DOI: 10.23857/dc.v5i3.931
Ciencias de la educación
Artículo de investigación
Alineamiento de objetivos estratégicos, a través de gobierno de TI. Caso de estudio: Instituto Nacional de Investigación en Salud Pública
Alignment of strategic objectives, through IT governance. Case study: National Institute of Public Health Research
Alinhamento de objetivos estratégicos, através de governança de TI. Estudo de caso: Instituto Nacional de Pesquisa em Saúde Pública
Johanna Alexandra Loyola-Cando I
jaloyolac@psg.ucacue.edu.ec
Jenny Karina Vizñay-Duran II
jviznay@ucacue.edu.ec
Recibido: 19 de marzo de 2019 *Aceptado: 19 de mayo de 2019 * Publicado: 05 de julio de 2019
I. Ingeniera en Sistemas, Estudiante, Jefatura de Posgrados. Universidad Católica de Cuenca, Cuenca, Ecuador.
II. Ingeniera en Sistemas, Subdecana de la Unidad Académica de Tecnologías de la Información, Universidad Católica de Cuenca, Cuenca, Ecuador.
Resumen
Este artículo, detalla la propuesta de un modelo de Gobierno de Tecnologías de Información, a partir de normas, estándares y marcos de trabajo, que sirven de guía para la implementación de procesos, de tal manera que, permitan alinear los objetivos estratégicos de la institución con los objetivos estratégicos de TI.
Para su desarrollo, se realizó una investigación de carácter analítica y comparativa, acerca de normas y estándares enfocados al gobierno de TI. Se realizó un estudio de la situación inicial de la institución que se escogió como caso de estudio, con la finalidad de obtener datos de su estado en relación al Gobierno de TI. Se utilizó la metodología de cascada de COBIT 5, para la identificación de procesos prioritarios que se alinearon con los principios de la Norma ISO / IEC 38500, y, los objetivos estratégicos establecidos por la institución, en el Plan Estratégico de Desarrollo Institucional - PEDI 2018 - 2021.
A partir de esta información, se propone un modelo para la implementación de un Gobierno de Tecnologías de Información, en la que se destacan cinco etapas, y, en su etapa de planificación propone la implementación de los procesos resultantes de la alineación de los objetivos estratégicos con los objetivos corporativos o de negocio.
Palabras clave: ISO / IEC 38500; COBIT 5; Gobierno de TI; Gestión de TI; alineación estratégica.
Abstract
This article, details the proposal of a government model of Information Technologies, based on standards, standards and frameworks, which serve as a guide for the implementation of processes, in such a way that they align the strategic objectives of the institution with the strategic IT objectives.
For its development, an analytical and comparative research was carried out on standards and standards focused on IT governance. A study was made of the initial situation of the institution that was chosen as a case study, in order to obtain data of its status in relation to the IT Government. The cascade methodology of COBIT 5 was used to identify priority processes that were aligned with the principles of ISO / IEC 38500, and, the strategic objectives established by the institution, in the Strategic Plan for Institutional Development - PEDI 2018 - 2021
Based on this information, a model for the implementation of a Government of Information Technologies is proposed, in which five stages stand out, and, in its planning stage, it proposes the implementation of the processes resulting from the alignment of the strategic objectives with corporate or business objectives.
Key words: ISO / IEC 38500; COBIT 5; IT Government; IT management; strategic alignment.
Resumo
Este artigo detalha a proposta de um modelo de governo de Tecnologias de Informação, baseado em padrões, padrões e frameworks, que servem de guia para a implementação de processos, de forma a alinhar os objetivos estratégicos da instituição. Com os objetivos estratégicos de TI.
Para o seu desenvolvimento, foi realizada uma pesquisa analítica e comparativa sobre padrões e padrões voltados à governança de TI. Foi feito um estudo da situação inicial da instituição escolhida como estudo de caso, a fim de obter dados de sua situação em relação ao governo de TI. foi utilizada metodologia cascata de COBIT 5 para a identificação de processos prioritários que estão alinhados com os princípios da ISO / IEC 38500, e os objectivos estratégicos definidos pela instituição, o Plano Estratégico de Desenvolvimento Institucional - PEDI 2018 - 2021
Com base nessas informações, é proposto um modelo para a implementação de um Governo de Tecnologias de Informação, no qual se destacam cinco etapas e, em sua etapa de planejamento, propõe a implementação dos processos resultantes do alinhamento dos objetivos estratégicos. com objetivos corporativos ou empresariais.
Palavras-chave: ISO / IEC 38500; COBIT 5; Governo de TI; Gestão de TI; alinhamento estratégico.
