UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE TECNOLOGÍAS DE LA INFORMACIÓN,

TELECOMUNICACIONES E INDUSTRIAL

CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES E

INFORMÁTICOS

TEMA:

“DISEÑO DE UN PLAN ESTRATÉGICO APLICANDO LA METODOLOGÍA

COBIT EN LA EMPRESA IMPORTADORA ALVARADO S.A.”

Trabajo de Graduación Modalidad: Proyecto de Investigación, presentado previo a la

obtención del título de Ingeniera en Sistemas Computacionales e Informáticos.

LÍNEA DE INVESTIGACIÓN: Administración de recursos

AUTOR: Curay Moreta Mayra Elizabeth

TUTOR: Ing. Franklin Mayorga Mg.

Ambato-Ecuador

Agosto - 2019

ii

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del Trabajo de Investigación sobre el tema: “DISEÑO DE UN

PLAN ESTRATÉGICO APLICANDO LA METODOLOGÍA COBIT EN LA

EMPRESA IMPORTADORA ALVARADO S.A.”, de la señorita Curay Moreta Mayra

Elizabeth, estudiante de la Carrera de Ingeniería en Sistemas Computacionales e

Informáticos de la Facultad de Tecnologías de la Información, Telecomunicaciones e

Industrial, de la Universidad Técnica de Ambato, considero que el informe investigativo

reúne los requisitos suficientes para que continúe con los trámites y consiguiente

aprobación de conformidad con el numeral 7.2 de los Lineamientos Generales para la

aplicación de Instructivos de la Modalidad de Titulación de las Facultades de la

Universidad Técnica de Ambato.

Ambato, Agosto 2019

iii

AUTORÍA

El presente Proyecto de Investigación titulado: DISEÑO DE UN PLAN

ESTRATÉGICO APLICANDO LA METODOLOGÍA COBIT EN LA EMPRESA

IMPORTADORA ALVARADO S.A.”, es absolutamente original, auténtico y personal,

en tal virtud, el contenido, efectos legales y académicos que se desprenden del mismo

son de exclusiva responsabilidad del autor.

Ambato, Agosto, 2019

iv

DERECHOS DE AUTOR

Autorizo a la Universidad Técnica de Ambato, para que haga uso de este Trabajo de

Titulación como un documento disponible para la lectura, consulta y procesos de

investigación.

Cedo los derechos de mi Trabajo de Titulación, con fines de difusión pública, además

autorizo su reproducción dentro de las regulaciones de la Universidad.

Ambato, Agosto, 2019

v

APROBACIÓN DE LA COMISIÓN CALIFICADORA

La Comisión Calificadora del presente trabajo conformada por los señores docentes,

Ing. Rubén Nogales e Ing. Víctor Guachimbosa, revisó y aprobó el Informe Final del

Proyecto de Investigación titulado:” DISEÑO DE UN PLAN ESTRATÉGICO

APLICANDO LA METODOLOGÍA COBIT EN LA EMPRESA IMPORTADORA

ALVARADO S.A.”, presentado por la señorita Mayra Elizabeth Curay Moreta de

acuerdo al numeral 9.1 de los Lineamientos Generales para la aplicación de Instructivos

de las Modalidades de Titulación de las Facultades de la Universidad Técnica de

Ambato.

vi

DEDICATORIA

A Dios por darme la vida y guiarme en

todo momento, a mi mamá que con su

apoyo incondicional, amor y confianza

permitieron que logre culminar mi

carrera profesional.

Curay Moreta Mayra Elizabeth

vii

AGRADECIMIENTO

Agradezco a Dios, quien ha guiado mi

vida, bendiciéndome y dándome fuerzas

para continuar con mis metas.

A mi mamá que ha sido el pilar

fundamental de mi vida, que gracias a su

amor y apoyo incondicional me ha

ayudado a cumplir este logro.

A mis hermanos por el apoyo a lo largo

de toda mi carrera universitaria y a lo

largo de mi vida.

A todas las personas que me han

acompañado en esta etapa, aportando a

mi formación tanto profesional y como

ser humano.

Curay Moreta Mayra Elizabeth

viii

ÌNDICE DE CONTENIDO

APROBACIÓN DEL TUTOR ......................................................................................... ii

AUTORÍA ....................................................................................................................... iii

DERECHOS DE AUTOR ............................................................................................... iv

APROBACIÓN DE LA COMISIÓN CALIFICADORA ................................................ v

DEDICATORIA .............................................................................................................. vi

AGRADECIMIENTO .................................................................................................... vii

ÌNDICE DE CONTENIDO ........................................................................................... viii

ÍNDICE DE FIGURAS ................................................................................................... xi

ÍNDICE DE TABLAS ................................................................................................... xiv

RESUMEN EJECUTIVO ............................................................................................. xvi

ABSTRACT ................................................................................................................. xvii

INTRODUCCIÓN ....................................................................................................... xviii

CAPÍTULO I .................................................................................................................. 1

EL PROBLEMA ............................................................................................................. 1

1.1 Tema de Investigación ....................................................................................... 1

1.2 Planteamiento del problema ............................................................................... 1

1.3 Delimitación ....................................................................................................... 3

1.4 Justificación ....................................................................................................... 3

1.5 Objetivos ............................................................................................................ 4

1.5.1 General........................................................................................................ 4

1.5.2 Específicos .................................................................................................. 4

CAPÍTULO II ................................................................................................................. 5

MARCO TEÓRICO ....................................................................................................... 5

2.1 Antecedentes investigativos ............................................................................... 5

2.2 Fundamentación teórica ..................................................................................... 6

2.2.1 Planificación Estratégica ................................................................................. 6

2.2.2 Las Tecnología de la información y comunicación (T.I.C) .......................... 12

2.2.3. Planificación estratégica de TI ...................................................................... 15

2.2.4 COBIT ............................................................................................................ 17

ix

CAPÍTULO III ............................................................................................................. 28

METODOLOGÍA ......................................................................................................... 28

3.1 Modalidad de Investigación ............................................................................. 28

3.1.1. Modalidad Bibliográfica y Documental: ....................................................... 28

3.1.2. Modalidad de Campo .................................................................................... 28

3.2 Población y Muestra ........................................................................................ 28

3.3 Recolección de Información ............................................................................ 28

3.4 Procesamiento y Análisis de Datos .................................................................. 29

3.5 Desarrollo del Proyecto ................................................................................... 46

CAPÍTULO IV .............................................................................................................. 47

DESARROLLO DE LA PROPUESTA ...................................................................... 47

4.1. Análisis de la situación actual de la empresa ................................................... 47

4.1.1 Breve descripción de la empresa .................................................................... 47

3.2.1 Evaluación del cumplimiento general ............................................................ 65

3.2.2 Resultado de la evaluación por dominio ........................................................ 66

4.2.3 Resultado final de la evaluación por proceso ................................................. 67

4.2.3.1 Procesos del dominio planear y organizar................................................... 67

4.2.3.2 Resultados del dominio adquirir e implementar ......................................... 68

4.2.3.3 Resultados del dominio entregar y dar soporte ........................................... 69

4.2.3.4 Resultados de dominio monitorear y evaluar .............................................. 71

4.2.4 Resultado final de la evaluación por objetivos de control ............................. 72

4.2.4.1 Dominio planear y organizar ....................................................................... 72

4.2.4.2 Dominio Adquirir e Implementar ................................................................ 80

4.2.4.3 Dominio entregar y dar soporte ................................................................... 86

4.2.4.4 Dominio monitorear y evaluar .................................................................... 97

4.2.5 Resultado final de la evaluación................................................................... 102

4.2.5.1 Resultados de la evaluación por objetivos de control ............................... 102

4.2.5.2. Grado de madurez .................................................................................... 104

4.3 Plan estratégico ................................................................................................... 105

CAPÍTULO V ............................................................................................................. 125

CONCLUSIONES Y RECOMENDACIONES ....................................................... 125

5.1 CONCLUSIONES .............................................................................................. 125

x

5.2. RECOMENDACIONES ................................................................................ 127

BIBLIOGRAFÍA .......................................................................................................... 128

ANEXOS ...................................................................................................................... 131

xi

ÍNDICE DE FIGURAS

Figura 1. Cuatro etapas del control de gestión [8]. ........................................................... 7

Figura 2. Indicadores organizacionales de gestión [8]. .................................................... 8

Figura 3.- Metodología de la planificación estratégica [29] .......................................... 10

Figura 4.- Proceso continuo de evaluación de la planificación estratégica [16]. ........... 12

Figura 5: Costos en el proceso de incorporación de las TICs [21]. ................................ 15

Figura 6 Categorías para los recursos de Tecnologías de Información .......................... 19

Figura 7 Plan estratégico alineado con las necesidades de la empresa .......................... 29

Figura 8 Definición de arquitectura de información ...................................................... 30

Figura 9 Pregunta 3 ........................................................................................................ 31

Figura 10 Pregunta 4 ...................................................................................................... 32

Figura 11 Implementación de políticas de TI ................................................................. 33

Figura 12 Frecuencia de renovación de las políticas de TI ............................................ 34

Figura 13 Capacitación continua del personal de TI ...................................................... 35

Figura 14 Los proyectos desarrollados se encuentran dentro del plan Organizacional.. 36

Figura 15 Realización de estudios de factibilidad .......................................................... 37

Figura 16 Frecuencia de cambios de emergencia en la infraestructura de TI ................ 38

Figura 17 Metodologías de prueba para garantizar la aceptación del producto ............. 39

Figura 18 Gerencia encarga de realizar la evaluación formal de los resultados de prueba

........................................................................................................................................ 40

Figura 19 Nivel de seguridad para salvaguardar la información .................................... 41

Figura 20 Los servicios de TI utilizan un sistema de contabilidad de costos ................. 42

Figura 21 La empresa cuenta con un repositorio central ................................................ 43

Figura 22 Proporciona reportes administrativos del desempeño de TI a la alta dirección

........................................................................................................................................ 44

Figura 23 Organigrama estructural del departamento de TI........................................... 49

Figura 24 Evaluación del cumplimiento del departamento de sistemas a nivel general 65

Figura 25 Evaluación por dominio ................................................................................. 66

Figura 26 Procesos del dominio Planear y Organizar .................................................... 67

Figura 27 Resultados del dominio Adquirir e Implementar ........................................... 69

Figura 28 Resultados del dominio Entregar y dar Soporte ............................................. 70

Figura 29 Resultados de dominio monitorear y evaluar ................................................. 71

Figura 30 Objetivo de control del proceso PO1.Definir un plan estratégico de TI ........ 72

xii

Figura 31. Resultados Procesos P02. Definir la Arquitectura de la Información ........... 73

Figura 32. Objetivos de control proceso PO3. Determinar la dirección tecnológica ..... 74

Figura 33. Objetivos de control del proceso PO4. Definir los procesos, organizar y

relaciones de TI .............................................................................................................. 74

Figura 34. Objetivos estratégicos del proceso PO5. Administrar la inversión de TI ..... 75

Figura 35. Objetivos de control del proceso PO6. Comunicar las aspiraciones y la

dirección de la gerencia .................................................................................................. 76

Figura 36. Objetivos de control del proceso PO7. Administrar recursos humanos de TI

........................................................................................................................................ 77

Figura 37. Objetivos de control del proceso PO8. Administrar la calidad ..................... 78

Figura 38. Objetivos de control del proceso PO9. Evaluar y administrar los riesgos de

TI .................................................................................................................................... 79

Figura 39. Objetivos de control del proceso PO10. Administrar proyectos ................... 80

Figura 40. Objetivos de control del proceso AI1. Identificar soluciones automatizadas 81

Figura 41. Objetivos de control del proceso AI2. Adquirir y mantener software

aplicativo ........................................................................................................................ 82

Figura 42. Objetivos de control del proceso AI3. Adquirir y mantener infraestructura

tecnológica ...................................................................................................................... 83

Figura 43. Objetivos de control del proceso AI4. Facilitar la operación y el uso .......... 84

Figura 44. Objetivo de control del proceso AI5. Adquirir recursos de TI .................... 84

Figura 45. Objetivos de control del proceso AI6. Administrar cambios ........................ 85

Figura 46. Objetivos de control del proceso AI7. Instalar y acreditar soluciones y

cambios ........................................................................................................................... 86

Figura 47. Objetivos de control del proceso DS1. Definir y administrar los niveles de

servicio ........................................................................................................................... 87

Figura 48. Objetivos de control del proceso DS2. Administrar los servicios de terceros

........................................................................................................................................ 88

Figura 49. Objetivos de control de proceso DS3. Administrar el desempeño y la

capacidad ........................................................................................................................ 89

Figura 50. Objetivos de control del proceso DS4. Garantizar la continuidad del servicio

........................................................................................................................................ 90

Figura 51. Objetivos de control del proceso DS5. Garantizar la seguridad de los

sistemas ........................................................................................................................... 91

Figura 52. Objetivos de control del proceso DS6. Identificar y asignar costos ............. 92

xiii

Figura 53. Objetivos de control del proceso DS7. Educar y entrenar a los usuarios ..... 92

Figura 54. Objetivos de control del proceso DS8. Administrar la mesa de servicio y los

incidentes ........................................................................................................................ 93

Figura 55. Objetivos de control del proceso DS9. Administrar la configuración .......... 94

Figura 56. Objetivos de control del proceso DS10. Administrar los problemas ............ 94

Figura 57. Objetivos de control del proceso DS11. Administrar los datos .................... 95

Figura 58. Objetivos de control del proceso DS12. Administrar el ambiente físico ...... 96

Figura 59. Objetivos de control del proceso DS13. Administrar las operaciones .......... 96

Figura 60. Objetivos de control del proceso ME1. Monitorear y evaluar el desempeño

de TI ................................................................................................................................ 98

Figura 61. Objetivos de control del proceso ME2. Monitorear y evaluar el control

interno ............................................................................................................................. 99

Figura 62. Objetivos de control del proceso ME3. Garantizar el cumplimiento

regulatorio ..................................................................................................................... 100

Figura 63. Objetivos de control del proceso ME4. Proporcionar gobierno de TI ........ 101

Figura 64. Evaluación de objetivos de control críticos ................................................ 103

Figura 65 Diagrama de desarrollo del plan estratégico de TI....................................... 108

Figura 66. Matriz de gestión de riesgos- Proyecto1 .................................................... 120

Figura 67. Matriz de gestión de riesgos- Proyecto 2 .................................................... 120

Figura 68. Matriz de gestión de riesgos- Proyecto 3 .................................................... 120

Figura 69. Matriz de gestión de riesgos- Proyecto 4 .................................................... 121

xiv

ÍNDICE DE TABLAS

Tabla 1 Marco de trabajo completo de COBIT 4.1 ........................................................ 20

Tabla 2 Plan estratégico alineado con las necesidades de la empresa ............................ 29

Tabla 3 Definición de arquitectura de información ........................................................ 30

Tabla 4 Pregunta 3 .......................................................................................................... 31

Tabla 5 Procesos y operaciones de TI ............................................................................ 32

Tabla 6 Implementación de políticas de TI .................................................................... 33

Tabla 7 Frecuencia de renovación de las políticas de TI ................................................ 34

Tabla 8 Capacitación continua del personal de TI ......................................................... 35

Tabla 9 Los proyectos desarrollados se encuentran dentro del plan Organizacional ..... 36

Tabla 10 Realización de estudios de factibilidad ........................................................... 37

Tabla 11 Frecuencia de cambios de emergencia en la infraestructura de TI .................. 38

Tabla 12 Metodologías de prueba para garantizar la aceptación del producto .............. 39

Tabla 13 Gerencia encarga de realizar la evaluación formal de los resultados de prueba

........................................................................................................................................ 40

Tabla 14 Nivel de seguridad para salvaguardar la información ..................................... 41

Tabla 15 Los servicios de TI utilizan un sistema de contabilidad de costos .................. 42

Tabla 16 La empresa cuenta con un repositorio central ................................................. 43

Tabla 17 Proporciona reportes administrativos del desempeño de TI a la alta dirección

........................................................................................................................................ 44

Tabla 18. Evaluación por objetivos de COBIT 4.1 ........................................................ 53

Tabla 19. Evaluación del cumplimiento a nivel general ................................................ 65

Tabla 20. Evaluación por dominio ................................................................................. 66

Tabla 21. Grado de madurez......................................................................................... 104

Tabla 22. Grado de madurez por dominio .................................................................... 105

Tabla 23. Esquema de Procesos COBIT ...................................................................... 107

Tabla 24. Cronograma de los proyectos de TI.............................................................. 116

Tabla 25. Probabilidad e impacto del riesgo ................................................................ 118

Tabla 26. Riesgos de Gestión de TI .............................................................................. 118

Tabla 27. Riesgos de Gestión de procesos ................................................................... 118

Tabla 28. Plan de respaldo y recuperación de información .......................................... 119

Tabla 29. Riesgos del sistema de gestión de calidad .................................................... 119

Tabla 30. Plan de reducción, supervisión y gestión de riesgo. R2, R15, R21 .............. 122

xv

Tabla 31. Plan de reducción, supervisión y gestión de riesgo. R5 ............................... 122

Tabla 32. Plan de reducción, supervisión y gestión de riesgo. R13 ............................. 123

Tabla 33. Plan de reducción, supervisión y gestión de riesgo. R5 ............................... 123

Tabla 34. Plan de reducción, supervisión y gestión de riesgo. R26 ............................. 124

xvi

RESUMEN EJECUTIVO

El presente trabajo de investigación se realizó con el objetivo de diseñar un plan

Estratégico aplicando la metodología COBIT en la empresa Importadora Alvarado S.A.

para constituirse en una herramienta de administración, supervisión y control contribuya

a la solución de los problemas de Tecnologías de la Información (TI) en la

organización. El estudio parte con la identificación de las principales falencia en

Importadora Alvarado, por medio de la aplicación de la metodología COBIT 4.1 a la

gestión informática; la misma que evidenció que el departamento de sistemas presenta

un nivel bajo en cuanto a la administración del recurso humano, no realiza la

orientación necesaria al momento de la contratación del personal, de igual forma no se

considera las directivas tecnológicas ni la arquitectura de información de la

organización para adquirir un software aplicativo. De acuerdo a ello se determina la

necesidad de implementar un plan estratégico de TI, con el establecimiento de objetivos,

políticas y estrategias que influencien en el ambiente interno y externo de la

organización, en los organismos reguladores, supervisores, clientes, proveedores, entre

otros, además de asegurar su correspondencia con los objetivos empresariales, cubrir las

deficiencias en el mismo y realizar los ajustes pertinentes que garanticen credibilidad y

confianza de los clientes.

Palabras claves: tecnología, estrategia, administración, supervisión, COBIT.

xvii

ABSTRACT

This research work was carried out with the objective of designing a Strategic Plan

applying the COBIT methodology in the company Importadora Alvarado S.A. To

become a tool for administration, supervision and control, contribute to the solution of

Information Technology (IT) problems in the organization. The study starts with the

identification of the main flaws in Importadora Alvarado, through the application of the

COBIT 4.1 methodology to computer management; the same one that evidenced that

the systems department presents a low level regarding the administration of the human

resource, does not realize the necessary orientation at the moment of the hiring of the

personnel, in the same way it is not considered the technological directives nor the

information architecture of the organization to acquire an application software.

Accordingly, the need to implement a strategic IT plan is determined, with the

establishment of objectives, policies and strategies that influence the internal and

external environment of the organization, regulatory bodies, supervisors, customers,

suppliers, among others , in addition to ensuring its correspondence with business

objectives, covering the deficiencies in it and making the appropriate adjustments that

guarantee credibility and trust of customers.

Keywords: technology, strategy, administration, supervision, COBIT.

xviii

INTRODUCCIÓN

En un mundo de constante evolución tecnológica la información es un recurso

estratégico dentro del contexto empresarial. A través de la recopilación de información

se pudo determinar que el departamento de sistemas de Importadora Alvarado presenta

falencias en cuanto a la administración de sus recursos de TI, pues no capacita

constantemente al personal ni tampoco toma en cuenta las directivas tecnológicas ni la

arquitectura de información de la organización para adquirir un software aplicativo. Por

tal motivo el presente proyecto tiene como finalidad diseñar un plan estratégico

aplicando la metodología COBIT en la empresa “Importadora Alvarado S.A, el mismo

que permita mejorar la gestión basada en TI, estableciendo planes a largo plazo que

contemplen todas las actividades y procesos de la organización y así llevar un adecuado

control de los sistemas informáticos, para lo cual se necesita realizar una investigación

detallada de las causas que generan alteraciones en los servicios de TI.

El proyecto se encuentra dividido en los capítulos siguientes:

Capítulo I: Se realiza una descripción del problema de investigación, la justificación

respectiva y el planteamiento de objetivos a alcanzar mediante el desarrollo del

proyecto.

Capítulo II: En este apartado se describe los principales fundamentos teóricos

relacionados con el tema de estudio, los cuales sirven de sustento para la investigación

Capítulo III: Se especifica la metodología de la investigación a realizar, las técnicas e

instrumentos de recolección, se estableció la población y la muestra de estudio, el

proceso para la recopilación de los datos, el procesamiento y análisis de la información

y finalmente se describe el desarrollo del proyecto.

Capítulo IV: Se describe el desarrollo de la propuesta, puntualizando la estructura del

plan estratégico de TI de acuerdo a las falencias detectadas en el proceso de análisis de

información

CAPÍTULO V: Se presentan las principales conclusiones y recomendaciones en base a

los objetivos planteados.

Finalmente se encuentran los anexos de la investigación.

1

CAPÍTULO I

EL PROBLEMA

1.1 Tema de Investigación

“Diseño de un Plan Estratégico aplicando la metodología COBIT en la empresa

“Importadora Alvarado S.A.”

1.2 Planteamiento del problema

En la actualidad la información es un recurso estratégico dentro del contexto

empresarial, por lo que su gestión, y la de las tecnologías asociadas a ella, necesitan

especial atención. De la misma manera, el procesamiento de información que requieren

los negocios contemporáneos necesitan un conjunto de elementos en evolución que se

denominan tecnologías de la información y las comunicaciones (TIC), que involucran

software, hardware, formas organizativas, servicios y conocimientos que se emplean en

este dominio. Sin embargo no siempre la adopción de TIC, en especial de sistemas

informáticos generan los beneficios esperados, razón por la cual, la planificación de

sistemas de información se constituye en un elemento necesario para facilitar dicho

proceso, en base a las necesidades del negocio y en función a los objetivos estratégicos

de la organización [1].

En relación a Latinoamérica, los países que han desarrollado mejor sus buenas prácticas

de TI son México, Argentina, Chile y Brasil, teniendo como líder a Chile, con un mayor

número de empresas que han implementado TI, pues según una encuesta realizada por

el Centro de Estudios de Tecnología de Información de la Universidad Católica de

Chile, el 30% de las 150 mayores empresas del país han implementado o piensan

implementar esta herramienta a corto o mediano plazo [2].

En Ecuador el desarrollo de estas prácticas está comenzando y existe mucho potencial

por explorar, puesto que es reconocido como un país que implementa políticas públicas

para universalizar el acceso a las Tecnologías de la Información y Comunicación (TIC),

ejecutadas por el Ministerio de Telecomunicaciones y de la Sociedad de la Información

(MINTEL), sin embargo el problema principal con la mayoría de políticas y proyectos

2

de TI es la poca claridad de los objetivos del proyecto y como consecuencia la falta de

una estrategia para lograrlos [3].

La planeación estratégica fue introducida por primera vez en algunas empresas

comerciales a mediados de 1950. En aquel tiempo, las empresas más importantes fueron

principalmente las que desarrollaron sistemas de planeación estratégica,

denominándolos sistemas de planeación de largo plazo [4]. Durante los años sesenta del

siglo XX su uso se extendió hasta llegar a constituirse en un instrumento para el

desarrollo organizacional muy conocido por los administradores y gerentes de los

grandes negocios [5]. La planeación puede ofrecer un marco de referencia para la toma

de decisiones y es trascendental a lo lago de la organización, es por ello que planear

estratégicamente los sistemas de información supone un enfoque objetivo y sistemático

para la toma de decisiones en las empresas, puesto que juega un papel importante,

especialmente como motor de cambio y fuente de ventajas competitivas [6].

Importadora Alvarado S.A se ha caracterizado por su trayectoria en el mercado

automotriz, siendo uno de los principales importadores a nivel nacional, teniendo

mayor reconocimiento en la zona central del país, apoyando en el crecimiento

económico y social de muchas familias tanto a nivel nacional y local. Sin embargo, la

empresa al no contar con un sólido apoyo tecnológico, ni las evaluaciones establecidas

en cuanto al áreas de las TIC, le es muy complicado justificar y emprender proyectos

que brinden un real aporte al negocio, pues actualmente solamente se ha automatizado

el trabajo operativo, mientras que en el entorno de gestión se han dado pasos aislados en

busca de incluir herramientas informáticas.

En virtud a lo expuesto y conociendo la trayectoria de la empresa, su crecimiento

continuo, se considera importante contar con un plan estratégico de TI que permita

alinear los objetivos estratégicos de la empresa con los objetivos de la TI, el cual se

involucre un modelo que permita tener los procesos con aceptación externa, que sean

medibles, auditables y definidos con excelentes prácticas, con lo cual se permita

optimizar, controlar y administrar sus recursos y contribuir a la toma decisiones

acertadas y en el momento oportuno.

3

1.3 Delimitación

Campo: Administrativas Informáticas.

Línea de investigación: Administración de recursos.

Sub-línea de investigación: Desarrollo de planes Informáticos.

Espacial: La presente investigación se desarrollará en la empresa Importadora Alvarado

S.A (Ambato -Ecuador).

Temporal: La presente investigación se desarrollará en el Periodo Académico Marzo

2018 – Agosto 2018.

1.4 Justificación

La presente investigación se basa en la necesidad y el interés dentro de la organización

para diseñar un plan estratégico de TI, debido a los constantes cambios tecnológicos, las

políticas económicas y los requerimientos de competitividad, estos son algunos de los

factores que hacen necesaria la planificación estratégica para el área de TIC´s.

Este proyecto pretende ser de gran utilidad para Importadora Alvarado, puesto que

pretende otorgarle un producto gerencial de cual carece actualmente, y dada la

competitividad y globalización de los diversos sectores del mercado que actúan en la

sociedad se ha convertido en una necesidad imperiosa para apoyar la misión, visión,

objetivos estratégicos y valores de la empresa y de esa forma tener un mejor control de

la información y los recursos.

