) con responsabilidades y responsabilidades asociadas para
cumplir con los requisitos del servicio de TI comercial.
• Incumplimiento de los requisitos normativos o contractuales: en muchas
empresas, los mecanismos de gobernanza ineficaces o ineficaces impiden la
integración completa de las leyes relevantes. regulaciones y términos
contractuales en los sistemas organizacionales o carecen de un enfoque para
manejarlos. Las regulaciones y los requisitos de cumplimiento generalmente están
aumentando a nivel mundial, a menudo con un impacto en las actividades
habilitadas por TI.
• La TI limita las capacidades de innovación y la agilidad empresarial de la
empresa. Una queja común es que el rol de TI es el de una función de soporte,
mientras que existe un requisito para que las capacidades de innovación brinden
una ventaja competitiva. Estos son síntomas que pueden indicar una falta de
verdadera alineación bidireccional entre el negocio y la TI. lo que podría deberse a
problemas de comunicación o a una participación empresarial inferior a la óptima
en la toma de decisiones de TI. También podría ser debido a negocios que
involucran TI en una etapa demasiado avanzada como para planear estrategias
gastronómicas e iniciativas impulsadas por negocios. Este problema generalmente
se puede destacar cuando las condiciones económicas requieren respuestas
empresariales rápidas, como la introducción de nuevos productos o servicios.
• Hallazgos periódicos de auditoría sobre el rendimiento de TI de pool1 o
problemas informados de calidad de servicio de TI: esto puede indicar niveles de
servicio que no están funcionando bien o que no funcionan bien, o una
participación empresarial inadecuada en la toma de decisiones de TI.
• Gastos de TI ocultos y deshonestos: a menudo falta una visión suficientemente
transparente y exhaustiva7 de los gastos e inversiones en TI. Los gastos de TI a
menudo se pueden "esconder" en los presupuestos de las unidades de negocio o
no clasificarse como gasto de TI en las cuentas, lo que crea una visión parcial
sesgada7 de los costos de TI.
• Duplicación o solapamiento entre iniciativas o desperdicio de recursos: esto a
menudo se debe a la falta de una visión holística / de cartera de todas las
iniciativas de TI e indica que las capacidades de proceso y estructura de decisión
en torno a la gestión de cartera y rendimiento no son buenas.
• Insuficientes recursos de TI, personal con esquifes inadecuados o agotamiento /
insatisfacción del personal: estos son asuntos importantes de gestión de recursos
humanos de TI que requieren una supervisión efectiva y buena gobernanza para
garantizar que la gestión de personas y el desarrollo de habilidades se aborden de
manera efectiva. Estos problemas también podrían ser indicativos de otros
factores, como las deficiencias subyacentes en la gestión de la demanda de TI y
las prácticas internas de prestación de servicios.
• TI habilitó los cambios con frecuencia para satisfacer las necesidades del
negocio y retrasarse o excederse en el presupuesto. Estos puntos podrían
relacionarse con problemas con la alineación entre TI y negocios, la definición de
requisitos comerciales, la falta de un proceso de realización de beneficios o la
implementación y proyecto / programa subóptimo procesos de gestión.
• Múltiples y complejos esfuerzos de aseguramiento de TI: esto podría ser
indicativo de una mala coordinación entre el negocio y la TI con respecto a la
necesidad y la ejecución de revisiones de aseguramiento relacionadas con TI. Una
causa subyacente podría ser un bajo nivel de confianza empresarial en TI. lo que
hace que la empresa inicie sus propias revisiones, o una falta de responsabilidad
empresarial adecuada para las revisiones de aseguramiento de TI, lo que hace
que la empresa no sepa cuándo tienen lugar.
• Miembros de la junta, ejecutivos o gerentes senior que son reacios a interactuar
con TI, o la falta de patrocinadores empresariales comprometidos y satisfechos.
Estos puntos de paternidad a menudo se relacionan con la falta de comprensión
comercial y conocimiento de TI y la falta de visibilidad de TI en los niveles
apropiados Las causas fundamentales se pueden encontrar en cuestiones
relacionadas con los mandatos de la junta directiva, la mala comunicación entre la
empresa y la TI, la falta de disposiciones de gobierno y estructuras de gestión, etc.
• Modelos operativos de TI complejos: la complejidad inherente a, por ejemplo, los
modelos de TI descentralizados o federados que a menudo tienen diferentes
estructuras, prácticas y políticas requiere un fuerte enfoque en GEIT para asegurar
una toma de decisiones de TI óptima y operaciones efectivas y eficientes. El punto
de dolor de las estacas a menudo se vuelve más significativo en contextos
internacionales porque cada territorio o región puede tener factores ambientales
internos y externos específicos y potencialmente únicos que deben abordarse.
Con demasiada frecuencia, el problema de latas se ve incrementado por la falta de
un EA bien pensado y desarrollado.
Eventos desencadenantes en entornos internos y externos
Además de los síntomas descritos anteriormente, otros eventos en los entornos
internos y externos de la empresa, como los siguientes, pueden indicar o activar
un enfoque en GEIT y llevarlo a lo más alto en la agenda de la empresa:

• Fusión, adquisición o desinversión: las consecuencias estratégicas y operativas

relacionadas con TI pueden ser significativas después de una fusión, adquisición o
desinversión. Durante las revisiones de diligencia debida, será necesario entender
los problemas de TI en los entornos. Además, entre todos los demás requisitos de
integración o reestructuración, será necesario diseñar los mecanismos GEIT
apropiados para el nuevo entorno.
• Un cambio en el mercado, la economía o la posición competitiva: por ejemplo,
una desaceleración económica podría llevar a las empresas a revisar los
mecanismos de GEIT para permitir reducciones de costos a gran escala o la
mejora del rendimiento.
• Cambio en el modelo operativo comercial o en los acuerdos de
aprovisionamiento: por ejemplo, pasar de un modelo descentralizado o federado a
un modelo operativo más centralizado requerirá cambios en las prácticas de GEIT
para permitir una toma de decisiones de TI más central. Otro ejemplo podría ser la
implementación de centros de servicios compartidos para áreas tales como
finanzas, recursos humanos (RR.HH.) o adquisiciones. Esto puede tener impactos
de TI tales como la consolidación de aplicaciones fragmentadas de TI o dominios
de infraestructura con los cambios asociados a las estructuras de toma de
decisiones de TI o los procesos que los gobiernan. La externalización de algunas
funciones de TI y procesos de negocios de manera similar puede conducir a un
enfoque en GEIT.
• Nuevos requisitos normativos o de cumplimiento: como ejemplo, los requisitos de
informes de gobierno corporativo expandido y las reglamentaciones financieras
provocan la necesidad de un mejor GEIT así como el enfoque en la privacidad de
la información causada por la omnipresencia de TI.
• Un enfoque o proyecto de gobernanza en toda la empresa: dichos proyectos
probablemente desencadenarán iniciativas en el área GEIT.
• Un nuevo director de información (CIO), director financiero (CFO), director
ejecutivo (CEO) o miembro de la junta directiva: el nombramiento de nuevos
representantes de nivel C a menudo puede desencadenar una evaluación de los
mecanismos e iniciativas actuales de GEIT para abordar cualquier debilidad áreas
encontradas.
• Auditoría externa o evaluaciones de consultores: una evaluación realizada por un
tercero independiente en contra de prácticas apropiadas puede ser el punto de
partida de una iniciativa de mejora de GEIT.
• Una nueva estrategia o prioridad comercial: la búsqueda de una nueva estrategia
comercial tendrá implicaciones de GEIT. Por ejemplo, una estrategia comercial de
estar cerca de los clientes (es decir, saber quiénes son, luego los requisitos y
responder a estos requisitos de la mejor manera posible) puede requerir más
libertad para tomar decisiones de TI para una unidad comercial / país en lugar de
a la toma de decisiones central a nivel corporativo o de tenencia.
• Deseo de mejorar significativamente el valor que se obtendrá de TI: una
necesidad de mejorar la ventaja competitiva, ser innovador o crear nuevas
oportunidades comerciales puede llamar la atención sobre GEIT.
La necesidad de actuar debe ser clara y ampliamente solicitada y comunicada.
Esta comunicación puede ser en forma de una "llamada de atención" (donde se
experimentan los puntos de dolor) o una expresión de la oportunidad de mejora
que se persigue y los beneficios que se realizarán. Los puntos de dolor actuales
de GEIT o los eventos desencadenantes proporcionan un punto de partida; la
identificación de estos se puede hacer típicamente a través de controles de salud
de alto nivel, diagnósticos o evaluaciones de capacidades. Estas técnicas tienen el
beneficio adicional de crear consenso sobre los problemas que se abordarán. Si
puede ser beneficioso pedirle a un tercero que realice una revisión para obtener
una visión de alto nivel independiente y objetiva sobre la situación actual, lo que
puede aumentar la aceptación para tomar medidas.
1.4 HABILITADORES DE GOBERNANZA DE TI

La gestión y gestión eficiente y efectiva de las TI empresariales requiere un

enfoque holístico, teniendo en cuenta varios componentes que interactúan. Estos
componentes son habilitadores que respaldan la implementación de un sistema
integral de gobierno y gestión para TI empresarial. Los habilitadores se definen
ampliamente como cualquier cosa que pueda ayudar a lograr los objetivos de la
empresa.
Los habilitadores de la gobernanza son los recursos de la organización para la
gobernanza, tales como marcos, principios, estructuras, procesos y prácticas, a
través de los cuales se pueden dirigir las acciones y se pueden alcanzar los
objetivos. Los habilitadores también incluyen los recursos de la empresa (por
ejemplo, capacidades de servicio [infraestructura de TI, aplicaciones, etc.]
personas e información).