Introducción
En la actualidad el uso de las tecnologías de información y comunicación (TIC) constituye un componente esencial en el desarrollo de las Instituciones, tanto públicas como privadas. Las TIC son utilizadas para el soporte y automatización de las acciones que la empresa realiza para su desarrollo en el mercado. Gracias a estas, las empresas han conseguido mejorar sus operaciones, una mayor cantidad de clientes, nuevos recursos, servicios de calidad y mejora de la comunicación, no solo con sus empleados sino con sus clientes y proveedores. (ANIEL, 2013)
Las empresas buscan además una gestión de TIC adecuada, el logro de una cultura organizacional exitosa y ante esto tienen como reto su entendimiento e integración, además del alineamiento estratégico con los objetivos perseguidos por la empresa, que les impulsen a generar una eficiente entrega de valor, administración de recursos, identificación de riesgos y fidelización de clientes. Esto puede ser alcanzado a través de una gobernanza de TIC que se encargue de evaluar, dirigir y controlar, consiguiendo que la gestión y el uso de tecnologías sea eficiente.
Las TIC en todas la empresas y entidades, y, en especial, las de Gobierno, manejan una gran cantidad de información, de allí la gran importancia que el área de Tecnologías de Información (TIC) conozca de procesos, normas y buenas prácticas que se enfoquen a el mejor manejo de los recursos y bienes de cada su institución.
La Presidencia de la República mediante decreto ejecutivo N° 149, dispuso la implementación del gobierno electrónico en la Administración Pública Central e Institucional, que depende de la Función Ejecutiva, que consiste en el uso de las tecnologías de información y comunicación por parte de las entidades de gobierno a fin de mejorar la calidad de los servicios a los ciudadanos, y promover la interacción con las empresas privadas. (Secretaria Nacional de la Administración Pública, 2018)
El gobierno electrónico propone conectar y mejorar la relación entre el gobierno y aquellos involucrados con el mismo, y para ello debe establecerse un gobierno en cada entidad que busque dirigir correctamente todas sus acciones, que se enmarquen dentro de las normativas vigentes y logren asegurar el buen vivir de la ciudadanía.
La Secretaria Nacional de Administración Pública (SNAP), en el año 2013, evaluó a 40 instituciones dependientes de la función pública, encontrando una escaza presencia de un Gobierno de Tecnologías de información (GTI), evidenciando un 2% de cumplimiento en procesos de evaluación y supervisión, es decir, una escaza presencia de procesos que aseguren el logro de los objetivos organizacionales.
Esto fundamenta el desarrollo de la presente investigación, que propone analizar y estructurar un modelo referencia para la implementación de un gobierno de tecnologías de información basado en estándares y normativas que permitan apalancar la generación de valor, cumpliendo y fortaleciendo los procesos del área tecnológica, tomando como caso de estudio el Instituto Nacional de Investigación en Salud Publica. (INSPI)
El marco de gobierno de TI sobre el que se apoya la presente investigación es la Norma ISO / IEC 38500 y COBIT 5.
La finalidad de la presente investigación es diseñar un modelo de referencia, para la futura implementación de procesos de un gobierno de tecnologías de información, que permita alinear los objetivos estratégicos de la institución, logrando fortalecer las capacidades del área de tecnología.
Desarrollo
Gobierno Corporativo
La Organización para Cooperación y Desarrollo Económicos (OCDE), define gobierno corporativo como el sistema por el cual las entidades son dirigidas y controladas. La estructura de un buen gobierno corporativo comprende la distribución y responsabilidades entre todos los diferentes participantes de la entidad, tales como los accionistas, el consejo de administración, las gerencias y otros agentes económicos que mantengan algún interés en la entidad. El buen gobierno corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa y los medios para alanzar estos objetivos, así como la forma de hacer un seguimiento a su desempeño.
Gobierno de Tecnologías de Información y Comunicación
El Information Technology Governance Institute (ITGI, 2003) indica que el gobierno de TI es parte integral del gobierno de la organización y consiste en el liderazgo de las estructuras y procesos organizativos que aseguran que las TI de la organización sostiene y extienden la estrategia y los objetivos de la organización.
Según C. Fernández y M. Piattini (AENOR,2012) el gobierno de las TI es el alineamiento estratégico de las TI con la organización de forma tal que consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidades efectivas, gestión del desempeño y gestión de riesgos de TI.
La norma ISO / IEC 38500:2008 define gobierno de TI como el sistema por el que se dirige y controla la utilización actual y futura de la tecnología de la información.
De acuerdo a esto, es necesario una dirección y orientación de alto mando, que establezca un gobierno de TI adecuado y regido por un marco de referencia, en el cual se maneje e integre correctamente la gestión de TI, logrando proporcionar valor a la empresa, y además que se adapte a las necesidades presentes y futuras de la organización.