Para el diseño de una Planificación Estratégica de TI aplicando la metodología COBIT

se cuenta con la apertura de los directivos de la empresa quienes otorgaron la

disponibilidad de la información y los recursos necesarios para realizar la investigación,

además de contar con el conocimiento necesario adquirido durante la carrera

universitaria para realizar el Plan Estratégico de TI.

El presente proyecto tiene como beneficiario directo a la empresa Importadora

Alvarado, ya que contará con un plan estratégico de TI que servirá de instrumento y

ayuda para identificar las falencias que afectan a los recursos tecnológicos dentro de la

4

institución y esto servirá a la toma de decisiones en beneficio de un mejor desarrollo de

las diferentes actividades.

1.5 Objetivos

1.5.1 General

Diseñar un Plan Estratégico aplicando la metodología COBIT en la empresa

Importadora Alvarado S.A.

1.5.2 Específicos

Analizar la situación actual de la empresa, los cargos y las responsabilidades

dentro del Área de TI, de acuerdo a la visión y misión institucional.

Aplicar procesos de COBIT para evaluar la situación actual del departamento

de TI.

Diseñar el Plan Estratégico para Importadora Alvarado a fin de llevar un mejor

control dentro de la organización.

5

CAPÍTULO II

MARCO TEÓRICO

2.1 Antecedentes investigativos

Debido a la competencia, la innovación, los cambios, y las estrategias los ejecutivos

deben dar importancias a la Tecnología de Información en el desarrollo de las empresas

y los negocios. Hoy en día es un importante contar con un Plan estratégico de TI que

ayudará para la solución de problemas, la toma de decisiones, y para mejorar el control.

Existen varios trabajos relacionados al desarrollo de planes estratégicos de TI entre los

cuales se describen algunos de ellos:

Nelson Orozco, César Rodríguez Cruz, Walter Serrano realizaron un proyecto de tesis

acerca de planificación estratégica, este trabajo tiene como conclusión que la

planificación estratégica es algo fundamental dentro de cualquier empresa para el

mejoramiento de los procesos y que permite darle un acompañamiento a los objetivos

estratégicos de la empresa, al incidir directamente sobre las ventajas competitivas tan

marcadas en el sector de las TIC [4].

En el trabajo realizado por José Ramón Rodríguez e Ignacio Lamarca en su trabajo

Planificación Estratégica de Sistemas de Información entre sus conclusiones nos dice

que dentro de las empresas, la planificación estratégica se ha constituido en un proceso

clave para la organización. La planificación estratégica de SI y TI persigue alinear las

políticas de sistemas y tecnologías de la información con las prioridades del negocio y

se entiende como el proceso y la documentación en la que se identifica la cartera o

portafolio de aplicaciones y la tecnología que debe desarrollar la empresa para obtener

ventajas competitivas sostenibles [5].

En el repositorio de la ESPOCH, Joffre Jilmar Vargas García realizó como trabajo de

tesis bajo el tema “Propuesta tecnológica basada en COBIT 5 aplicada a la gestión de la

TI en la EIS” entre sus conclusiones nos dice que para el estudio de COBIT se deben de

analizar sus principios, gobierno, gestión, entre otros para aplicar a las Tecnologías de la

EIS.

6

Al aplicar la metodología COBIT 5 a las TI nos ayudarán a identificar dificultades,

problemas, vulnerabilidades y debilidades en la Administración de las Tecnologías de la

EIS para alcanzar el análisis total de los resultados; aunque al realizar un análisis se

obtuvo que un 75% no fue factible aplicar e implementaron otra metodología. Además

nos recomienda que la metodología desarrollada debe ser utilizada exclusivamente en la

gestión de las tecnologías, regulación de políticas, control, análisis de riegos, basada en

normas y estándares que COBIT 5 describe en su amplia planificación para la

regulación de las TI de las empresas [6].

2.2 Fundamentación teórica

2.2.1 Planificación Estratégica

La planeación estratégica (PE) es un conjunto de planes funcionales o una deducción de

los presupuestos actuales; es un enfoque de sistemas para dirigir una empresa en el

lapso del tiempo a través de su medio ambiente, para alcanzar las metas dictadas.

El objetivo de la PE es agrupar en objetivos factibles de alcanzar y qué negocio o área

competir, en correspondencia con las amenazas y oportunidades que ofrece el entorno.

Los puntos de vista fundamentales de la planificación estratégica son los siguientes:

- El porvenir de las decisiones actuales.

- Proceso.

- Filosofía.

- Estructura.

La esencia de la PE es identificar sistemáticamente las oportunidades y peligros que

surgen en el futuro, los cuales al ser utilizados con otros datos importantes entregan la

base para que una empresa tome mejores decisiones en el presente con el objetivo de

explotar las oportunidades y evitar los peligros [7].

La PE, es una herramienta para la gestión que apoya en la toma de decisiones de las

organizaciones a favor al que hacer en el presente y al camino que se debe recorrer en el

futuro para adaptarse a los cambios y a las demandas que condiciona el entorno y de

esta manera lograr la mayor eficiencia, eficacia, calidad en los bienes y servicios que se

dotan.

7

En base al diagnóstico de la situación actual (mediante un análisis de brechas

institucionales), la Planificación Estratégica determina cuales son las acciones a tomar

para llegar a un “futuro deseado”, el cual puede estar proyectado a mediano o largo

plazo [8].

La PE es un proceso continuo que requiere retroalimentación constante del cómo están

funcionando las estrategias. Las organizaciones revisan su desempeño a través de

indicadores puntuales como las utilidades, las ventas, los retornos sobre la inversión,

etc. Estos indicadores entregan datos valiosos que sirven para la toma de decisiones

respecto a la dirección de las estrategias, aceptando su valides o bien mostrando la

necesidad de realizar un ajuste, como se muestra en la figura 1.

Dentro de las actividades de la planificación de las organizaciones es necesario saber la

diferencia ente la planificación operativa y la planificación estratégicas. Aun cuando las

dos tratan de determinar los mejores planes de acción, la primera se refiere a corto plazo

y la segunda se relaciona al mediano y largo plazo.

Figura 1. Cuatro etapas del control de gestión [8].

Cuando se habla de PE se refiera a grandes decisiones, a la determinación de los

Objetivos Estratégicos que permiten materializar la misión y la visión de la empresa.

8

Por lo cual la PE es la base para el establecimiento de herramientas de seguimiento y

evaluación de los objetivos planteados, en otras palabras el control de la gestión no se

puede ejecutar sin un proceso previo de planificación estratégica [9].

La planificación operativa se enfoca a la generación de objetivos y compromisos

internos que forman parte de la programación para lograr los productos de calidad,

cantidad y tiempo necesario. Desde este punto de vista, la información que entreguen

los indicadores de gestión, tiene menor interés desde la perspectiva de la rendición de

cuentas a la gerencia [10].

En la figura 2, se puede observar el tipo de indicadores que son relacionados a cada uno

de estos niveles de decisión.

Figura 2. Indicadores organizacionales de gestión [8].

9

Objetivo de la planificación estratégica

El objetivo de un plan estratégico es responder 3 preguntas básicas: ¿En qué situación

se encuentra actualmente la empresa?, ¿Hacia dónde apunta? ¿Cómo se puede lograr?

Por lo tanto, un PE tiene que ser un proceso participativo que plantea un diagnóstico, los

objetivos, un panorama de futuro y un catálogo de proyectos y acciones consensuadas

entre todos los agentes públicos, sociales y económicos [11].

Componentes de la planificación estratégica

Los elementos de la planeación estratégica son los siguientes [12]:

- Misión: concepto que refleja la meta fundamental de la empresa.

- Valores: grupo de enunciados que reflejan las bases o principios fundamentales

bajo los cuales debe operar la empresa.

- Estrategia: modelo o plan que integra las principales políticas y metas de una

organización y a su vez establece los pasos sucesivos de las acciones a realizar.

- Objetivos o metas: indican qué es lo que se va a lograr y en qué tiempo los

resultados serán alcanzados, pero no establecen la manera de lograrlos.

- Políticas: son normas o reglas que expresan los límites dentro de los que se

deben procesar las acciones.

- Programas: especifican la serie de pasos que deben seguir las acciones para

alcanzar los objetivos principales.

- Decisiones estratégicas: establecen la dirección general de una empresa y su

factibilidad máxima a la luz hacía los cambios pronosticables como de los

impredecibles que en cualquier momento puedan ocurrir.

Beneficios de la planificación estratégica

Entre los beneficios más importantes se encuentran los siguientes:

- Mejora la eficiencia y la efectividad organizacional.

- Construye un equipo de trabajo experto.

- Optimiza la toma de decisiones con un punto de vista externo y una amplia base

interna.

- Contribuye y mejora las comunicaciones y relaciones públicas.

- Aumenta la productividad de los colaboradores.

10

- Refuerza la capacidad de las organizaciones para prevenir problemas.

- Genera sentido de participación a todos los niveles.

- Brinda una mayor capacidad para manejar las situaciones de incertidumbre.

- Detecta amenazas y oportunidades que se producen en el entorno y localiza las

fortalezas y debilidades de la organización.

- Produce información estratégica para la toma de decisiones [12].

Metodología de la planificación estratégica

Los pasos que corresponden al contenido de un plan estratégico se pueden observar en

el diagrama de flujo que se observa en la figura 3.

a).- ¿Qué MISION o propósitos de la empresa se deben

adoptar, acorde con los objetivos nacionales?

b).- VISION – IMAGEN DEL FUTURO

¿Qué se quiere y a dónde quiere llegar la empresa?

c).- ¿Qué debilidades y fortalezas existen para cumplir

con la visión? ¿Qué sucede en el entorno empresarial?

¿Qué amenazas y oportunidades se presentan?

(ANALISIS ESTRATÉGICO)

d).- ¿Qué PRIORIDADES ESTRATÉGICAS se

pueden plantear para llevar a cabo la reconversión y de

esta manera cumplir con la visión?

e).- ¿Qué IMPULSOS ESTRATÉGICOS Y LINEAS

DE ACCION se requieren?

f).- ¿De qué PROGRAMA DE ACCIONES se puede

iniciar?

g).- ¿Cómo se deben EVALUAR los logros y avances?

Figura 3.- Metodología de la planificación estratégica [35]

11

a).- Misión o Razón de ser:

El primer paso para elaborar un plan estratégico transformador, es la definición del

concepto o la misión de la entidad, la cual estará estrechamente ligada a la reingeniería

y a la innovación organizacional, este primer paso en este esquema de planeación

estratégica se refiere al que y al para qué [13].

b).- Visión

La visión se genera en el marco de propósitos definidos en la misión y consiste en una

imagen más concisa del futuro al que se desea llegar. La imagen debe ser cumplible, dar

dirección inmediata en el futuro y ayudar a establecer prioridades.

La diferencia principal entre la misión y la visión es que la primera es abstracta mientras

que la segunda es concreta o concisa [14].

c).- Análisis estratégico

Este examen se hace en términos de fortalezas y debilidades, consiste en analizar la

realidad actual que se quiere mejorar o transformar radicalmente en aras de la misión –

propósitos y, en particular de la visión [14].

d).- Prioridades estratégicas

Para concretar o hacer realidad la visión, se deben plantear objetivos tangibles y

alcanzables que se deben cumplir. El plan estratégico sin que se lo divida en objetivos o

prioridades difícilmente se puede llegar a concretar la visión.

Par cumplir con esta actividad se siguen dos pasos:

1- Identificar y seleccionar las áreas más importantes de transformación, mejora o

superación.

2- En el área seleccionada se identifican y seleccionan objetivos concretos que al

cumplirlos hagan conocer con claridad que se está llegando al futuro deseado

[15].

e).- Impulsos estratégicos y líneas de acción

Es determinar de una manera concreta que es lo que se va hacer, se trata de llevar la

visión a un nivel micro, guardando una relación de coherencia y especificación.

12

f).- Programa de acciones

Debe dividirse y establecerse los trabajos o tareas que se van a llevar a cabo de una

manera que permitan hacer realidad la visión, observando y asignando prioridades.

g).- Evaluación

Los principales objetivos de la evaluación y seguimiento orientados a resultados son:

- Asegurar la toma de decisiones en base a la información.

- Apoyar la responsabilidad sustantiva y la toma de posición.

- Fortalecer la capacidad en cada una de las áreas [16].

Estos objetivos están vinculados en un proceso continuo como se observa en la figura 4.

Figura 4.- Proceso continuo de evaluación de la planificación estratégica [16].

2.2.2 Las Tecnología de la información y comunicación (T.I.C)

Las TIC son el conjunto de tecnologías que permiten el acceso, producción, tratamiento

y comunicación de información.

13

Concepto de tecnologías de la información y comunicación (TIC)

Las TIC constituyen un conjunto de aplicaciones, herramientas, sistemas, técnicas y

metodologías asociadas a la digitalización de señales analógicas, textos e imágenes que

se manejan en tiempo real [17].

En términos generales se puede decir que las nuevas tecnologías de la información y

comunicación son las que giran alrededor a tres medios fundamentales: la

microelectrónica, la informática y las telecomunicaciones; pero no giran de manera

aislada si no que se interconectan de manera interactiva lo cual permite conseguir

nuevas realidades comunicativas [18].

Impacto de las TIC en las empresas

El mundo actual y la globalización implican el que los mercados trabajen las 24 horas

del día y las TIC se presentan como una herramienta para responder rápidamente a los

requerimientos del mercado.

El implementar las tecnologías representa inversiones económicas importantes no solo

en su implementación si no en su desarrollo y adopción en las organizaciones. Las TIC

se pueden emplear a lo largo de toda la cadena de suministro y en cualquier función

comercial sin necesidad de centrarse únicamente en un área específica, esto quiere decir

desde la búsqueda de la información en el mercado, el aprovisionamiento de materia

prima, hasta los servicios posventa y pagos.

Se esperaría que una inversión más alta en las TIC se vea reflejada con un mayor

rendimiento de las empresas, aunque no siempre sucede esto. Los primeros aportes de la

tecnología sobre los valores estratégicos en una empresa se dan a conocer en la década

de los 80 los mismos que manifiestan que las tecnologías permiten afianzar la posición

competitiva de las organizaciones que saben obtener frutos de su uso, añadiendo valor a

sus productos y valores internos [19].

Implementar un sistema sofisticado para gestionar la producción que se maneje a la par

con el registro manual del movimiento del stock de insumos por lo general dificulta

muchas funciones o diluya los beneficios del sistema de gestión implementado. Para ser

rentable las TIC debe centrarse en un proyecto de mediano - largo plazo que agrupe

todos los aspectos que hacen competitiva a la empresa.

14

Adopción de TIC’s en Latino América

Las TIC’s contribuirán a corto plazo en Latino América en dos áreas claves como son la

innovación y la creación de valor, paulatinamente se espera que las organizaciones

vayan definiendo áreas o cargos específicos para que se encarguen de alinear los

objetivos del plan estratégico con la ayuda de las TIC’s. Dentro de las funciones

específicas de estos profesionales es alinear los contratos de nivel de servicios, la

reducción del tiempo de retroalimentación en las decisiones de negocio, los mismo que

se verán reflejados en cambios e innovaciones puntuales en las diferentes líneas de

productos y en la disminución del tiempo para lanzar un nuevo modelo de producto o

servicio al mercado. Se espera que estos nuevos modelos sean inmediatamente

compatibles con las nuevas exigencias de los usuarios y clientes para lo cual deben

aplicar la filosofía de “mobile-first”.

La estructura de negocios, la estructura organizacional y la estructura de TIC’s están

tradicionalmente a cargo de las funciones del “director de información” y

progresivamente se irá haciendo cargo de otras áreas de la empresa, teniendo como

responsabilidad la socialización de las TIC’s con los procesos de negocios de toda la

empresa.

A corto plazo se espera que áreas no tecnológicas como ventas, marketing y recursos

humanos incrementen su adquisición de tecnologías de información hasta un 60% y con

este escenario las empresas latinoamericanas continúen con el camino de adopción y

transformación masiva de TIC’s, por ejemplo, migrando a plataformas de 3ra

Generación, las que consideran estructuras fundamentadas en las Nube, la Big Data, la

adopción de tecnologías móviles y de redes sociales [20].

Costos en el proceso de incorporación de las TIC’s en las empresas

La implementación de TIC’s debe tener en cuenta la necesidad de incorporar diferentes

rutinas a la empresa para lo cual se requiere capacitar al personal así como las

inversiones en infraestructura. El avance en la capacitación del personal y la adopción

del equipamiento deben ir de la mano caso contrario el desempeño se esta estrategia

probablemente sea reducido.

Para que la inversión en TIC’s sea rentable se requiere que su incorporación a la

empresa sea un proyecto de mediano-largo plazo que involucre todas las variables que

15

hacen a la empresa competitiva. La implementación de TIC’s no es un factor

determinante en la posición competitiva de la empresa por sí sola, ni puede esperarse

que lo sea, sino que es una potente herramienta cuyo impacto depende del modo y

profundidad con que las TIC’s se enlacen con las distintas rutinas y, a su vez de que

estas rutinas saquen provecho de la tecnología para articularse entre sí.

Los diferentes costos en que debe incurrir una empresa para llevar el proceso de

adopción de las TIC’s, son los costos de infraestructura, costo en capacitación y costos

en el desarrollo de sistema. En la figura 5 se observa que la Etapa 1, es la principal

componente y se refiere a la generación de los registros, la Etapa 2 está asignada al

análisis de la información, mientras que la Etapa 3 representa el trabajo cooperativo.

El reconocimiento de estos tres componentes permite plantear el siguiente ensayo: la

dinámica del proceso bajo estudio está explicada por el protagonismo que tiene cada

uno de estos costos dentro de cada proceso, tramo o etapa [21].

Figura 5: Costos en el proceso de incorporación de las TICs [21].

2.2.3. Planificación estratégica de TI

La planificación estratégica se define como un proceso de evaluación sistémica de la

naturaleza de un negocio, la misma que guarda relación con los objetivos generales de

las empresas y los cambios que se realizan en dichos objetivos, además de establecer los

objetivos a largo plazo, identificar las metas y objetivos cuantitativos, es decir en la

16

planificación estratégica se desarrollan estrategias para lograr los objetivos y localizar

los recursos para efectuar dichas estrategias, definiendo un periodo de tiempo concreto

[22]

Así también la planificación estratégica se puede definir como:

El el arte y ciencia de formular, implantar y evaluar decisiones interfuncionales

que permitan a la organización llevar a cabo sus objetivos. (…)Después de lo

anterior expuesto, la planeación estratégica requiere que las personas encargadas

de tomar las decisiones en una empresa tengan claro qué clase de estrategias van

a utilizar y cómo las van a adecuar a las distintas alternativas que se van a

presentar en la medida en que van creciendo o posicionándose en el mercado

[23].

Características de la planeación estratégica de TI

La planificación estratégica ayuda a las organizaciones a [24]:

El establecimiento de las prioridades y jerarquización de los objetivos.

Concentración de las energías para el logro de los objetivos

Proporcionar mayor objetividad superando los tópicos comunes y falsos

provenientes de una autoestima positiva como negativa.

Creación de una cultura estratégica común

Facilidad para conseguir más recursos, tanto públicos como privados.

Proceso de la planificación estratégica de TI

La planificación estratégica se realiza en las siguientes etapas [25]:

Etapa 1: Revisión de la Misión, Visión y Valores

En esta etapa se revisan la misión, visión, y valores establecidos por la institución,

debido a que es importante tener claros los conceptos, pues toda actividad de la

organización tendrá su origen en una definición clara de los mismos.

Etapa 2: Análisis del entorno

Contempla un análisis de del entorno general de la organización, teniendo en cuenta su

dimensión económica, política, sociocultural, tecnológica, legal, entre otras y otro

17

entorno específico, en donde se realiza un análisis de clientes, proveedores, y

especialmente de la competencia, lo cual permitirá identificar a futuro las oportunidades

y amenazas que tiene la organización.

Etapa 3: Análisis interno

Comprende un diagnóstico de la forma en la que se encuentra funcionando la

organización, para poder identificar las principales fortalezas y las debilidades.

Etapa 4: Análisis DAFO

Una vez que se ha realizado el análisis del entorno externo e interno se identifica las

amenazas, oportunidades así como también las fortalezas y debilidades.

Etapa 5: Alternativas estratégicas

A partir del análisis DAFO se definirá las potenciales alternativas, cuya implementación

contribuirá a la reducción de las amenazas, mejorar las debilidades, potenciar las

fortalezas y desarrollar nuevas oportunidades para el mercado. De esta forma se elegirá

las alternativas estratégicas que cumplan con criterios de importancia, rendimiento,

oportunidad, a las cuales se les llamará Líneas Estratégicas.

2.2.4 COBIT

COBIT (Control Objectives for Information and related Technology) o en español

Objetivos de Control para la Información y tecnologías relacionadas, es un marco de

referencia para la gestión de la TI y el Gobierno de TI. COBIT es un conjunto de

herramientas de soporte que permite a la gerencia de las organizaciones cerrar la grieta

entre los requerimientos de control, problemas técnicos y los riesgos de negocio [26].

COBIT puede ser aplicado a los sistemas de información de toda la empresa,

incluyendo a los computadores personales y las redes. Este se basa en la filosofía de que

los recursos TI requieren ser administrados por un conjunto de procesos agrupados para

proveer la información pertinente y confiable que requiera una organización para el

alcance de los objetivos [27].

18

Criterios de información de COBIT

Para satisfacer los objetivos del negocio, la información debe adaptarse a ciertos

criterios de control, los mismos que son referidos en COBIT como requerimientos de

información del negocio. Estos requerimientos son descritos a continuación [28]:

Efectividad: Obtener la información pertinente a los procesos del negocio de forma

oportuna, correcta, consistente y utilizable

Eficiencia: Se debe proveer información a través de la utilización óptima de los

recursos, es decir se requiere que la información sea generada con el empleo productivo

y económico de los recursos.

Confidencialidad: Se refiere a la protección de la información sensible contra la

divulgación no autorizada a personas o entidades que sean ajenas a los interese

específicos de la organización.

Integridad: Se refiere a lo preciso y completo de la información así como a su validez

de acuerdo con las expectativas del negocio.

Disponibilidad: Hace referencia a la disponibilidad de la información cuando ésta es

solicitada por el proceso de negocio ahora y en futuro.

Cumplimiento: el registro de información debe cumplir las leyes, reglamentos y

acuerdos contractuales a los cuales se encuentra sujeto el proceso de negocios (externos)

y políticas internas.

Confiabilidad: La información que se proporciona debe ser apropiada para que la

gerencia administre la entidad y ejerza sus responsabilidades económicas y de gobierno

de la manera más adecuada posible.

Categorías para los recursos de Tecnologías de Información

COBIT establece cuatro categorías para los recursos de Tecnologías de Información

sobre los cuales se debe enfocar la organización, los cuales se enfocan en el esquema a

continuación:

19

Figura 6 Categorías para los recursos de Tecnologías de Información [29].

Planeación y Organización: Cubre las estrategias y tácticas y se refiere a la

identificación de la forma en que la tecnología de información contribuye de la mejor

forma al logro de los objetivos de la empresa. Así también el alcance de la visión

estratégica requiere ser planeada, comunicada y administrada desde otras perspectivas.

Además deberá establecerse una organización y una infraestructura tecnológica

adecuadas [30].

Adquisición e Implementación: Para ejecutar la estrategia de TI, es importante que las

soluciones de TI sean identificadas, desarrolladas o adquiridas, así como implementadas

e integradas dentro del proceso de la empresa. Así también, este dominio abarca los

cambios y el mantenimiento realizados a sistemas que ya existen, para asegurar que el

ciclo de vida es continuo para esos sistemas [30].

Entrega y Soporte: En este dominio se hace referencia a la entrega o distribución de

los servicios que requieren, que comprende desde las operaciones habituales hasta el

entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las

20

operaciones así como aspectos sobre entrenamiento. Este dominio incluye el

procesamiento de los datos el mismo que se ejecuta por medio de los sistemas de

aplicación, frecuentemente clasificados como controles de aplicación [30].

Monitoreo: Todos los procesos requieren ser evaluados de manera regular a través del

tiempo para verificar su calidad y suficiencia con respecto a los requerimientos de

control. Este dominio además advierte a la Administración acerca de la necesidad de

asegurar procesos de control independientes, los mismos que son proporcionados por

auditorías internas y externas u alcanzadas de fuentes alternativas [30].

COBIT 4.1

COBIT se ha constituido en el estándar más reconocido por la industria de TI para

implementar un adecuado Gobierno de TI, la versión 4.1 publicada en 2007. Se

encuentra conformado por 34 Objetivos de Control de alto nivel, los cuales se

encuentran diseñados para cada uno de los procesos de TI, mismos que están agrupados

en cuatro grandes secciones que son conocidas como dominios, estos son similares a las

áreas tradicionales de TI que son: planear, construir, ejecutar y monitorear [26].

Cada proceso se encuentra relacionado de manera primaria o secundaria con algunas de

las áreas de enfoque de gobierno de TI. De los 34 procesos que COBIT 4.1 propone, 12

tienen como área de enfoque primaria el alineamiento estratégico con el negocio.

Tabla 1 Marco de trabajo completo de COBIT 4.1

COBIT 4.1

DOMINIO PROCESOS OBJETIVOS DE CONTROL

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO1: Definir un Plan

Estratégico de TI

PO1.1- Administración del Valor de TI

PO1.2- Alineación de TI con el Negocio PO1.3-Evaluación del desempeño y la

capacidad actual PO1.4- Plan estratégico de TI PO1.5- Planes tácticos de TI PO1.6- Administración del Portafolio

PO2: Definir la Arquitectura de

la Información

PO2.1- Modelo de Arquitectura de

Información Empresarial.