Enfoque Holístico de Estructuras, Procesos y Mecanismos Relacionales

La gestión y gestión eficiente y efectiva de las TI empresariales requiere un
enfoque holístico, teniendo en cuenta varios componentes que interactúan. Estos
componentes son un conjunto de habilitadores para respaldar la implementación
de un sistema integral de gobierno y gestión para TI empresarial.
Este desafío de implementación está relacionado con lo que se describe en la
literatura de gestión estratégica como la necesidad de un sistema organizacional
(es decir, "la forma en que una empresa consigue que su gente trabaje en
conjunto para llevar a cabo el negocio" 5). Tal sistema organizacional requiere la
definición y aplicación, de manera holística, de estructuras (por ejemplo, unidades
y funciones organizativas) y procesos (para asegurar que las tareas estén
coordinadas e integradas), y atención a las personas y aspectos relacionales (por
ejemplo, cultura). valores, creencias conjuntas).
De Haes y Van Grembergen han aplicado esta teoría del sistema organizacional a
la discusión de GEIT. Estos autores concluyen que las organizaciones pueden y
están implementando GEIT mediante el uso de una mezcla holística de diversas
estructuras, procesos y mecanismos relacionales. Las estructuras de GEIT
incluyen los límites de la organización y los roles responsables de tomar
decisiones de TI y para habilitar los contactos entre las funciones de toma de
decisiones de la administración de TI y de negocios (por ejemplo, el comité de
acero de TI). Esto se puede ver como un plan de cómo el marco de gobernanza se
organizará estructuralmente. Los procesos de GEIT se refieren a la formalización
e institucionalización de la toma de decisiones estratégicas de TI y los
procedimientos de monitoreo de TI para garantizar que los comportamientos
diarios sean consistentes con las políticas y brinden información de retorno a las
decisiones (por ejemplo, IT BSC). Los mecanismos relacionales son, en última
instancia, sobre la participación activa de. y una relación de colaboración entre los
ejecutivos corporativos. La gestión de TI y la gestión empresarial, e incluyen
mecanismos tales como anuncios, defensores y esfuerzos educativos.
Habilitadores de COBIT 5
COBIT 5 se basa en estas ideas y habla de "habilitadores" en su marco. Los
habilitadores se definen como factores que, individual y colectivamente, influyen
sobre si algo funcionará, en este caso, la gobernanza y la gestión sobre las TI
empresariales. El marco COBIT 5 describe siete categorías de habilitadores. de
los cuales el habilitador de procesos. el habilitador de estructuras organizativas. y
la cultura, el comportamiento y el habilitador de la ética están estrechamente
relacionados con el concepto de sistemas organizacionales (figura 1.6).
• Los principios, políticas y marcos son los vehículos para traducir la estrategia
deseada en una guía práctica para la gestión diaria.
• Los procesos describen un conjunto de prácticas y actividades para alcanzar
ciertos objetivos y producir un conjunto de productos para apoyar el logro de
objetivos generales relacionados con TI.
• Las estructuras organizacionales son las entidades clave para la toma de
decisiones en una empresa.
• Cultura, ética y comportamiento se refieren al conjunto de comportamientos
individuales y colectivos dentro de una empresa. El habilitador de Tins es clave
para un rendimiento efectivo junto con otros habilitadores como el proceso, la
estructura de la organización y los principios y políticas.
• La información es omnipresente en cualquier organización e incluye toda la
información producida y utilizada por la empresa. Se requiere información para
mantener a la organización alineada y bien gobernada, pero a nivel operacional, la
información es a menudo el producto clave de la empresa misma.
• Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura.
tecnología y aplicaciones que brindan a la empresa servicios y procesamiento de
TI.
• Las personas, las habilidades y las competencias están vinculadas a las
personas y se requieren para completar con éxito todas las actividades y para
tomar decisiones correctas y tomar medidas correctivas.

Cualquier empresa siempre debe considerar un conjunto interconectado de

habilitadores. Es decir. cada habilitador:
• Necesita la entrada de otros habilitadores para ser completamente efectivo (por
ejemplo, los procesos necesitan información, las estructuras organizativas
necesitan habilidades y comportamientos).
• Entrega resultados en beneficio de otros habilitadores (por ejemplo, los procesos
entregan información, las habilidades y el comportamiento hacen que los procesos
sean eficientes).

Cuando se trata de gobernanza y gestión de TI empresarial. Se pueden tomar

buenas decisiones solo cuando se tiene en cuenta la naturaleza sistémica de los
habilitadores de gestión y gestión. Esto significa que todos los habilitadores
interrelacionados deben analizarse para su relevancia y modificarse si es
necesario para abordar las necesidades de las partes interesadas. Para ser eficaz,
la alta dirección y el consejo de administración deben impulsar el proceso.
Investigaciones recientes realizadas por la Escuela de Administración de la
Universidad de Amberes-Amberes e ISACA sugieren que todos los habilitadores
son considerados muy importantes por los profesionales, todos ellos con
promedios superiores a 4 en una escala de 1 a 5 (figura 1.7) .3

Esto sugeriría que los siete habilitadores de GEIT, según lo propuesto por COBIT
5., son vistos por el mercado como altamente relevantes y holísticos y
relacionados entre sí ". Comparando los siete habilitadores entre sí, es atractivo el
habilitador de información y las personas. El facilitador de Habilidades y
Competencias se percibe como el más importante, seguido de cerca por el
Habilitador de Procesos '. ISACA publica una guía detallada sobre los procesos y
habilitadores de información. El Marco de habilidades para la era de la información
(SFIA). actualmente en la versión 5.1J o en el Marco Europeo de Competencia
Electrónica11 proporcionan una guía sólida en apoyo de las Personas. Habilitador
de Habilidades y Competencias.
En la misma investigación, se analizó si los habilitadores de GEIT contribuyen al
logro de los objetivos relacionados con TI y. por extensión, objetivos
empresariales. El estudio encontró una fuerte asociación positiva entre el puntaje
promedio general de implementación o administración de siete habilitadores y el
puntaje promedio general de los objetivos relacionados con TI (figura 1.8). La línea
recta en el gráfico implica una correlación positiva entre la implementación o
administración del habilitador y los objetivos relacionados con TI. El estudio
también confirmó una fuerte asociación positiva entre los objetivos relacionados
con TI y los objetivos empresariales en general, lo que sugiere que los resultados
relacionados con TI se relacionan positivamente con los objetivos de la empresa
(figura 1.9).
1.5 TÉCNICAS UTILIZADAS PARA IDENTIFICAR LA ESTRATEGIA DE TI
Al establecer los enfoques de dirección y elaboración para implementar mejoras
en toda la empresa en GEIT, es crucial vincular estas iniciativas a la misión, visión
y estrategia de la organización. Ser efectivo. GEIT debe existir dentro de estos
enunciados organizacionales definitorios. Por lo tanto, es importante que los
profesionales entiendan por qué la estrategia de TI es importante y cómo la
estrategia de TI puede vincularse con la estrategia empresarial aprovechando
técnicas como análisis de fortalezas, debilidades, oportunidades y amenazas
(SWOT) y Boston Consulting Group (BCG ) matriz de participación de crecimiento.
El establecimiento de la estrategia es una parte fundamental de la gobernanza.
Desde el punto de vista de la junta directiva y la gerencia ejecutiva, el objetivo
general en este asunto es comprender los problemas y la importancia estratégica
de la TI para que la empresa pueda mantener sus operaciones e implementar las
estrategias requeridas para extender sus actividades hacia el futuro.

Las técnicas importantes de planificación estratégica que pueden ayudar a

comprender y definir la importancia estratégica de TI son el análisis FODA y la
matriz de participación de crecimiento de BCG.

Análisis FODA
SWOT es un método de planificación estratégica utilizado para evaluar las
fortalezas, debilidades, oportunidades y amenazas involucradas en un proyecto o
en una empresa comercial, como se muestra en la figura 1.10. A veces, SWOT se
conoce como SLOT (fortalezas, limitaciones, oportunidades y amenazas). Implica
especificar el objetivo del emprendimiento comercial o proyecto e identificar los
factores internos y externos que son favorables y desfavorables para lograr ese
objetivo. El objetivo debe establecerse nuevamente después de que se haya
realizado el análisis FODA. Esto asegura que las metas u objetivos alcanzables
estén establecidos para la organización.
Más detalladamente, los dominios SWOT representan:
Fortalezas: características del equipo de negocios o proyecto que le dan una
ventaja sobre los demás
Debilidades (o limitaciones) -Características que colocan al equipo en desventaja
con relación a otros
Oportunidades: oportunidades externas para mejorar el rendimiento (por ejemplo,
obtener mayores ganancias) en el medioambiente
Amenazas: elementos externos en el entorno que podrían causar problemas para
el negocio o proyecto

Los análisis SWOT se pueden aplicar a las discusiones estratégicas de TI

evaluando las fortalezas, debilidades, oportunidades y amenazas actuales y
futuras de TI para la organización. Los resultados de dicho análisis FODA se
pueden utilizar para comprender el rol estratégico y la dirección de TI de la
organización.

Matriz de participación de crecimiento de BCG

La matriz de participación de crecimiento de BCG es un marco creado por Bruce
Henderson para la BCG en 1968 para ayudar a las empresas a analizar las
unidades de negocio o líneas de productos. Para usar el gráfico, los analistas
trazan un gráfico de dispersión para clasificar las unidades de negocio (o
productos) en función de sus cuotas de mercado y tasas de crecimiento relativas.
Los términos de BCG son:
• Vacas de dinero en efectivo: Unidades con una gran cuota de mercado en una
industria de crecimiento lento. Estas unidades generalmente generan efectivo en
exceso de la cantidad de efectivo necesaria para mantener el negocio. Son
considerados serios y aburridos, en un mercado "maduro", y todas las empresas
estarían encantadas de tener tantas como sea posible. Deben "ordeñarse"
continuamente con la menor inversión posible, ya que dicha inversión se
desperdiciará en una industria con bajo crecimiento.
• Perros (también conocidos como mascotas): unidades con baja participación de
mercado en una industria madura y de crecimiento lento. Estas unidades
generalmente "se equilibran". generando apenas efectivo suficiente para mantener
la cuota de mercado de la empresa. Aunque poseer una unidad de punto de
equilibrio brinda el beneficio social de proporcionar empleos y posibles sinergias
que ayuden a otras unidades de negocio, desde un punto de vista contable7 dicha
unidad no tiene valor, y no genera efectivo para la empresa. Reducen la
rentabilidad de una empresa rentable, utilizada por muchos inversores para juzgar
qué tan bien se está gestionando una empresa. ¿Se cree que debería venderse?
• Los signos de interrogación (también conocidos como niños problemáticos) están
creciendo rápidamente y, por lo tanto, consumen grandes cantidades de efectivo,
pero debido a que tienen pocas cuotas de mercado, no generan mucho efectivo.
El resultado es un gran consumo neto de efectivo. Un signo de interrogación tiene
el potencial de ganar participación de mercado y convertirse en una estrella, y
eventualmente una vaca de efectivo cuando el crecimiento del mercado se
desacelera. Si el signo de interrogación no tiene éxito en convertirse en el líder del
mercado, luego de quizás años de consumo de efectivo degenerará en un perro
cuando el crecimiento del mercado disminuya. Los signos de interrogación deben
analizarse cuidadosamente para determinar si valen la inversión requerida para
aumentar la cuota de mercado7.
• Estrellas. con una alta cuota de mercado en una industria de rápido crecimiento.
La esperanza es que las estrellas se conviertan en las próximas vacas de efectivo.
Sostener el liderazgo de mercado de la unidad comercial puede requerir dinero
extra, pero esto vale la pena si eso es lo que se necesita para que la unidad siga
siendo un líder. Cuando el crecimiento se ralentiza, las estrellas se convierten en
ganadoras de efectivo si han podido mantener su liderazgo de categoría, o pasan
del breve estrellato al dogdom.
Los análisis de la matriz de participación creciente, como se muestra en la figura
1.11, se pueden aplicar a la discusión estratégica de TI evaluando el rol de la TI en
cada uno de los cuadrantes y evaluando cómo la tecnología puede ayudar a
moverse de un cuadrante a otro. Estas ideas se pueden utilizar para comprender
el rol estratégico y la dirección de TI de la organización.
Para obtener información sobre el BSC. como un modelo para aclarar la estrategia
de TI, los objetivos y las métricas relacionadas, consulte la sección 1.10 Procesos
/ mecanismos de supervisión de la gobernanza de TI y la sección 1.11 Procesos /
mecanismos de notificación de la gobernanza de TI.