Fernández y Piattini (2012) mencionan que los beneficios de un buen gobierno de TIC se basan en: · Estándares de seguridad, legislación de privacidad, legislación sobre el spam, legislación sobre prácticas comerciales, derechos de propiedad intelectual, regulación medioambiental, normativa de seguridad y salud laboral, legislación sobre accesibilidad, estándares de responsabilidad social.
Entre los beneficios de una buena gobernanza, está la colaboración al desarrollo de la institución, a través de la gestión apropiada de los activos de TI, innovación de los servicios, implantación y operación correcta de los activos de TI, manejo adecuado de recursos, buenas prácticas en relaciones con stakeholders.
Alineamiento estratégico
Es importante para los altos ejecutivos visualizar las TI como un medio que impulse la productividad y reducción de costos en todas las áreas involucradas con procesos de TIC, además que la estrategia de TI se basa en la estrategia empresarial y que solo una correcta integración y alineación entre los objetivos de negocio y objetivos de TIC impulsara a que el área de TIC sea reconocida por las otras áreas de la institución.
La inversión de TIC por parte de una empresa debe estar en armonía con sus objetivos estratégicos, creando así la capacidad necesaria para producir valor para el negocio. A esta armonía se le conoce como “alineación”. (IT Governance Institute, 2016)
Entrega de valor
Se debe asegurar que los objetivos de TIC busquen optimizar costos, generar beneficios, y cumplir los requerimientos y necesidades de la institución.
Según el IT Governance Institute (2016) los principios básicos del valor en TI son: entregar a tiempo, dentro del presupuesto y con los beneficios indicados.
Las instituciones deben estar seguras de manejar los indicadores adecuados, los cuales deben estar correctamente asignados para ayudar a la evaluación de los objetivos del negocio.
Administración de recursos
El área de TI no solo debe estar enfocada en administrar los recursos bajo su cargo, sino de un manejo adecuado y óptimo de los mismos, asegurando que estos recursos cumplan los objetivos para los cuales fueron adquiridos.
Administración de riesgos
Es importante entender que los riesgos son parte del día a día de las empresas, lo más importante es tomar conciencia acerca de los riesgos por parte de los mandos superiores. Se debe velar por una adecuada administración de los riesgos, que impidan que la continuidad de los servicios ofrecidos sea interrumpida por un mal manejo de responsabilidades.
Ilustración 1. Gobierno de TI, Fuente COBIT 5-Elaboracion propia en base a la fuente
Gestión de TI
En Se enfoca a la planificación, construcción y ejecución del monitoreo de las actividades perseguidas por los objetivos empresariales.
ISO / IEC 38500
Es un estándar que llega para apoyar a la alta dirección, proponiendo lineamientos para asegurar que los directivos puedan confiar en el gobierno de TI. La norma es un estándar de asesoramiento, proporciona principios, definiciones y un modelo para una buena gobernanza de TI, con el fin de apoyar a los altos ejecutivos a entender y cumplir con obligaciones legales y éticas con respecto al uso de TI. (INEN, 2018)
La norma establece que se debe guiar en tres tareas principales:
• Evaluar: Se evalúa el uso actual y futuro de las TI
• Dirigir: Estrategias y políticas que aseguren e cumplimiento de los objetivos perseguidos por el negocio.
• Monitorear: Vigilar el desempeño de las estrategias del negocio.
Se establece 6 principios de un buen gobierno de TI:
• Responsabilidad: Todos los miembros deben aceptar, entender y ejercer las responsabilidades adquiridas
• Estrategia: Satisfacer las necesidades actuales y previstas.
• Adquisición: Es necesario un análisis detallado sobre beneficios, oportunidades y costos, a corto, mediano o largo plazo.
• Rendimiento: Se debe realizar un análisis de tecnología en la empresa, que brinden el soporte necesario, sin olvidar la calidad de sus servicios y los requerimientos a futuro.
• Conformidad y conducta humana: Las políticas, normas, procesos y procedimientos internos
• Que rigen en la empresa deben estar debidamente legalizadas y formalizadas,
• Factor humano: Las políticas y prácticas que demuestren respeto ante las necesidades cambiantes de las personas involucradas.
Ilustración 2. Principios de la norma ISO /IEC 38500, elaboración propia.
COBIT 5
Control Objetives for information and related technology por sus siglas en inglés, provee un marco de trabajo que ayuda a mantener el equilibrio entre la generación de beneficios y la optimización de niveles de riesgo y uso de recursos.(Isaca, 2011)
Se basa en cinco principios fundamentales:
· Satisfacer las necesidades de las partes interesadas: Sus procesos y catalizadores permiten a la empresa crear valor y el equilibrio necesario para sus partes interesadas.
· Cubrir la empresa de extremo a extremo: Abarca el gobierno y la gestión de TI desde una perspectiva end to end. Integra el gobierno de TI con el gobierno corporativo.