PO2.2- Diccionario de datos Empresarial y

reglas PO2.3- Esquema de clasificación de datos PO2.4-Administración de Integridad

PO3: Determinar la Dirección

Tecnológica

PO3.1-Planeación de la dirección

Tecnológica

PO3.2-Plan de Infraestructura Tecnológica

21

PO3.3- Monitoreo de Tendencias y

Regulaciones PO3.4-Estándares tecnológicos PO3.5-Consejos de Arquitectura de TI

PO4: Definir los Procesos,

Organización y Relaciones de TI

PO4.1- Marco de Trabajo de Procesos de TI

PO4.2- Comité Estratégico de TI PO4.3- Ubicación Organizacional de la

Función de TI PO4.4- Ubicación Organizacional PO4.5- Estructura Organizacional PO4.6-Establecimiento de Roles y

Responsabilidades PO4.7- Responsabilidad de Aseguramiento

de Calidad de TI PO4.8- Responsabilidad sobre el Riesgo, la

Seguridad y el Cumplimiento PO4.9- Propiedad de Datos y de Sistemas PO4.10- Supervisión PO4.11-Segregación de Funciones PO4.12-Personal de TI PO4.13- Personal Clave de TI PO4.14- Políticas y Procedimientos para el

Personal Contratado PO4.15- Relaciones

PO5: Administrar la Inversión

en TI

PO5.1- Marco de Trabajo para la

Administración Financiera

PO5.2- Prioridades dentro del Presupuesto

de TI PO5.3- Proceso Presupuestal PO5.4- Administración de Costos de TI PO5.5- Administración de Beneficios

PO6: Comunicar las

Aspiraciones y Dirección de la

Gerencia

PO6.1- Ambiente de políticas y de Control

PO6.2- Riesgo Corporativo y Marco de

Referencia de Control Interno de TI PO6.3-Administración de Políticas para TI PO6.4-Implantación de Políticas de TI PO6.5- Comunicación de los Objetivos y la

Dirección de TI PO7: Administrar Recursos

Humanos de TI

PO7.1- Reclutamiento y Retención del

personal

PO7.2- Competencias del personal PO7.3- Asignación de roles PO7.4- Entrenamiento del personal PO7.5- Dependencia sobre los individuos PO7.6-Procedimiento de Investigación del

Personal PO7.7-Evaluación del Desempeño del

Empleado PO7.8-Cambios y Terminación

PO8: Administrar la Calidad PO8.1- Sistema de Administración de

calidad

PO8.2- Estándares y Prácticas de Calidad PO8.3- Estándares de Desarrollo y

22

Adquisición PO8.4- Enfoque en el Cliente de TI PO8.5- Mejora Continua PO8.6- Medición, Monitoreo y Revisión de

la Calidad PO9: Evaluar y Administrar los

Riesgos TI

PO9.1- Marco de Trabajo de

Administración de Riesgos

PO9.2- Establecimiento del Contexto del

Riesgo PO9.3- Identificación de Eventos PO9.4- Evaluación de Riesgos de TI PO9.5- Respuesta de los Riesgos PO9.6- Mantenimiento y Monitoreo de un

Plan de Acción de Riesgos PO10: Administrar Proyectos PO10.1- Marco de Trabajo para la

Administración de Programas

PO10.2- Marco de Trabajo para la

Administración de Proyectos PO10.3- Enfoque de la Administración de

Proyectos PO10.4- Compromiso de los interesados PO10.5- Declaración del Alcance del

Proyecto PO10.6- Inicio de las Fases del Proyecto PO10.7- Plan Integrado del Proyecto PO10.8- Recursos del proyecto PO10.9- Administración de Riesgos del

Proyecto PO10.10- Plan de Calidad del Proyecto PO10.11- Control de Cambios del Proyecto PO10.12- Planeación del Proyecto y

Métodos de Aseguramiento PO10.13- Medición de Desempeño, Reporte

y Monitoreo del Proyecto PO10.14- Cierre del Proyecto

COBIT 4.1

DOMINIO PROCESOS OBJETIVOS DE CONTROL

AD

QU

IRIR

E

IMP

LE

ME

NT

AR

AI1- Identificar soluciones

automatizadas

AI1.1- Definición y Mantenimiento de los

Requerimientos Técnicos y Funcionales del

Negocio

AI1.2- Reporte de Análisis de riesgos AI1.3- Estudio de Factibilidad y Formulación

de Cursos de Acción Alternativos AI1.4- Requerimientos, Decisiones de

Factibilidad y Aprobación AI2-Adquirir y mantener

software aplicativo

AI2.1- Diseño de Alto Nivel

AI2.2- Diseño Detallado AI2.3- Control y Posibilidad de Auditar las

Aplicaciones AI2.4- Seguridad y Disponibilidad de las

Aplicaciones AI2.5-Configuración e Implementación de

23

Software Aplicativo Adquirido AI2.6- Actualizaciones importantes en sistemas

existentes AI2.7- Desarrollo de Software Aplicativo AI2.8- Aseguramiento de la Calidad del

Software AI2.9- Administración de los Requerimientos

de Aplicaciones AI2.10- Mantenimiento de Software Aplicativo

AI3-Adquirir y mantener

infraestructura tecnológica

AI3.1- Plan de Adquisición de infraestructura

tecnológica

AI3.2- Protección y Disponibilidad del Recurso

de Infraestructura AI3.3- Mantenimiento de la Infraestructura AI3.4- Ambiente de prueba de factibilidad

AI4-Facilitar la operación y el

uso

AI4.1-Plan para soluciones de operación

AI4.2- Transferencia de Conocimiento a la

Gerencia del negocio AI4.3- Transferencia de Conocimiento a

usuarios finales AI4.4- Transferencia de Conocimiento al

personal de Operaciones y Soporte AI5-Adquirir recursos de TI AI5.1- Control de Adquisición

AI5.2- Administración de Contratos con

Proveedores AI5.3- Selección de proveedores AI5.4- Adquisición de Recursos de TI

AI6-Administrar cambios AI6.1- Estándares y procedimientos para

cambios

AI6.2- Evaluación de impacto, priorización y

autorización AI6.3- Cambios de Emergencia AI6.4- Seguimiento y reporte del estatus de

cambio AI6.5- Cierre de documentación del cambio

AI7-Instalar y acreditar

soluciones y cambios

AI7.1- Entrenamiento

AI7.2- Plan de Prueba AI7.3- Plan de implantación AI7.4- Ambiente de prueba AI7.5- Conversión de sistemas y datos AI7.6- Pruebas de cambios AI7.7- Pruebas de Aceptación final AI7.8-Promoción de producción AI7.9- Revisión Posterior a la Implantación

COBIT 4.1

DOMINIO PROCESOS OBJETIVOS DE CONTROL

EN

TR

E

GA

R Y

DA

R

SO

PO

R

TE

DS1- Definir y administrar los

niveles de servicios

DS1.1- Marco de Trabajo de la

administración de los niveles de servicio

DS1.2- Definición de servicios DS1.3- Acuerdos de niveles de servicios DS1.4- Acuerdo de niveles de operación DS1.5- Monitoreo y reporte del

24

cumplimiento de los niveles de servicio DS1.6- Revisión de los acuerdos de niveles

de servicio y de los contratos DS2-Administrar los servicios de

terceros

DS2.1- Identificación de todas las

relaciones con proveedores

DS2.2- Gestión de Relaciones con

proveedores DS2.3- Administración de Riesgos del

proveedor DS2.4- Monitoreo del desempeño del

proveedor DS3-Administrar el desempleo y

la capacidad

DS3.1- Planeación del desempeño y la

capacidad

DS3.2- Capacidad y desempeño actual DS3.3- Capacidad y desempeño futuros DS3.4- Disponibilidad de recursos de TI DS3.5- Monitoreo y reporte

DS4-Garantizar la continuidad del

servicio

DS4.1- Marco de Trabajo de Continuidad

de TI

DS4.2- Planes de continuidad de TI DS4.3- Recursos críticos de TI DS4.4- Mantenimiento del Plan de

Continuidad de TI DS4.5- Pruebas del Plan de Continuidad de

TI DS4.6- Entrenamiento del Plan de

Continuidad de TI DS4.7- Distribución del Plan de

Continuidad de TI DS4.8- Recuperación y reanudación de los

servicios de TI DS4.9- Almacenamiento de Respaldos fuera

de las instalaciones DS4.10- Revisión Post Reanudación

DS5-Garantizar la seguridad de

los sistemas

DS5.1- Administración de la Seguridad de

TI

DS5.2- Plan de Seguridad de TI DS5.3- Administración de Identidad DS5.4- Administración de cuentas del

usuario DS5.5- Pruebas, vigilancia y monitoreo de

la seguridad DS5.6- Definición de incidentes de

seguridad DS5.7- Protección de la Tecnología de

seguridad DS5.8- Administración de llaves

criptográficas DS5.9- Prevención, detección y corrección

de software malicioso DS5.10- Seguridad de la red DS5.11- Intercambio de datos sensitivos

DS6-Identificar y asignar costos DS6.1- Definición de servicios

25

DS6.2- Contabilización de TI DS6.3- Modelación de Costos y cargos DS6.4- Mantenimiento del modelo de

costos DS7-Educar y entrenar a usuarios

DS7.1- Identificación de necesidades de

entrenamiento y educación

DS7.2- Impartición de entrenamiento y

educación DS7.3- Evaluación de entrenamiento

recibido DS8-Administrar la mesa de

servicios y los incidentes

DS8.1- Mesa de servicios

DS8.2- Registro de consultas de clientes DS8.3- Escalamiento de incidentes DS8.4- Cierre de incidentes DS8.5- Análisis de tendencias

DS9-Administrar la configuración DS9.1- Repositorio y línea base de

configuración

DS9.2- Identificación y mantenimiento de

elementos de configuración DS9.3- Revisión de integridad de la

configuración DS10-Administrar los problemas DS10.1- Identificación y clasificación de

problemas

DS10.2- Rastreo y resolución de problemas DS10.3- Cierre de problemas DS10.4- Integración de las admisiones de

cambios, configuración y problemas DS11-Administrar los datos DS11.1- Requerimientos del negocio para

administración de datos

DS11.2- Acuerdos de almacenamiento y

conservación DS11.3- Sistema de administración de

librerías de medios DS11.4- Eliminación DS11.5- Respaldo y restauración DS11.6- Requerimientos de Seguridad para

la Administración de Datos DS12-Administrar el ambiente

físico

DS12.1- Selección y diseño del centro de

datos

DS12.2- Medidas de seguridad física DS12.3-Acceso físico DS12.4- Protección contra factores

ambientales DS12.5- Administración de instalaciones

físicas DS13-Administrar las operaciones DS13.1- Procedimientos e instrucciones de

operación

DS13.2- Programación de tareas DS13.3- Monitoreo de la Infraestructura de

TI DS13.4- Documentos sensitivos y

dispositivos de salida DS13.5- Mantenimiento preventivo de

26

hardware

COBIT 4.1

DOMINIO PROCESOS OBJETIVOS DE CONTROL

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1- Monitorear y Evaluar el

Desempeño de TI

ME1.1- Enfoque del monitoreo ME1.2- Definición y recolección de datos

de monitoreo ME1.3- Método de monitoreo ME1.4- Evaluación del desempeño ME1.5- Reportes al Consejo Directivo y a

Ejecutivo ME1.6- Acciones correctivas

ME2-Monitorear ME2.1- Monitorización del Marco de

Trabajo de control interno

ME2.2- Revisiones de auditoría ME2.3- Excepciones de control ME2.4- Control de auto evaluación

ME2.5- Aseguramiento del Control Interno ME2.6- Control Interno para terceros ME2.7- Acciones correctivas

ME3-Administrar el desempleo y

la capacidad

ME3.1- Identificar los Requerimientos de

las leyes, regulaciones y cumplimientos

contractuales ME3.2- Optimizar la respuesta a

requerimientos externos ME3.3- Evaluación del cumplimiento con

requerimientos externos ME3.4-Aseguramiento positivo del

cumplimiento ME3.5- Reportes integrados

ME4-Garantizar la continuidad

del servicio

ME4.1- Establecimiento de un marco de

gobierno de TI

ME4.2- Alineación estratégico ME4.3- Entrega de valor ME4.4- Administración de recursos ME4.5- Administración de riesgos ME4.6- Medición de desempeño ME4.7- Aseguramiento independiente

Fuente: [31]

Con esto se obtendrá de forma oportuna la detección de problemas a través de la

medición del desempeño, se garantiza que los controles internos sean efectivos y

eficientes, l vinculación del desempeño de TI con las metas del negocio así como la

medición y reporte de riesgos, así también del control, cumplimiento y desempeño [26].

Otro concepto considerado clave dentro de COBIT, se relaciona con la determinación y

la mejora sistemática de la madurez del proceso, el mismo que tiene 6 niveles (0 al 5)

para medir el nivel de madurez de los procesos de TI [26]:

27

0 No existente: hay una compleja falta de cualquier proceso de gobierno de TI

identificable. La empresa no ha reconocido aún que hay aspectos que necesitan ser

identificados y resaltados y no hay comunicación al respecto.

1 Inicial: Existe evidencia de que la organización ha reconocido la existencia de

aspectos del gobierno de TI que deben ser considerados. Los procesos son ad-hoc y

desorganizados. El monitoreo de TI ha sido implementado de forma reactiva a

incidentes lo cual ha causado pérdidas y problemas a la organización.

2 Repetible: existe conciencia global sobre los aspectos del gobierno de TI. Las

actividades del gobierno de TI y los indicadores de desempeño se encuentran en

desarrollo, incluyendo la planeación de TI y los procesos de entrega y monitoreo. Los

procesos siguen un patrón regular.

3 Definido: La necesidad de actuar en relación al gobierno de TI se encuentra

entendida y aceptada. Los procesos han sido estandarizados, documentados e

implementados.

4 Administrado: existe un completo entendimiento de los aspectos de Gobierno de TI

a todos los niveles de la organización, el mismo que está soportado por un

entrenamiento formal. Es posible monitorear y medir el cumplimiento de los

procedimientos, empezar acciones correctoras si es preciso y los procesos se encuentran

en constante mejoramiento.

5 Optimizado: los procesos han sido refinados hasta un nivel de la mejor práctica, los

mismos que están basados en los resultados de mejoramiento continuo y diseño de la

madurez con otras organizaciones. Las buenas prácticas se siguen y se automatizan.

28

CAPÍTULO III

METODOLOGÍA

3.1 Modalidad de Investigación

Para la elaboración del presente trabajo se utilizarán varias modalidades tales como:

3.1.1. Modalidad Bibliográfica y Documental:

La presente investigación tuvo una modalidad bibliográfica y documental debido a que

se recopiló información de sitios web como principal recurso en el desarrollo del tema.

Además de consultar diferentes fuentes como: documentos, tesis, disertaciones, revistas,

artículos científicos, entre otros, que permitió desarrollar el proceso de investigación de

manera satisfactoria.

3.1.2. Modalidad de Campo

La investigación tuvo una modalidad de campo debido a la necesidad de acudir

directamente a Importadora Alvarado para estar en contacto con la realidad en el lugar

de los hechos y recolectar información necesaria que permita determinar la situación

actual de la misma, por lo tanto se requirió la aplicación de una encuesta por parte del

investigador, hacia los miembros de TI de la empresa.

3.2 Población y Muestra

La presente investigación tuvo como población a los nueve miembros de TI de

Importadora Alvarado. Debido a que es un número manejable de personas no se requirió

realizar el cálculo de la muestra.

3.3 Recolección de Información

Los instrumentos que se emplearon para la recolección de información fue la encuesta

(Anexo 2) y levantamiento de información al personal del departamento de sistemas de

Importadora Alvarado para conocer la situación actual del problema y de esa forma

plantear una solución precisa, acorde a los requerimientos del lugar.

29

Personal de departamento de sistemas

Jefe de Aplicativos: 1

Jefe de Infraestructura: 1

Analistas de aplicativos: 4

Analistas de infraestructura: 3

3.4 Procesamiento y Análisis de Datos

Una vez aplicada la encuesta a los miembros de TI de Importadora Alvarado para

conocer la situación actual de los procesos de TI que se manejan se seleccionó la

información válida que ayude a la consecución de los objetivos del proyecto. La

información fue procesada por medio de tablas y gráficos estadísticos realizados en el

programa Microsoft Excel que permitieron representar de forma sencilla los resultados

obtenidos y de esa forma ayudar a la comprensión adecuada de los mismos. Dichos

resultados son los que se presentan a continuación:

1.- ¿Tiene definido un plan estratégico de TI y este se encuentra alineada con las

necesidades de la empresa?

Tabla 2 Plan estratégico alineado con las necesidades de la empresa

Opciones Frecuencia Porcentaje

Si 7 78%

Parcialmente 2 22%

No 0 0%

Total 9 100% Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 7 Plan estratégico alineado con las necesidades de la empresa

Fuente: Encuesta

Elaborado por: Curay Mayra

78%

22%

0%

Plan estratégico alineada a las necesidades de la empresa?

Si

Parcialmente

No

30

Análisis e Interpretación

De la totalidad de los miembros de la TI de Importadora Alvarado, el 78% manifiesta

que si tienen definido un plan estratégico que está alineada a las necesidades de la

empresa, mientras que el 22% expresa que no está de acuerdo que el plan estratégico

está alineado a las necesidades.

Con lo expuesto se determina que Importadora Alvarado cuenta con un plan estratégico

de Tecnologías de la Información que se encuentra acorde a los requerimientos de la

empresa, sin embargo es necesario adaptarla a los objetivos empresariales de la misma.

2.- ¿Tiene definida su arquitectura de la información?

Tabla 3 Definición de arquitectura de información

Opciones Frecuencia Porcentaje

Si 8 89%

Parcialmente 0 0%

No 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 8 Definición de arquitectura de información

Fuente: Encuesta

Elaborado por: Curay Mayra

89%

0%

11%

Tiene definida su arquitectura de la

información?

Si

Parcialmente

No

31

Análisis e Interpretación

El 89% de los miembros del departamento de TI de Importadora Alvarado encuestados

indica que la empresa si tiene definida su arquitectura de información, mientras que el

11% manifiesta que no la tiene.

Acorde a lo expuesto se expresa que Importadora Alvarado si ha definido su

arquitectura de información, la cual facilita el acceso a la misma para ser aprovechada

de la mejor manera por parte de los usuarios, pero a pesar de ello, con la

implementación de un nuevo plan estratégico se podrá llevar la información de forma

más ordena para mejorar los procesos.

3.- ¿Tiene definido un marco de trabajo de procesos para TI?

Tabla 4 Pregunta 3

Opciones Frecuencia Porcentaje

Si 7 78%

Parcialmente 2 22%

No 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 9 Pregunta 3 Fuente: Encuesta

Elaborado por: Curay Mayra

78%

22%

0%

Tiene definido un marco de trabajo de

procesos para TI?

Si

Parcialmente

No

32

Análisis e Interpretación

Según la encuesta realizada, el 78% manifiesta que en Importadora Alvarado si tiene

definido un marco de trabajo de procesos para TI, mientras que el 22% indica que no lo

tiene definido.

De acuerdo a los resultados se evidencia que el área de sistemas de Importadora

Alvarado si ha definido un marco de trabajo de procesos para TI, pero es importante

mejorarlo para que los métodos se realicen de manera rápida.

4.- ¿El presupuesto que se invierte para los procesos y operaciones de TI es el

óptimo?

Tabla 5 Procesos y operaciones de TI

Opciones Frecuencia Porcentaje

Si 4 44%

Parcialmente 2 22%

No 3 33%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 10 Pregunta 4

Fuente: Encuesta

Elaborado por: Curay Mayra

45%

22%

33%

El presupuesto que se invierte para los

procesos y operaciones de TI es la óptima?

Si

Parcialmente

No

33

Análisis e Interpretación

De acuerdo a la encuesta, el 45% del departamento de TI están de acuerdo que el

presupuesto que se invierte para los procesos y operaciones de TI es óptimo, mientras

que un 33% expresa que es parcialmente óptimo y un 22% consideran que el

presupuesto invertido no es óptimo.

Con los datos obtenidos se afirma que el presupuesto que invierte Importadora Alvarado

para los procesos y operaciones de las Tecnologías de Información es el adecuado, sin

embargo es importante llevar un plan estratégico con parámetros establecidos que

permitan llevar el gasto de TI sin excesos y bajo control.

5.- ¿Tiene implementado políticas de TI?

Tabla 6 Implementación de políticas de TI

Frecuencia Porcentaje

Si 8 89%

Parcialmente 1 11%

No 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 11 Implementación de políticas de TI

Fuente: Encuesta

Elaborado por: Curay Mayra

89%

11%

0%

Tiene implementado políticas de TI?

Si

Parcialmente

No

34

Análisis e Interpretación

De la totalidad del personal encuestado de Importadora Alvarado, el 89% manifiesta

que la empresa si ha implementado políticas de TI, mientras que el 11% establece que

las ha implementado parcialmente.

De acuerdo a este contexto, la mayoría de encuestados manifiesta que la empresa si

cuenta con políticas de TI, las cuales se constituyen en una herramienta que sirve para

garantizar el buen funcionamiento de los procesos, contribuir con su eficiencia ,

garantizar la calidad en la gestión y principalmente asegurar la seguridad de las

informaciones.

6.¿Con que frecuencia son renovadas las políticas de TI?

Tabla 7 Frecuencia de renovación de las políticas de TI

Opciones Frecuencia Porcentaje

Frecuentemente 2 22%

A veces 6 67%

Casi nunca 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 12 Frecuencia de renovación de las políticas de TI

Fuente: Encuesta

Elaborado por: Curay Mayra

22%

67%

11%

Con que frecuencia son renovadas dichas

políticas de TI?

Frecuentemente

A veces

Casi nunca

35

Análisis e Interpretación

El 67% del personal de Importadora Alvarado encuestado indican que las políticas de TI

son renovadas con poca frecuencia, el 22% establece que se renuevan frecuentemente,

mientras que el 11% asevera que casi nunca se renuevan dichas políticas de TI.

Por lo expuesto se establece que las políticas de la TI de Importadora Alvarado son

renovadas con poca frecuencia, motivo por el cual es importante establecer directrices

que promuevan instaurar lineamientos para promover el uso adecuado de los recursos

humanos, materiales y activos tecnológicos.

6.- ¿El personal de TI es capacitado continuamente?

Tabla 8 Capacitación continua del personal de TI

Opciones Frecuencia Porcentaje

Si 1 11%

Parcialmente 6 67%

No 2 22%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 13 Capacitación continua del personal de TI

Fuente: Encuesta

Elaborado por: Curay Mayra

11%

67%

22%

El personal se TI es capacitado

continuamente?

Si

Parcialmente

No

36

Análisis e Interpretación

El 67% del personal encuestado del área de TI establece que se les capacita

parcialmente, el 22% expresa que no tiene capacitación continua y solo un 11% del

personal informa que si es capacitado continuamente.

Por lo expuesto se determina que el personal del área de TI de Importadora Alvarado es

capacitado parcialmente, motivo por el cual se considera importante desarrollar un plan

de capacitación continua dentro del plan estratégico de la empresa.

7.- ¿Los proyectos que se están desarrollando actualmente se encuentran dentro

del plan Organizacional de la empresa?

Tabla 9 Los proyectos desarrollados se encuentran dentro del plan Organizacional

Opciones Frecuencia Porcentaje

Si 8 89%

Parcialmente 1 11%

No 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 14 Los proyectos desarrollados se encuentran dentro del plan Organizacional

Fuente: Encuesta

Elaborado por: Curay Mayra

89%

11%

0%

Los proyectos se encuentran dentro del

plan organizacional?

Si Parcialmente No

37

Análisis e Interpretación

De acuerdo a los encuestados, el 89% indica que los proyectos que se están

desarrollando actualmente en Importadora Alvarado se encuentran dentro del plan

organizacional, mientras que el 11% expresa que los proyectos están parcialmente

dentro del plan organizacional.

Por lo expuesto se establece que la mayoría concuerda en que los proyectos que se

desarrollan en Importadora Alvarado están acorde al plan organizacional de la empresa,

es decir han sido planificados previamente para obtener mejores resultados y mayor

organización.

8.- Previo a la adquisición o ejecución de una solución automatizada, ¿Se realiza

un estudio de factibilidad?

Tabla 10 Realización de estudios de factibilidad

Opciones Frecuencia Porcentaje

Si 6 67%

Parcialmente 3 33%

No 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 15 Realización de estudios de factibilidad

Fuente: Encuesta

Elaborado por: Curay Mayra

67%

33%

0%

Se realiza estudio de factibilidad?

Si Parcialmente No

38

Análisis e Interpretación

El 67% del personal encuestado de Importadora Alvarado considera que si se realiza un

estudio de factibilidad previo a la adquisición o ejecución de una solución automatizada,

mientras que el 33% expresa que se realiza un estudio de factibilidad en forma parcial.

De acuerdo a lo expuesto se establece que en Importadora Alvarado se realizan estudios

de factibilidad antes de implementar o ejecutar una solución automatizada para mejorar

continuamente.

9.- ¿Con que frecuencia se realizan cambios de emergencia en la infraestructura de

TI, aplicaciones y soluciones técnicas?

Tabla 11 Frecuencia de cambios de emergencia en la infraestructura de TI

Opciones Frecuencia Porcentaje

Mucha Frecuencia 2 22%

A veces 7 78%

Poca Frecuencia 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 16 Frecuencia de cambios de emergencia en la infraestructura de TI

Fuente: Encuesta

Elaborado por: Curay Mayra

22%

78%

0%

Se realiza cambios de emergencia en la

infraestructura de TI,aplicaciones y soluciones

técnicas?

Mucha Frecuencia

ParcialmenteFrecuente

Poca Frecuencia

39

Análisis e Interpretación

De acuerdo al personal de TI encuestados, 78% informa que los cambios de emergencia

en la infraestructura de TI, apps y soluciones técnicas se los realiza a veces, mientras

que un 22% del personal dice que se los realiza con mucha frecuencia.

Por lo expuesto se determina que los cambios de emergencia en la infraestructura de TI,

aplicaciones y soluciones técnicas se los realiza a veces, motivo por el cual se evidencia

la necesidad de un plan estratégico acorde a los requerimientos institucionales y a las

necesidades tecnológicas.

10.- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se

completa. ¿En la empresa se establecen metodologías de prueba para garantizar la

aceptación del producto por parte del cliente interno previo a su liberación?

Tabla 12 Metodologías de prueba para garantizar la aceptación del producto

Opciones Frecuencia Frecuencia

Si 9 100%

Parcialmente 0 0%

No 0 0%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 17 Metodologías de prueba para garantizar la aceptación del producto

Fuente: Encuesta

Elaborado por: Curay Mayra

100%

0% 0%

En la empresa se establecen metodologías de

prueba?

Si

Parcialmente

No

40

Análisis e Interpretación

El 100% de los miembros del área de TI de Importadora Alvarado informa que la

empresa establece metodologías de prueba para garantizar la aceptación del producto

por parte del cliente interno previo a su liberación.

Con los resultados se define que una vez que se completa el desarrollo de los nuevos

sistemas en Importadora Alvarado se sigue un procedimiento previo para garantizar su

correcto funcionamiento.