Otros modelos y métodos para la estrategia de TI. Las organizaciones utilizan

muchos otros modelos para pensar en la estrategia de TI entonces y / o el rol de
las TI en la estrategia comercial y las operaciones de la empresa. Los ejemplos
bien conocidos incluyen:
• El cuadro de mando integral de TI: consulte la explicación detallada en la sección
1.10 Procesos / mecanismos de control de la gobernanza de TI y la sección 1.11
Procesos / mecanismos de informe de gobierno de TI.
• El análisis de cinco fuerzas de Porter: un marco para el análisis de la industria y
el desarrollo de estrategias comerciales dirigidas a las fuerzas del mercado como
la rivalidad entre competidores, las amenazas de nuevos participantes en el
mercado y los productos sustitutivos y el poder de negociación de clientes y
clientes.
• Modelo de cadena de valor de Porter: un modelo que describe una cadena de
actividades que realiza una empresa que opera en una industria específica para
entregar un producto o servicio valioso al mercado, compuesto de actividades
primarias como producción y ventas y secundaria (de apoyo) actividades tales
como adquisiciones y recursos humanos.
• El marco McKinsey 7S: una herramienta que se usa a menudo para evaluar y
monitorear los cambios en la situación interna de una empresa, abordando siete
factores, que incluyen la estrategia, las habilidades, la estructura, el sistema, el
personal, el estilo y los valores compartidos.
• La matriz de McFarlan sobre la importancia estratégica de TI: un marco que
analiza el rol de TI para la empresa en términos de la dependencia de la
tecnología para la innovación (creación de valor) y la dependencia de tecnología
confiable para administrar la empresa.

COBIT 5 también propone un trabajo muy específico para identificar y vincular

objetivos empresariales y objetivos relacionados con TI, como una forma de
desarrollar planes estratégicos de TI para traducir estos planes en acción. La
información sobre esta cascada de objetivos empresariales y objetivos
relacionados con TI se puede encontrar en la sección 2.2 Procesos y técnicas de
planificación estratégica.
1.6 COMPONENTES, PRINCIPIOS Y CONCEPTOS RELACIONADOS CON LA
ARQUITECTURA EMPRESARIAL
GEIT y la arquitectura empresarial (EA) son conceptos relacionados y
entrelazados. Comprender los conceptos de EA es importante para analizar y
anticipar las interdependencias entre las adopciones de GEIT y EA en la
organización.
La arquitectura se puede definir como una representación de un marco conceptual
de componentes y sus relaciones en un punto en el tiempo. Los debates sobre
arquitectura se han centrado tradicionalmente en cuestiones tecnológicas. Sin
embargo, es importante analizar la arquitectura desde el punto de vista de la
empresa, comenzando en el nivel superior, la arquitectura comercial y luego
profundizando.
EA es un proceso clave en el contexto de la estrategia de TI y de GEIT en general.
Al representar la interrelación entre los procesos de negocios, las aplicaciones, los
datos subyacentes y la infraestructura, EA ayuda a crear estrategias para las
iniciativas de TI y GEIT.
Comprender la arquitectura empresarial
EA tiene una visión más amplia de los negocios, combinándolos con la
información asociada. Proporciona el marco para garantizar que las metas,
objetivos y políticas de la empresa se reflejen de forma adecuada y precisa en la
toma de decisiones relacionadas con la construcción, implementación de sistemas
de información cambiantes y proporcionar garantías razonables de estándares de
comunicación entre procesos, nombres de datos, representación de datos,
estructuras de datos y los sistemas de información serán aplicados de manera
consistente y apropiada en toda la empresa. Como tal. Las discusiones de EA en
muchas organizaciones son una parte crucial de los programas GEIT.
El modelo ampliamente aceptado del Instituto Nacional de Estándares y
Tecnología de EE. UU. (NTST) para EAH se muestra en la figura 1.12.

Una empresa se compone de una o más unidades comerciales que son

responsables de un área comercial específica. Como dice la Asociación Nacional
de CIOs de Estados Unidos (NASCIO) EA Development Tool-Kit:

La adopción de EA aumenta la utilidad de los datos de una empresa al facilitar el

intercambio de información entre las tiendas de datos. Comprometerse con un
proceso continuo de EA renovable fomenta una empresa adaptable a la
tecnología. EA se convierte en una hoja de ruta que guía todas las inversiones
tecnológicas futuras e identifica y ayuda en el. resolución de lagunas en el negocio
de la entidad y las infraestructuras de TI.

Fuente: Instituto Nacional de Estándares y Tecnología; yiST Special Publication

500-167: información, Decisiones de gestión: The Integration Challenge. Estados
Unidos, 19S9. Reimpreso cortesía del Instituto Nacional de Estándares y
Tecnología. Departamento de Comercio de EE. UU. No protegido por derechos de
autor en los Estados Unidos.

Capas de arquitectura empresarial

EA típico es el término inclusivo utilizado para describir las cinco capas de la
arquitectura:
• Arquitectura de unidad de negocio (o arquitectura de negocios)
• Arquitectura informacional
• Arquitectura de sistemas de información (a veces llamada arquitectura de
solución)
• Arquitectura de datos
• Arquitectura del sistema de entrega (a veces llamada arquitectura de tecnología)

Estos cinco niveles de EA se introdujeron por primera vez en 1989 por NIST y
siguen siendo válidos, y se pueden aplicar fácilmente en el entorno empresarial
extendido de hoy en día. Una serie de populares marcos de EA como Zachman,
TOGAF. Marco Federal de Arquitectura Empresarial (FEAF). ISO 15704. ISO / IEC
15288 y otros se basan ampliamente en este paradigma. El modelo de cinco
capas permite organizar, planificar y construir un conjunto integrado de
información y arquitectura de TI. Cada una de estas capas se describe de la
siguiente manera:

Arquitectura de unidad de negocio (procesos de negocios): este componente

describe los procesos de negocios principales que respaldan las misiones de la
empresa. Los componentes para la arquitectura de la unidad de negocios
generalmente se centran en los requisitos de informes externos e internos y las
áreas funcionales. Desde la perspectiva de estándares discrecionales que una
empresa puede seleccionar como parte de su arquitectura. las normas podrían
basarse en las políticas utilizadas por las industrias similares, tanto a nivel
nacional como internacional, estándares que proporcionarían la reutilización de los
activos y la migración del entorno actual a un entorno propuesto, así como los
estándares para el intercambio de información. Desde la perspectiva de los
estándares obligatorios, una empresa debe cumplir con las mejores prácticas
comerciales y la legislación. El componente principal de esta arquitectura es un
análisis de alto nivel del trabajo realizado en apoyo de la misión, visión y objetivos
de la empresa. Los procesos comerciales se pueden describir descomponiendo
los procesos en actividades comerciales derivadas. El análisis de los procesos
comerciales determina la información que necesita la empresa. Cada proceso
comercial debe incorporar una estructura de gestión del rendimiento de acuerdo
con el ciclo Plan-Do-Check-Act (PDCA o Shewhart).
Arquitectura de la información (flujos de información y relaciones) -Este
componente analiza la información utilizada por la empresa en sus procesos
comerciales -identificando la información utilizada y el movimiento de la
información dentro de la empresa. Los componentes de esta arquitectura incluyen:
documentos originales, datos, revisiones, clasificación y unidades organizativas
responsables. Las relaciones entre los diversos flujos de información también
deben describirse en este componente, para indicar dónde se necesita la
información y cómo se comparte la información para respaldar las funciones de la
misión. Este nivel de arquitectura representa el flujo de información técnica y de
gestión, así como el impacto del tiempo en la integridad y el significado de la
información.

Arquitectura de sistemas de información (aplicaciones): este componente

identifica, define y organiza las actividades que capturan, manipulan y administran
la información comercial para respaldar las operaciones de la misión, así como las
dependencias lógicas y las relaciones entre las actividades comerciales. Establece
un marco para cumplir con los requisitos de información específicos requeridos por
la arquitectura de la información. Utiliza sus componentes para adquirir y procesar
datos, muestra el sistema de información automatizado y orientado a
procedimientos que admite el flujo de información y produce y distribuye
información de acuerdo con los requisitos y estándares de la arquitectura. Los
componentes para la arquitectura de sistemas de información se refieren a
especificaciones, requisitos, aplicaciones, módulos, bases de datos y
procedimientos
Arquitectura de datos (descripciones de datos): este componente identifica cómo
se mantienen, acceden y utilizan los datos. En un nivel alto, define los datos y
describe la relación entre los elementos de datos en los sistemas de información
de la empresa. También interactúa con el componente del sistema de aplicación:
para almacenar 01, busca la información requerida para el procesamiento o para
el almacenamiento posterior por los sistemas de aplicación. Los componentes
para esta capa de arquitectura pueden incluir modelos de datos que describen la
naturaleza de los datos subyacentes al negocio y las necesidades de información,
como el diseño físico de bases de datos, estructuras de archivos y bases de datos,
definiciones de datos, diccionarios de datos y elementos de datos subyacentes a
los sistemas de información de la empresa. Al formular estos componentes, es
importante minimizar la redundancia y admitir nuevas aplicaciones.
Arquitectura del sistema de entrega (infraestructura tecnológica): la arquitectura
del sistema de entrega (infraestructura de tecnología y comunicación) describe e
identifica la capa del servicio de información, capa de servicio de red y
componentes, incluidas las características funcionales, capacidades e
interconexiones del hardware, software y comunicaciones (redes , protocolos y
nodos). Representa el "diagrama de cableado" de la infraestructura física de TI y
los requisitos de soporte de la instalación para que estos activos se puedan
acomodar y conectar de manera integrada.

Las capas de arquitectura descritas anteriormente son mutuamente

interdependientes e interrelacionadas. Por ejemplo, las primeras cuatro capas
están lógicamente conectadas y relacionadas en una dependencia de arriba hacia
abajo. El sistema de entrega es la base de la arquitectura y depende de la
definición de las metas y objetivos del negocio. Una arquitectura puede ser una
descripción de una de estas capas en un momento dado y puede representar una
vista de una situación actual con islas de automatización, procesos redundantes e
inconsistencias de datos. También puede ser una representación de una futura
estructura de automatización integrada o estado final que está en el plan de
migración de la empresa y proporciona un contexto y una orientación para las
actividades futuras.

Se puede encontrar más información sobre EA en la sección 2.7 Componentes.