· Aplicar un marco de referencia único integrado: Integra los mejores marcos que ayuda a la empresa a equilibrar los riesgos con los beneficios.
· Hacer posible un enfoque holístico: Define cinco categorías de catalizadores para apoyar a la implementación de un gobierno y gestión de TI. Entre estas se incluyen: principios, políticas, procesos, estructuras organizativas, cultura, ética, comportamiento e información, además personas, habilidades y competencias.
· Separa el gobierno de la gestión: Gobierno y gestión comprenden distintos enfoques y estructuras organizativas.
Trabajos Relacionados
Existen varios trabajos relacionados que relacionan los principios de la norma ISO 38500 con los principios de COBIT 5, pero no se evidencio trabajos realizados en entidades públicas enfocadas en investigación.
En el artículo Gobierno de TI – Estado del arte, enfoca su estudio a definir y caracterizar al gobierno corporativo, el gobierno de negocio y la relación y perspectiva de un gobierno de TI con los dos anteriores. Al mismo tiempo aseguran: Para poder implantar un gobierno de TI en una organización es necesario basarse en un marco de control que muestra el “Que” se debe hacer y de unos estándares para realizar el “Como”. Esto ofrece alrededor de un 50% y los demás debe desarrollarlo la misma organización. (Muñoz & Ulloa, 2011)
Tanto ISO 38500 como COBIT pueden integrarse completamente, debido a su compatibilidad para convivir juntos de modo que sea cubierta en su totalidad los requerimientos de un modelo de gobernanza de TI. SE concluye en la investigación realizada en “Estudio Analítico entre la norma ISO 38500 y COBIT 5 referente a gobernanza de TI. (RAZO, 2015)
Las instituciones adscritas al Sistema de salud y de forma particular los Hospitales públicos del Ecuador requieren cumplir con sus objetivos estratégicos y desarrollar su misión y visón social a través de prestar con eficiencia su cartera de servicios médicos. De ahí para asegurar el logro de objetivos a través de TI se hace necesario alinear los objetivos con los objetivos estratégicos de la casa de salud, creando valor (realización de beneficios, optimización de riesgos y recursos) para los interesados, se afirma en la investigación basada en COBIT 5 y la norma ISO /IEC 27002, “Gobierno de TI con énfasis en seguridad de la información para hospitales públicos”. (Pillo & Enríquez, 2017)
El uso eficiente y control de recursos tanto humanos como tecnológicos, es el enfoque que se da en la propuesta de un marco de gobierno de TI aplicando estándares y un marco de control en el uso de COBIT 5 – ISO / IEC 38500, en la que se identificó 19 procesos, que fueron fortalecidos con normas de control interno.
Metodología
La metodología utilizada, para la consecución de este documento, se apoya en normas, marcos y estándares, que garanticen que TI soporte los objetivos de negocio de la organización. Se realiza una verificación del estado de situación inicial de la empresa mediante métodos cualitativos y analíticos, se aplica encuestas que se valoraron según la escala de Likert, lo que nos permite determinar y realizar un análisis FODA de la institución.
Luego con la información obtenida se siguieron los siguientes pasos:
• Definir una estrategia de aplicación de normas y estándares para establecer un modelo de gobernanza de tecnologías de información: En esta sección se verifican entre los marcos de trabajo relacionados, que nos permiten definir a que normativa, marco y buenas prácticas nos guiaran en del desarrollo de la investigación.
• Estructurar la propuesta de gobernanza para la institución: Se realiza un mapeo con el marco de trabajo seleccionado y los principios de la norma que nos permitirán alinear los objetivos de la institución con los objetivos de TI.
• Diseñar una propuesta un modelo de gobierno de tecnologías de información: Se va a realizar una propuesta según los procesos sugeridos en la validación y alineación entre los marcos de trabajo seleccionados.
Resultados
Definir una estrategia de aplicación de normas y estándares para establecer un modelo de gobernanza de tecnologías de información
Existen varios marcos de trabajo relacionados que permiten implementar un gobierno de TI. Pero es importante que los modelos de trabajo se integren de manera que, se pueda aprovechar cada uno de ellos, para lograr un modelo que se adapte a las necesidades de la institución.
En el siguiente grafico se puede observar una comparativa de varios marcos de trabajo:
Ilustración 2. Modelos para Gobernanza y gestión de TI
Se puede verificar que la norma ISO /IEC 38500 es un estándar que contempla definiciones adecuadas para gobernanza de TI, se basa en seis principios y tres tareas principales.
COBIT es un marco de trabajo que incluye controles, medidas, indicadores y procesos para gestión y gobernanza de TI, basado en cinco principios y siete facilitadores.
Con lo expuesto anteriormente se puede verificar las mejores opciones para el desarrollo de la investigación es: el estándar ISO /IEC 38500 para establecer un gobierno de y las mejores prácticas son establecidas por el marco de trabajo COBIT 5.