11.- ¿La gerencia se encarga de realizar la evaluación formal y la aprobación de los

resultados de prueba?

Tabla 13 Gerencia encarga de realizar la evaluación formal de los resultados de prueba

Opciones Frecuencia Porcentaje

Si 4 44%

Parcialmente 4 44%

No 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 18 Gerencia encarga de realizar la evaluación formal de los resultados de prueba

Fuente: Encuesta

Elaborado por: Curay Mayra

45%

44%

11%

La gerencia realiza la evaluación y aprobación

de los resultados de prueba?

Si

Parcialmente

No

41

Análisis e Interpretación

De acuerdo a los encuestados, el 45% indica que la gerencia si se encarga de la

evaluación y aprobación de los resultados de prueba, el 44% expresa que parcialmente

la gerencia se encarga de las evaluaciones, mientras que el 11% menciona que la

gerencia no es la encargada de las evaluaciones.

De acuerdo a los resultados expuestos se determina que la gerencia si se involucra en la

evaluación y aprobación de productos, ya sea de forma total o parcial para de esa

manera garantizar la excelencia de los mismos.

12.- ¿El nivel de seguridad para salvaguardar la información contra el uso,

revelación o modificación no autorizada, deterioro o pérdida es el adecuado?

Tabla 14 Nivel de seguridad para salvaguardar la información

Opciones Frecuencia Porcentaje

Si 3 33%

Parcialmente 4 44%

No 2 22%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 19 Nivel de seguridad para salvaguardar la información

Fuente: Encuesta

Elaborado por: Curay Mayra

33%

45%

22%

El nivel de seguridad para salvaguardar la

información es el adecuado?

Si

Parcialmente

No

42

Análisis e Interpretación

De acuerdo a los datos obtenidos, el 45% de los encuestados del área de TI de

Importadora Alvarado consideran que el nivel de seguridad para salvaguardar la

información es parcialmente adecuado, mientras que un 33% del personal considera que

el nivel de seguridad es adecuado, y el 22% considera que no es adecuado.

Por lo expuesto se determina que el nivel de seguridad para salvaguardar la información

contra el uso, revelación o modificación no autorizada, deterioro o pérdida en

Importadora Alvarado no es completamente confiable, representando un riesgo para la

empresa en cuanto a confidencialidad, además de pérdida de datos relevantes para cada

uno de los procesos.

13.- ¿Los servicios de TI utilizan un sistema de contabilidad de costos para

asegurar que los costos sean registrados, calculados y asignados al nivel requerido

de detalle?

Tabla 15 Los servicios de TI utilizan un sistema de contabilidad de costos

Opciones Frecuencia Porcentaje

Si 6 67%

Parcialmente 2 22%

No 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 20 Los servicios de TI utilizan un sistema de contabilidad de costos

Fuente: Encuesta

Elaborado por: Curay Mayra

67%

22%

11%

Los servicios de TI utilizan un sistema de

contabilidad de costos ?

Si

Parcialmente

No

43

Análisis e Interpretación

De acuerdo a los datos obtenidos, el 67% del personal de área de TI de Importadora

Alvarado indican que si utilizan un sistema de contabilidad de costos, el 22% expresa

que se utiliza el sistema de contabilidad parcialmente, mientras que el 11% menciona

que no se utiliza dicho sistema.

Según la información recopilada se indica que los servicios de TI de Importadora

Alvarado utilizan un sistema de contabilidad de costos para asegurar que los datos sean

registrados, calculados y asignados al nivel requerido de detalle, lo cual representa una

gran ventaja para la empresa para llevar su situación económica actualizada.

14- ¿La empresa cuenta con un repositorio central que contenga toda la

información referente a los elementos de configuración?

Tabla 16 La empresa cuenta con un repositorio central

Opciones Frecuencia Porcentaje

Si 7 78%

Parcialmente 1 11%

No 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 21 La empresa cuenta con un repositorio central

Fuente: Encuesta

Elaborado por: Curay Mayra

78%

11% 11%

Cuenta con repositorio central que contenga

información referente a los elementos de

configuración?

Si

Parcialmente

No

44

Análisis e Interpretación

De acuerdo a los encuestados, el 78% dice que la empresa si cuenta con un repositorio

central que contiene la información de los elementos de configuración, el 11% expresa

que parcialmente cuentan con este repositorio central, mientras que el 11% dice que no

tiene dicho recurso.

De acuerdo a lo expuesto se menciona que Importadora Alvarado posee un repositorio

central con información de los elementos de configuración, lo que representa una base

de datos que contiene detalle relevante de cada elemento.

15.- Proporciona reportes administrativos del desempeño de TI a la alta dirección?

Tabla 17 Proporciona reportes administrativos del desempeño de TI a la alta dirección

Opciones Frecuencia Porcentaje

Si 2 22%

Parcialmente 6 67%

No 1 11%

Total 9 100%

Fuente: Encuesta

Elaborado por: Curay Mayra

Figura 22 Proporciona reportes administrativos del desempeño de TI a la alta dirección

Fuente: Encuesta

Elaborado por: Curay Mayra

22%

67%

11%

Proporciona reportes administrativos del

desempeño de TI a la alta dirección?

Si

Parcialmente

No

45

Análisis e Interpretación

Del total de los encuestados de la Importadora Alvarado, el 67% dice que se

proporciona reportes administrativos del desempeño de TI a la alta dirección de manera

parcial, el 22% menciona que si la proporciona, mientras que el 11% establece que no

se proporciona dichos reportes administrativos.

Por este motivo se determina que la información acerca del desempeño de la TI es

proporcionada de manera parcial a la alta dirección de Importadora Alvarado, motivo

por el cual no se ha podido desarrollar un plan estratégico adecuado para dar solución a

la totalidad de inconvenientes que día a día se presentan en cuanto a la tecnología.

Conclusiones generales

De acuerdo a la información obtenida se manifiesta que Importadora Alvarado cuenta

con un plan estratégico de TI, sin embargo no se encuentra adaptado a las necesidades

de la mismas, pues el sistema organizacional que maneja no garantiza confianza en

cuanto a veracidad de la información, ya que muchos procesos se realizan de manera

manual, por tal motivo el nivel de seguridad para salvaguardar la información no es

seguro, representando un riesgo para la empresa en cuanto a confidencialidad, además

de pérdida de datos relevantes para cada uno de los procesos.

Se denota la necesidad de un plan estratégico bajo los parámetros COBIT, ya que a

pesar de realizar un presupuesto para los procesos y operaciones de TI es importante

definir parámetros que permitan llevar los costos de forma adecuada y sin excesos, pues

el departamento de sistemas de importadora Alvarado no cuenta con políticas y

procedimientos definidos de manera correcta para garantizar el perfecto desempeño de

cada proceso.

De acuerdo a los resultados obtenidos se puede verificar que el personal del área de TI

de Importadora Alvarado no es capacitado constantemente, por lo cual se considera

importante desarrollar un plan de capacitación continua dentro del plan estratégico de la

empresa.

Los cambios en la infraestructura de TI, aplicaciones y soluciones técnicas se realizan

únicamente a veces, bajo un cronograma establecido y no cuando se presenta alguna

46

emergencia debido a que para su implementación se requiere un estudio de factibilidad,

sin embargo la organización debe estar preparada para afrontar eventos inesperados que

pongan en riesgo la consecución de sus objetivos empresariales.

3.5 Desarrollo del Proyecto

Para el desarrollo del proyecto se definieron las actividades a seguir para el

cumplimiento de los objetivos específicos planteados en el proyecto de Investigación y

así obtener como resultado el objetivo general.

1. Analizar la situación actual de la entidad, los cargos y las responsabilidades dentro

del Área de TI de acuerdo a la visión y misión institucional.

Análisis de la situación actual de Importadora Alvarado S.A, los cargos y

responsabilidades dentro del área de TI.

Revisión de la misión y visión de la organización.

Aplicación de encuesta a los miembros del departamento de TI.

Análisis de los resultados obtenidos.

2. Aplicar los procesos de COBIT para evaluar la situación actual del departamento de

TI.

Aplicación de los principios básicos de COBIT.

Identificación de los procesos.

3. Diseñar el plan estratégico para Importadora Alvarado a fin de llevar un mejor

control dentro de la organización.

Recopilación la información en base al resumen de la situación actual de la

organización.

Elaboración de resumen ejecutivo.

Elaboración de plan estratégico.

47

CAPÍTULO IV

DESARROLLO DE LA PROPUESTA

En el diagnóstico que se realiza a Importadora Alvarado se hace énfasis principalmente

en el control que se debe aplicar en los diversos procesos del departamento de sistemas

para realizar un adecuado mantenimiento, distribución y almacenamiento de la

información para alcanzar un grado adecuado de efectividad de los mismos con relación

a lo que el modelo COBIT recomienda.

Para la evaluación del marco de control de las TI se consideró el detalle de los objetivos

de control del manual COBIT 4.1, los mismos que permiten conocer el grado de riesgo

o nivel que la organización posee actualmente y el que está dispuesta a aceptar para

considerar un estándar que le permita llevar un control y seguridad en tecnologías de

información.

4.1. Análisis de la situación actual de la empresa

4.1.1 Breve descripción de la empresa

Importadora Alvarado S.A. se encuentra ubicada en la ciudad de Ambato, tiene una

trayectoria de más de 50 años en el mercado se ha convertido en una de las mayores

importadoras de repuestos automotrices dedicadas a la compra y venta al por mayor y

menor de todo tipo pares, suministros, accesorios para vehículos. Las importaciones que

realiza Importadora Alvarado provienen de diferentes partes del mundo, tales como:

China, Japón, Tailandia, Alemania, EE.UU y Perú, lo cuales son los principales

fabricantes a nivel mundial.

Misión

Ser proveedores de Línea y Servicios Automotrices preferido de mayoristas, minoristas

y público en general, por la disponibilidad de productos, variedad y asesoría del

personal.

48

Visión

Ser el mayor distribuidor de Línea y Servicios Automotrices del Ecuador, con presencia

en la zona Andina, reconocidos por la calidad de su gestión y su equipo humano.

Valores Corporativos

Enfoque de servicio: por su iniciativa se va más allá de lo esperado, para

solucionar los problemas y brindar el mejor servicio al cliente.

Honestidad: Realizar siempre una gestión transparente, respetando las

políticas y las leyes.

Responsabilidad: Llevar siempre a cabo las tareas con cuidado y atención,

reflexionando en las consecuencia que podrían tener.

Trabajo en equipo: Avanzar de la mano para alcanzar objetivos comunes,

con respecto a los demás y poniéndose en sus zapatos.

Historia

Importadora Alvarado Cía. Ltda., inició sus actividades comerciales en Ambato el 5 de

marzo de 1986, en la Av. Cevallos y Unidad Nacional, constituyéndose en la más

grande Importadora de la Sierra Centro del país, la cual ha dado lugar al seguimiento de

otras empresas como: Corpal, Rectima, Accpaa, Vihal, Nikken y Gea, todas estas en la

línea automotriz, además de importadora Alvarado y Depo Hormigón que pertenecen a

la línea de construcción; estas constituyen el grupo Alvarado que impulsan el desarrollo

local y nacional.

Estructura Organizacional

Importadora Alvarado cuenta con una estructura conformada por diversos

departamentos, incluido el departamento de sistemas, que es uno de los principales,

debido a que depende de manera directa de la Gerencia. El departamento se encuentra

conformado por cinco personas; gerente corporativo de sistemas, jefe de aplicativos,

jefe de infraestructura, analista de aplicativos, analista de infraestructura, los cuales

tienen a su cargo tareas específicas. En la figura siguiente, se puede observar el

organigrama posicional del departamento de TI:

49

Figura 23 Organigrama posicional del departamento de TI

Lineamientos Estratégicos

1. Incrementar el volumen de facturación

2. Incrementar la participación en el mercado

3. Incrementar la rentabilidad del negocio

4. Lograr reconocimiento nacional por la gestión empresarial

5. Ganar reconocimiento nacional por la gestión humana

Productos

Carrocerías

Guardachoques

Silvines

Mascarillas

Mantenimiento

Filtros de aire y gasolina

Bandas de distribución

Desgaste

Pastillas

GERENTE

CORPORATIVO

SISTEMAS

Jefe de

Aplicativos

Jefe de

Infraestructura

Analista de

Aplicativos

Analista de

Infraestructura

50

Discos

Reparación

Pistones

Rines

Bombas de aceite

Empaques

4.2. Diseño del modelo de evaluación

Las tecnologías de información juegan un papel muy importante en las organizaciones,

por tal motivo COBIT proporciona un marco de trabajo integral que ayuda a la empresa

a alcanzar sus objetivos, basándose en la implementación de procesos de Gobierno y de

Gestión de TI, alineando los objetivos de TI con los objetivos del negocio, lo cual

genera beneficios a los diferentes interesados en el uso de las TI, midiendo el

desempeño y administrando de forma adecuada los recursos.

De acuerdo a lo planteado, los objetivos de COBIT involucrados dentro de la

investigación son:

• Identificar problemas o desafíos de TI que afectan a las empresas u

organizaciones.

• Definir el gobierno de TI

• Identificar:

• Principios de Gobierno TI

• Responsables del Gobierno de TI

• Manera en que el Gobierno de TI debe resolver problemas de gestión

• Alcance del Gobierno de TI

Para poder determinar los problemas que afectan a la organización se requiere conocer

el estado en el que se encuentran sus sistemas de información, para con ello definir cuál

es el nivel de gestión y control que se requiere para que las Tecnologías de la

Información (TI) aporten valor a la organización. Para realizar dicha evaluación de las

51

capacidades y los procesos tecnológicos COBIT define un modelo de madurez, de tal

forma que se pueda evaluar a sí misma desde un nivel de no existente (0) hasta un nivel

de optimizado (5)

0 Inexistente: No existe información, ni conocimiento acerca del gobierno de TI

1 Inicial/ ad hoc: En el proceso existen tareas que no se definen, pero existe confianza

en la iniciativa

2 Repetible pero intuitivo: el proceso cuenta con personal de calidad y tareas definitivas

3 Definido: Proceso definido e institucionalizado, cuenta con políticas, estándares y

procedimientos establecidos.

4 Gestionable y medible: El proceso tiene estructuras de control completas y análisis del

desempeño.

5 Optimizado: los procesos han sido refinados hasta un nivel de la mejor práctica, los

mismos que están basados en los resultados de mejoramiento continuo y diseño de la

madurez con otras organizaciones.

De acuerdo a estos parámetros se plantea un análisis para conocer el nivel de madurez

en el que se encuentra la organización, pues dicha evaluación brinda información acerca

de los parámetros a tomar en cuenta para el planteamiento del plan estratégico.

Como punto de partida para la valoración de información se aplicó la herramienta

COBIT 4.1 y con los resultados se diseñó una tabla en Excel, teniendo en cuenta los

dominios, procesos, actividades, objetivos de control, detalles del objetivo de control, y

el cuestionario de preguntas por cada objetivo para identificar el cumplimiento de los

procesos del departamento de sistemas.

En los resultados de la evaluación de objetivos como se puede observar en la tabla 18

se tomó en consideración las columnas procesos, actividades del proceso, objetivos de

control y la calificación porcentual del objetivo, en donde se dio un peso ponderado de

acuerdo a la cantidad del objeto, es decir para fácil análisis de los resultados se

determinó una puntuación de 1 y 0, en donde las afirmaciones de cumplimiento son

presentadas por 1 y las negaciones por el 0; y de esta forma la calificación representa el

promedio de la sumatoria de los puntajes de cada pregunta de los objetivo de control

52

expresándolo en porcentaje. A continuación se muestra la tabla con los resultados

recopilados del departamento de sistemas de Importadora Alvarado.

53

Resultados

Tabla 18. Evaluación por objetivos de COBIT 4.1

COBIT

DOMINIO PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL RESP.

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO1 - Definir un Plan

Estratégico de TI.

Relacionar las metas del negocio con las de TI PO1.1 - Administración del Valor de TI 100%

Relacionar las metas del negocio con las de TI. PO1.2 - Alineación de TI con el Negocio. 66,66%

Identificar dependencias críticas y desempeño

actual

PO1.3 - Evaluación del Desempeño y la Capacidad

Actual. 100%

Construir un plan estratégico para TI. PO1.4 - Plan Estratégico de TI. 100%

Construir planes tácticos para TI. PO1.5 - Planes Tácticos de TI. 100%

Analizar portafolios de programas y administrar

portafolios de servicios y proyectos PO1.6 - Administración del Portafolio de TI.

100%

PO2 - Definir la

Arquitectura de la

Información.

Crear y mantener modelo de información

corporativo/empresarial.

PO2.1 - Modelo de Arquitectura de Información

Empresarial 100%

Crear y mantener diccionario de datos

corporativo.

PO2.2 - Diccionario de Datos Empresarial y

Reglas de Sintaxis de Datos. 0%

Establecer y mantener esquema de clasificación

de datos PO2.3 - Esquema de Clasificación de Datos. 100%

Usar el modelo de información, el diccionario

de datos y el esquema de clasificación para

planear los sistemas

PO2.4 - Administración de Integridad. 100%

P03 - Determinar la

Dirección Tecnológica

Crear y mantener un plan de infraestructura

tecnológica. PO3.1 - Planeación de la Dirección Tecnológica. 100%

Publicar estándares tecnológicos PO3.2 - Monitoreo de Tendencias y Regulaciones

Futuras. 0%

Monitorear la evolución tecnológica PO3.3- Estándares Tecnológicos.

100%

54

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO4 - Definir los

Procesos, Organización

y Relaciones de TI

Establecer estructura organizacional de TI,

incluyendo comités y ligas a los interesados y

proveedores.

PO4.1 - Estructura Organizacional. 66,66%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión y segregación de

funciones.

PO4.2 - Establecimiento de Roles y

Responsabilidades. 100%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión y segregación de

funciones.

PO4.3 - Responsabilidad sobre el Riesgo, la Seguridad

y el Cumplimiento. 50%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión PO4.4 - Supervisión. 100%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión y segregación de

funciones.

PO4.5 - Segregación de Funciones. 50%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión y segregación de

funciones.

PO4.6 - Personal Clave de TI. 100%

Establecer e implantar roles y responsabilidades

de TI, incluida la supervisión y segregación de

funciones

PO4.7 - Políticas y Procedimientos para Personal

Contratado

100%

PO5 - Administrar la

inversión en TI

Dar mantenimiento al portafolio de programas

de inversión

PO5.1 - Marco de Trabajo para la Administración

Financiera. 100%

Dar mantenimiento al portafolio de proyectos. PO5.2 Prioridades dentro del Presupuesto de TI. 33,33%

Dar mantenimiento al portafolio de servicios. PO5.3 - Proceso Presupuestal. 100%

Establecer y mantener proceso presupuestal de

TI. PO5.4 - Administración de Costos de TI. 71,42%

Identificar, comunicar y monitorear la

inversión, costo y valor de TI para el negocio. PO5.5 - Administración de Beneficios 0%

55

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO6- Comunicar las

Aspiraciones y la

Dirección de la Gerencia

Elaborar y mantener un ambiente y marco de

control de TI. PO6.1 - Ambiente de Políticas y de Control. 100%

Elaborar y mantener políticas de TI. PO6.2 - Administración de Políticas para TI. 100%

Elaborar y mantener políticas de TI. PO6.3 - Implantación de Políticas de TI. 100%

Comunicar el marco de control y los objetivos y

dirección de TI.

PO6.4 - Comunicación de los Objetivos y la Dirección

de TI. 100%

PO7 -

Administrar los

Recursos Humanos de

TI

Identificar las habilidades de TI, benchmarks

sobre descripciones de puesto, rango de salarios

y desempeño del personal.

PO7.1 - Reclutamiento y Retención del Personal. 100%

Identificar las habilidades de TI, benchmarks

sobre descripciones de puesto, rango de salarios

y desempeño del personal.

PO7.2 - Competencias del Personal. 33,33%

Ejecutar las políticas y procedimientos

relevantes de RH para TI(reclutar, contratar,

investigar, compensar, entrenar

PO7.3 - Entrenamiento del Personal de TI. 0%

Ejecutar las políticas y procedimientos

relevantes de RH para TI

PO7.4 -

Procedimientos de Investigación del Personal. 0%

Ejecutar las políticas y procedimientos

relevantes de RH para TI PO7.5- Evaluación del Desempeño del Empleado. 0%

Ejecutar las políticas y procedimientos

relevantes de RH para TI PO7.6- Cambios y Terminación de Trabajo. 100%

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO8 - Administrar la

Calidad

Definir un sistema de administración de

calidad. PO8.1 - Sistema de Administración de Calidad 0%

Crear y comunicar estándares de calidad a toda

la organización. PO8.2 - Enfoque en el Cliente de TI. 0%

Crear y administrar el plan de calidad para la

mejora continua. PO8.3 - Mejora Continua. 0%

Medir, monitorear y revisar el cumplimiento de

las metas de calidad.

PO8.4 - Medición, Monitoreo y Revisión de la

Calidad. 0%

56

PO9 - Evaluar y

Administrar los Riesgos

de TI

Determinar la alineación de la administración

de riesgos (ej: Evaluar riesgo).

PO9.1 - Marco de Trabajo de Administración de

Riesgos. 0%

Entender los objetivos de negocio estratégicos

relevantes. PO9.2 - Identificación de Eventos 0%

Identificar los objetivos internos de TI y

establecer el contexto del riesgo. . PO9.3 - Evaluación de Riesgos de TI. 0%

Evaluar y seleccionar respuestas a riesgo. PO9.4 - Respuesta a los Riesgos 0%

Priorizar y Planear actividades de control. PO9.5 - Mantenimiento y Monitoreo de un Plan de

Acción de Riesgos. 0%

PL

AN

EA

R Y

OR

GA

NIZ

AR

PO10 - Administrar

proyectos

Definir un marco de administración de

programas/portafolio para inversiones en TI.

PO10.1 - Marco de Trabajo para la Administración de

Programas. 100%

Asegurar la participación y compromiso de los

interesados del proyecto. PO10.2 - Compromiso de los Interesados. 100%

Definir e implementar métodos de

aseguramiento y revisión de proyectos. PO10.3 - Inicio de las Fases del Proyecto. 100%

Definir e implementar métodos de

aseguramiento y revisión de proyectos. PO10.4 - Recursos del Proyecto. 100%

Definir e implementar métodos de

aseguramiento y revisión de proyectos. PO10.5 - Cierre del Proyecto. 67%

AD

QU

IRIR

E IM

PL

EM

EN

TA

R

AI1 - Identificar

soluciones

automatizadas

Definir los requerimientos funcionales y

técnicos del negocio.

AI1.1 - Definición y Mantenimiento de los

Requerimientos Técnicos y Funcionales del Negocio. 100%

Documentar, identificar y analizar el riesgo del

proceso de negocio AI1.2 - Reporte de Análisis de Riesgos. 75%

Evaluar los beneficios de negocio de las

soluciones propuestas.

AI1.3 - Estudio de Factibilidad y Formulación de

Cursos de Acción Alternativos. 100%

Conducir un estudio de factibilidad/evaluación

de impacto con respecto a la implantación de

los requerimientos de negocio propuestos.

AI1.4 - Requerimientos, Decisión de Factibilidad y

Aprobación.

80%

57

AI2 -Adquirir y

mantener software

aplicativo.

Traducir los requerimientos del negocio en

especificaciones de diseño de alto nivel. AI2.1 - Diseño de Alto Nivel. 0%

Preparar diseño detallado y los requerimientos

técnicos del software aplicativo. AI2.2 - Diseño Detallado. 100%

Preparar diseño detallado y los requerimientos

técnicos del software aplicativo.

AI2.3 - Control y Posibilidad de Auditar las

Aplicaciones. 100%

Especificar los controles de aplicación dentro

del diseño.

AI2.4 - Seguridad y Disponibilidad de las

Aplicaciones. 100%

Personalizar e implementar la funcionalidad

automatizada adquirida.

AI2.5 - Configuración e Implantación de Software

Aplicativo Adquirido. 100%

AD

QU

IRIR

E IM

PL

EM

EN

TA

R

AI2 -Adquirir y

mantener software

aplicativo.

Personalizar e implementar la funcionalidad

automatizada adquirida.

AI2.6 - Actualizaciones Importantes en Sistemas

Existentes. 100%

Desarrollar las metodologías y procesos

formales para administrar el proceso de

desarrollo de la aplicación.

AI2.7 - Desarrollo de Software Aplicativo. 100%

Crear un plan de aseguramiento de la calidad

del software para el proyecto. AI2.8 - Aseguramiento de la Calidad del Software. 100%

Dar seguimiento y administrar los

requerimientos de la aplicación.

AI2.9 - Administración de los Requerimientos de

Aplicaciones. 100%

Desarrollar un plan para el mantenimiento de

aplicaciones de software.

AI2.10 - Mantenimiento de Software Aplicativo. 0%

AI3 - Adquirir y

mantener infraestructura

tecnológica.

Negociar la compra y adquirir la infraestructura

requerida con proveedores (aprobados).

AI3.1 - Plan de Adquisición de Infraestructura

Tecnológica. 85,71%

Definir el procedimiento/ proceso de

adquisición.

AI3.2 - Protección y Disponibilidad del Recurso de

Infraestructura. 100%

Definir estrategia y planear el mantenimiento de

infraestructura. AI3.3 - Mantenimiento de la Infraestructura. 100%

Configurar componentes de la infraestructura.

AI3.4 - Ambiente de Prueba de Factibilidad. 100%

58

AD

QU

IRIR

E IM

PL

EM

EN

TA

R

AI4 - Facilitar la

operación y el uso.

Desarrollar estrategias para que la solución sea

operativa. AI4.1 - Plan para Soluciones de Operación. 100%

Desarrollar metodología de transferencia de

conocimiento.

AI4.2 - Transferencia de Conocimiento a la Gerencia

del Negocio.

83,33%

Desarrollar manuales de procedimiento del

usuario final.

AI4.3 - Transferencia de Conocimiento a Usuarios

Finales. 100%

Desarrollar documentación de soporte técnica

para operaciones y personal de soporte.

AI4.4 - Transferencia de Conocimiento al Personal de

Operaciones y Soporte. 100%

AI5 - Adquirir recursos

de TI.

Desarrollar políticas y procedimientos de

adquisición de TI de acuerdo con las políticas

de adquisiciones a nivel corporativo.

AI5.1 - Control de Adquisición. 100%

Establecer/mantener una lista de proveedores

acreditados.