Principios y marcos de arquitectura empresarial y sección 2.8 Tecnologías
actuales y futuras.
1.7 ESTRUCTURAS DE LA ORGANIZACIÓN Y SUS ROLES Y
RESPONSABILIDADES
La gobernanza eficaz de TI empresarial incluye la gobernanza de las estructuras
organizativas para garantizar que las decisiones relacionadas con TI se produzcan
en un entorno transparente y para permitir un contacto e intercambio efectivos
entre la empresa y la gestión de TI. Estas estructuras se pueden ver como un
modelo que muestra cómo el marco para GEIT funcionará conceptualmente.
Como se discutió en la sección 1.4 Habilitadores de gobierno de TI. El gobierno y
la gestión eficiente y efectiva de las TI empresariales requieren un enfoque
holístico, teniendo en cuenta varios componentes innovadores. Estos
componentes son un conjunto de habilitadores para respaldar la implementación
de un sistema integral de gobierno y gestión para TI empresarial.
El marco COBIT 5 describe siete categorías de facilitadores, incluidas las
estructuras organizacionales, que se definen como las entidades clave para la
toma de decisiones en una empresa.
Detalles de las estructuras organizacionales
Los detalles para los habilitadores de estructuras organizacionales. en términos de
interesados, metas, ciclo de vida y buenas prácticas se discuten a continuación:
Grupos de interés: las partes interesadas de las estructuras organizacionales
pueden ser internas y externas a la empresa. e incluyen a los miembros
individuales de la estructura, otras estructuras, entidades organizacionales,
clientes, proveedores y reguladores. Luego, los roles varían e incluyen la toma de
decisiones, la influencia y el asesoramiento. Los intereses de cada parte
interesada varían en relación con las decisiones tomadas por la estructura.
Metas: los objetivos del facilitador de las estructuras organizativas incluirían tener
un mandato adecuado, principios operativos bien definidos y la aplicación de otras
buenas prácticas. El resultado del facilitador de estructuras organizacionales debe
incluir una serie de buenas actividades y decisiones.
Ciclo de vida: una estructura organizacional tiene un ciclo de vida. Se crea, existe
y se ajusta, y finalmente se puede disolver. Durante su creación, debe definirse un
mandato, una razón y un propósito para su existencia.

Buenas prácticas: se pueden distinguir una serie de buenas prácticas para las
estructuras organizativas, tales como:
• Principios de funcionamiento: estas son las disposiciones prácticas sobre cómo
funcionará la estructura, como la frecuencia de las reuniones, la documentación y
los ritmos de limpieza.
• Composición. Las estructuras tienen miembros, que son partes interesadas
internas o externas.
• Ámbito de control. Esto incluye los límites de los derechos de decisión de la
estructura organizacional.
• Nivel de autoridad / derechos de decisión: estas son las decisiones que la
estructura está autorizada a tomar.
• Delegación de autoridad: la estructura puede delegar (un subconjunto de) sus
luces de decisión a otras estructuras que le informan.
• Procedimientos de escalamiento: la ruta de escalamiento para una estructura
describe las acciones requeridas en caso de problemas al tomar decisiones.

Estructuras como base para construir gráficos RACI

El modelo de referencia del proceso COBIT 5 también proporciona una serie de
estructuras organizacionales ilustrativas como base para construir gráficos RACI
(responsable, responsable, consultado e informado): ver figura 1.13. Estas
ilustraciones no necesariamente tienen que corresponderse con las funciones
reales que las empresas han implementado, pero no obstante proporcionan valor
en el sentido de que el propósito descrito de la estructura o el rol sigue siendo
válido para la mayoría de las empresas.
Directores. El grupo de los ejecutivos más altos y los directores no ejecutivos de la
empresa que son responsables del gobierno de la empresa y tienen el control
general de sus recursos
CEO. El oficial de más alto rango que está a cargo de la gestión total de la
empresa
DIRECTOR DE FINANZAS. El funcionario de mayor rango de la empresa que
rinde cuentas de todos los aspectos de la administración financiera, incluidos los
controles y el riesgo financiero, y cuentas confiables y precisas
Director de Operaciones (COO). El funcionario de mayor rango de la empresa que
es responsable de la operación de la empresa
CRO. El funcionario de mayor rango de la empresa que es responsable de todos
los aspectos de la gestión de riesgos en toda la empresa. Se puede establecer
una función de oficial de riesgos de TI para supervisar el riesgo relacionado con
TI.
CIO. El funcionario de mayor rango de la empresa que es responsable de alinear
las estrategias de TI y comerciales y responsable de la planificación, los recursos
y la administración de la entrega de los servicios y soluciones de TI para respaldar
los objetivos de la empresa.
Jefe de información. Oficial de seguridad (CISO). El funcionario más antiguo de la
empresa que es responsable de la seguridad de la información empresarial en
todas sus formas
Ejecutivo de negocios. Un directivo individual responsable de la operación de una
unidad de negocio o subsidiaria específica
Propietario del proceso comercial. Un individuo responsable de la realización de
un proceso para realizar sus objetivos, mejorar el proceso de conducción y
aprobar cambios en el proceso.
Comité de Estrategia (Ejecutivo de TI). Un grupo de altos ejecutivos designados
por la junta para asegurarse de que la junta participe y esté informada. asuntos y
decisiones importantes relacionados con TI. El comité es responsable de
administrar las carteras de inversiones habilitadas por TI. Servicios de TI y activos
de TI, asegurando que se entregue valor y se administre el riesgo. El comité
normalmente está presidido por un miembro de la junta, no por el CIO.
(Proyecto y Programa) Comités Directivos. Un grupo de partes interesadas y
expertos que son responsables de la orientación de los programadores y
proyectos, incluida la gestión y el seguimiento de los planes, la asignación de
recursos, la entrega de beneficios y el valor, y la gestión del programa y el riesgo
del proyecto
Junta de Arquitectura. Un grupo de partes interesadas y expertos que son
responsables de la orientación sobre cuestiones y decisiones relacionadas con la
arquitectura empresarial, y para establecer políticas y estándares académicos.
Comité de Riesgos Empresariales. El grupo de ejecutivos de la empresa que son
responsables de la colaboración y el consenso a nivel empresarial necesarios para
respaldar las actividades y decisiones de gestión de riesgos empresariales (EKM).
Se puede establecer un consejo de riesgos de TI para considerar el riesgo de TI
con más detalle y asesorar al comité de riesgos de la empresa.
Jefe de Recursos Humanos. El funcionario de mayor rango de una empresa que
es responsable de la planificación y las políticas con respecto a todos los recursos
humanos en esa empresa
Conformidad. La función en la empresa responsable de la orientación sobre el
cumplimiento legal, regulatorio y contractual
Auditoría. La función en la empresa responsable de la provisión de auditorías
internas
Jefe de Arquitectura. Una persona mayor responsable del proceso de arquitectura
empresarial
Jefe de Desarrollo. Una persona senior responsable de los procesos de desarrollo
de soluciones relacionadas con TI
Jefe de Operaciones de TI. Una persona mayor responsable de los entornos
operativos de TI y la infraestructura
Jefe de Administración de TI. Una persona mayor responsable de los registros
relacionados con TI y responsable de apoyar los asuntos administrativos
relacionados con TI
Oficina de Gestión de Programas y Proyectos (PMO). La función responsable de
apoyar a los gerentes de programas y proyectos, y recopilar, evaluar y reportar
información sobre la conducción de sus programas y proyectos constituyentes
Oficina de Gestión de Valor (WO). La función que actúa como secretaría para
gestionar carteras de inversiones y servicios, incluida la evaluación y el
asesoramiento sobre oportunidades de inversión y casos comerciales, recomienda
métodos y controles de gestión de la gobernanza de valor e informa sobre el
progreso en el mantenimiento y la creación de valor de inversiones y servicios

Gerente de Servicio. Una persona que gestiona el desarrollo, la implementación, la

evaluación y la gestión continua de productos y servicios nuevos y existentes para
un cliente (usuario) o grupo de clientes (usuarios) específico
Gerente de seguridad de la información. Un individuo que maneja, diseña,
supervisa y. o evalúa la seguridad de la información de una empresa
Gerente de Continuidad de Negocio. Una persona que administra, diseña,
supervisa y / o evalúa la capacidad de continuidad empresarial de una empresa,
para garantizar que las funciones críticas de la empresa continúen operando
después de eventos disruptivos
Oficial de privacidad. Un individuo que es responsable de monitorear los impactos
de riesgos y negocios de las leyes de privacidad y para guiar y coordinar la
implementación de políticas y actividades que aseguren que se cumplan las
directivas de privacidad. También llamado oficial de protección de datos.

Los roles mencionados en la figura 1.13 son la base para construir una tabla
RACI:
Responsable: se refiere a la persona que debe garantizar que las actividades se
completen con éxito.
Aprobador: se refiere a la persona o grupo que tiene la autoridad para aprobar o
aceptar la ejecución de una actividad
Consultado: se refiere a aquellas personas cuyas opiniones se buscan en una
actividad (comunicación de dos vías)
Informado: se refiere a aquellas personas que están al día sobre el progreso de
una actividad (comunicación unidireccional)
Fuente: ISACA, COBIT 5: Procesos de habilitación, EE. UU., 2012, página 58
Gobernanza de los acuerdos TI de la empresa
Dicha tabla RACI típicamente descompone un proceso en diferentes subprocesos
y luego indica roles para cada una de las estructuras identificadas. La Figura 1.14
muestra el ejemplo de un gráfico RACI para el proceso COBIT APO02 Manage
Strategy, que define claramente las responsabilidades y las responsabilidades
tanto del lado empresarial como de TI para este proceso.
La importancia de la estructura de la organización para GEIT también ha sido
discutida por Weill y Ross. "Según los autores, el gobierno de TI se trata de
especificar los derechos de decisión y el marco de responsabilidad para fomentar
el comportamiento deseable en el uso de la TI. estudiaron cómo las empresas
toman decisiones en cinco dominios clave de TI interrelacionados:
• Principios de TI
• Esa infraestructura
• Arquitectura de TI
• Necesidades de aplicaciones comerciales
• Inversiones de TI y priorización

En respuesta a la pregunta "¿Quién debería tomar decisiones de gobernanza?"

Definen seis arquetipos o estilos de gobernanza de la TI empresarial, como se
muestra en la figura 1.15, que describe quién tiene derechos de decisión o aporta
información sobre decisiones de TI.

Descubrieron que la empresa en el estudio a menudo mostraba diferentes

arquetipos de gobernanza para diferentes dominios de decisión de TI, tanto para
tomar decisiones como para proporcionar información a las decisiones. El modelo
de gobernanza federal se utiliza generalmente como insumo para las tres
decisiones de TI más relacionadas con los negocios (principios de TI, aplicaciones
comerciales e inversiones de TI). Las empresas dependen principalmente de las
monarquías de TI cuando eligen una arquitectura de TI o toman decisiones de
estrategia de infraestructura de TI, ya que ambas se consideran actividades más
técnicas. En su investigación, Weill y Ross también concluyeron que el estilo
federal es el más efectivo para las cinco decisiones clave de TI. De hecho, "el
modelo federal de aporte proporciona un vehículo de amplia base para capturar
las concesiones entre los deseos de los gerentes corporativos superiores y los
gerentes en las unidades de negocio", para tomar decisiones, por otro lado, el
modelo federal en general es experimentado como menos efectivo, principalmente
porque hay demasiada gente involucrada, lo que puede ralentizar el proceso de
toma de decisiones y crear demasiados compromisos, el cabrestante puede
bloquear las necesidades reales del negocio. Los principales ejecutores de la
gobernanza a menudo utilizaban duopolios tanto para los principios de TI como
para las inversiones, lo que permitía unir la toma de decisiones entre los líderes
empresariales y los profesionales de TI.
Gobernanza de la empresa. Estilo de TI ¿Quién tiene derechos de decisión o de
entrada?