La aplicación conjunta de ISO / IEC 38500 y COBIT puede lograr un modelo completo de gobernanza de TI (RAZO, 2015)
Norma ISO / IEC 38500
El Gobierno de TI debe ser una parte integral de la institución, por lo que es necesario un claro entendimiento del entorno empresarial. La norma ISO / IEC 38500 es aplicable a las organizaciones públicas, privadas, gubernamentales, sin fines de lucro, desde la más pequeña hasta la más grande.
Entre los beneficios de una buena gobernanza, está la colaboración al desarrollo de la institución, a través de la gestión apropiada de los activos de TI, innovación de los servicios, implantación y operación correcta de los activos de TI, manejo adecuado de recursos, buenas prácticas en relaciones con stakeholders.
Familia de Normas ISO /IEC 38500
ISO / IEC 38501: Guía de implementación, en esta especificación brinda las actividades claves que toda organización que requiera implementar la norma debería seguir.(INEN, 2018)
ISO / IEC 38502: Este informe brinda una guía sobre los mecanismos para gobernanza y gestión, la relación entre ellos y el aporte que brinda a la organización.(INEN, 2017)
Propone un marco de trabajo que no exige adoptar todos los procesos implicados, es adaptable con otros marcos y normas para gobierno de TI, y brinda la posibilidad de establecer como responsabilidad inicial los procesos tanto d negocio como los de tecnología, los procesos que rigen a la tecnología y seguridad en la información, también los que proveen calidad, confiabilidad y control de TI.
El gobierno de TI de tener como objetivo apoyar en el uso eficiente, eficaz de los recursos de una empresa, además de ayudar a identificar y equilibrar los riesgos inherentes a los procesos de la institución, destacando las oportunidades obtenidas del importante aporte que realizan las TI.
Se debe dar la importancia a cada meta perseguida por la institución e identificar su relación con las metas de TI, así se podrá obtener los procesos correctos que cada marco normativo ayude a desarrollar, además de obtener sus respectivos objetos de control esto al momento de implementar un gobierno de TI.
A continuación, se puede verificar según la norma ISO / IEC 38500 el modelo de gobernanza de TI que maneja la relación: evaluar-dirigir-monitorear, en relación con los indicadores de una buena gobernanza de TI.
Ilustración 3. Modelo de gobiernos de TI. Fuentes ISO / IEC 38500.
En la siguiente ilustración se puede observar las áreas claves según COBIT 5, para la gobernanza y gestión de TI, que se basan en satisfacer las necesidades del negocio.
Ilustración 4 Áreas claves de Gobierno y Gestión. Fuente COBIT 5. Elaboración propia en base a la fuente.
Con lo expuesto antes, podemos realizar un análisis entre la norma y el marco de trabajo, donde se puede establecer a los principias y tareas fundamentales que se deben seguir para poder establecer una buena gobernanza de TI.
Ilustración 5 Modelo de procesos para Gobierno de TI
Estructurar la propuesta de gobernanza para la institución
Para el desarrollo de la estructura del modelo de gobierno propuesto, se toma en cuenta los objetivos estratégicos de la institución, los cuales se describen a continuación:
Generar nuevo conocimiento, mediante la ejecución de Investigación y Desarrollo Tecnológico en salud, de acuerdo a las prioridades nacionales para contribuir al buen vivir.
Incrementar la eficiencia y efectividad de la prestación de los servicios de laboratorio especializado de referencia nacional, para contribuir a la vigilancia de la salud pública.
Transferir y difundir los resultados, producto de la Investigación y Desarrollo Tecnológico, generados en el instituto.
El orgánico estructural de la institución define tres procesos contenedores, identificándose al área de gestión de TIC dentro de los procesos de apoyo, pero que no se encuentra contribuyendo de manera directa con los procesos sustantivos o el proceso gobernante. (INSPI & MSP, 2014).
Ilustración 6. Estructura Orgánico funcional INSPI
Luego de identificar según el PEDI (Plan Estratégico de Desarrollo Institucional) los objetivos estratégicos de la institución, se escoge aquellos que implican el uso de tecnologías de información para luego utilizar la metodología de cascada de COBIT 5, se realiza un mapeo en el que se alineo los objetivos de la institución con los objetivos del negocio de COBIT.