AI5.2 - Administración de Contratos con Proveedores. 100%

Evaluar y seleccionar proveedores a través de

un proceso de solicitud de propuesta (RFP). AI5.3 - Selección de Proveedores. 100%

Desarrollar contratos que protejan los intereses

de la organización. AI5.4 - Adquisición de Recursos de TI. 100%

AD

QU

IRIR

E

IMP

LE

ME

NT

AR

AI6 -Administrar

cambios.

Desarrollar e implementar un proceso para

registrar, evaluar y dar prioridad en forma

consistente a las solicitudes de cambio.

AI6.1 - Estándares y Procedimientos para Cambios. 75%

Evaluar impacto y dar prioridad a cambios en

base a las necesidades del negocio.

AI6.2 - Evaluación de Impacto, Priorización y

Autorización. 100%

Garantizar que cualquier cambio crítico y de

emergencia sigue el proceso aprobado. AI6.3 - Cambios de Emergencia. 100%

Autorizar cambios. AI6.4 - Seguimiento y Reporte del Estatus de Cambio. 0%

Administrar y diseminar la información

relevante referente a cambios.

AI6.5 - Cierre y Documentación del Cambio. 100%

59

AI7 -Instalar y acreditar

soluciones y cambios.

Construir y revisar planes de investigación. AI7.1 - Entrenamiento. 100%

Definir y revisar una estrategia de prueba

(criterio de entrada y salida) y la metodología

de plan de prueba operacional.

AI7.2 - Plan de Prueba. 100%

Construir y mantener un repositorio de

requerimientos de negocio y técnicos y casos de

prueba para sistemas acreditados.

AI7.3 - Plan de Implantación. 100%

AD

QU

IRIR

E IM

PL

EM

EN

TA

R

AI7 -Instalar y acreditar

soluciones y cambios.

Establecer ambiente de prueba y conducir

pruebas de aceptación finales. AI7.4 - Ambiente de Prueba. 100%

Ejecutar la conversación del sistema y las

pruebas de integración en ambiente AI7.5 - Conversión de Sistemas y Datos. 100%

Establecer un ambiente de prueba y conducir

pruebas de aceptación finales. AI7.6 - Pruebas de Cambios. 100%

Establecer ambiente de prueba y conducir

pruebas de aceptación finales. AI7.7 - Prueba de Aceptación Final. 100%

Recomendar la liberación a producción con

base en los criterios de acreditación convenidos. AI7.8 - Promoción a Producción. 100%

Establecer ambiente de prueba y conducir

pruebas de aceptación finales. AI7.9 - Revisión Posterior a la Implantación. 100%

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS1 – Definir y

administrar los niveles

de servicio

Crear un marco de trabajo para los servicios de

TI.

DS1.1 - Marco de Trabajo de la Administración de los

Niveles de Servicio. 100%

Construir un catálogo de servicios de TI. DS1.2 - Definición de Servicios. 100%

Definir los convenios de niveles de servicio

(SLAs) para los servicios críticos de TI. DS1.3 - Acuerdos de Niveles de Servicio. 100%

Definir los convenios de niveles de operación

(OLAs) para soportar las SLAs. DS1.4 - Acuerdos de Niveles de Operación. 100%

Monitorear y reportar el desempeño del servicio

de punta a punta.

DS1.5 - Monitoreo y Reporte del Cumplimento de los

Niveles de Servicio. 100%

Revisar los SLAs y los contratos de apoyo. DS1.6 - Revisión de los Acuerdos de Niveles de

Servicio y de los Contratos. 100%

60

DS2 – Administrar los

servicios de terceros

Identificar y categorizar las relaciones de los

servicios de terceros.

DS2.1 - Identificación de Todas las Relaciones con

Proveedores. 100%

Definir y documentar los procesos de

administración del proveedor. DS2.2 - Gestión de Relaciones con Proveedores. 100%

Establecer políticas y procedimientos de

evaluación y suspensión de proveedores. DS2.3 - Administración de Riesgos del Proveedor. 43%

Identificar, valorar y mitigar los riesgos del

proveedor. DS2.4 - Monitoreo del Desempeño del Proveedor. 100%

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS3 – Administrar el

desempeño y la

capacidad

Establecer un proceso de Planeación para la

revisión del desempeño y la capacidad de los

recursos de TI.

DS3.1 - Planeación del Desempeño y la Capacidad. 63,33%

Revisar el desempeño y la capacidad actual de

los recursos de TI. DS3.2 - Capacidad y Desempeño Actual. 100%

Realizar pronósticos de desempeño y capacidad

de los recursos de TI. DS3.3 - Capacidad y Desempeño Futuros. 25%

Realizar un plan de contingencia respecto a una

falta potencial de disponibilidad de recursos de

TI.

DS3.4 - Disponibilidad de Recursos de TI. 50%

Monitorear y reportar continuamente la

disponibilidad, el desempeño y la capacidad de

los recursos de TI.

DS3.5 - Monitoreo y Reporte. 100%

DS4 – Garantizar la

continuidad del servicio

Desarrollar un marco de trabajo de continuidad

de TI. DS4.1 - Marco de Trabajo de Continuidad de TI. 0%

Desarrollar y mantener planes de continuidad

de TI. DS4.2 - Planes de Continuidad de TI. 0%

Realizar un análisis de impacto al negocio y

valoración de riesgo. DS4.3 - Recursos Críticos de TI. 0%

Identificar y categorizar los recursos de TI con

base a los objetivos de recuperación.

DS4.4 - Mantenimiento del Plan de Continuidad de

TI. 100%

Definir y ejecutar procedimientos de control de

cambios para asegurar que el plan de

continuidad sea vigente.

DS4.5 - Pruebas del Plan de Continuidad de TI. 0%

61

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS5 – Garantizar la

seguridad de los

sistemas

Definir, establecer y operar un proceso de

administración de identidad (cuentas). DS5.1 - Administración de la Seguridad de TI. 100%

Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 100%

Monitorear incidentes de seguridad, reales y

potenciales. DS5.3 - Administración de Identidad. 100%

Revisar y validar periódicamente los privilegios

y derechos de acceso de los usuarios. DS5.4 - Administración de Cuentas del Usuario. 100%

Realizar evaluaciones de vulnerabilidad de

manera regular. DS5.5 - Seguridad de la Red. 100%

Revisar y validar periódicamente los privilegios

y derechos de acceso de los usuarios. DS5.6- Intercambio de Datos Sensitivos. 0%

DS6 – Identificar y

asignar costos

Mapear la infraestructura con los servicios

brindados/procesos de negocio soportados. DS6.1 - Definición de Servicios. 100%

Identificar todos los costos de TI (personas,

tecnología, etc) y mapearlos a los servicios de

TI con bases en costos unitarios.

DS6.2 - Contabilización de TI. 100%

Establecer y mantener un proceso de control de

contabilización de TI y de costos DS6.3 - Modelación de Costos y Cargos. 100%

Establecer y mantener procedimientos y

políticas de facturación DS6.4 - Mantenimiento del Modelo de Costos. 100%

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS7 – Educar y entrenar

a usuarios

Identificar y categorizar las necesidades de

capacitación de los usuarios.

DS7.1 - Identificación de Necesidades de

Entrenamiento y Educación. 100%

Construir un programa de capacitación. DS7.2 - Impartición de Entrenamiento y Educación. 100%

Realizar actividades de capacitación, intrusión y

concienciación. DS7.3 Evaluación del Entrenamiento Recibido. 100%

DS8 - Administrar la

mesa de servicio y los

incidentes

Crear procedimientos de clasificación

(severidad e impacto) y de escalamiento

(funcional y jerárquicos).

DS8.1 - Mesa de Servicios. 100%

Detectar y registrar incidentes/solicitudes de

servicio/solicitudes de información. DS8.2 - Registro de Consultas de Clientes 75%

Resolver, recuperar y cerrar incidentes. DS8.4 - Cierre de Incidentes. 100%

62

DS9 –Administrar la

configuración

Desarrollar procedimientos de planeación de

administración de la configuración DS9.1 - Repositorio y Línea Base de Configuración. 75%

Recopilar información sobre la configuración

inicial y establecer líneas base.

DS9.2 - Identificación y Mantenimiento de Elementos

de Configuración. 100%

Verificar y auditar la información de la

configuración (incluye la detección del software

no autorizado).

DS9.3 - Revisión de Integridad de la Configuración. 0%

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS10 – Administrar los

problemas

Identificar y clasificar problemas. DS10.1 - Identificación y Clasificación de Problemas. 100%

Realizar análisis de causa raíz. DS10.2 - Rastreo y Resolución de Problemas. 0%

Resolver problemas. DS10.3 - Cierre de Problemas. 0%

Emitir recomendaciones para mejorar y crear

una solicitud de cambio relacionada.

DS10.4 - Integración de las Administraciones de

Cambios, Configuración y Problemas. 50%

DS11 – Administrar los

datos

Traducir los requerimientos de almacenamiento

y conservación a procedimientos.

DS11.1 - Requerimientos del Negocio para

Administración de Datos. 100%

Definir, mantener e implementar

procedimientos para administrar librerías de

medios.

DS11.2 - Acuerdos de Almacenamiento y

Conservación. 100%

Respaldar los datos de acuerdo al esquema. DS11.3 - Eliminación. 100%

DS12 – Administrar el

ambiente físico

Definir el nivel requerido de protección física. DS12.1 - Selección y Diseño del Centro de Datos. 100%

Implementar medidas de ambiente físico. DS12.2 - Acceso Físico. 100%

Definir e implementar procesos para

mantenimiento y autorización de acceso físico. DS12.5 - Administración de Instalaciones Físicas. 100%

EN

TR

EG

AR

Y D

AR

SO

PO

RT

E

DS13 – Administrar las

operaciones

Crear/modificar procedimientos de operación

(incluyendo manuales, planes de cambios,

procedimientos de escalamiento, etc).

DS13.1 - Procedimientos e Instrucciones de

Operación. 100%

Programación de cargas de trabajo y de

programas en lote. DS13.2 - Programación de Tareas. 100%

Monitorear la infraestructura y procesar y

resolver problemas. DS13.3 - Monitoreo de la Infraestructura de TI. 50%

Aplicar cambios o arreglos al programa de

infraestructura. DS13.5 - Mantenimiento Preventivo del Hardware. 33%

63

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1 - Monitorear y

Evaluar el Desempeño

de TI.

Establecer el enfoque de monitoreo. ME1.1 - Enfoque del Monitoreo. 50%

Identificar y recolectar objetivos medibles que

apoyen a los objetivos el negocio.

ME1.2 - Definición y Recolección de Datos de

Monitoreo. 40%

Crear cuadro de mandos. ME1.3 - Método de Monitoreo. 0%

Evaluar el desempeño ME1.4 - Evaluación del Desempeño. 0%

Reportar el desempeño. ME1.5 - Reportes al Consejo Directivo y a Ejecutivos. 100%

Identificar y monitorear las medidas de mejora

del desempeño. ME1.6 - Acciones Correctivas. 100%

ME2 Monitorear y

Evaluar el Control

Interno

Monitorear y controlar las actividades de

control interno de TI

ME2.1 - Monitorización del Marco de Trabajo de

Control Interno. 100%

Crear cuadro de mandos. ME2.2 - Revisiones de Auditoría. 100%

Monitorear el proceso para identificar y evaluar

las excepciones de control. ME2.3 - Excepciones de Control. 0%

MO

NIT

OR

EA

R Y

EV

AL

UA

R

Monitorear el proceso de auto evaluación. ME2.4 - Control de Auto Evaluación. 0%

Monitorear el proceso para identificar y evaluar

y remediar las excepciones de control. ME2.5 - Asegura- miento del Control Interno. 0%

Monitorear el proceso para obtener

aseguramiento sobre los controles operados por

terceros.

ME2.6 - Control Interno para Terceros. 0%

Reportar a los interesados clave. ME2.7 - Acciones Correctivas. 100%

ME3 Garantizar el

Cumplimiento

Regulatorio

Evaluar cumplimiento de actividades de TI con

políticas, estándares y procedimientos de TI.

ME3.1 - Optimizar la Respuesta a Requerimientos

Externos. 100%

Crear cuadro de mandos. ME3.2 - Evaluación del Cumplimiento con

Requerimientos Externos. 100%

Brindar retro alimentación para alinear las

políticas, estándares y procedimientos de TI con

los requerimientos de cumplimiento.

ME3.3 - Aseguramiento Positivo del Cumplimiento. 100%

Integrar los reportes de TI sobre los

requerimientos regulatorios con similares

provenientes de otras funciones del negocio.

ME3.4 - Reportes Integrados. 100%

64

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME

4 P

roporcio

nar G

obiern

o d

e TI

Establecer visibilidad y facilitación del consejo

y de los ejecutivos hacia las actividades de TI.

ME4.1 - Establecimiento de un Marco de Gobierno de

TI. 0%

Revisar, avalar, alinear y comunicar el

desempeño de TI ME4.2 - Alineamiento Estratégico. 83,33%

Crear cuadro mandos. ME4.3 - Entrega de Valor 100%

Resolver los hallazgos de las evaluaciones

independientes y garantizar la implantación por

parte de la gerencia de las recomendaciones

acordadas.

ME4.4 - Administración de Recursos. 100%

Generar un reporte de gobierno de TI. ME4.5 - Administración de Riesgos. 33,33%

Revisar, avalar, alinear y comunicar el

desempeño de TI, la estrategia de TI, el manejo

de recursos y riesgos de TI con respecto a la

estrategia empresarial.

ME4.6 - Medición del Desempeño. 50%

Generar un reporte de gobierno de TI. ME4.7 - Aseguramiento Independiente. 100%

65

3.2.1 Evaluación del cumplimiento general

Representa el porcentaje total de cumplimiento e incumplimiento de los dominios de

COBIT 4.1 dentro de Importadora Alvarado, para poder determinar el nivel en el que se

encuentra el mismo. De acuerdo al valor estandarizado para la evaluación general de

COBIT, dominios, procesos y objetivos de control, el porcentaje válido para determinar

el cumplimiento es >= 60%, y el porcentaje <=60% determina el no cumplimiento. En

la tabla 19 y la figura 24 se detallan los valores que se han obtenido una vez aplicado el

instrumento de evaluación.

Tabla 19. Evaluación del cumplimiento a nivel general

EVALUACIÓN DEL CUMPLIMIENTO A NIVEL GENERAL

PROMEDIO CUMPLIMIENTO 73%

PROMEDIO NO CUMPLIMIENTO 27%

Figura 24 Evaluación del cumplimiento del departamento de sistemas a nivel general

Fuente: Encuesta COBIT

Análisis

De acuerdo a los datos obtenidos, se evidencia que el departamento de sistemas de

Importadora Alvarado presenta un porcentaje de cumplimiento de 73% considerándose

como un nivel aceptable, con relación al modelo de madurez COBIT se lo ubica en el

nivel 3 (definido).

PROMEDIO CUMPLIMIENTO

PROMEDIO NO CUMPLIMIENTO

73%

27%

PROMEDIO CUMPLIMIENTO PROMEDIO NO CUMPLIMIENTO

66

Los procesos no cumplidos se relacionan con un 27%, es decir que se requiere poner

mayor énfasis en el entrenamiento del personal de TI, en los procesos de mejora

continua, dar mejor respuesta a los riesgos, establecer un método adecuado de

monitoreo, cerrar los problemas de manera definitiva, entre otros, que permita reducir al

máximo las brechas existentes con lo establecido por COBIT.

3.2.2 Resultado de la evaluación por dominio

Con la aplicación del instrumento de evaluación al departamento de sistemas de

Importadora Alvarado se puede determinar el nivel de cumplimiento de cada uno de los

dominios, los resultados son los que se pueden visualizar en la tabla 20 y la figura 25.

Tabla 20. Evaluación por dominio

EVALUACIÓN POR DOMINIO

DOMINIO NÚMERO PORCENTAJE

PLANEAR 10 62%

ADQUIRIR E IMPLEMENTAR 7 93%

ENTREGAR Y DAR SOPORTE 13 74%

MONITOREAR Y EVALUAR 4 59%

Figura 25 Evaluación por dominio

Fuente: Encuesta COBIT

0% 20% 40% 60% 80% 100%

PLANEAR

ADQUIRIR E IMPLEMENTAR

ENTREGAR Y DAR SOPORTE

MONITOREAR Y EVALUAR

62%

93%

74%

59%

67

Análisis

De acuerdo a los resultados que se han obtenido de la aplicación del instrumento se

verifica un menor cumplimiento en el dominio de Monitoreo y Evaluar, con un

porcentaje de 59%, con lo cual se verifica que el departamento de sistemas no cumple

totalmente con el monitoreo y evaluación del desempeño de Ti, el control interno, el

cumplimiento regulatorio.

4.2.3 Resultado final de la evaluación por proceso

Para la evaluación final de los procesos de cada dominio se toma en consideración los

resultados que se presentan en el Anexo 1, lo cual se representa en la figura 26.

4.2.3.1 Procesos del dominio planear y organizar

Figura 26 Procesos del dominio Planear y Organizar

PO1 - Definir un Plan Estratégico de TI

PO2 - Definir la Arquitectura de la Información

PO3 - Determinar la Dirección Tecnológica

PO4 - Definir los Procesos, Organización y Relacionesde TI

PO5 - Administrar la Inversión en TI

PO6 - Comunicar las Aspiraciones y la Dirección de laGerencia

PO7 - Administrar Recursos Humanos de TI

PO8 - Administrar la Calidad

PO9 - Evaluar y Administrar los Riesgos de TI

PO10 - Administrar Proyectos

97%

80%

70%

79%

65%

100%

40%

0%

0%

94%

68

ANÁLISIS

En relación a los resultados obtenidos, a continuación se detalla los procesos que

presentaron menor cumplimiento del dominio planear y organizar.

Administrar Recursos Humanos de TI, con un 40% se evidencia que el

departamento de Sistema de Importadora Alvarado presenta un nivel no

aceptable en cuanto a la administración del recurso humano, lo que impide una

buena gestión y control de los sistemas informáticos.

Administrar la Calidad, con un 0% implica que el departamento de sistemas de

Importadora Alvarado no efectúa constantemente controles y revisiones internas

y externas de la ejecución y desempeño de los estándares establecidos.

Evaluar y Administrar los Riesgos de TI, con un 0% se establece que no se

evaluada de manera adecuada los riesgos y vulnerabilidades informáticas, lo

cual dificulta el alcance de las metas de la empresa.

4.2.3.2 Resultados del dominio adquirir e implementar

Los resultados obtenidos de la evaluación del dominio Adquirir e implementar son los

que se representan en la figura 27.

69

Figura 27 Resultados del dominio Adquirir e Implementar

ANÁLISIS

De acuerdo a los resultados se puede deducir que el dominio Adquirir e Implementar

presenta un gran nivel de cumplimiento por parte de Importadora Alvarado, lo cual

representa una gran ventaja para planear las liberaciones de nuevos procesos en el

departamento de sistemas, con la identificación y aplicación oportuna de soluciones

automatizadas.

4.2.3.3 Resultados del dominio entregar y dar soporte

El nivel de cumplimiento de los procesos del dominio Entregar y dar soporte son los

que se presentan en la figura 28:

AI1 - Identificar soluciones automatizadas

AI2 - Adquirir y mantener software aplicativo

AI3 - Adquirir y mantener infraestructuratecnológica

AI4 - Facilitar la operación y el uso

AI5 - Adquirir recursos de TI

AI6 - Administrar cambios

AI7 - Instalar y acreditar soluciones y cambios

94%

88%

96%

94%

100%

83%

100%

70

Figura 28 Resultados del dominio Entregar y dar Soporte

ANÁLISIS

Administrar el desempeño y la capacidad, con 50% se evidencia que el

departamento muestra poco interés en establecer y fomentar nuevas medidas de

acción para maximizar el rendimiento de los recursos que se han implementado

con la finalidad de alcanzar el desempeño que espera la empresa.

Garantizar la continuidad del servicio, con 17% como resultado se evidencia

que el departamento de sistemas no planifica acciones para garantizar la

recuperación de los procesos en caso de que existan fallas, es decir no tiene

previsto un plan de contingencia acorde a los requerimientos del lugar que le

permita mantener el servicio disponible en el menor lapso de tiempo.

DS1 - Definir y administrar los niveles de servicio

DS2 - Administrar los servicios de terceros

DS3 - Administrar el desempeño y la capacidad

DS4 - Garantizar la continuidad del servicio

DS5 - Garantizar la seguridad de los sistemas

DS6 - Identificar y asignar costos

DS7 - Educar y entrenar a los usuarios

DS8 - Administrar la mesa de servicio y los

incidentes

DS9 - Administrar la configuración

DS10 - Administrar los problemas

DS11 - Administrar los datos

DS12 - Administrar el ambiente físico

DS13 - Administrar las operaciones

87%

67%

50%

17%

73%

100%

100%

91%

64%

40%

100%

100%

70%

71

Administrar los problemas, con 40% se determina que el departamento de

sistemas no realiza una investigación detallada de las causas que generan

alteraciones en los servicios de TI, y por tal motivo no administra de manera

oportuna las posibles soluciones para evitar que se vuelvan a presentar.

4.2.3.4 Resultados de dominio monitorear y evaluar

La evaluación de los procesos del dominio Monitorear y evaluar son los que se

presentan en la figura 29:

Figura 29 Resultados de dominio monitorear y evaluar

ANÁLISIS

Monitorear y evaluar el desempeño, con 50% se evidencia que el

departamento no tiene una efectiva administración del desempeño de TI, debido

a que no se han establecido indicadores de desempeño relevantes que les

permitan tomar medidas cuando se presentan desviaciones.

Monitorear y evaluar el control interno, con 56% se deduce que el

departamento no ha establecido un programa adecuado de control interno para

TI, factores que no le proporcionan seguridad respecto a las operaciones y el

cumplimiento de las leyes y regulaciones que se deben aplicar.

ME1 - Monitorear y Evaluar el Desempeño

de TI

ME2 - Monitorear y Evaluar el Control

Interno

ME3 - Garantizar el Cumplimiento

Regulatorio

ME4 - Proporcionar Gobierno de TI

50%

56%

100%

66,66%

72

4.2.4 Resultado final de la evaluación por objetivos de control

Para el diagnóstico de los objetivos de control en el departamento de sistemas de

Importadora Alvarado se toma en consideración la evaluación de los mismos cuyo valor

es menor a 60%.

4.2.4.1 Dominio planear y organizar

Este demonio consiste en identificar la forma en que las TI pueden contribuir de manera

efectiva al logro de los objetivos del negocio. Los resultados de la evaluación del dominio se

presentan a continuación.

a) Proceso PO1. Definir un plan estratégico de TI

A continuación se detallan el porcentaje de cumplimiento de los objetivos de control

que comprende el proceso definir un plan estratégico de TI. Los resultados son los que

se pueden visualizar en la figura 30.

Figura 30 Objetivo de control del proceso PO1.Definir un plan estratégico de TI

ANÁLISIS

De acuerdo a la evaluación de los objetivos de control del proceso definir un plan

estratégico de TI se puede observar que todos se encuentran en un promedio aceptable

de cumplimiento dentro de lo establecido por COBIT, lo que representa un gran

ventaja institucional.

PO1.1 - Administración del Valor de TI

PO1.2 - Alineación de TI con el Negocio.

PO1.3 - Evaluación del Desempeño y la

Capacidad Actual.

PO1.4 - Plan Estratégico de TI.

PO1.5 - Planes Tácticos de TI

PO1.6 - Administración del Portafolio de TI.

100%

66,66%

100%

100%

100%

100%

73

b) Procesos P02. Definir la arquitectura de la información

Los resultados de los objetivos de control del proceso son los que se muestran en la

figura 31.

Figura 31. Resultados Procesos P02. Definir la Arquitectura de la Información

ANÁLISIS

De acuerdo a los resultados que se evidencian en la figura se considera que el objetivo

de control diccionario de datos empresariales y reglas de sintaxis de datos presenta un

nulo nivel de cumplimiento; con el 0% se determina que el departamento de sistema de

Importadora Alvarado debe facilitar herramientas que contengan reglas de sintaxis de

los datos de la organización que permitan la comprensión de las interfaces para los

usuarios.

c) Proceso PO3. Determinar la dirección tecnológica

A continuación se detallan los resultados obtenidos de los objetivos estratégicos del

procesos determinar la dirección tecnológica, lo cuales son los que se visualizan en la

figura 32.

PO2.1 - Modelo de Arquitectura deInformación Empresaria

PO2.2 -Diccionario de Datos Empresarial yReglas de Sintáxis de Datos.

PO2.3 - Esquema de Clasificación de Datos.

PO2.4 - Administración de Integridad.

100%

0,00%

100%

100%

74

Figura 32. Objetivos de control proceso PO3. Determinar la dirección tecnológica.

ANÁLISIS

De acuerdo a lo que se puede apreciar en la figura se evidencia que el objetivo de

control monitoreo de tendencias y regulaciones futuras tiene un nivel nulo de

cumplimiento, pues con el 0% se establece que la empresa no actualiza de forma regular

la arquitectura de sistemas, los planes de adquisición, estándares, ni estrategias para

tener respuestas oportunas a los cambios en el ambiente competitivo.

d) Proceso PO4. Definir los procesos, organizar y relaciones de ti

En la figura 33 se presentan los resultados de los objetivos estratégicos del proceso

PO4.

Figura 33. Objetivos de control del proceso PO4. Definir los procesos, organizar y relaciones de TI

PO3.1 - Planeación de la Dirección

Tecnológica.

PO3.2 - Monitoreo de Tendencias y

Regulaciones Futuras.

PO3.3- Estándares Tecnológicos

100%

0,00%

100%

PO4.1 - Estructura Organizacional

PO4.2 - Establecimiento de Roles y

Responsabilidades.

PO4.3 - Responsabilidad sobre el Riesgo, la

Seguridad y el Cumplimiento

PO4.4 - Supervisión.

PO4.5 - Segregación de Funciones

PO4.6 - Personal Clave de TI.

67%

100%

50%

100%

50%

100%

75

ANÁLISIS

A continuación se detalla los objetivos de control que tienen bajo nivel de

cumplimiento:

Responsabilidad sobre el riesgo, la seguridad y el cumplimiento, con 50% se

evidencia que no se lleva un control de los riesgos de TI que generan pérdidas de

la información, lo que dificulta la consecución de los objetivo del negocio.