Monarquía comercial. Un grupo de ejecutivos de negocios o ejecutivos

individuales (CxO): incluye comités de altos ejecutivos de negocios (puede incluir
CIO); excluye a los ejecutivos de TI que actúan de forma independiente
Monarquía IT. Individuos o grupos de ejecutivos de TI
Feudal. Líderes de unidades de negocio, propietarios de procesos clave o sus
delegados
Federal. Ejecutivos de nivel C y grupos empresariales (por ejemplo, unidades de
negocio o procesos): también pueden incluir ejecutivos de TI como participantes
adicionales
Duopolio. Ejecutivos de TI y al menos otro grupo (por ejemplo, CxO o unidad de
negocio o líderes de proceso)
Anarquía. Cada propietario de proceso comercial individual o usuario final

1.8 MÉTODOS PARA GESTIONAR EL CAMBIO ORGANIZATIVO, PROCESAL

Y CULTURAL
La implementación o mejora exitosa depende de implementar el cambio apropiado
en la forma de conexión. En muchas empresas, no hay suficiente énfasis en la
gestión de los aspectos humanos, de comportamiento y culturales del cambio y
motivar a los interesados para que acepten el cambio. Habilitar el cambio es uno
de los mayores desafíos para la implementación de GEIT.

Es importante que exista el ambiente y la cultura apropiados al implementar las

mejoras de GEIT. Esto ayuda a asegurar que la iniciativa en sí sea gobernada y
guiada y respaldada adecuadamente por la gerencia. Las principales iniciativas de
TI a menudo fracasan debido a la dirección, el apoyo y la supervisión inadecuados
de la dirección y la falta de un contexto cultural apropiado. Las implementaciones
de GEIT no son diferentes; tienen más posibilidades de éxito si están bien
gobernados y bien administrados, prestando suficiente atención al aspecto del
comportamiento humano.

El apoyo y la dirección inadecuados de los interesados clave pueden, por ejemplo,

dar como resultado iniciativas GEIT que producen nuevas políticas y
procedimientos que no tienen una apropiación adecuada. Es poco probable que
las mejoras en el proceso se conviertan en prácticas comerciales normales sin una
estructura de gestión que asigne roles y responsabilidades. y monitorea la
conformidad. Se debe crear y mantener un entorno apropiado para garantizar que
GEIT se implemente como parte integral de un enfoque de gobernanza general
dentro de la empresa.

Los elementos de cambio, cultura y comportamiento humano también deben

abordarse al escribir un caso de negocios en torno a un programa GEIT. La
importancia de abordar estos elementos en el caso de negocio se aborda en la
sección 3 .1 Procesos de gestión de inversiones de TI. Incluye el ciclo de vida
económico de las inversiones.

Habilitación de cambio
La habilitación de cambios es uno de los mayores desafíos para la implementación
de GEIT. No debe suponerse que las diversas partes interesadas involucradas o
afectadas por. los arreglos de gobernanza nuevos o revisados aceptarán y
adoptarán fácilmente el cambio. La posibilidad de ignorancia y / o resistencia al
cambio debe abordarse a través de un enfoque estructurado y proactivo. Además,
la conciencia óptima del programa debe lograrse a través de un plan de
comunicación que defina lo que se comunicará, de qué manera y por quién a lo
largo de las diversas fases del programa.
COBIT 5 define habilitación de cambio como:
Un proceso sistemático para asegurar que todos los interesados estén preparados
y comprometidos con los cambios involucrados al pasar de un estado actual a un
estado futuro deseado.
Todos los interesados clave deberían participar. En un nivel alto, la habilitación de
cambio generalmente implica:
• Evaluar el impacto del cambio en la empresa. su gente y otras partes interesadas
• Establecer el estado futuro (visión) en términos humanos / conductuales y las
medidas asociadas para describirlo
• Construir '' planes de respuesta al cambio '' para gestionar el impacto del cambio
de manera proactiva y maximizar la participación durante todo el proceso. Estos
planes pueden incluir capacitación, comunicación, diseño de la organización,
rediseño del proceso y sistemas actualizados de administración del desempeño.
• Medir continuamente el progreso del cambio hacia el estado futuro deseado
En términos de una implementación típica de GEIT, el objetivo de la habilitación
del cambio es contar con partes interesadas de la empresa del negocio y de TI
que lideren con el ejemplo y estimulando al personal en todos los niveles a
trabajar de acuerdo con la nueva forma deseada. Los ejemplos de
comportamiento deseado incluyen:

• Seguir los procesos acordados.

• Participar en las estructuras GEIT definidas, como una aprobación de cambio o
una junta asesora.
• Hacer cumplir los principios rectores, las políticas, los estándares, los procesos o
las prácticas, como una política sobre nuevas inversiones o seguridad.

Esto se puede lograr mejor obteniendo el compromiso de las partes interesadas

(diligencia y diligencia debida, liderazgo y comunicación y respuesta a la fuerza de
trabajo) y vendiendo los beneficios. Si necesario. puede ser necesario para hacer
cumplir el cumplimiento. En otras palabras, deben superarse las barreras
humanas, conductuales y culturales para que exista un interés común de adoptar
adecuadamente, crear una voluntad de adoptar y garantizar la capacidad de
adoptar una nueva forma de hacer algo. Puede ser útil recurrir a habilidades de
habilitación de cambio dentro de la empresa o. si necesario. de consultores
externos para facilitar el cambio en la organización.

Ciclo de vida de implementación de Kotter

A lo largo de los años, se han definido varios enfoques para permitir el cambio, y
proporcionan información valiosa que podría utilizarse durante el ciclo de vida de
la implementación. Uno de los enfoques más ampliamente aceptados para la
habilitación del cambio ha sido desarrollado por Kotter: 1E
1. Establezca un sentido de urgencia.
Si un cambio está respaldado por toda la empresa. es mucho más probable que el
cambio se implemente. Es necesario desarrollar un sentido de urgencia en torno a
la necesidad de cambio para establecer la motivación inicial, los términos de
implementación de GEIT, la identificación y comunicación de los puntos
problemáticos discutidos en la sección 1.3. Controladores comerciales
relacionados con el gobierno de TI podrían ayudar a establecer un sentido de
urgencia en la organización para la implementación de GEIT.
2. Forme una poderosa coalición orientadora.
Es importante convencer a las personas de que el cambio es necesario. Esto a
menudo requiere un fuerte liderazgo y un apoyo visible de las personas clave
dentro de la empresa. Gestionar el cambio no es suficiente: alguien debe liderarlo.
3. Crea una visión clara que se expresa de manera simple.
Cuando se considera por primera vez el cambio, probablemente haya muchas
ideas y soluciones geniales flotando. Estos conceptos deben estar vinculados a
una visión general que las personas puedan captar fácilmente y recordar.
4. Comunica la visión.
Comunicar la visión es clave para cambiar el éxito. Es probable que el mensaje de
cambio tenga una fuerte competencia de otras comunicaciones diarias dentro de
la empresa, por lo que debe comunicarse con frecuencia y poder.
5. Empoderar a otros para que actúen sobre la visión.
Siguiendo estos pasos, se puede crear buy-hi desde todos los niveles de la
empresa. Con suerte, los miembros del personal estarán entusiasmados con los
beneficios que se han promovido en el mensaje de cambio.
6. Planifique y cree triunfos a corto plazo.
Nada motiva más que el éxito. El sabor de la victoria temprano en el proceso de
cambio puede ser muy poderoso. Dentro de un tono de llamada breve (esto podría
ser un mes 01 por año, dependiendo del tipo de cambio), es importante tener
resultados que el personal pueda ver. Sin esto, los críticos y los pensadores
negativos podrían perjudicar el progreso.
7. Consolide las mejoras y produzca más cambios.
Kotter argumenta que muchos proyectos de cambio fallan porque la victoria se
declara demasiado pronto. El cambio real es profundo. Las ganancias rápidas son
solo el comienzo de lo que se necesita hacer para lograr un cambio a largo plazo.
8. Institucionalizar nuevos enfoques.
Finalmente, para que cualquier cambio se mantenga, debe convertirse en parte
del núcleo de la empresa. La cultura corporativa a menudo determina lo que se
hace, por lo que los valores detrás de la visión deben mostrar el trabajo diario.
El enfoque de Rotter ha sido elegido como ejemplo y adaptado para los requisitos
específicos de una implementación o mejora de GEIT. Esto se ilustra mediante el
ciclo de vida de la implementación en la figura 1.16. proporcionando una visión
general de alto nivel, pero integral, de cada fase del ciclo de vida de habilitación de
cambio aplicado a una implementación GEIT típica.
Teoría del cambio de Lewin / Schein-Descongelar-Cambiar-Volver a congelar
Uno de los modelos fundamentales para entender el cambio organizacional fue
desarrollado en la década de 1940 por Lewin / Schein. y el modelo sigue siendo
cierto hoy. Entonces el modelo se conoce como Unfreeze-Change-Refreeze. que
se refiere a un proceso de cambio de tres etapas. Al reconocer estas tres etapas
distintas de cambio, se puede poner un plan en lugar de implementar el cambio
requerido. La primera etapa es crear la motivación para cambiar (descongelar). El
siguiente paso en el proceso de cambio es promover comunicaciones efectivas y
empoderar a las personas para adoptar nuevas formas de trabajo (cambio). el
proceso finaliza con la devolución de la empresa a una sensación de estabilidad
(volver a congelar). que es necesario para crear la confianza necesaria para
embarcarse en el siguiente e inevitable cambio.
Se trata más información sobre técnicas de mejora continua en la sección 1.14
Técnicas y procesos de mejora continua.

1.9 MODELOS Y MÉTODOS PARA ESTABLECER LA RESPONSABILIDAD

POR REQUISITOS DE INFORMACIÓN, DATOS Y PROPIEDAD DEL SISTEMA,
Y PROCESOS DE INFORMACIÓN
La responsabilidad es crucial para una gobernanza efectiva. Para GEIT. la
responsabilidad tiene un contexto especial: para los requisitos de información, la
propiedad de los datos y del sistema y los procesos relacionados con TI. Cómo se
establece la responsabilidad, tanto a nivel de gestión (planificar, construir,
ejecutar, supervisar) como de gobernanza (evaluar, dirigir, supervisar), debe
entenderse bien para que el GEIT esté en funcionamiento.

Uno de los principios rectores en COBIT 5 es la distinción que se hace entre el

gobierno y la administración. De acuerdo con este principio, se esperaría que cada
empresa implemente una serie de procesos de gobierno y una serie de procesos
de gestión para proporcionar un gobierno y gestión integrales de TI empresarial.
Distinción entre gobierno y administración
En la discusión sobre la rendición de cuentas para la gobernanza, es crucial
entender la diferencia entre los roles de gestión y gobierno. El marco COBIT 5
hace una clara distinción entre gobierno y administración, como se muestra en la
figura 1.17. Estas dos disciplinas abarcan diferentes tipos de actividades,
requieren diferentes estructuras de priorización y sirven a diferentes propósitos.

La opinión de COBIT 5 sobre esta distinción clave entre gobierno y gestión es:
• La gobernanza garantiza que las necesidades, las condiciones y las opciones de
los interesados se evalúen para determinar los objetivos empresariales
equilibrados y acordados que se deben alcanzar; establecer la dirección a través
de la priorización y la toma de decisiones; y monitorear el desempeño, y el
cumplimiento contra la dirección y objetivos acordados.
En la mayoría de las empresas, la gobernanza es responsabilidad de la junta
directiva bajo la dirección del presidente.
* Los planes de gestión, construcciones, ejecuciones y monitorean actividades en
alineación con la dirección establecida por. órgano de gobierno: para alcanzar los
objetivos de la empresa.