Se obtiene como resultado los siguientes procesos habilitantes:
|
N° |
Dominio |
Proceso Habilitante o Catalizador |
|
1 |
EDM01 |
Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno, tiene como dominio evaluar, orientar y supervisar. Nos orienta en el análisis de los requerimientos para gobierno de TI de la empresa. |
|
2 |
EDM04 |
Asegurar la optimización de recursos, del dominio evaluar, orientar, monitorizar |
|
3 |
APO01 |
Gestionar el Marco de gestión de TI, tiene como dominio alinear, planificar, organizar, nos orienta en el mantenimiento de los objetivos alineados con la misión y visión corporativa. |
|
4 |
APO07 |
Gestionar los recursos humanos, del dominio alinear planificar, organizar, nos orienta para optimizar las capacidades del talento humano con el fin de cumplir los objetivos institucionales. |
|
5 |
APO11 |
Gestionar la Calidad, del dominio alinear planificar, organizar, nos orienta para realizar una entrega de soluciones que satisfagan las necesidades de los stakeholders. |
|
6 |
BAI01 |
Gestión de programas y proyectos, dominio construir, adquirir e implementar, nos orienta para el logro de los beneficios esperados en los proyectos de forma coordinada y alineada con la estrategia corporativa |
|
7 |
BAI08 |
Gestionar el conocimiento, dominio construir, adquirir e implementar, nos proporciona una guía que nos ayuda a preservar el conocimiento, colaborando con la toma de decisiones que nos lleven a un aumento de la productividad de la institución. |
|
8 |
DSS04 |
Gestionar la continuidad, dominio entrega, servicio y soporte, nos proporciona una guía para mantener un plan de disponibilidad de la operación críticas de la institución. |
Tabla 1 Procesos catalizadores guía para la implementación del Gobierno de Tecnologías
Se toma además del proceso EDM04, que nos guía en el proceso para asegurar que las capacidades relacionadas con personas, procesos y tecnología nos brinden el rendimiento adecuado para lograr los objetivos de la institución.
Luego de esto se realiza una validación sobre los 5 principios estudiados, acogiendo las recomendaciones de la Norma ISO / IEC 38500 y los catalizadores de COBIT 5,
|
Principios |
ISO / IEC 38500 |
COBIT 5 |
|
Responsabilidad |
Las tareas asignadas se deben realizar con responsabilidad, ser verificadas por un comité evaluador que supervise el uso de las TI. |
Los catalizadores para gobierno de TI, involucran a los stakeholders. Ayudan a mejorar el desempeño de las TI. Colaboran en la supervisión y evaluación del desempeño. |
|
Estrategia |
Se da la importancia necesaria y priorizan los proyectos que impulsan los objetivos del negocio, los cuales deben ser flexibles y adaptables de acuerdo al giro del negocio. |
Los catalizadores que pertenecen al dominio APO (Alinear, Planificar, Orientar). Exponen los procesos para una eficaz gestión de recursos, y apoyo a las metas del negocio. Alinean las metas corporativas con las de TI. |
|
Adquisición |
Las adquisiciones tecnológicas deben soportar y trabajar con la infraestructura y procesos existentes en el negocio, su implementación depende además de los cambios en la organización y adaptación al cambio |
Los procesos del dominio EDM (Evaluar, Dirigir, Monitorear) nos orientan acerca de adquisiciones e inversiones. Los procesos de dominio APO nos orientan acerca de la planificación para adquisiciones, riesgos y calidad de proyectos. Los procesos del Dominio BAI (Construir, Adquirir, Implementar) nos orientan sobre soluciones a procesos de adquisición. Los procesos del dominio MEA (Supervisión, Evaluación y Valoración) nos orientan en procesos de supervisión y evaluación de las adquisiciones. |
|
Rendimiento |
Un gobierno eficaz es posible cuando las metas de negocio orientan las metas de las otras áreas de la empresa, su trabajo en conjunto permite cumplir con los objetivos esperados, admitiendo también que todos los procesos sean correctamente evaluados. |
Sus procesos catalizadores nos permiten tener una orientación para establecer metas alineadas con los objetivos del negocio, además nos guían en los procesos de supervisión, y control de rendimiento. |
|
Conformidad |
Es importante que la alta dirección conozca acerca de leyes y reglamentos regulatorios con el fin de que la privacidad, confidencialidad, seguridad, sean contemplados, así se lograra que la conformidad de las partes involucradas sea aceptable. |
Los procesos catalizadores del dominio MEA (Supervisar, Evaluar, Valorar) nos proporcionan un guía para aplicar procesos de control que ayuden a satisfacer los requisitos de conformidad, tanto internos como externos. |
|
Factor Humano |
Los cambios organizativos requieren compromiso además de adaptación tanto cultural como de comportamiento, por parte del talento humano de la institución, así como de sus usuarios. Por parte de la alta directiva una efectiva comunicación es un factor relevante, además del impulso a la mejora de competencias del personal. |
Todos los procesos catalizadores de COBIT explican cómo es posible alinear el desempeño de cada persona con las metas del negocio. Nos orientan al momento de definir roles y responsabilidades. |
Tabla 2 Adopción Norma ISO / IEC 38500 y COBIT 5
Se realiza una validación del aporte generado a cada objetivo de negocio de acuerdo a los procesos escogidos para la implementación del gobierno de TI.