Segregación de funciones, con 50% de cumplimiento se evidencia que no se

realizan controles efectivos dentro del departamento, motivo por el cual existen

casos en los que una misma persona tenga acceso a más responsabilidades de las

que debería tener dentro del sistema, lo que representa un riesgo para la

Importadora.

e) Proceso PO5. Administrar la inversión de TI

Los resultados obtenido de los objetivos de control del proceso Administrar la Inversión

de TI se detallan en la figura 34:

Figura 34. Objetivos estratégicos del proceso PO5. Administrar la inversión de TI

ANÁLISIS

De acuerdo al análisis de los objetivos del proceso administrar la inversión TI, los que

presentan menor nivel de cumplimiento son los siguientes:

PO5.1 - Marco de Trabajo para la

Administración Financiera

PO5.2 Prioridades dentro del Presupuesto de

TI.

PO5.3 - Proceso Presupuestal

PO5.4 - Administración de Costos de TI.

PO5.5 - Administración de Beneficios

100%

33,33%

100%

71,42%

0%

76

Prioridades dentro del presupuesto de TI, con 33,33% se evidencia que el

departamento de sistemas de Importadora Alvarado no cuenta con un proceso

oportuno para la toma de decisiones, dando mayor relevancia a la asignación de

recursos de TI para realizar proyectos de operaciones.

Administración de beneficios, con 0% se puede determinar que Importadora

Alvarado no ha establecido ningún proceso de monitoreo que facilite el uso

efectivo de recursos de TI.

f) Proceso PO6. Comunicar las aspiraciones y la dirección de la gerencia

En la figura 35 se detallan los resultados de los objetivos del control que abarca el

proceso PO6.

Figura 35. Objetivos de control del proceso PO6. Comunicar las aspiraciones y la dirección de la

gerencia

ANÁLISIS

La evaluación de los objetivos de control que conforman el proceso Comunicar las

aspiraciones y la dirección de la gerencia muestra que todos presentan un adecuado

nivel de cumplimiento.

PO6.1 - Ambiente de Políticas y de

Control.

PO6.2 - Administración de Políticas para

TI.

PO6.3 - Implantación de Políticas de TI

PO6.4 - Comunicación de los Objetivos y

la Dirección de TI

100%

100,00%

100%

100,00%

77

g) Proceso PO7. Administrar recursos humanos de TI

De la información recolectada acerca de proceso Administrar recursos humanos, en la

figura 36 se puede visualizar los resultados de los objetivos de control:

Figura 36. Objetivos de control del proceso PO7. Administrar recursos humanos de TI

ANÁLISIS

De acuerdo al análisis de los objetivos de control del proceso administrar recursos

humanos de TI, los que presentan menor nivel de cumplimiento son los siguientes:

Competencias del personal, con 33,33% se evidencia que no se verifica de

manera periódica que el personal tenga la habilidad para el cumplimiento de sus

actividades, es decir no se ha definido los requerimientos esenciales de

habilidades para TI.

Entrenamiento del personal de TI, con 0% se determina que el departamento

de recursos humanos de Importadora Alvarado no realiza la orientación

necesaria al momento de la contratación del personal, es decir no se mide de

forma adecuada las aptitudes, conocimientos, responsabilidades de cada uno de

ellos.

Procedimientos de investigación del personal, con el 0% se deduce que no se

incluye verificaciones de antecedentes durante el proceso de reclutamiento de

TI.

PO7.1 - Reclutamiento y Retención del

Personal

PO7.2 - Competencias del Personal.

PO7.3 - Entrenamiento del Personal de TI.

PO7.4 - Procedimientos de Investigación del

Personal.

PO7.5- Evaluación del Desempeño del

Empleado

PO7.6- Cambios y Terminación de Trabajo.

100%

33,33%

0,00%

0,00%

0,00%

100%

78

Evaluación del desempeño del empleado, con el 0% se evidencia que el

departamento de TI no realiza evaluaciones del desempeño laboral de manera

periódica para comprobar el cumplimiento de metas personales,

organizacionales y responsabilidades del puesto.

h) Proceso P08. Administrar la calidad

En la figura 37 se muestra el resultado de la evaluación de los objetivos de control del

proceso Administrar Calidad

Figura 37. Objetivos de control del proceso PO8. Administrar la calidad

ANÁLISIS

De acuerdo al análisis de los objetivos de control del proceso administrar la calidad se

puede evidenciar que ninguno se cumple, lo que representa que el departamento de

sistemas debe elaborar y mantener un sistema de administración de calidad, incluyendo

procesos y estándares probados para una mejora continua.

i) Proceso PO9. Evaluar y administrar los riesgos de TI

En la figura 38 se visualiza el resultado de la evaluación de los objetivos de control del

proceso PO9

PO8.1 - Sistema de Administración de

Calidad

PO8.2 - Enfoque en el Cliente de TI.

PO8.3 - Mejora Continua.

PO8.4 - Medición, Monitoreo y Revisión

de la Calidad.

0,00%

0,00%

0,00%

0,00%

79

Figura 38. Objetivos de control del proceso PO9. Evaluar y administrar los riesgos de TI

ANÁLISIS

El análisis de los objetivos de control del proceso evaluar y administrar los riesgos de TI

muestra que ninguno de ellos se cumple debido a que tiene 0%, lo cual determina que el

departamento de sistemas no ha creado un marco de trabajo de administración de

riesgos, es decir no se ha establecido estrategias de mitigación de riesgos que puedan

ocasionar un impacto potencial sobre las metas de la organización.

j) Proceso PO10. Administrar proyectos

La evaluación de los objetivos de control del proceso de Administrar Proyectos son los

que se detallan en la figura 39.

PO9.1 - Marco de Trabajo de

Administración de Riesgos.

PO9.2 - Identificación de Eventos

PO9.3 - Evaluación de Riesgos de TI

PO9.4 - Respuesta a los Riesgos

PO9.5 - Mantenimiento y Monitoreo de

un Plan de Acción de Riesgos.

0,00%

0,00%

0,00%

0,00%

0,00%

80

Figura 39. Objetivos de control del proceso PO10. Administrar proyectos

ANÁLISIS

La evaluación de los objetivos de control del proceso administrar proyectos evidencian

que el departamento de TI lo cumple cabalmente, es decir que se ha establecido un

marco de trabajo de administración de programas y proyectos para garantizar la

adecuada asignación de prioridades y coordinación de proyectos.

4.2.4.2 Dominio Adquirir e Implementar

Este dominio consiste en la identificar soluciones, desarrollo o adquisición, cambio o

mantenimiento de los sistemas que existen. Los resultados que se obtuvieron de la

evaluación de este demonio son los que se presentan a continuación.

a) Proceso AI1. Identificar Soluciones Automatizadas

En relación a los datos recopilados de la evaluación de los objetivos de control del

proceso Identificar Soluciones Automatizadas, lo resultados se visualizan en la figura

40.

PO10.1 -Marco de Trabajo para la

Administración de Programas.

PO10.2 - Compromiso de los Interesados.

PO10.3 - Inicio de las Fases del Proyecto.

PO10.4 - Recursos del Proyecto.

PO10.5 - Cierre del Proyecto

100%

100%

100%

100%

66,66%

81

Figura 40. Objetivos de control del proceso AI1. Identificar soluciones automatizadas

ANÁLISIS

El análisis de los objetivos de control del proceso identificar soluciones automatizadas

muestran que el departamento de sistemas lo aplica de manera adecuada, debido a que

todos se encuentran dentro del nivel aceptable, es decir realiza una adecuada revisión de

la factibilidad tecnológica, análisis de riesgos, el análisis costo-beneficio para poder

tomar una decisión final de desarrollar o comprar.

b) Proceso AI2. Adquirir y mantener software aplicativo

Una vez que se ha evaluado los objetivos de control que conforman el proceso Adquirir

y mantener software aplicativo, se obtuvieron los resultados que se muestran en la

figura 41.

AI1.1 - Definición y Mantenimiento de los

Requerimientos Técnicos y Funcionales del

Negocio.

AI1.2 - Reporte de Análisis de Riesgos.

AI1.3 - Estudio de Factibilidad y

Formulación de Cursos de Acción

Alternativos

AI1.4 - Requerimientos, Decisión de

Factibilidad y Aprobación.

100%

75%

100%

80%

82

Figura 41. Objetivos de control del proceso AI2. Adquirir y mantener software aplicativo

ANÁLISIS

De acuerdo al análisis de los objetivos de control del proceso adquirir y mantener

software aplicativo se puede observar que los que presenten menor nivel de

cumplimiento son los siguientes:

Diseño de Alto nivel, con el 0% se evidencia que para adquirir un software

aplicativo no se considera las directivas tecnológicas ni la arquitectura de

información de la organización, motivo por el cual no se garantiza que el diseño

responda a los requerimientos organizacionales.

Mantenimiento de software aplicativo, con el 0% se determina que el

departamento de sistemas de Importadora Alvarado no desarrolla estrategias ni

planes de mantenimiento de aplicaciones de software.

AI2.1 - Diseño de Alto Nivel.

AI2.2 - Diseño Detallado.

AI2.3 - Control y Posibilidad de Auditar las

Aplicaciones.

AI2.4 - Seguridad y Disponibilidad de las

Aplicaciones.

AI2.5 - Configuración e Implantación de Software

Aplicativo Adquirido.

AI2.6 - Actualizaciones Importantes en Sistemas

Existentes.

AI2.7 - Desarrollo de Software Aplicativo.

AI2.8 - Aseguramiento de la Calidad del Software.

AI2.9 - Administración de los Requerimientos de

Aplicaciones.

AI2.10 - Mantenimiento de Software Aplicativo.

0%

100%

100%

100%

100%

100%

100%

100%

100%

0%

83

c) Proceso AI3. Adquirir y mantener infraestructura tecnológica

El resultado de la evaluación de los objetivos de control del proceso adquirir y mantener

infraestructura tecnológica se puede observar en la figura 42.

Figura 42. Objetivos de control del proceso AI3. Adquirir y mantener infraestructura tecnológica

ANÁLISIS

Una vez realizada la evaluación de los objetivos de control del proceso adquirir y

mantener infraestructura tecnológica se determina que todos tienen un adecuado nivel

de cumplimiento debido a que el enfoque planeado para la adquisición, mantenimiento

y protección de infraestructura se encuentra acorde a las estrategias tecnológicas.

d) Proceso AI4. Facilitar la operación y el uso

Los resultados de cumplimiento del proceso Facilitar la operación y el uso se detallan

en la figura 43.

AI3.1 - Plan de Adquisición de Infraestructura

Tecnológica

AI3.2 - Protección y Disponibilidad del Recurso

de Infraestructura.

AI3.3 - Mantenimiento de la Infraestructura

AI3.4 - Ambiente de Prueba de Factibilidad.

85,71%

100%

100%

100%

84

Figura 43. Objetivos de control del proceso AI4. Facilitar la operación y el uso

ANÁLISIS

El análisis de los objetivos de control del proceso facilitar la operación y el uso

determina que todos se encuentran en un adecuado nivel de cumplimiento, es decir que

se genera la documentación y los manuales para usuarios y para TI y proporciona

asesoría para garantizar el uso adecuado de las aplicaciones y la infraestructura.

e) Proceso AI5. Adquirir recursos de TI

En la figura 44 se detalla la evaluación de los objetivos de control del proceso Adquirir

recursos de TI

Figura 44. Objetivo de control del proceso AI5. Adquirir recursos de TI

0% 20% 40% 60% 80% 100%

AI4.1 - Plan para Soluciones de Operación.

AI4.2 - Transferencia de Conocimiento a la

Gerencia del Negocio

AI4.3 - Transferencia de Conocimiento a

Usuarios Finales.

AI4.4 - Transferencia de Conocimiento al

Personal de Operaciones y Soporte.

100%

83,33%

100%

100%

0% 20% 40% 60% 80% 100%

AI5.1 - Control de Adquisición

AI5.2 - Administración de Contratos con

Proveedores.

AI5.3 - Selección de Proveedores

AI5.4 - Adquisición de Recursos de TI

100%

100,00%

100%

100%

85

ANÁLISIS

El resultado del análisis de los objetivos de control del proceso adquirir recursos de TI

muestra que todos se cumplen totalmente, es decir que el departamento de sistemas

define y ejecuta procedimientos de adquisición, selección de proveedores y

adquisiciones en sí, garantizando que la organización disponga de todos los recursos de

TI.

f) Proceso AI6. Administrar cambios

En la figura 45 se detalla los resultados de la evaluación de los objetivos de control del

proceso Administrar cambios.

Figura 45. Objetivos de control del proceso AI6. Administrar cambios

ANÁLISIS

De la totalidad de los objetivos de control que conforman el proceso administrar

cambios, el que presenta menor cumplimiento es el que corresponde al seguimiento y

reporte del estatus de cambio que obtuvo el 0% de cumplimiento lo que implica que no

existe un sistema que administre los cambios y actualice su estatus.

AI6.1 - Estándares y Procedimientos para

Cambios.

AI6.2 - Evaluación de Impacto, Priorización y

Autorización.

AI6.3 - Cambios de Emergencia

AI6.4 - Seguimiento y Reporte del Estatus de

Cambio.

AI6.5 - Cierre y Documentación del Cambio

75%

100%

100%

0%

100%

86

g) Proceso AI7. Instalar y acreditar soluciones y cambios

Los resultados de la evaluación de los objetivos de control del proceso Instalar y

acreditar soluciones y cambios son los que se pueden visualizar en la figura 46.

Figura 46. Objetivos de control del proceso AI7. Instalar y acreditar soluciones y cambios

ANÁLISIS

El análisis de los objetivos de control del proceso instalar y acreditar soluciones y

cambios muestran que la totalidad de estos son cumplidos por el departamento de

sistemas, es decir que se realizan las pruebas requeridas que garanticen que los sistemas

operativos estén alineados con las expectativas acordadas y con los resultados.

4.2.4.3 Dominio entregar y dar soporte

Este dominio se encarga de cubrir la entrega de los servicios requeridos, incluyendo la

prestación del servicio, la administración de la seguridad y de la continuidad, la

0% 20% 40% 60% 80% 100%

AI7.1 - Entrenamiento

AI7.2 - Plan de Prueba.

AI7.3 - Plan de Implantación.

AI7.4 - Ambiente de Prueba.

AI7.5 - Conversión de Sistemas y Datos.

AI7.6 - Pruebas de Cambios.

AI7.7 - Prueba de Aceptación Final.

AI7.8 - Promoción a Producción.

AI7.9 - Revisión Posterior a la

Implantación.

100%

100%

100%

100%

100%

100%

100%

100%

100%

87

administración de los datos y de las instalaciones operacionales. Los resultados

obtenidos de la evaluación de este dominio son los que se presentan a continuación:

a) Proceso DS1. Definir y administrar los niveles de servicio

La evaluación de los objetivos de control del proceso Definir los niveles de servicio

muestran los resultados que se observan en la figura 47.

Figura 47. Objetivos de control del proceso DS1. Definir y administrar los niveles de servicio

ANÁLISIS

En relación a los objetivos de control del proceso definir y administrar los niveles de

servicio se determina que todos están dentro del nivel de cumplimiento debido a que el

departamento de sistemas cuenta con una definición documentado de los servicios de

TI, haciendo posible una comunicación efectiva entre la gerencia de TI y los clientes del

negocio.

0% 50% 100%

DS1.1 - Marco de Trabajo de la

Administración de los Niveles de Servicio.

DS1.2 - Definición de Servicios.

DS1.3 - Acuerdos de Niveles de Servicio.

DS1.4 - Acuerdos de Niveles de

Operación.

DS1.5 - Monitoreo y Reporte del

Cumplimento de los Niveles de Servicio.

DS1.6 - Revisión de los Acuerdos de

Niveles de Servicio y de los Contratos

100%

100%

100%

100%

100%

100%

88

b) Proceso DS2. Administrar los servicios de terceros

Los resultados de la evaluación de los objetivos de control del proceso Administrar los

servicios de terceros se presentan en la figura 48.

Figura 48. Objetivos de control del proceso DS2. Administrar los servicios de terceros

ANÁLISIS

En el análisis de los objetivos de control del proceso administrar los servicios de

terceros se observa que la administración de riesgos del proveedor posee menor nivel

de cumplimiento, pues con 42,85% se evidencia que no se tiene una definición clara de

roles, responsabilidades y expectativas en los acuerdos con terceros.

c) Proceso DS3. Administrar el desempeño y la capacidad

En la figura 49 se muestra la evaluación de los objetivos de control del proceso

Administrar el desempeño y la capacidad.

0% 20% 40% 60% 80% 100%

DS2.1 - Identificación de Todas las

Relaciones con Proveedores

DS2.2 - Gestión de Relaciones con

Proveedores.

DS2.3 - Administración de Riesgos del

Proveedor.

DS2.4 - Monitoreo del Desempeño del

Proveedor.

100%

100%

42,85%

100%

89

Figura 49. Objetivos de control de proceso DS3. Administrar el desempeño y la capacidad

ANÁLISIS

En el resultado de la evaluación de los objetivos de control del proceso administrar el

desempeño y la capacidad se verifica que dos de ellos poseen un menor cumplimiento y

estos son:

Capacidad y desempeño futuros, con un 25% refleja que no se realiza una

adecuada proyección de la capacidad y desempeño de los recursos de TI y

tampoco se examinan los excesos de capacidad que optimicen su uso.

Disponibilidad de Recursos de TI, con un 50% se define que no se establecen

adecuadamente las medidas para que los recursos de TI cumplan con su

capacidad.

d) Proceso DS4. Garantizar la continuidad del servicio

Los resultados de la evaluación de los objetivos de control del proceso Garantizar la

continuidad del servicio se muestran en la figura 50.

0,00% 50,00% 100,00%

DS3.1 - Planeación del Desempeño y la

Capacidad.

DS3.2 - Capacidad y Desempeño Actual.

DS3.3 - Capacidad y Desempeño Futuros.

DS3.4 - Disponibilidad de Recursos de

TI.

DS3.5 - Monitoreo y Reporte

66,66%

100%

25%

50%

100%

90

Figura 50. Objetivos de control del proceso DS4. Garantizar la continuidad del servicio

ANÁLISIS

Con respeto al análisis de los objetivos de control del proceso garantizar la continuidad

del servicio

Marco de trabajo de continuidad de TI, con 0% se establece que el

departamento de sistemas no realizado estrategias para asegurar el mínimo

impacto al negocio en caso de que existan interrupciones del servicio de TI.

Planes de continuidad de TI, con 0% se determina que no se presentan planes

de continuidad en el departamento de sistemas, motivo por el cual no se

encuentran preparados para enfrentar cualquier interrupción o evento que se

pueda presentar.

Recursos críticos de TI, con un 0% e evidencia que no se encuentran

identificados los puntos críticos de TI, por tal motivo no se han establecido

procedimientos para asegurar su continuidad.

Pruebas del plan de continuidad de TI, con un 0% se determina que al no

tener un plan de continuidad de TI no se pueden realizar las pruebas

correspondientes que garanticen su continuidad.

0% 50% 100%

DS4.1 - Marco de Trabajo de Continuidad

de TI.

DS4.2 - Planes de Continuidad de TI.

DS4.3 - Recursos Críticos de TI.

DS4.4 - Mantenimiento del Plan de

Continuidad de TI.

DS4.5 - Pruebas del Plan de Continuidad

de TI.

0%

0%

0%

100%

0%

91

e) Proceso DS5. Garantizar la seguridad de los sistemas

Los resultados de la evaluación de los objetivos de control del proceso garantizar la

seguridad de los sistemas son los que se muestran en la figura 51.

Figura 51. Objetivos de control del proceso DS5. Garantizar la seguridad de los sistemas

ANÁLISIS

En el análisis de los objetivos de control del proceso garantizar la seguridad de los

sistemas se visualiza que no se cumple el intercambio de datos sensitivos pues presenta

un 0%, lo cual indica que no tienen las seguridades para los correos electrónicos ni los

sistemas web.

f) Proceso DS6. Identificar y asignar costos

En la figura 52 se detalla los resultados de la evaluación de los objetivos de control del

proceso Identificar y asignar costos.

0% 50% 100%

DS5.1 - Administración de la Seguridad

de TI.

DS5.2 - Plan de Seguridad de TI

DS5.3 - Administración de Identidad.

DS5.4 - Administración de Cuentas del

Usuario

DS5.5 - Seguridad de la Red.

DS5.6- Intercambio de Datos Sensitivos.

100%

100%

100%

100%

100%

0,00%

92

Figura 52. Objetivos de control del proceso DS6. Identificar y asignar costos

ANÁLISIS

De los resultados del análisis de los objetivos de control del proceso denominado

identificar y asignar costos se evidencia que los cuatro se cumplen completamente,

debido a que el departamento de sistemas de Importadora Alvarado opera un sistema

para capturar, distribuir y reportar costos de TI, que permite al negocio tomar decisiones

acertadas en relación al uso de los servicios de TI.

g) Proceso DS7. Educar y entrenar a los usuarios

En la figura 53 se muestran los resultados de la evaluación de los objetivos de control

del proceso Educar y entrenar a los usuarios.

Figura 53. Objetivos de control del proceso DS7. Educar y entrenar a los usuarios

0% 20% 40% 60% 80% 100%

DS6.1 - Definición de Servicios.

DS6.2 - Contabilización de TI.

DS6.3 - Modelación de Costos y

Cargos.

DS6.4 - Mantenimiento del Modelo de

Costos.

100%

100%

100%

100%

0% 20% 40% 60% 80% 100%

DS7.1 - Identificación de

Necesidades de Entrenamiento y…

DS7.2 - Impartición de

Entrenamiento y Educación.

DS7.3 Evaluación del

Entrenamiento Recibido.

100%

100%

100%

93

ANÁLISIS

Los resultados de los objetivos de control del proceso educar y entrenar a los usuarios

muestran que se cumplen la totalidad de ellos, debido a que se ha asegurado que las

aplicaciones se encuentren funcionales para, es decir hacer uso efectivo de soluciones y

aplicaciones tecnológicas.

h) Proceso DS8. Administrar la mesa de servicio y los incidentes

La evaluación de los objetivos de control del proceso administrar la mesa de servicio y

los incidentes se evidencia en la figura 54:

Figura 54. Objetivos de control del proceso DS8. Administrar la mesa de servicio y los incidentes

ANÁLISIS

Una vez realizado el análisis de los objetivos de control del proceso Administrar la mesa

de servicio y los incidentes se evidencia que la totalidad de estos son cumplidos

cabalmente, es decir que posee un proceso de administración de incidentes que responde

de manera efectiva a las consultas y problemas de los usuarios de TI.

i) Proceso DS9. Administrar la configuración

En la figura 55 se puede observar los resultados de la evaluación de los objetivos de

control del proceso Administrar la configuración

0% 20% 40% 60% 80% 100%

DS8.1 - Mesa de Servicios.

DS8.2 - Registro de Consultas de

Clientes

DS8.4 - Cierre de Incidentes

100%

80%

100%

94

Figura 55. Objetivos de control del proceso DS9. Administrar la configuración

ANÁLISIS

De acuerdo al análisis de los objetivos de control del proceso administrar la

configuración se determina que no se cumple el relacionado con la revisión de

integridad de la configuración con el 0%, es decir que no se verifica de manera

regular el estado de los elementos de configuración para corroborar la integridad de la

configuración de datos tanto actual como histórica.

j) Proceso DS10. Administrar los problemas

Los resultados de la evaluación de los objetivos de control del proceso administrar los

problemas se muestran en la figura 56.

Figura 56. Objetivos de control del proceso DS10. Administrar los problemas

0% 20% 40% 60% 80% 100%

DS9.1 - Repositorio y Línea Base de

Configuración

DS9.2 - Identificación y Mantenimiento

de Elementos de Configuración

DS9.3 - Revisión de Integridad de la

Configuración.

75%

100%

0%

0% 20% 40% 60% 80% 100%

DS10.1 - Identificación y Clasificación de

Problemas

DS10.2 - Rastreo y Resolución de

Problemas.

DS10.3 - Cierre de Problemas

DS10.4 - Integración de las

Administraciones de Cambios,…

100%

0,00%

0,00%

50%

95

ANÁLISIS

Los objetivos de control del proceso administrar problemas que presentan menor nivel

de cumplimiento son los siguientes:

Rastreo y resolución de problemas, con un 0% se evidencia que el

departamento de sistemas no realiza un monitoreo continuo del impacto de los

problemas y errores conocidos en los servicios los usuarios.

Cierre de problemas, con un 0% se verifica que no existe un procedimiento

para cerrar registros de problemas una vez que se ha confirmado la eliminación

exitosa del error o después de haber acordado una alternativa para manejar el

problema.

Integración de las administraciones de cambios, configuración y problemas,

con un 50% se evidencia que el departamento de sistemas no garantiza una

adecuada administración de problemas.

k) Proceso DS11. Administrar los datos

Los resultados de la evaluación de los objetivos de control del proceso Administrar los

datos se presentan en la figura 57.

Figura 57. Objetivos de control del proceso DS11. Administrar los datos

ANÁLISIS

Los resultados de los objetivos de control del proceso administrar los datos evidencian

que se cumplen la totalidad de los mismos, es decir el departamento de sistemas ha

establecido procedimientos efectivos para la administración de la librería de medios, el

0% 20% 40% 60% 80% 100%

DS11.1 - Requerimientos del Negocio

para Administración de Datos.

DS11.2 - Acuerdos de

Almacenamiento y Conservación.

DS11.3 - Eliminación

100%

100%

100%

96

respaldo y la recuperación de datos, lo que garantiza la calidad y disponibilidad de la

información de la empresa.

l) Proceso DS12. Administrar el ambiente físico

En la figura 58 se detalla la evaluación de los objetivos de control del proceso

Administrar el ambiente físico:

Figura 58. Objetivos de control del proceso DS12. Administrar el ambiente físico

ANÁLISIS

Los resultados de los objetivos de control del proceso Administrar el ambiente físico

demuestran que existe un adecuado nivel de cumplimiento de los mismos, debido a que

el departamento de sistemas maneja una adecuada protección del equipo de cómputo y

del personal, con instalaciones diseñadas y administradas correctamente.

m) Proceso DS13. Administrar las operaciones

En la figura 59 se muestra los resultados obtenidos de la evaluación de los objetivos de

control del proceso Administrar las operaciones.

Figura 59. Objetivos de control del proceso DS13. Administrar las operaciones

0% 20% 40% 60% 80% 100%

DS12.1 - Selección y Diseño del

Centro de Datos.