En la mayoría de las empresas, la administración es la responsabilidad de la

dirección ejecutiva bajo el liderazgo del CEO.

Gobernabilidad y roles de gestión, actividades y relaciones

En COBIT 5. se establece una clara diferenciación entre las actividades de
gobernanza y gestión en los dominios de gobernanza y gestión, así como la
interacción entre ellos y los actores involucrados. La Figura 1.18 detalla las
interacciones entre los diferentes roles.

en general, las partes responsables se refieren a la persona que debe garantizar

que las actividades se completen con éxito. Una tabla RACI (como se define en la
sección 1.7 Estructuras organizacionales y sus roles y responsabilidades)
responde a la pregunta "¿Quién está haciendo la tarea?" Las partes responsables
son el individuo, grupo o entidades que son en última instancia responsables de
un tema, proceso o alcance. Una tabla RACI también responde la pregunta
"¿Quién explica el éxito de la tarea?"

Responsabilidad
En el contexto de GEIT. el establecimiento de la responsabilidad es de particular
importancia en relación con los requisitos de información, la propiedad de los
datos y del sistema, y los procesos relacionados con TI, los requisitos de
información están enraizados en los negocios. La siguiente información se toma
prestada de la publicación de ISACA COBIT 5: Habilitación de la información.1 ''
el gobierno de la información asegura que:
• Las necesidades, condiciones y opciones de las partes interesadas se evalúan
para determinar objetivos empresariales equilibrados y acordados, que deben
lograrse mediante la adquisición y gestión de recursos de información.
• La dirección se establece para las capacidades de gestión de la información a
través de la priorización y la toma de decisiones.
• El desempeño y el cumplimiento de los recursos de información se controlan
contra la dirección y los objetivos acordados.

Los planes de gestión de la información construyen, ejecutan y supervisan las

prácticas, proyectos y capacidades que adquieren, controlan, protegen, entregan y
mejoran el valor de los datos y activos de información, y se alinean con la
dirección establecida por el cuerpo de gobierno de datos e información.

1.10 PROCESOS / MECANISMOS DE MONITOREO DE LA GOBERNANZA DE

TI
El concepto de gestión y supervisión del rendimiento y sus técnicas asociadas son
muy útiles para mejorar y asignar GEIT a los imperativos de la organización. El
uso del BSC y sus mecanismos para traducir la estrategia en acciones
mensurables juega un papel importante en este contexto.

La medición del desempeño de TI debe ser una preocupación clave de los

ejecutivos de TI y de negocios, ya que demuestra la efectividad y el valor
comercial adicional de TI. Existen muchos métodos, herramientas y buenas
prácticas para apoyar a estos ejecutivos con responsabilidades de gestión del
rendimiento. Los métodos de rendimiento tradicionales, como el retorno de la
inversión (ROI), capturan el valor financiero de los proyectos y sistemas de TI,
pero solo reflejan una parte limitada (tangible) del valor que puede ofrecer la TI. El
ITC IT más sofisticado es un método de evaluación que incorpora valores
tangibles e intangibles.
El IT BSC: se puede aprovechar como un sistema de gestión para permitir la
fusión entre TI y el negocio. y también puede ser un medio eficaz para que la
administración de TI se comunique e informe a la junta directiva y a la gerencia
ejecutiva sobre el valor comercial de TI.

La combinación de estas prácticas con una buena administración de la cartera de

TI, que ayuda a lograr una combinación óptima de programas, crea una base
sólida para un enfoque de gobierno de TI equilibrado en la empresa. Esta sección
aborda la importancia de la gestión del rendimiento de TI y analiza algunos
métodos, herramientas y buenas prácticas para respaldar el concepto de latas.
Importancia de la gestión del rendimiento de TI

Las inversiones en TI crecen ampliamente, y los gerentes comerciales a menudo

se preocupan de que los beneficios de las inversiones en TI no sean tan altos
como se esperaba. La misma preocupación se aplica al costo total cada vez
mayor percibido del departamento de TI, sin evidencia clara del valor derivado de
él. Este fenómeno se llama el "agujero negro TT"; sumas grandes entran, pero no
salen devoluciones (parece).

Obtener valor comercial de TI y medir ese valor son, por lo tanto, importantes
objetivos de gobierno. Son responsabilidades tanto del negocio como de TI y
deben tener en cuenta los costos y beneficios tangibles e intangibles, de esta
manera. una buena gestión del rendimiento de TI debería permitir tanto a la
empresa como a la TI comprender plenamente cómo la TI contribuye al logro de
los objetivos empresariales, en el pasado y en el futuro. La medición y la gestión
del rendimiento de TI deben proporcionar respuestas a preguntas tales como:
• Si invierto fondos adicionales en TI, ¿qué obtengo?
• ¿Cómo funciona mi punto de referencia de TI frente a los competidores?
• ¿Regreso de IT lo prometido?
• ¿Cómo aprendo el rendimiento pasado para optimizar mi organización?
• ¿Mi TI está implementando su estrategia en línea con la estrategia de negocios?

Enfoque actual de gobernanza de la gestión del rendimiento de TI

La gestión del rendimiento de TI tiene como objetivo identificar y cuantificar los
costes de TI y los beneficios de TI. Existen diferentes instrumentos de monitoreo
disponibles, dependiendo de las características de los costos y beneficios. Tanto
los costos como los beneficios pueden cuantificarse fácilmente y asignarse un
valor monetario, medidas de rendimiento tradicionales como el ROI. valor actual
neto (VPN). la tasa interna de rendimiento (IRR) y el método de amortización
funcionan bien, como se muestra en la figura 1.19.
Debido a que los métodos tradicionales necesitan valores monetarios, surgen
problemas cuando se aplican a los sistemas de información, que a menudo
generan beneficios intangibles tales como un mejor servicio al cliente. Además, los
diferentes niveles de gestión y usuarios perciben el valor de TI de manera
diferente. En este contexto, Weill y Broadbent se refieren a la "jerarquía de valores
comerciales". "Las inversiones muy exitosas en TI tienen un impacto positivo en
todos los niveles de la jerarquía de valores comerciales. Las inversiones menos
exitosas no son lo suficientemente fuertes como para afectar los niveles más altos
y, en consecuencia, solo influyen en los niveles más bajos. Cuanto más alto se
encuentre en la jerarquía de medición, mayor será la dilución de factores como las
decisiones de fijación de precios y los movimientos de los competidores. Esta
dilución significa que medir el impacto de una inversión en TI es mucho más fácil
en la parte inferior de la jerarquía que en la parte superior.

Los métodos de medición multicriterios pueden resolver este problema porque

representan los impactos tangibles e intangibles, donde estos últimos son más
típicos para las jerarquías de mayor valor comercial. Uno de los métodos
multicriterios más conocidos es la economía de la información (IE), que en esencia
es una técnica de puntuación mediante la cual se califica una combinación de
beneficios tangibles (generalmente retorno de la inversión) y beneficios
intangibles.

Los métodos de medición del desempeño antes mencionados son instrumentos de

medición para proyectos e inversiones de TI individuales. Una técnica de medición
de rendimiento más amplia es el BSC. que se puede aplicar a proyectos de TI,
inversiones e incluso departamentos enteros de TI El BSC. inicialmente
desarrollado a nivel de empresa por Kaplan y Norton.- es un sistema de gestión
del rendimiento que permite a las empresas impulsar estrategias basadas en la
medición y el seguimiento. La idea detrás del BSC es que la evaluación de una
empresa no debe restringirse a las medidas financieras tradicionales, sino que
debe completarse con una misión, objetivos y medidas con respecto a la
satisfacción del cliente, los procesos internos y la capacidad de innovar y
prepararse para el futuro. . Los resultados logrados dentro de las perspectivas
adicionales deberían asegurar resultados financieros. Los objetivos y medidas de
un BSC pueden utilizarse como piedra angular de un sistema de gestión que
descubre y comunica estrategias, establece objetivos estratégicos a largo plazo,
alinea iniciativas, asigna recursos a largo y corto plazo y, finalmente, proporciona
retroalimentación y aprendizaje sobre las estrategias
Buenas prácticas para la gestión del rendimiento de TI
"El uso de un IT BSC es uno de los medios más efectivos para ayudar a la junta y
la administración a lograr la alineación empresarial y de TI". "En estas palabras, IT
Governance Institute promueve el BSC de TI como una buena práctica para medir
y alinear el rendimiento. Esto es respaldado por los testimonios de varios
ejecutivos, tales como:

"La principal ventaja del BSC de TI es que proporciona una traducción sistemática
de la estrategia, en factores críticos de éxito y métricas, lo que materializa la
estrategia" (CIO de una organización financiera)

'The Balanced Scorecard ofrece una vista equilibrada de la entrega total de valor
de TI a. negocio. Proporciona una instantánea de dónde se encuentra su
organización de TI en un momento determinado. La mayoría de los ejecutivos,
como yo, no tienen el tiempo para profundizar en la gran cantidad de información.
"(Vicepresidente de una organización de seguros)

Para aplicar esta mejor práctica a la función de TI como proveedor de servicios

internos, las cuatro perspectivas del BSC genérico (como se describió
anteriormente) deben cambiarse en consecuencia. En la figura 1.20. se muestra
un BSC de IT genérico para un departamento de TI.33

La perspectiva de orientación del usuario representa la evaluación del usuario de

TI. La perspectiva de excelencia operacional representa los procesos de TI
empleados para desarrollar y entregar las aplicaciones. La perspectiva de la
orientación futura representa los recursos humanos y tecnológicos que la TI
necesita para entregar sus servicios a lo largo del tiempo. La perspectiva de
contribución empresarial captura el valor comercial creado a partir de las
inversiones en TI.
Cada una de estas perspectivas debe traducirse en medidas y métricas
correspondientes que evalúen la situación actual. Como se señaló anteriormente,
las relaciones de causa y efecto entre las medidas son componentes esenciales
del BSC de TI. y estas relaciones están articuladas por dos tipos de

medidas:
• Medidas de resultado
• Controladores de rendimiento
Las medidas de resultado, como la productividad de los programadores (por
ejemplo, número de puntos por persona por mes), necesitan controladores de
rendimiento, como la educación del personal de TI (por ejemplo, número de días
de educación por persona por año), para comunicar cómo los resultados son ser
logrado.

Los impulsores de rendimiento necesitan medidas de resultado para garantizar

una forma de determinar si la estrategia elegida es efectiva, especialmente en los
casos importantes en los que se realiza una inversión importante. Estas relaciones
de causa y efecto deben definirse a lo largo de todo el cuadro de mando: una
mayor y mejor educación del personal de TI (orientación futura) es un habilitador
(impulsor del rendimiento) para una mejor calidad de los sistemas desarrollados
(perspectiva de excelencia operativa) que el ron es un habilitador para una mayor
satisfacción del usuario (perspectiva del usuario) que finalmente conducirá a un
mayor valor comercial de TI (contribución empresarial).