En la siguiente tabla se puede observar los procesos del dominio Evaluar, Orientar, Supervisar:
Tabla 3 Procesos Evaluar, Orientar, Supervisar. Elaboración propia en base a la fuente.
En la siguiente tabla se pueden observar los procesos del dominio Alinear, Planificar, Organizar:
|
Objetivos de Negocio |
Generar nuevo conocimiento, mediante la ejecución de Investigación y Desarrollo Tecnológico en salud, de acuerdo a las prioridades nacionales para contribuir al Buen Vivir. |
Transferir
y difundir los resultados, producto de la Investigación y Desarrollo |
|
Procesos Catalizadores |
Alinear Planificar Organizar |
|
|
APO01 |
-Definir la estructura organizativa -Establecer roles y responsabilidades -Mantener los elementos catalizadores del sistema de gestión -Comunicar los objetivos de la dirección de TI. |
-Optimizar la ubicación de la función de TI. -Definir la propiedad de la información (datos)y del sistema. -Gestionar la mejora continua de los procesos. -Mantener el cumplimiento con las políticas y procedimientos |
|
APO07 |
-Mantener la dotación de personal suficiente y adecuada -Identificar personal clave de TI. -Mantener habilidades y competencias del personal |
-Evaluar el desempeño laboral de los empleados -Planificar y realizar un seguimiento del uso de recursos -Gestionar el personal contratado |
|
APO11 |
-Establecer un sistema de gestión de calidad -Definir y gestionar los estándares, procesos y prácticas de calidad. -Enfocar la gestión de calidad en los clientes. -Mantener una mejora continua |
-Supervisar y hacer controles y revisiones de calidad. -Mantener una mejora continua |
Tabla 4 Procesos Alinear, Planificar, Organizar. Elaboración propia en base a la fuente.
En la siguiente tabla se pueden observar los procesos del dominio Construir, Adquirir, implementar:
Tabla 5 Procesos Construir, Adquirir, Implementar. Elaboración propia en base a la fuente.
En la siguiente tabla se pueden observar los procesos del dominio Entrega, Servicio, Soporte:
|
Objetivos de Negocio |
Generar nuevo conocimiento, mediante la ejecución de Investigación y Desarrollo Tecnológico en salud, de acuerdo a las prioridades nacionales para contribuir al Buen Vivir.
|
Transferir y difundir los resultados, producto de la
Investigación y Desarrollo |
|
Procesos Catalizadores |
Entrega Servicio Soporte
|
|
|
DSS01 |
-Ejecutar Procedimientos operativos -Generar servicios externalizados de TI |
-Gestionar el entorno -Supervisar la infraestructura de TI -Gestionar las instalaciones |
|
DSS04 |
-Definir la política de continuidad del negocio, objetivos y alcance -Mantener una estrategia de continuidad -Desarrollar e implementar una respuesta a la continuidad del negocio. |
-Ejecutar, revisar y probar el plan de continuidad -Revisar, mantener y mejorar el plan de continuidad -Proporcionar formación en el plan de continuidad |
|
-Gestionar acuerdos de respaldo -Ejecutar revisiones post reanudación. |
|
|
Tabla 6. Procesos del dominio Entrega, Servicio, Soporte. Elaboración propia en base a la fuente.
Diseñar una propuesta un modelo de gobierno de tecnologías de información
Se realiza la propuesta del modelo para una futura implementación de un gobierno de TI, en la que se destacan cinco etapas como se puede observar en la gráfica a continuación:
Ilustración 7 Etapas del Modelo propuesta para la implementación de un gobierno de TI.
Etapa 1.
Iniciación: En esta etapa se preparan documentos que sirvan de registro y certificación de la creación e inicio del proyecto. Se destaca la creación del Acta de Constitución del Proyecto, en el que se debe contemplar, el inicio, objetivos, límites, se asignan responsabilidades para el desarrollo del proyecto, para luego dar paso a las siguientes etapas del proyecto.
Etapa 2.
Planificación: En esta etapa se recomienda proceder con los siguientes pasos:
· Identificación de la estructura organizativa del proyecto.
· Aplicar Metodología en Cascada de COBIT 5.
· Asignar responsabilidades según la matriz RACI
· Plan de Comunicación
· Plan de Costos
· Elaboración de cronograma para el desarrollo de las siguientes fases.
Etapa 3.
Ejecución: En esta etapa es importante considerar la retroalimentación que nos brinda la Etapa 2. Se recomienda proceder con los siguientes pasos:
· Actualizaciones de documentación y gestión.
· Solicitudes de cambio
· Desarrollo de la planificación.
Etapa 4.