DS12.2 - Acceso Físico.

DS12.5 - Administración de

Instalaciones Físicas.

100%

100%

100%

0% 20% 40% 60% 80% 100%

DS13.1 - Procedimientos e

Instrucciones de Operación.

DS13.2 - Programación de Tareas.

DS13.3 - Monitoreo de la

Infraestructura de TI.

DS13.5 - Mantenimiento Preventivo del

Hardware.

100%

100%

50%

33,33%

97

ANÁLISIS

De los objetivos de control del proceso administrar las operaciones, los que se cumplen

en menor nivel son los siguientes:

Monitoreo de la Infraestructura de TI, con un 50% evidencian que no se ha

definido ni implementado procedimientos para monitorear la infraestructura de

TI.

Mantenimiento preventivo del hardware, con un 33,33% se determina que no

se ha implementado procedimientos que garanticen el mantenimiento oportuno

de la infraestructura para reducir el impacto de las fallas.

4.2.4.4 Dominio monitorear y evaluar

Este dominio abarca la administración del desempeño, el monitoreo del control interno,

el cumplimiento de los reglamentos y la aplicación del gobierno, en definitiva implica

monitorear todos los procesos para de esa forma asegurar que se siga la dirección

establecida. Los resultados de la evaluación de cada uno de los procesos de este

dominio son los que se pueden visualizar a continuación.

a) Proceso ME1. Monitorear y evaluar el desempeño de TI

En la figura 60 se puede observar la evaluación de los objetivos de control que

conforman el proceso Monitorear y evaluar el desempeño de TI.

98

Figura 60. Objetivos de control del proceso ME1. Monitorear y evaluar el desempeño de TI

ANÁLISIS

Del análisis de los objetivos de control del proceso monitorear y evaluar el desempeño

de TI se puede observar que los de menor nivel de cumplimiento son los siguientes:

Enfoque de monitoreo, con un 50% se evidencia que no cuenta con un marco

de trabajo de monitoreo, además no cuenta con un proceso para medir la

solución y entrega de servicios de TI.

Definición y recolección de datos de monitoreo, con un 40% se determina que

no se ha establecido referencias con las cuales se pueda comparar los objetivos,

tampoco se han establecido procesos para la recolección de información

oportuna para reportar el avance contra las metas.

Método de monitoreo, con un 0% se puede establecer que no se ha implantado

un método que proporcione una visión concisa del desempeño de la TI y que se

encuentre acorde al sistema de monitoreo de la empresa.

Evaluación del desempeño, con un 0% se determina que no se compara

periódicamente el desempeño con las metas para iniciar medidas correctivas

para resolver los problemas que se presenten.

0% 50% 100%

ME1.1 - Enfoque del Monitoreo.

ME1.2 - Definición y Recolección

de Datos de Monitoreo.

ME1.3 - Método de Monitoreo.

ME1.4 - Evaluación del

Desempeño.

ME1.5 - Reportes al Consejo

Directivo y a Ejecutivos.

ME1.6 - Acciones Correctivas.

50%

40%

0,00%

0,00%

100%

100%

99

b) Proceso ME2. Monitorear y evaluar el control interno

La evaluación de los objetivos de control que conforman el proceso Monitorear y

evaluar el control interno se puede visualizar en la figura 61.

Figura 61. Objetivos de control del proceso ME2. Monitorear y evaluar el control interno

ANÁLISIS

En relación al análisis de los objetivos de control del proceso monitorear y evaluar el

control interno

Excepciones de control, con un 0% se puede mencionar que no se identifican

las anomalías de control y en consecuencia no se pueden identificar las causas

que las originan.

Control de Auto evaluación, con un 0% de demuestra que no existe un

programa de auto evaluación y únicamente se basan en los resultados de las

auditorías tanto internas como externas que se realizan.

Aseguramiento del control interno, con un 0% se muestra que no se asegura la

efectividad de los controles internos que se realizan a través de las revisiones de

terceros

Control interno para terceros, con un 0% se determina que no se evalúa el

estado de los controles internos de los proveedores de servicios externos.

0% 20% 40% 60% 80% 100%

ME2.1 - Monitorización del Marco de

Trabajo de Control Interno.

ME2.2 - Revisiones de Auditoría.

ME2.3 - Excepciones de Control.

ME2.4 - Control de Auto Evaluación.

ME2.5 - Asegura- miento del Control

Interno.

ME2.6 - Control Interno para Terceros.

ME2.7 - Acciones Correctivas.

100%

100%

0,00%

0,00%

0,00%

0,00%

100%

100

c) Proceso ME3. Garantizar el cumplimiento regulatorio

Los resultados de la evaluación de los objetivos de control que conforman el proceso

Garantizar el cumplimiento regulatorio son los que se muestran en la figura 62.

Figura 62. Objetivos de control del proceso ME3. Garantizar el cumplimiento regulatorio

ANÁLISIS

Por medio de la figura se puede verificar que los objetivos de control del proceso

denominado garantizar el cumplimiento regulatorio son cumplidos al 100%, lo cual

indica que a través del departamento legal de Importadora Alvarado se toman las

medidas que garanticen el cumplimiento de las regulaciones.

d) Proceso ME4. Proporcionar gobierno de TI

Los resultados de la evaluación de los objetivos que conforman el proceso Proporcionar

gobierno de TI se muestran en la figura 63.

0% 20% 40% 60% 80% 100%

ME3.1 - Optimizar la Respuesta a

Requerimientos Externos.

ME3.2 - Evaluación del Cumplimiento con

Requerimientos Externos.

ME3.3 - Aseguramiento Positivo del

Cumplimiento.

ME3.4 - Reportes Integrados.

100%

100%

100%

100%

101

Figura 63. Objetivos de control del proceso ME4. Proporcionar gobierno de TI

ANÁLISIS

De los siete objetivos de control del proceso denominado Proporcionar gobierno de TI,

los de menor cumplimiento son los siguientes:

Establecimiento de un marco de gobierno de TI, con 0% determina que no se

ha basado el marco de trabajo en un apropiado proceso de TI que evite una

rotura en el control interno, motivo por el cual no se puede asegurar el

cumplimiento con las leyes y regulaciones.

Administración de riesgos, con 33,33% evidencia que no se evalúan los riesgos

que se relacionan con TI al igual que su impacto. Además tampoco se han

definido el nivel de riesgo de TI por medio de un consejo directivo que afirme

que el riesgo actual no sobrepase el riesgo aceptable de dirección.

Medición del desempeño, con 50% se puede determinar que no puede evaluar

de manera efectiva si el progreso hacia las metas de TI han cumplido las

expectativas.

0,00% 20,00% 40,00% 60,00% 80,00% 100,00%

ME4.1 - Establecimiento de un Marco de

Gobierno de TI.

ME4.2 - Alineamiento Estratégico.

ME4.3 - Entrega de Valor

ME4.4 - Administración de Recursos

ME4.5 - Administración de Riesgos.

ME4.6 - Medición del Desempeño.

ME4.7 - Aseguramiento Independiente.

0,00%

83,33%

100%

100%

33,33%

50,00%

100%

102

4.2.5 Resultado final de la evaluación

4.2.5.1 Resultados de la evaluación por objetivos de control

A continuación se detallan los objetivos de control que se consideran como críticos,

estos datos se obtuvieron al realizar la ponderación de cada uno de los procesos dentro

de cada dominio. De acuerdo a la información que se obtuvo se realizó la figura 64 con

aquellos objetivos que no cumplía la empresa para trabajar con esos datos y dar

soluciones.

103

Figura 64. Evaluación de objetivos de control críticos

ANÁLISIS

En la figura 64 se puede verificar que existen 33 objetivos críticos que no se cumplen

con lo que se establece, por lo cual presentan el 0%, es por ello que se debe fortalecer

0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00% 80,00% 90,00% 100,00%

PO2.2 -Diccionario de Datos Empresarial y Reglas de…

PO3.2 - Monitoreo de Tendencias y Regulaciones Futuras.

PO5.5 - Administración de Beneficios

PO7.3 - Entrenamiento del Personal de TI.

PO7.4 - Procedimientos de Investigación del Personal.

PO7.5- Evaluación del Desempeño del Empleado

PO8.1 - Sistema de Administración de Calidad

PO8.2 - Enfoque en el Cliente de TI.

PO8.3 - Mejora Continua.

PO8.4 - Medición, Monitoreo y Revisión de la Calidad.

PO9.1 - Marco de Trabajo de Administración de Riesgos.

PO9.2 - Identificación de Eventos

PO9.3 - Evaluación de Riesgos de TI

PO9.4 - Respuesta a los Riesgos

PO9.5 - Mantenimiento y Monitoreo de un Plan de Acción…

AI2.1 - Diseño de Alto Nivel.

AI2.10 - Mantenimiento de Software Aplicativo.

AI6.4 - Seguimiento y Reporte del Estatus de Cambio.

DS4.1 - Marco de Trabajo de Continuidad de TI.

DS4.2 - Planes de Continuidad de TI.

DS4.3 - Recursos Críticos de TI.

DS4.5 - Pruebas del Plan de Continuidad de TI.

DS5.6- Intercambio de Datos Sensitivos.

DS9.3 - Revisión de Integridad de la Configuración.

DS10.2 - Rastreo y Resolución de Problemas.

DS10.3 - Cierre de Problemas

ME1.3 - Método de Monitoreo.

ME1.4 - Evaluación del Desempeño.

ME2.3 - Excepciones de Control.

ME2.4 - Control de Auto Evaluación.

ME2.5 - Asegura- miento del Control Interno.

ME2.6 - Control Interno para Terceros.

ME4.1 - Establecimiento de un Marco de Gobierno de TI.

0,00%

0,00%

0%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0%

0%

0%

0%

0%

0%

0%

0,00%

0%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

0,00%

104

esas áreas con el planteamiento de un plan estratégico aplicando la metodología

COBIT.

4.2.5.2. Grado de madurez

Una vez que se obtuvo los resultados por medio de la encuesta aplicada al departamento

de sistemas de Importadora Alvarado se procede a determinar el nivel de madurez de

cada proceso, se multiplica el porcentaje del valor de cumplimiento de cada uno (Anexo

1), por el grado de madurez del escenario (0 a 5). Este procedimiento de cálculo, dado

por la Ecuación (1) se aplica a los 34 procesos de TI, para obtener los grados de

madurez de cada uno de los 4 dominios de COBIT, el cual se resume en la tabla 21.

𝑀 =𝑁𝑖𝑣𝑒𝑙 𝑚á𝑥𝑖𝑚𝑜 𝑥 𝑁𝑖𝑣𝑒𝑙 𝑑𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝐶𝑂𝐵𝐼𝑇(%)

100%

(1)

Tabla 21. Grado de madurez

DOMINIOS PROCESOS MADUREZ

PLANEAR Y

ORGANIZAR

PO1 - Definir un Plan Estratégico de TI 4,85

PO2 - Definir la Arquitectura de la Información 4

PO3 - Determinar la Dirección Tecnológica 3,5

PO4 - Definir los Procesos, Organización y

Relaciones de TI 3,95

PO5 - Administrar la Inversión en TI 3,25

PO6 - Comunicar las Aspiraciones y la Dirección de

la Gerencia 5

PO7 - Administrar Recursos Humanos de TI 2

PO8 - Administrar la Calidad 0

PO9 - Evaluar y Administrar los Riesgos de TI 0

PO10 - Administrar Proyectos 4,7

ADQUIRIR E

IMPLEMENT

AR

AI1 - Identificar soluciones automatizadas 4,7

AI2 - Adquirir y mantener software aplicativo 4,4

AI3 - Adquirir y mantener infraestructura tecnológica 4,8

AI4 - Facilitar la operación y el uso 4,7

AI5 - Adquirir recursos de TI 5

AI6 - Administrar cambios 4,15

AI7 - Instalar y acreditar soluciones y cambios 5

ENTREGAR Y

DAR

SOPORTE

DS1 - Definir y administrar los niveles de servicio 4,35

DS2 - Administrar los servicios de terceros 3,35

DS3 - Administrar el desempeño y la capacidad 2,5

DS4 - Garantizar la continuidad del servicio 0,85

DS5 - Garantizar la seguridad de los sistemas 3,65

DS6 - Identificar y asignar costos 5

105

DS7 - Educar y entrenar a los usuarios 5

DS8 - Administrar la mesa de servicio y los

incidentes 4,55

DS9 - Administrar la configuración 3,2

DS10 - Administrar los problemas 2

DS11 - Administrar los datos 5

DS12 - Administrar el ambiente físico 5

DS13 - Administrar las operaciones 3,5

MONITOREA

R Y

EVALUAR

ME1 - Monitorear y Evaluar el Desempeño de TI 2,5

ME2 - Monitorear y Evaluar el Control Interno 2,8

ME3 - Garantizar el Cumplimiento Regulatorio 5

ME4 - Proporcionar Gobierno de TI 3,35

Grado de madurez por dominio

Con el nivel de madurez de los 34 procesos del modelo COBIT se puede calcular el

promedio y determinar el grado de madurez por cada dominio para la empresa. En la

tabla 22 se puede observar el grado de madurez de los dominios.

Tabla 22. Grado de madurez por dominio

DOMINIO GRADO DE MADUREZ

Planeación y Organización 3,1

Adquisición e Implementación 4,7

Entrega de Servicios y Soporte 3,7

Monitoreo 3,4

Total TI 3,7

Como se puede apreciar en la tabla anterior, los niveles más altos están en la

Adquisición e Implementación, mientras que los niveles más bajos son los de

Planeación y Planificación. Con lo cual se puede determinar que Importadora Alvarado

está pasando del grado de madurez definido (3) a gestionable y medible (4). Aunque

algunos procesos han sido definidos, aún existen ciertos procesos que se están

ejecutando de forma intuitiva, motivo por el cual se debe buscar el incremento de sus

grados de madurez.

4.3 Plan estratégico

En base al nivel de madurez de cada dominio y a los procesos que se encuentran en

estado crítico se plantea el diseño de un plan estratégico para Importadora Alvarado a

fin de llevar un mejor control dentro de la organización.

106

1. OBJETIVOS DEL PLAN

Diseñar el plan estratégico de TI para Importadora Alvarado como herramienta

para la toma de decisiones apoyadas por el uso de tecnologías.

Desarrollar un plan que impulse la incorporación y adopción de TI para el

mejoramiento de los procesos dentro de Importadora Alvarado.

Generar una estructura organizacional de la Dirección de Tecnologías de

Información que satisfaga las necesidades y requerimiento de los procesos

internos de Importadora Alvarado.

Fomentar el trabajo conjunto de todas las áreas de la entidad para asegurar el

desarrollo evolutivo de las TI.

2. RESPONSABLES

El responsable de garantizar la ejecución adecuada del plan es el Gerente Corporativo

Sistemas.

3. DESCRIPCIÓN DEL PLAN ESTRATÉGICO

Actualmente debido a la innovación, la competencia, los cambios que se presentan es

importante que las empresas y negocios reconozcan la importancia de las Tecnologías

de Información (TI) en su desarrollo, por tal motivo es esencial que se dediquen a

realizar una verdadera gestión estratégica, basada en TI, estableciendo planes a largo

plazo que contemplen todas las actividades y procesos de la organización.

El plan tiene la finalidad de constituirse en una herramienta de administración,

supervisión y control para solucionar problemas de atención a usuarios. El

establecimiento de metas organizacionales mediante los objetivos específicos y

estrategias deben ser aprobadas por la gerencia de la empresa, pues el mismo tiene

influencia en el ambiente interno y externo, es decir en la industria, en los organismos

reguladores, supervisores, clientes, proveedores, entre otros.

El plan estratégico parte del análisis de los riesgos de cada una de las áreas,

especialmente aquellas que son consideradas como críticas en el negocio para producir

beneficios que se relacionen con la capacidad de realizar una gestión eficiente en estas

áreas.

107

La implementación del plan estratégico de TI ofrece beneficios potenciales a tres

componentes principales de la organización:

A la gerencia

Evaluación completa de las necesidades futuras de los sistemas informáticos

Contar con una metodología definida y lógica para contribuir a la solución de

problemas en el área administrativa y operativa.

Involucra a la alta gerencia en la definición de objetivos organizacionales.

Al departamento de TI

Personal capacitado y experto para el desarrollo de sus funciones

Mejor planificación a largo plazo de los presupuestos de la división

Fijación de prioridades en tecnologías y sistemas de información

Comunicación con todas las áreas de la organización

A los clientes

Otorgar productos de calidad

Seguridad al momento de recibir su producto

Gestión de reclamos automatizada

4. METODOLOGÍA DEL PLAN ESTRATÉGICO DE TI

4.1 Esquema de Procesos COBIT

A continuación se esquematizan los procesos y dominios seleccionados de COBIT 4.1

que serán considerados en el plan estratégico de TI para mejorar cada uno de ellos en

Importadora Alvarado.

Tabla 23. Esquema de Procesos COBIT

DOMINIOS PROCESOS OBJETIVOS DE CONTROL

PLANEAR Y

ORGANIZAR

PO7 - Administrar

Recursos Humanos de

TI

Competencias del Personal.

Entrenamiento del Personal de TI.

Procedimientos de Investigación del Personal

Evaluación del Desempeño del Empleado.

PO8 - Administrar la

Calidad

Sistema de Administración de Calidad

Enfoque en el Cliente de TI.

Mejora Continua.

Medición, Monitoreo y Revisión de la Calidad.

PO9 - Evaluar y

Administrar los

Marco de Trabajo de Administración de Riesgos.

Identificación de Eventos

108

Riesgos de TI Evaluación de Riesgos de TI.

Respuesta a los Riesgos

Mantenimiento y Monitoreo de un Plan de Acción de

Riesgos

ENTREGAR Y

DAR SOPORTE

DS3 - Administrar el

desempeño y la

capacidad

Capacidad y Desempeño Futuros

Disponibilidad de Recursos de TI

DS4 - Garantizar la

continuidad del

servicio

Marco de Trabajo de Continuidad de TI.

Planes de Continuidad de TI.

Recursos Críticos de TI.

Pruebas del Plan de Continuidad de TI.

DS10 - Administrar

los problemas

Rastreo y Resolución de Problemas.

Cierre de Problemas

Integración de las Administraciones de Cambios,

Configuración y Problemas.

MONITOREAR

Y EVALUAR

ME1 - Monitorear y

Evaluar el Desempeño

de TI

Enfoque del Monitoreo

Definición y Recolección de Datos de Monitoreo.

Método de Monitoreo

Evaluación del Desempeño.

ME2 - Monitorear y

Evaluar el Control

Interno

Excepciones de Control.

Control de Auto Evaluación.

Asegura- miento del Control Interno.

Control Interno para Terceros.

4.2 Descripción del proceso

Una vez que se conocen los elementos que deben abarcarse en el plan se debe plantear

los pasos necesarios para poder alcanzar los objetivos deseados, el mismo que se

resume en el siguiente esquema:

RETROALIMENTACIÓN

Figura 65 Diagrama de desarrollo del plan estratégico de TI [32].

Identificar

necesidades

Analizar

Objetivos

Analizar

Riesgos

Seleccionar

metodología

Desarrollo de un

plan Estratégico

de TI

Implementar el

plan estratégico

de TI

Integrar prácticas

estratégicas de TI Evaluación

después de la

implementación

109

5. ACCIONES DEL PLAN ESTRATÉGICO

A continuación se describen los programas a establecer para alcanzar la gestión

adecuada de TI dentro de Importadora Alvarado, para lo cual se plantean acciones que

apoyan al desarrollo adecuado de los mismos.

PROGRAMA DE GESTIÓN DE TI

Administrar Recursos Humanos de TI

Implementar políticas que ayuden a comprometer al personal de la empresa con

los objetivos organizativos.

Implementar una herramienta especializada para evaluaciones, con

funcionalidades flexibles que le permitan digitalizar de manera profesional todo

el proceso de inicio a fin.

Definir un sistema de entrenamiento del personal, estableciendo los objetivos,

importancia, métodos de entrenamiento, responsables y los tipos de formación.

Establecer un plan de capacitación de TI de acuerdo a los requerimientos de la

empresa, para consolidar y mejorar los conocimientos y habilidades técnicas de

la empresa.

Mantener un clima laboral y afianzar las relaciones internas mediante la

organización de talleres de integración en cada una de las áreas de Importadora

Alvarado.

Implementar una estructura sólida dentro de la empresa, con la defunción de

actividades y distribución del recurso humano.

Administrar el desempeño y la capacidad

Diseñar planes de capacidad y desempeño con técnicas apropiadas para producir

un modelo de desempeño, de capacidad de los recursos de TI.

Garantizar que los planes de contingencia sean considerados de forma apropiada

sobre los recursos individuales de TI.

Desarrollar un marco de trabajo de continuidad de TI.

110

PLAN DE RESPALDO Y RECUPERACIÓN DE INFORMACIÓN

Garantizar la continuidad del servicio

Diseñar planes de continuidad de TI con base en el marco de trabajo para reducir

el impacto de una interrupción mayor de las funciones

Poner a prueba el plan de continuidad de TI de manera regular para asegurar que

los sistemas de TI pueden ser recuperados de forma efectiva.

Evaluar y Administrar los Riesgos de TI

Que pertenece al dominio Planear y Organizar presenta un 0% de avance, por lo cual se

plantea las siguientes alternativas:

Establecer un marco de trabajo de administración de riesgos de TI.

Identificar las amenazas importantes con impacto potencial negativo sobre las

metas o las operaciones de la empresa.

Establecer proceso de respuesta a riesgos para asegurar que controles efectivos

en costo que mitigan la exposición en forma continua.

Establecer un proceso de respuesta a riesgos con estrategias tales como evitar,

reducir, compartir o aceptar riesgo

Monitorear de manera continua la ejecución de los planes

Seguridad de la Información

Establecer control de acceso mediante un centro de datos

Plan de licenciamiento Antivirus, implementación y análisis de las

vulnerabilidades

Herramientas para el manejo de incidencias.

PROGRAMAS DE GESTIÓN POR PROCESOS

Monitorear y Evaluar el Control Interno

Que pertenece al dominio monitorear y evaluar presenta un 56% de avance, por lo cual

es importante considerar lo siguiente:

111

Analizan e identifican las causas raíz subyacentes de las excepciones de control

Establecer acciones correctivas necesarias para las excepciones de control

Desarrollar un programa continuo de auto-evaluación para determinar la

completitud y efectividad de los controles de gerencia sobre los procesos de TI

Evaluar el estado de los controles internos de los proveedores de servicios

externos.

Implementar acciones correctivas derivadas de los controles de evaluación y los

informes

Implementar planes de mejora continua y seguimiento a los servicios de

Importadora Alvarado.

PROGRAMA DE ADMINISTRACIÓN DE LA CALIDAD

Administrar la calidad

El proceso PO8 Administrar la Calidad que pertenece al dominio Planear y Organizar

presenta un 0% de avance, por lo cual se identifica la necesidad de:

Diseñar un sistema de calidad de TI alineados con los requerimientos del

negocio, identificando las políticas para definir, detectar, corregir y prever las no

conformidades, con el fin de lograr la satisfacción en los clientes

Definir los roles respecto a la resolución de conflictos entre el usuario/cliente y

la organización de TI, es decir establecer las responsabilidades respectivas.

Promover la fidelización de los clientes, fomentando que se sientan motivados a

la adquisición de los productos.

Monitorear y Evaluar el Desempeño de TI

Que pertenece al dominio monitorear y evaluar presenta un 50% de avance, motivo por

el cual se plantea realizar lo siguiente:

Monitorear de manera continua la contribución de TI al negocio

Integrar el marco de trabajo de TI con el sistema de administración del

desempeño corporativo.

Definir referencias con las que se compara los objetivos de desempeño.

112

Implementar un método eficaz para el proceso de monitoreo.

Comparar de manera periódica el desempeño contra las metas

Desarrollar un sistema de análisis de la causa raíz de los problemas subyacentes

y así tomar las medidas correctivas

Administrar los problemas

Diseñar un sistema de administración de problemas que permita rastrear y

determinar la causa raíz de todos los problemas reportados.

Establecer procedimiento para cerrar registros de problemas y garantiza una

adecuada administración de problemas

Mejorar continuamente los procesos de administración de cambios,

configuración y problemas para minimizar los problemas.

6. POLÍTICAS PARA PONERSE EN MARCHA

En la realización del plan estratégico de TI se enuncian las principales políticas que se

debe cumplir para alcanzar los objetivos:

Considerar en el plan de TI las tendencias ambientales, y tecnológicas presentes

y futuras, así como las leyes y reglamentos.

Establecer las prioridades de TI, socializarlas con el personal involucrado de

manera clara para que no existan desviaciones que afecten el cumplimiento de

los objetivos

Controlar periódicamente el avance de los proyectos de TI.

Respaldar los procesos de TI con la implementación de programas de

capacitación al personal.

Desarrollar un plan de continuidad de TI considerando los servicios de

información, así como los recursos que dependen de estos.

Desarrollar programas de entrenamiento para los actores que intervienen en el

plan de continuidad.

Establecer y mantener un listado de los recursos y aplicaciones del sistema

priorizados de mayor a menor con las respectivas normas de desempeño

113

Evaluar continuamente los riesgos y considerar el aseguramiento de los recursos

de infraestructura y de personas.

La gerencia y directores de TI deben estar siempre abiertos a escuchar las

opiniones y punto de vista de trabajadores, proveedores y clientes, ya sea

sugerencias, peticiones o quejas.

7. DETERMINACIÓN DEL TIEMPO DE IMPLEMENTACIÓN Y COSTO

DEL PROYECTO

A continuación se define el tiempo de implementación, los recursos tanto humanos

como tecnológicos que se relacionan y el costo de implementación de los proyectos

estratégicos de TI.

En la tabla se presenta un estimado de recursos y costos de los proyectos estratégicos de

TI.