El BSC de TI propuesto que se muestra en la figura 1, 20 se vincula con las

empresas a través de la perspectiva de contribución empresarial (alineación de
negocios / TI, entrega de valor, gestión de costos y gestión de riesgos). La relación
entre TI y las empresas se puede expresar más explícitamente a través de una
cascada de BSC. En la figura 1.21, se ilustra la relación entre los BSC de TI y el
BSC empresarial. El BSC de desarrollo de TI y el BSC operativo de TI son
habilitadores del BSC estratégico de TI. que a su vez es el habilitador del BSC
empresarial. Esta cascada de cuadros de mando se convierte en un conjunto de
medidas vinculadas que serán decisivas para lograr la gobernanza de la TI de las
empresas mediante la alineación de las TI y la estrategia comercial, y que
muestren cómo se crea valor comercial a través de TI.

Se puede encontrar más información sobre los resultados y las técnicas de

medición del rendimiento en la sección 3,7 Técnicas de medición de resultados y
rendimiento.
1.11 PROCESOS / MECANISMOS DE NOTIFICACIÓN DE GOBERNANZA DE TI
Para una comunicación efectiva con todas las partes interesadas, es importante
garantizar que el rendimiento de TI de la empresa y la medición e informe de
conformidad sean transparentes.
Las partes interesadas quieren opinar sobre lo que esperan de la información y la
tecnología relacionada (qué beneficios con qué nivel aceptable de riesgo y a qué
costos) y cuáles son sus prioridades para garantizar que el valor esperado
realmente se entregue. Algunos querrán retornos de corto plazo y otros de
sostenibilidad a largo plazo. Algunos estarán listos para asumir un alto riesgo de
que otros no lo hagan.
Estas expectativas divergentes y, en ocasiones, contradictorias, deben abordarse
de manera efectiva, en resumen, las partes interesadas quieren:

• Estar más involucrado en establecer expectativas

• Más transparencia con respecto a cómo se cumplirán las expectativas
• Garantía de que se logran resultados reales

Esto significa que los interesados demandan:

• Transparencia financiera
• Transparencia de los costos, beneficios e informes de riesgos de TI
• Entrega de servicios de TI en línea con los requisitos del negocio

Debido a que la TI es un tema complejo y técnico, es importante lograr la

transparencia mediante la expresión de metas, métricas e informes de desempeño
en un lenguaje significativo para las partes interesadas, de modo que se puedan
tomar las medidas apropiadas.

La transparencia de las partes interesadas es importante para garantizar que la

comunicación a las partes interesadas sea efectiva y oportuna y que se establezca
la base para la presentación de informes para aumentar el rendimiento. identificar
áreas para mejorar y confirmar que los objetivos y estrategias relacionados con TI
están en línea con la estrategia de la empresa.

Como se muestra en la figura 1.22. el marco COBIT 5 proporciona una guía más
detallada y prácticas de gobernanza, en términos de gobernanza de los informes
de TI de la empresa, excelente con el concepto Evaluar-Dirigir-Monitorear como se
discutió anteriormente en este capítulo.
Los ejemplos de especificar más las actividades para evaluar las necesidades de
las partes interesadas, como se muestra en la figura 1.23, incluyen:

• Los requisitos relacionados con TI para informar a las entidades reguladoras se

evalúan como parte del proceso de gobernanza.
• Diferentes requisitos de informes regulatorios tienen referencias cruzadas para
permitir la armonización, cuando sea posible,
• Las necesidades de replanteo geográfico se consideran parte de una revisión
holística de las necesidades de las partes interesadas.

Fuente: ISACA, COBIT J procesos habilitadores, USA, 2012; página 48

La Figura 1.24 ofrece actividades para dirigir la comunicación a las partes
interesadas, que deben considerarse, entre otros:
• pautas de comunicación que ayudan a establecer planes de comunicación
integrales
• Árboles de decisión para permitir que los informes identifiquen el contenido, el
medio, el tiempo y la distribución
• Rutas de escalada y mecanismos de reporte

Fuente: ISACA, COBIT J: procesos de habilitación, EE. UU., 2Q12r página 48

Los ejemplos de actividades relacionadas con el monitoreo de requisitos de
comunicación y efectividad, como ella ™ en la figura 1.25, incluyen;
• Los canales de retroalimentación formales e informales se diseñan de manera
proactiva en el proceso de presentación de informes.
• Las encuestas se realizaron cuando correspondía.
• Las métricas se integran en el proceso de informe para rastrear la distribución, el
recibo, las tasas de apertura y la actividad de seguimiento.
Para respaldar la transparencia financiera y relacionada con TI, se deben
considerar las métricas de la figura 1.26.
1.12 TÉCNICAS DE COMUNICACIÓN Y PROMOCIÓN
Para un GEIT efectivo los grupos de partes interesadas necesitan un alto nivel de
aceptación del proceso GEIT. El conocimiento de los métodos y técnicas de
marketing y comunicación (por ejemplo, afirmar, persuadir, tender puentes y
atraer) desempeña un papel importante para ayudar a definir y vender mensajes
clave a públicos específicos.
Es bastante típico subestimar el impacto del marketing y la comunicación como un
factor de éxito crítico en la efectividad de la gobernanza de las TI empresariales.
El concepto actual del cliente es cualquiera que esté receptivo a la información
sobre productos o servicios.

Importancia de la comunicación y el marketing

En el contexto de la organización de TI de la empresa, los clientes son internos en
lugar de externos (aunque pueden coexistir en determinadas situaciones). Desde
este punto de vista, es imperativo que el personal de administración de TI y
aquellos involucrados en el gobierno de la mejora de TI empresarial tengan una
buena comprensión. y poder desplegar enfoques adecuados de marketing y
comunicación para ganar la confianza y la aceptación de los interesados. Cada
organización tendrá su propia cultura existente y la elección del gobierno de los
enfoques de TI de la empresa que desea adoptar. La hoja de ruta a seguir para el
cambio cultural y la comunicación efectiva será, por lo tanto, única para cada
organización: sin embargo, hay elementos comunes, y los métodos y técnicas
empleados son genéticamente aplicables.

Estrategia de comunicación y plan

Una estrategia de comunicación sólida debe considerarse fundamental para

ayudar al logro exitoso de iniciativas relacionadas con TI. Esto se debe al hecho
de que estas iniciativas no se tratan únicamente de tecnología: más bien, se trata
más de hacer que las personas de la organización adopten y hagan la transición a
los cambios que inevitablemente resultan de procesos nuevos o no probados, que
la TI ayuda a habilitar.

En un contexto de gestión de cambios dentro del mayor espacio de gobernanza de

TI empresarial. un plan de comunicación bien diseñado y ejecutado (que incluya el
público objetivo, la necesidad de comunicación, el mensaje, los canales que se
utilizarán, etc.) no solo informará, sino que también preparará y persuadirá al
público objetivo. Forma parte integral del proceso general de gestión del cambio
de cualquier iniciativa relacionada con TI. Una comunicación efectiva asegurará
que "todos estén en sintonía": que los problemas clave se capten, los objetivos
sean positivamente aceptados por la gerencia y el personal, y se entienda el papel
de todos.

El plan de comunicación debe basarse en una estrategia de influencia bien

definida. Los comportamientos necesitarán ser cambiados. Por lo tanto, se debe
tener cuidado para asegurar que los participantes estén motivados y vean los
beneficios de los nuevos enfoques, así como para entender las consecuencias de
aceptar la responsabilidad. Si esto no se comunica de manera positiva, entonces
la gobernanza de la TI empresarial no se percibirá como parte de la misión
corporativa (con soporte a nivel de junta). La gerencia lo resistirá como una
barrera para hacer el trabajo, una desviación de las prioridades actuales u otra
moda de gestión.
Las áreas de marketing y comunicación no son menos importantes que cualquier
otra área para hacer que la gobernanza de TI empresarial sea efectiva. La
incapacidad de comunicarse eficazmente ha sido una de las principales causas de
fallas de TI, con demasiada jerga técnica, falta de comprensión comercial y una
pobre apreciación de los requisitos y problemas de la otra parte. Del mismo modo,
el marketing ineficaz denigrará el éxito de los esfuerzos de marketing involucrados
en la promoción de la gobernanza de la TI empresarial: las lecciones aprendidas
de la estructuración y ejecución de programas de marketing exitosos en otros
dominios ayudarán mucho a que estas iniciativas tengan éxito.
Contenido de la gobernanza de la comunicación empresarial de TI relacionada con
el riesgo
Las buenas prácticas en la gobernanza de TI empresarial apuntan a enfatizar la
importancia de mitigar el riesgo relacionado con TI al comunicar la necesidad de
gobernanza de TI empresarial. Se recomiendan los siguientes enfoques en la
publicación del Centro Nacional de Cálculos del Reino Unido sobre el gobierno de
TI para garantizar que el riesgo se haya apreciado adecuadamente:

• Enfatizar el impacto comercial del riesgo asociado con las estrategias de TI mal
alineadas, el mal uso de la tecnología, las operaciones mal administradas y la
administración ineficaz del proyecto. Muestre cómo el riesgo puede ser mitigado
con controles efectivos:
Use casos de estudio que hayan tenido un impacto en el negocio u otras
empresas (por ejemplo, ataques de virus, cortes críticos del servicio, proyectos
con "resultados inesperados") para ilustrar cómo podrían surgir problemas.
• Identificar ejemplos relevantes de gobernanza que brinden beneficios
comerciales más allá del requisito básico de evidenciar el control:
Use casos de estudio para ilustrar cómo la gobernanza efectiva ha identificado el
riesgo para el negocio, sus objetivos y estrategia, y ha negociado una solución
alternativa.
Use casos de estudio para ilustrar los beneficios comerciales como resultado
directo de una gobernanza efectiva (por ejemplo, reducción de costos, calidad no
probada, productividad, reputación y ventajas de comercialización).
• Usar modelos de escenarios con evaluación de riesgos y mitigación:
Considere los riesgos conocidos y nuevos tanto en el negocio como en TI (por
ejemplo, requisitos de auditoría externa).
Considere cómo la gobernanza puede ayudar a mitigar el riesgo.
Calcule un factor de riesgo (probabilidad x impacto).
Considere las opciones: aceptar, mitigar o asignar.
• Use un lenguaje comercial común para:
Riesgo tecnológico en términos financieros / económicos / comerciales
Implicaciones legales / regulatorias y contractuales

Puede encontrar más información sobre gestión de riesgos y comunicación en el

capítulo 4 Optimización de riesgos.
1.13 METODOLOGÍAS Y TÉCNICAS DE SEGURIDAD
El conocimiento y la aplicación de metodologías y técnicas de aseguramiento son
la base para la aplicación de las iniciativas y prácticas de gobernanza. Sin
controles y controles GEIT apropiados, según lo prescrito por las metodologías y
técnicas de aseguramiento (aseguramiento de la planificación, aseguramiento del
alcance, garantía de ejecución), la calidad y la sostenibilidad de las iniciativas y
prácticas pueden no cumplir con los requisitos internos y externos.