Monitoreo: En esta etapa se recomienda considerar la retroalimentación brindada en la etapa 3. Consta de los siguientes pasos:
· Medición del desempeño
· Retroalimentación
· Solicitudes de cambio
· Actualizaciones de documentación y gestión
Etapa 5.
Cierre: En esta etapa es importante generar un documento de cierre del proyecto.
Al finalizar la investigación se cuenta con un análisis de la organización, apoyado en normas nacionales y herramientas de control relevantes, que se ajustan a la situación de los procesos de la institución. Al alinear los objetivos estratégicos corporativos, con los objetivos estratégicos de negocio, por medio de los catalizadores de COBIT 5, se puedo identificar los puntos relevantes que la institución debe seleccionar de manera prioritaria para implementar un gobierno de TI. El trabajo conjunto de los procesos de COBIT 5 y los principios de la Norma ISO /IEC 38500 buscan apalancar mejores prácticas de gobierno y la generación de cambios en función de la estrategia institucional. El éxito de la implementación de un gobierno de TI implica un ciclo continuo de trabajo, además, de un alto compromiso de todas las partes involucradas, lo cual genera valor y cumplimento de los objetivos perseguidos por la institución.
Conclusiones
Las entidades adscritas a Gobierno, están sujetas a gran cantidad de cambios, también a un gran grupo de regulaciones y normas, en su mayoría orientadas a seguridad de información y calidad en los servicios, evidenciándose una escaza aplicación de marcos de trabajo, normas y buenas prácticas orientadas a gobierno de TI.
La gestión de TI es un componente importante para el Gobierno de TI, su trabajo en conjunto puede lograr alcanzar los objetivos propuestos por la institución. De tal manera que las metas de la Gestión de TI deben estar alineadas de manera prioritaria con los objetivos que persigue el giro del negocio en la institución.
La norma ISO / IEC 38500 y el marco de trabajo de COBIT 5 pueden adaptarse para ayudar a las organizaciones al desarrollo de un Gobierno de TI.
Los procesos identificados mediante la Metodología de Cascada de COBIT 5, nos permiten priorizar los procesos que resultan críticos en la implementación de un Modelo de Gobierno de TI.
La implementación de un sistema de gobierno de TI permite que la planificación estratégica tenga la visión de integral e incluya a las TI como un ente fundamental en el proceso.
Referencias Bibliográficas
ANIEL. (2013). Importancia de las TIC para la gestión empresarial. Recuperado el 26 de mayo de 2019, de https://www.aniel.es/importancia-de-las-tic-para-la-gestion-empresarial/
INEN. (2017). TECNOLOGIAS DE LA INFORMACION - GOBERNANZA DE TI-MARCO DE REFERENCIA Y MODELO (ISO / IEC TR 38502:2014,IDT).
INEN. (2018). TECNOLOGÍAS DE LA INFORMACION - GOBERNANZA DE TI - GUÍA DE IMPLEMENTACIÓN (ISO/IEC TS 38501:2015).
INSPI, & MSP, E. (2014). Estatuto orgánico de gestión por procesos. Instituto Nacional de Investigación en Salud Pública INSPI, 73.
Isaca. (2011). COBIT 5. Recuperado de https://articulosit.files.wordpress.com/2013/07/cobit5-framework-spanish.pdf
IT Governance Institute. (2016). Reunión Informativa del Consejo sobre la Gobernabilidad TI. Governance An International Journal Of Policy And Administration.
ITGI. (2003). Board Breifing an IT Governance (2nd ed.).
Muñoz, I. L., & Ulloa, G. (2011). Gobierno de TI – Estado del arte. Sistemas & Telemática, 9(17), 23–53. https://doi.org/10.18046/syt.v15i40.2392
Pillo, D., & Enríquez, R. (2017). Gobierno de TI con énfasis en seguridad de la información para hospitales públicos. Maskana, 8, 42–55. Recuperado de https://publicaciones.ucuenca.edu.ec/ojs/index.php/maskana/article/view/1451/1125
RAZO, J. C. (2015). Estudio Analítico de la conpatibilidad de la norma ISO 380 y COBIT 5 referente a gobernanza de TI. Espe. ESPE.
Secretaria Nacional de la Administración Pública. (2018). Plan Nacional de Gobierno Electrónico. Plan Nacional de Gobierno Elecctrónico 2018-2021, 88.
Fernández, C., & Piattini, M. (2012). MODELO PARA EL GOBIERNO DE LAS TIC BASADO EN LAS NORMAS ISO. (AENOR ediciones, Ed.), MODELO PARA EL GOBIERNO DE LAS TIC BASADO EN LAS NORMAS ISO. Madris. Recuperado de http://www.ingebook.com/ib/NPcd/IB_BooksVis?cod_primaria=1000193