Tabla 24. Presupuesto de implementación

PROGRAMA DE GESTIÓN DE TI

TIEMPO DE

IMPLEMENTACIÓN

RECURSOS COSTO

APROXIMADO

3 meses Recursos

humanos

Personal del departamento

de sistemas

$1000.00

Recursos

tecnológicos

Hardware

Servidor de la empresa

Software

Se hará uso de herramientas

de código libre

$0.00

Materiales de

oficina

Internet

Hojas de papel bond

Impresiones

Copias

Lápices, esferos

$200.00

TOTAL $1200.00

PROGRAMA DE GESTIÓN POR PROCESOS

TIEMPO DE

IMPLEMENTACIÓN

RECURSOS COSTO

APROXIMADO

3 meses Recursos

humanos

Personal del departamento

de sistemas

$1000.00

Recursos

tecnológicos

Hardware

Servidor de la empresa

$400.00

114

Software

Se hará uso de herramientas

de código libre

Licencias de Modelos

Materiales de

oficina

Internet

Hojas de papel bond

Impresiones

Copias

Lápices, esferos

$200.00

TOTAL $1600.00

PLAN DE RESPALDO Y RECUPERACIÓN DE INFORMACIÓN

TIEMPO DE

IMPLEMENTACIÓN

RECURSOS COSTO

APROXIMADO

3 meses Recursos

humanos

Personal del departamento

de sistemas

$1000.00

Recursos

tecnológicos

Hardware

Servidor de la empresa

Unidades de respaldo

Software

Se hará uso de herramientas

de código libre

Gestores de base de datos

$200.00

Materiales de

oficina

Internet

Lápices, esferos

$100.00

TOTAL $1300.00

PROGRAMA DE MEJORAMIENTO DE SISTEMAS DE CONTROL DE CALIDAD

TIEMPO DE

IMPLEMENTACIÓN

RECURSOS COSTO

APROXIMADO

3 meses Recursos

humanos

Personal del departamento

de sistemas

$1000.00

Recursos

tecnológicos

Hardware

Servidor de la empresa

Software

Se hará uso de herramientas

de código libre

Unidades de

almacenamiento

$200.00

Materiales de

oficina

Normativas

Internet

Hojas de papel bond

Impresiones

Copias

Lápices, esferos

$300.00

TOTAL $1500.00

115

El costo de la implementación del plan estratégico tendría un costo de $5600, lo cual

sería un gasto poco significativo en relación a los beneficios que se pueden obtener para

el desarrollo de la institución.

8. DEFINICIÓN DEL PLAN DE IMPLEMENTACIÓN

A continuación se define el cronograma general de actividades para la implementación

de las acciones estratégicas de TI, teniendo en cuenta 6 meses, ya que se pueden

ejecutar varis proyectos de manera simultánea.

116

Tabla 25. Cronograma de los proyectos de TI

PROYECTO ACTIVIDAD MES 1 MES 2 MES 3 MES 4 MES 5 MES 6

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

PROGRAMA DE

GESTION DE TI

Análisis de requisitos

Diseño del proyecto

Implantación de proyecto

Pruebas de funcionamiento

Seguimiento y auditoría

Soporte y cierre del proyecto

GESTION DE

PROCESOS

Análisis de requisitos

Diseño del proyecto

Implantación de proyecto

Pruebas de funcionamiento

Seguimiento y auditoría

Soporte y cierre del proyecto

PLAN DE RESPALDO Y

RECUPERACIÓN

Análisis de requisitos

Diseño del proyecto

Implantación de proyecto

Pruebas de funcionamiento

Seguimiento y auditoría

Soporte y cierre del proyecto

MEJORAMIENTO DE

SISTEMAS DE

CONTROL CALIDAD

Análisis de requisitos

Diseño del proyecto

Implantación de proyecto

Pruebas de funcionamiento

Seguimiento y auditoría

Soporte y cierre del proyecto

117

Como se puede observar en el cronograma, la implementación completa d los proyectos

estratégicos de TI se podrán realizar en 6 meses, obteniendo para cada proyecto lo

siguiente:

Para los programas y gestión de TI se estima su implementación en 3 meses.

Para los programas de gestión de procesos que se dará inicio en el segundo mes

se estima un tiempo de 3 meses, siendo este ejecutado de manera simultánea con

el proyecto anterior.

Para el plan de respaldo y recuperación de TI que se dará inicio la tercera

semana del mes 3, se llevará un tiempo de 3 meses en su implementación.

Para el plan de mejoramiento de sistemas de control se planifica su inicio la

cuarta semana del mes tres, que tendrá una duración de 3 meses de igual manera.

Estas estrategias se ejecutarán de manera paralela con los proyectos anteriores.

9. ADMINISTRACIÓN DE RIESGOS

En la actualidad todo tipo de empresas, sean de gran o pequeña constitución hacen uso

de la tecnología, pues las TI se constituyen en un soporte para los procesos que se

efectúan dentro de la organización, tanto administrativos como operativos, para de esa

forma alcanzar los objetivos para los cuales fueron creadas.

De acuerdo a este contexto, la administración de riesgos se constituye un tema de gran

importancia para la identificación de las amenazas d la implementación de proyectos de

TI.

Para analizar el impacto del riesgo de los proyectos estratégicos de TI:

1) Identificación, categorización, probabilidad e impacto de riesgos

2) Ordenamiento y priorización de los riesgos

3) Plan de reducción de riesgos.

Identificación, categorización, probabilidad e impacto de riesgo.

Constituyen el primer paso de la metodología, los cuales se basan en los siguientes

criterios:

118

Tabla 26. Probabilidad e impacto del riesgo

Probabilidad de riesgos Valor

Insignificante 1

Baja 2

Mediada 3

Alta 4

En base a los criterios planeados se evalúan los riesgos de los proyectos estratégicos de

TI de Importadora Alvarado.

Gestión de TI

Tabla 27. Riesgos de Gestión de TI

ID RIESGO PROBABILIDAD IMPACTO

R1 Resistencia al cambio 3 2

R2 Limitado recurso humano 3 3

R3 Limitados recursos económicos 3 2

R4 Retrasos en el seguimiento del

cronograma

2 2

R5 Daños del sistema 3 3

R6 Limitados recursos físicos 3 2

Tabla 28. Riesgos de Gestión de procesos

ID RIESGO PROBABILIDAD IMPACTO

R7 Resistencia al cambio 3 2

R8 Poco recurso humano 2 3

R9 Limitados recursos económicos 3 2

R10 Retrasos en el seguimiento del

cronograma

2 2

R11 Mal funcionamiento del sistema 2 3

R12 Limitados recursos físicos 3 2

R13 Capacitación inadecuada 3 4

Impacto del riesgos Valor

Despreciable 1

Marginal 2

Crítico 3

Catastrófico 4

119

Tabla 29. Plan de respaldo y recuperación de información

ID RIESGO PROBABILIDAD IMPACTO

R14 Resistencia al cambio 3 2

R15 Limitado recurso humano 3 3

R16 Limitados recursos económicos 3 2

R17 Retrasos en el seguimiento del

cronograma

2 2

R18 Daños del sistema 2 2

R19 Limitados recursos físicos 3 2

Tabla 30. Riesgos del sistema de gestión de calidad

ID RIESGO PROBABILIDAD IMPACTO

R20 Resistencia al cambio 3 2

R21 Limitado recurso humano 3 3

R22 Limitados recursos económicos 3 2

R23 Retrasos en el seguimiento del

cronograma

2 2

R24 Daños del sistema 3 3

R24 Limitados recursos físicos 3 2

R26 Inconvenientes en el análisis de

requerimientos

2 4

Ordenamiento y priorización de los riesgos de la probabilidad y el impacto

Posterior a la categorización de los riesgos es necesario armar la matriz de impacto vs

probabilidad para que otorgue como resultado la estimación del nivel de riesgo de cada

uno de los proyectos de TI, además de permitir catalogar dentro de un ranking de

riesgos asociados a los proyectos de TI.

La matriz se basa en la ecuación siguiente:

𝑅𝑖𝑒𝑠𝑔𝑜𝑠 = 𝐼𝑚𝑝𝑎𝑐𝑡𝑜 ∗ 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑

120

Además de ello es importante considerar los colores para representar el nivel de riesgo:

Color Nivel riesgo

Verde Riesgo bajo

Amarillo Riesgo medio

Rojo Riesgo Alto

Proyecto 1:

R2, R5

R4 R1,R3

R6

1 2 3 4

PROBABILIDAD

Figura 66. Matriz de gestión de riesgos- Proyecto1

Proyecto 2:

R13

R8,R11

R10 R7,R9

R12

1 2 3 4

PROBABILIDAD

Figura 67. Matriz de gestión de riesgos- Proyecto 2

Proyecto 3:

R15

R17,

R18

R14, R16,

R19

1 2 3 4

PROBABILIDAD

Figura 68. Matriz de gestión de riesgos- Proyecto 3

4

3

2

1

4

3

2

1

4

3

2

1

121

Proyecto 4:

R26

R24 R21,

R23 R20,

R22,

R25

1 2 3 4

PROBABILIDAD

Figura 69. Matriz de gestión de riesgos- Proyecto 4

Una vez aplicada la matriz de riesgo para cada uno de los planes se permite priorizar los

riesgos considerados como de primer orden, que son los que están dentro del color

amarillo y rojo, los cuales son los que se deben considerar en la gestión del plan de

reducción, supervisión y gestión de riesgos.

Riesgos de primer orden: R2, R5, R13, R15, R21, R26

Los riesgos de segundo orden son los que se ubican en el color verde, pero estos no son

considerados debido a que sus valores de probabilidad e impacto son bajos

Riesgos de segundo orden: R1, R3, R4, R5, R6, R7, R8, R9, 10, R11, R12, R14, R16,

R17, R18, R19, R20, R22, R23, R24, R25

Plan de gestión de riesgos

A continuación se realizan las evaluaciones y se establecen las soluciones para los

riesgos detectados.

4

3

2

1

122

Tabla 31. Plan de reducción, supervisión y gestión de riesgo. R2, R15, R21

Plan de reducción, supervisión y gestión de riesgo ID: R2, R15, R21

Probabilidad

Critico

Riesgo mediano

Descripción

Limitado recurso humano

Predicción

Debido a que con se cuenta con el personal calificado para la administración de los

sistemas informáticos no se puede aprovechar de forma adecuado la implementación de

las soluciones.

Reducción

Se debe realizar un adecuado plan de contratación de personal, con conocimientos

previos para el manejo de los sistemas. Además de definir las responsabilidades que

van a tener cada uno de ellos.

Tabla 32. Plan de reducción, supervisión y gestión de riesgo. R5

Plan de reducción, supervisión y gestión de riesgo ID: R5

Probabilidad

Mediano

Impacto

Crítico

Descripción

Daños del sistema

Predicción

Una falla en el sistema representa daños importantes para la organización, debido a que

puede generar la pérdida de información valiosa.

Reducción

Es necesario sacar respaldos de la información para garantizar la funcionalidad del

sistema en el momento que se requiera.

Es importante establecer planes de mantenimiento preventivo tanto de hardware como

de software para minimizar fallas del sistema.

123

Tabla 33. Plan de reducción, supervisión y gestión de riesgo. R13

Plan de reducción, supervisión y gestión de riesgo ID: R13

Probabilidad

Mediana

Riesgo

Catastrófico

Descripción

Capacitación inadecuada

Predicción

El personal que no se encuentra capacitado puede generar retrasos en la ejecución del

proyecto, lo cual incurre en gastos adicionales.

Reducción

Es necesario realizar una capacitación adecuada al personal que va a estar relacionado

con el desarrollo del proyecto para de esa forma garantizar el alcance de los objetivos

establecidos.

Tabla 34. Plan de reducción, supervisión y gestión de riesgo. R5

Plan de reducción, supervisión y gestión de riesgo ID: R5

Probabilidad

Mediana

Riesgo

Catastrófico

Descripción

Capacitación inadecuada

Predicción

El personal que no se encuentra capacitado puede generar retrasos en la ejecución del

proyecto, lo cual incurre en gastos adicionales.

Reducción

Es necesario realizar una capacitación adecuada al personal que va a estar relacionado

con el desarrollo del proyecto para de esa forma garantizar el alcance de los objetivos

establecidos.

124

Tabla 35. Plan de reducción, supervisión y gestión de riesgo. R26

Plan de reducción, supervisión y gestión de riesgo ID: 26

Probabilidad

Baja

Riesgo

Catastrófico

Descripción

Inconvenientes en el análisis de requerimientos

Predicción

El inadecuado análisis de los requerimientos del proyecto generan retrasos en la

ejecución del mismo, pues es la parte fundamental y pinto de partida del mismo.

Reducción

Dedicar un tiempo considerable para realizar el análisis de requerimientos funcionales

y no funciones de cada proyecto que se va a implementar.

Utilizar técnicas sofisticadas y veraces para recolección de información que permitan

plasmar los requerimientos necesarios para la ejecución del proyecto.

125

CAPÍTULO V

CONCLUSIONES Y RECOMENDACIONES

5.1 CONCLUSIONES

De acuerdo al análisis realizado, el sistema organizacional que maneja

Importadora Alvarado no garantiza confianza en cuanto a veracidad de la

información, ya que muchos procesos se realizan de manera manual, por tal

motivo el nivel de seguridad para salvaguardar la información no es adecuado,

además de que el departamento de sistemas no cuenta con políticas y

procedimientos definidos de manera correcta para garantizar el perfecto

desempeño de cada proceso, así también el personal no es capacitado

constantemente, por el cual se considera importante desarrollar un plan de

capacitación continua dentro del plan estratégico de la empresa.

Con la aplicación del proceso COBIT se pudo determinar que el departamento

de Sistema de Importadora Alvarado presenta un nivel bajo en cuanto a la

administración del recurso humano, no realiza la orientación necesaria al

momento de la contratación del personal, de igual forma para adquirir un

software aplicativo no se considera las directivas tecnológicas ni la arquitectura

de información de la organización, por lo que se menciona que a pesar de que se

han sido definidos los procesos, aún existen algunos que se están ejecutando de

forma intuitiva, motivo por el cual se debe buscar el incremento de sus grados de

madurez.

Entre las estrategias y necesidades futuras en tecnología que apoyen la gestión,

administración y organización de recursos, procesos e infraestructura en

Importadora Alvarado S.A se puede mencionar el llevar un adecuado control de

los sistemas informáticos, para lo cual se necesita realizar una investigación

detallada de las causas que generan alteraciones en los servicios de TI.

126

Es evidente la necesidad de implementar un plan estratégico de TI como una

herramienta de administración, supervisión y control para dar solución a los

problemas que se presentan en Importadora Alvarado, con el establecimiento de

objetivos específicos y estrategias que influencien en el ambiente interno y

externo de la organización, en los organismos reguladores, supervisores,

clientes, proveedores, entre otros.

127

5.2. RECOMENDACIONES

Es importante que Importadora Alvarado ponga en práctica su plan estratégico

de Servicios de TI a través de la gestión de proyectos para involucrar de manera

activa al gobierno de TI, los miembros y a los clientes, haciendo los procesos

más eficientes y efectivos.

Es importante que los planes de acción establecidos para mejorar y cubrir las

debilidades detectadas en Importadora Alvarado sean ejecutados de acuerdo a

una planificación estricta para el fortalecimiento de la capacidad humana y

organizacional.

Es necesario realizar una evaluación permanente del plan estratégico de TI con

la finalidad de asegurar su correspondencia con los objetivos empresariales,

además de detectar las deficiencias en el mismo y realizar los ajustes pertinentes

que garanticen credibilidad y confianza de los clientes.

Una vez que se pone en marcha el plan estratégico de TI se debe evaluar

nuevamente y determinar el nivel de madurez de la empresa para identificar

nuevamente la situación actual de la gestión del área de TI en un tiempo menor a

un año.

128

BIBLIOGRAFÍA

[1] D. Hernández, D. Pérez, E. León, M. Infante y J. Blanco, «Propuesta de proceso de

planificación de sistemas de información para la industria biofarmacéutica

cubana,» Revista Cubana de Información en Ciencias de la Salud, vol. 27, nº 2, pp.

185-205, 2016.

[2] M. Pérez, «Aplicación de la metodología ITIL para impulsar la gestión de TI en

empresas del Norte de Santander (Colombia),» Revista Espacios, vol. 39, nº 9,

2017.

[3] A. Caicedo, Diseño de un plan estratégico de sistemas de información aplicando

metodologías internacionaes de planificación para el área de desarrollo del

departamento de tecnología de la información y comunicación (TIC) de la PUCE

sede Esmeraldas, Esmeraldas: PUCESE, 2018.

[4] G. Steiner, Planeación estratégica, 23 ed., México: Reimpresión, Cecsa, 1998, p.

366.

[5] M. Ojeda, «La planificación estratégica en las instituciones de educación superior

mexicana,» Revista de Investigación Educativa 16, pp. 120-129, 2013.

[6] O. Solano, S. Riasco y A. Aguilera, «Determinantes de los planes estratégicos de

los sistemas de información en las pymes colombianas: Caso Santiago de Cali,»

Entramado, vol. 9, nº 1, pp. 26-36, 2013.

[7] D. De la Cruz, «Planificación Estratégica,» Escuela de Organización Industrial, p.

2, Febrero 2012.

[8] M. Armijo, Manual de Planificación Estratégica e Indicadores de Desempeño en el

Sector Público, Nueva York: Instituto Latinoamericano de Planificación

Económica y Social, 2009.

[9] U. Cuesta, Planificación estratégica y creatividad, Madrid: Escuela de negocios y

Centro Universitario, 2012, p. 35.

[10] M. Oviedo, A. Medina, E. Negrín y D. Carpio, La Planificación Operativa con

Enfoque en Procesos para Las Universidades del Ecuador, Babahoyo: Universidad

Técnica de Babahoyo, 2017, p. 10.

[11] F. González, La Planificación Estratégica: Métodos, Técnicas y Buenas Prácticas,

Ronda, Andalucia: Madeca, 2014, p. 10.

129

[12] M. López, Planeación Estratégica un Pilar en la Gestión Empresarial, Sonora:

Instituto Tecnológico de Sonora, 2013, pp. 15-17.

[13] O. Rivera, Los conceptos de Misión, Visión y propósito estratégico, Deusto:

Universidad de Deusto, 2011, p. 2.

[14] C. Ordoñez, Misión, Visión y Valores de la Empresa, Santiago de Chile: Liceo

Sara Blinder Dargoltz, 2015, p. 3.

[15] C. Stoltze, Análisis Estratégico del Negocio, P. U. C. d. Valparaíso, Ed.,

Valparaiso: Ediciones Univeritarias de Valparaíso, 2014, p. 12.

[16] G. Tapia, Indicadores y Planificación Estratégica, Buenos Aires: Universidad de

Buenos Aires, 2011, p. 5.

[17] G. Cano, «Las TICs en las Empresas: Evolución de la Tecnología y Cambio

Estructural en las Organizaciones,» Revista Científica Dominio de las Ciencias,

vol. 4, nº 1, p. 502, Enero 2018.

[18] C. Belloch, Las Tecnologías de la Información y Comunicación (T.I.C), Valencia:

Universidad de Valencia, 2006, p. 7.

[19] D. Oliveros y G. M. Martinez, «Efecto de las TIC Sobre la Gestión de las

Empresas Hoteleras Afiliadas a Cotelco de Bucaramanga,» Revistas EAN, vol. 83,

pp. 15-30, Diciembre 2017.

[20] D. Díaz, Tecnologías de información y Comunicaciones (TICs) y su rol en la

Innovación, Universidad de Chile, 2015, pp. 5-7.

[21] A. Durán y J. Vargas, Costo de Tecnología de Información y Comunicación para

Cooperativas de Ahorro y Crédito, Berlín: Confederación Alemana de

Cooperativas, 2013, pp. 5-7.

[22] M. Olarte y P. Peyrin, Sistema de Información estratégicos y Tecnologías de

Información, Primavera: Universidad de Chile, 2004.

[23] M. Velásquez, P. Castillo y M. Zambrano, «Planificación estratégica de

tecnologías de la información y comunicación,» Revista Científica de dominio de

ciencias, vol. 2, nº 4, pp. 560-570, 2016.

[24] S. Testa, Plan estrégico de desarrollo sostenible en red para Roraima, Brasil:

Enciclopedia virtual, 2012.

[25] F. U. Empresa, Protoyecto de planificación estratégica, Murcia, 2010.

130

[26] E. Martínez y J. García, «Sistemas informáticos de innovación empresarial,»

Revista ECORFAN, vol. 2, nº 5, pp. 109-131, 2011.

[27] Universidad EAFIT, COBIT: Modelo para auditoría y control de sistemas de

información, Medellín, 2007.

[28] Á. Almanza, La aplicación de COBIT en las Organizaciones ¿Vale la pena el

esfuerzo?, Bogotá D.C: Universidad Militar de Nueva Granada, 2012.

[29] Ingeniería y Soporte IT, «COBIT y los controles de aplicaciòn,» Interpolados,

febrero 05 2017. [En línea]. Available:

https://interpolados.wordpress.com/2017/02/05/cobit-y-los-controles-de-

aplicacion/. [Último acceso: 05 25].

[30] Governance Institute, COBIT: Marco Referencial, Tercera ed., Comité Directivo de

COBIT e IT Governance Institute, 2010, pp. 17-18.

[31] B. Naranjo, Diagnóstico para la implementación de COBIT en una empresa de

producción área piloto: Departamento de sistemas, Guayaquil: Universidad

Politécnica Salesiana, 2012.

[32] D. Cadena, Desarrollo del plan estratégico de Servicios de TI para la acción

comunicacional del Colegio de Ingenieros en informáica, sistemas y computación

de Pichincha (CIISP) para sus socios, Quito: Pontificia Universidad Católica del

Ecuador, 2016.

[33] A. Ezequiel, Introducción a la planificación, Buenos Aires - México: Grupo

Editorial Lumen Hvmanitas, 2007, p. 206.

[34] Ministerio de Telecomunicaciones y de la Sociedad de la Información, Ecuador

cuenta con una propuesta de plan estratégico de investigación, desarrollo e

innovación de las TICs..

[35] T. Alvarado, Metología para Elaborar un Plan Estratégico y Rediseño

Organizacional de una Unidad de Producción Agropecuaria, Torreon: La Unidad

Laguna, Forataleza de la Narro, 2010, p. 5.

131

ANEXOS

ANEXO 1.EVALUACIÓN POR PROCESOS

DOMINIOS PROCESOS

#

OBJETIVOS %

PLANEAR Y

ORGANIZAR

PO1 - Definir un Plan Estratégico de TI 6 97%

PO2 - Definir la Arquitectura de la Información 4 80%

PO3 - Determinar la Dirección Tecnológica 5 70%

PO4 - Definir los Procesos, Organización y

Relaciones de TI 15 79%

PO5 - Administrar la Inversión en TI 5 65%

PO6 - Comunicar las Aspiraciones y la Dirección de

la Gerencia 5 100%

PO7 - Administrar Recursos Humanos de TI 8 40%

PO8 - Administrar la Calidad 6 0%

PO9 - Evaluar y Administrar los Riesgos de TI 6 0%

PO10 - Administrar Proyectos 14 94%

ADQUIRIR E

IMPLEMENT

AR

AI1 - Identificar soluciones automatizadas 4 94%

AI2 - Adquirir y mantener software aplicativo 10 88%

AI3 - Adquirir y mantener infraestructura tecnológica 4 96%

AI4 - Facilitar la operación y el uso 4 94%

AI5 - Adquirir recursos de TI 4 100%

AI6 - Administrar cambios 5 83%

AI7 - Instalar y acreditar soluciones y cambios 9 100%

ENTREGAR Y

DAR

SOPORTE

DS1 - Definir y administrar los niveles de servicio 6 87%

DS2 - Administrar los servicios de terceros 4 67%

DS3 - Administrar el desempeño y la capacidad 5 50%

DS4 - Garantizar la continuidad del servicio 10 17%

DS5 - Garantizar la seguridad de los sistemas 11 73%

DS6 - Identificar y asignar costos 4 100%

DS7 - Educar y entrenar a los usuarios 3 100%

DS8 - Administrar la mesa de servicio y los

incidentes 5 91%

DS9 - Administrar la configuración 3 64%

DS10 - Administrar los problemas 4 40%

DS11 - Administrar los datos 6 100%

DS12 - Administrar el ambiente físico 5 100%

DS13 - Administrar las operaciones 5 70%

MONITOREA

R Y

EVALUAR

ME1 - Monitorear y Evaluar el Desempeño de TI 6 50%

ME2 - Monitorear y Evaluar el Control Interno 7 56%

ME3 - Garantizar el Cumplimiento Regulatorio 5 100%

ME4 - Proporcionar Gobierno de TI 7 66,66

132

Anexo 2. Formato de la encuesta

UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E

INDUSTRIAL

ENCUESTA DIRIGIDA AL PERSONAL DE TI DE IMPORTADORA ALVARADO

1.- ¿Tiene definido un plan estratégico de TI y este se encuentra alineada con las

necesidades de la empresa?

Si

Parcialmente

No

2.- ¿Tiene definida su arquitectura de la información?

Si

Parcialmente

No

3.- ¿Tiene definido un marco de trabajo de procesos para TI?

Si

Parcialmente

No

4.- ¿El presupuesto que se invierte para los procesos y operaciones de TI es el óptimo?

Si

Parcialmente

No

5.- ¿Tiene implementado políticas de TI?

Si

Parcialmente

No

6.¿Con que frecuencia son renovadas dichas políticas de TI?

Frecuentemente

A veces

Casi nunca

133

7.- ¿El personal de TI es capacitado continuamente?

Si

Parcialmente

No

8.- ¿Los proyectos que se están desarrollando actualmente se encuentran dentro del plan

Organizacional de la empresa?

Si

Parcialmente

No

9.- Previo a la adquisición o ejecución de una solución automatizada, ¿Se realiza un

estudio de factibilidad?

Si

Parcialmente

No

10.- ¿Con que frecuencia se realizan cambios de emergencia en la infraestructura de TI,

aplicaciones y soluciones técnicas?

Mucha Frecuencia

A veces

Poca Frecuencia

11.- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se

completa. ¿En la empresa se establecen metodologías de prueba para garantizar la

aceptación del producto por parte del cliente interno previo a su liberación?

Si

Parcialmente

No

134

12.- ¿La gerencia se encarga de realizar la evaluación formal y la aprobación de los

resultados de prueba?

Si

Parcialmente

No

13.- ¿El nivel de seguridad para salvaguardar la información contra el uso, revelación o

modificación no autorizada, deterioro o pérdida es el adecuado?

Si

Parcialmente

No

14.- ¿Los servicios de TI utilizan un sistema de contabilidad de costos para asegurar que

los costos sean registrados, calculados y asignados al nivel requerido de detalle?

Si

Parcialmente

No

15- ¿La empresa cuenta con un repositorio central que contenga toda la información

referente a los elementos de configuración?

Si

Parcialmente

No

16.- Proporciona reportes administrativos del desempeño de TI a la alta dirección?

Si

Parcialmente

No

¡GRACIAS POR SU COLABORACIÓN!