En general, la garantía se define como un término amplio que incluye tanto el

trabajo de auditoría formal (informar independientemente al comité de auditoría)
como las prácticas orientadas a las autoevaluaciones de gestión (que informan a
la gerencia). Todas estas iniciativas de aseguramiento tienen componentes y
prácticas similares, como se explica a continuación.
Componentes de las iniciativas de aseguramiento
Las iniciativas de aseguramiento en el ámbito de la gobernanza de las TI
empresariales tienen un contexto y objetivos específicos: para medir o evaluar un
tema específico que es responsabilidad de otra parte ". Para tales iniciativas,
generalmente hay una parte interesada involucrada que usa el tema, pero quien
generalmente delega el funcionamiento y la custodia del tema a la parte
responsable, por lo tanto, el interesado es el cliente final de la evaluación y puede
aprobar los criterios de la evaluación con la parte responsable y el profesional de
la verificación. iniciativa, cinco componentes deben estar presentes, como se
prescribe en el IAASB Assurance Framework2! y se muestra en la figura 1.28:
• Una relación tripartita
• Materia sobre la cual se debe proporcionar la garantía
• Criterios adecuados contra los cuales se evaluará el tema
• Un proceso para ejecutar el compromiso de aseguramiento
• Una conclusión emitida por el profesional de aseguramiento
No todas las partes interesadas tienen los mismos requisitos de seguridad, y por
esa razón, es importante entender la diferencia entre los diferentes tipos de
compromisos de aseguramiento. Estos compromisos pueden variar desde tareas
de autoevaluación más abiertas sobre revisiones de auditoría interna hasta
asignaciones de auditoría externa más estandarizadas. Ver figura 1.29
Para cumplir y validar los requisitos internos y externos de gobernanza y
aseguramiento de TI, la garantía debe llevarse a cabo de forma continua. La
Norma Internacional de Auditoría (NIA) 31546 establece los requisitos para que el
profesional de aseguramiento comprenda los controles internos relevantes para la
auditoría, que incluyen los siguientes componentes:
• El entorno de control
• El proceso de evaluación de riesgos de la entidad
• El sistema de información (incluidos los procesos comerciales relacionados con
los informes financieros y las comunicaciones)
• Actividades de control y monitoreo de controles

El ISA establece que el profesional de aseguramiento debe considerar la

necesidad de obtener evidencia de auditoría que respalde la operación efectiva de
los controles directamente relacionados con las aserciones, así como otros
controles indirectos de los que dependen estos controles, como los controles
informáticos generales subyacentes. Por lo tanto, el requisito mínimo para el
profesional de aseguramiento es comprender los sistemas de información que
sustentan los procesos comerciales relevantes para los informes financieros y
cómo la entidad ha respondido al riesgo que surge de TI. Debido a que el uso de
TI afecta la forma en que se implementan las actividades de control en el negocio
y los informes financieros relacionados, el profesional de aseguramiento debe
considerar si la entidad ha respondido adecuadamente al riesgo que surge de TI
estableciendo controles de TI y de aplicación efectivos.

Hoja de ruta de aseguramiento de TI

Para proporcionar una garantía adecuada. es importante seguir una metodología o
enfoque consistente. Si bien el enfoque específico puede ser único para cada
organización y tipo de iniciativa, un enfoque bastante común que se utiliza se basa
en tres etapas: determinación del alcance, prueba y comunicación. Las etapas y
los pasos de la hoja de ruta se muestran en la figura 1.30.
Cada etapa del mapa de ruta se explica brevemente de la siguiente manera:

• Determinar el alcance de la iniciativa de aseguramiento: en este paso, se

determinan las partes interesadas de la iniciativa de aseguramiento y se aclara el
objetivo de la iniciativa de aseguramiento. Un paso importante en esta etapa es
enfocar el universo de aseguramiento a los habilitadores requeridos en el alcance.

• Entender facilitadores, establecer criterios de evaluación y realizar la evaluación:

en este paso, el profesional de aseguramiento se asegurará de que comprende
completamente los habilitadores a evaluar y sus criterios de evaluación
relacionados. A continuación, se ejecutarán los pasos de prueba del núcleo para
verificar el diseño del control y la efectividad operativa.
• Comunicar los resultados de la evaluación: en el paso final, el profesional de
aseguramiento documentará las debilidades de control identificadas, el riesgo
comercial relacionado y las recomendaciones.
1.14 TÉCNICAS Y PROCESOS DE MEJORA CONTINUA
La aplicación de un enfoque de ciclo de vida de mejora continua proporciona un
método para que las empresas aborden la complejidad y los desafíos que
normalmente se encuentran durante la implementación de GEIT. Hay tres
componentes interrelacionados con el ciclo de vida:
• El ciclo de mejora continua central
• La habilitación del cambio
• La gestión del programa

La aplicación de un enfoque de ciclo de vida de mejora continua proporciona un

método para que las empresas aborden la complejidad y los desafíos que
normalmente se encuentran durante la implementación de GEIT.
Componentes de un ciclo de mejora continua
Hay tres componentes interrelacionados en el ciclo de vida, como se ilustra en la
figura 1.31: el ciclo de vida de mejoramiento continuo GEIT central, la habilitación
del cambio (abordando los aspectos conductuales y culturales de la
implementación o mejora) y la gestión del programa. En la figura 1.31. las
iniciativas se representan como ciclos de vida continuos para enfatizar el hecho de
que no se trata de actividades puntuales, sino que forman parte de un proceso
continuo de implementación y mejora que con el tiempo se convierten en
"negocios normales". en qué tono el programa puede ser retirado.
Fases en un ciclo de vida de implementación
Las siete fases del ciclo de vida de implementación se ilustran en la figura 1.16. El
programa de implementación y mejora es típicamente continuo e iterativo. Durante
la última fase, se identificarán nuevos objetivos y requisitos y se iniciará un nuevo
ciclo. Los controles de salud de alto nivel, las evaluaciones y las auditorías a
menudo desencadenan la consideración de una iniciativa GEIT y estos resultados
pueden usarse como entrada para la fase 1.
Fase 1: ¿Cuáles son los controladores?
La fase 1 identifica los impulsores de cambio actuales y crea en los niveles de
gestión ejecutiva un deseo de cambio que luego se expresa en un resumen de un
caso de negocio. Un controlador de cambios es un evento, condición o problema
clave interno o externo que se considera un estímulo para el cambio. Los eventos,
las tendencias (industriales, de mercado o técnicos), los déficits de rendimiento,
las implementaciones de software e incluso los objetivos de la empresa pueden
actuar como impulsores del cambio. El riesgo asociado con la implementación del
programa en sí se describirá en el caso comercial y se gestionará durante todo el
ciclo de vida. La preparación, el mantenimiento y la supervisión de un caso de
negocios comporta disciplinas fundamentales e importantes para justificar,
respaldar y garantizar los resultados exitosos de cualquier iniciativa, incluida la
mejora de GEIT. Aseguran un enfoque continuo en los beneficios del programa y
su realización.
Fase 2: ¿dónde estamos ahora?
La fase 2 alinea los objetivos relacionados con TI con las estrategias y el riesgo de
la empresa, y prioriza los objetivos empresariales más importantes. Objetivos y
procesos relacionados con TI. COBIT 5 proporciona un mapeo genérico de los
objetivos de la empresa a los objetivos relacionados con TI a los procesos de TI
para ayudar con la selección. Teniendo en cuenta los objetivos empresariales y
relacionados con TI seleccionados, se identifican procesos críticos que deben ser
de suficiente capacidad para garantizar resultados exitosos. La gerencia necesita
conocer su capacidad actual y dónde pueden existir deficiencias. Esto se logra
mediante una evaluación de la capacidad del proceso del estado tal como es de
los procesos seleccionados.
Fase 3: ¿Dónde queremos estar?
La Fase 3 establece un objetivo de mejora seguido de un análisis de brechas para
identificar posibles soluciones. Algunas soluciones serán ganancias rápidas y
otras tareas más desafiantes a largo plazo. Se debe dar prioridad a los proyectos
que son más fáciles de lograr y que pueden dar el mayor beneficio. Las tareas a
más largo plazo se deben dividir en partes manejables.
Fase 4: ¿Qué debe hacerse?
La fase 4 planifica soluciones factibles y prácticas mediante la definición de
proyectos respaldados por casos comerciales justificables y el desarrollo de un
plan de cambio para la implementación. Un caso comercial bien desarrollado
ayudará a garantizar que los beneficios del proyecto se identifiquen y monitoreen
de manera continua.
Fase 5: ¿cómo lo conseguimos?
La Fase 5 proporciona la implementación de las soluciones propuestas en las
prácticas cotidianas y el establecimiento de medidas y sistemas de monitoreo para
asegurar que se logre la alineación comercial y se pueda medir el desempeño. El
éxito requiere compromiso, conciencia y comunicación. comprensión y
compromiso de la alta dirección, y propiedad por parte del negocio afectado y los
propietarios del proceso de TI.
Fase 6 ¿Llegamos?
La Fase 6 se enfoca en la transición sostenible de las prácticas de gestión y
gobernanza no comprobadas a las operaciones comerciales normales y el
monitoreo del logro de las mejoras utilizando las métricas de desempeño y los
beneficios esperados.
Fase 7: ¿Cómo mantenemos el impulso?
La Fase 7 revisa el éxito general de la iniciativa, identifica otros requisitos de
gobernanza o gestión y refuerza la necesidad de mejora continua. También
prioriza otras oportunidades para mejorar GEIT. La gestión de programas y
proyectos se basa en buenas prácticas y proporciona puntos de control en cada
una de las siete fases para garantizar que el rendimiento del programa esté en
buen camino, se actualicen los riesgos y el caso empresarial y se ajuste la
planificación para la siguiente fase, según corresponda. Se supone que se
seguiría el enfoque estándar de la empresa. También se puede encontrar más
orientación sobre la gestión de programas y proyectos en el proceso COBIT 5
BAI01 Administrar programas y proyectos. Aunque los informes no se mencionan
explícitamente en ninguna de las fases, se trata de un hilo continuo a través de
todas las fases e iteraciones.

El tiempo dedicado por fase diferirá enormemente según [entre otros factores] el
entorno empresarial específico, su madurez y el alcance de la implementación o
iniciativa de mejora. Sin embargo, el tiempo total dedicado a cada iteración del
ciclo de vida completo idealmente no debería exceder los seis meses, con las
mejoras aplicadas progresivamente; de lo contrario, existe el riesgo de perder
impulso, concentración e interés de los interesados. El objetivo es entrar en un
ritmo de mejoras regulares.
Las iniciativas de mayor escala deberían estructurarse como iteraciones múltiples
del ciclo de vida. Por encima de la sintonía, el ciclo de vida se seguirá
iterativamente mientras se construye un enfoque sostenible. Esto se convierte en
una práctica comercial normal cuando las fases en el ciclo de vida son actividades
cotidianas y la mejora continua ocurre naturalmente.

Las metodologías bien conocidas en apoyo de las estrategias de mejora continua

son Six Sigma y TQM. El objetivo de Six Sigma es la implementación de una
estrategia orientada a la medición centrada en la mejora de procesos y la
reducción de defectos. TQM es una estrategia de gestión destinada a inculcar la
conciencia de la calidad en todos los procesos organizacionales. Puede encontrar
más información sobre estos métodos en la sección 3.6, Conceptos y principios de
mejora continua.
En la sección 1.8 se trata más información sobre Métodos para gestionar el
cambio organizacional, de procesos y cultural.