• No se han encontrado resultados

Modelo de integración de buenas prácticas para la gestión de TI - caso sector financiero colombiano

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Modelo de integración de buenas prácticas para la gestión de TI - caso sector financiero colombiano"

Copied!
148
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 148 página )

Texto completo

(1)MODELO DE INTEGRACIÓN DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE TI: CASO SECTOR FINANCIERO COLOMBIANO Documento presentado por: Jimmy Andrey Sánchez Bustos. al Departamento de Ingeniería de Sistemas y Computación Como requisito para la obtención del grado de Magister en Ingeniería de Sistemas y Computación. Universidad de los Andes Bogotá, Colombia Diciembre 2010. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(2) DEDICATORIA A mis padres, a mis hermanos y a mi novia Diana Carolina, por su apoyo moral pero sobre todo por su paciencia y comprensión.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(3) AGRADECIMIENTOS A mis asesoras Olga Lucia Giraldo y Andrea Herrera por su dedicación y asesoría en esta investigación. Al Banco A por su buena voluntad, tiempo y colaboración en la aplicación del caso de estudio.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(4) MODELO DE INTEGRACIÓN DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE TI: CASO SECTOR FINANCIERO COLOMBIANO. RESUMEN Autor: JIMMY ANDREY SÁNCHEZ BUSTOS Asesoras: OLGA LUCÍA GIRALDO ANDREA HERRERA Diversas investigaciones han mostrado que la incorporación de buenas prácticas en conceptos como el gobierno de TI, la gestión de riesgos de TI y el rol del CIO, genera valor a partir de TI en las organizaciones. En esta investigación se analizan los tres componentes anteriores (gobierno de TI, gestión de riesgos de TI y el rol del CIO), para construir una visión holística de TI en una organización. Para cada componente primero se describe el estado del arte a través de marcos de referencia que se comparan mediante la aplicación de herramientas desarrolladas en investigaciones previas. De acuerdo a los resultados obtenidos se propone un esquema de integración entre los elementos pertenecientes al marco central de cada componente y a partir de estos se plantea el modelo de integración de los tres componentes. Posteriormente se aplica el modelo en una empresa del sector financiero colombiano, mediante la utilización del instrumento desarrollado para estudiar las buenas prácticas para la gestión de TI, analizando las relaciones existentes y ausentes respecto al modelo propuesto, a partir de lo cual se verifican los mecanismos de mejora relacionados y con base en estos se realiza un análisis DOFA con el fin de generar valor de TI para la organización. Los resultados de la aplicación del modelo en el Banco A muestran 33 de las 47 relaciones del modelo propuesto, lo cual equivale a un 70% y da una calificación medio-alta para la gestión de TI al interior de la organización. Las relaciones que no están presentes para el caso de estudio en su mayoría forman parte de los mecanismos de mejora de Estrategias para el Gobierno de TI y de los Riesgos de TI, Estrategias para la Gestión de la Cultura Organizacional Respecto a TI y Estrategias para la Alineación del Rol del CIO con los Objetivos Primarios de la Organización.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(5) ÍNDICE GENERAL MODELO DE INTEGRACIÓN DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE TI: CASO SECTOR FINANCIERO COLOMBIANO ...................................................................................................... 1 DEDICATORIA ................................................................................................................................................ 2 AGRADECIMIENTOS ..................................................................................................................................... 3 RESUMEN......................................................................................................................................................... 4 ÍNDICE GENERAL .......................................................................................................................................... 5 ÍNDICE DE FIGURAS...................................................................................................................................... 7 ÍNDICE DE CUADROS .................................................................................................................................... 8 PARTE A ........................................................................................................................................................... 9 ARTÍCULO TESIS I ....................................................................................................................................... 10 ARTÍCULO FINAL ........................................................................................................................................ 17 PRESENTACIÓN ........................................................................................................................................... 26 PARTE B ......................................................................................................................................................... 44 CAPÍTULO 1 – INTRODUCCIÓN ................................................................................................................ 45 1.1 1.2 1.3 1.4 1.5 1.6. ANTECEDENTES ............................................................................................................................ 45 JUSTIFICACIÓN ............................................................................................................................. 46 OBJETIVO GENERAL Y ESPECÍFICOS ............................................................................................. 47 ALCANCE ..................................................................................................................................... 47 METODOLOGÍA ............................................................................................................................. 48 RESULTADOS OBTENIDOS ............................................................................................................ 48. CAPÍTULO 2 - MARCO TEÓRICO .............................................................................................................. 50 2.1 GOBIERNO DE TI .......................................................................................................................... 50 2.1.1 Estado del Arte de Gobierno de TI: Los Diferentes Marcos de Referencia ....................... 50 2.1.2 Análisis para la Selección del Marco de Gobierno de TI .................................................. 52 2.1.3 Elementos del Marco Seleccionado y su Esquema de Integración .................................... 52 2.2 GESTIÓN DE R IESGOS DE TI.......................................................................................................... 55 2.2.1 Estado del Arte de Gestión de Riesgos de TI: Los Diferentes Marcos de Referencia........ 55 2.2.2 Análisis para la Selección del Marco de Gestión de Riesgos de TI ................................... 57 2.2.3 Elementos del Marco Seleccionado y su Esquema de Integración .................................... 57 2.3 ROL DEL CIO ............................................................................................................................... 60 2.3.1 Estado del Arte del Rol del CIO: Los Diferentes Modelos de Evolución [15]................... 60 2.3.2 Elementos del Modelo Seleccionado y su Esquema de Integración................................... 65 2.4 CONCLUSIONES DEL MARCO TEÓRICO ......................................................................................... 67. CAPÍTULO 3 - MODELO DE INTEGRACIÓN PARA LA GENERACIÓN DE VALOR DE TI .............. 68 3.1 3.2 3.3 3.4. MODELO DE INTEGRACIÓN PROPUESTO ....................................................................................... 68 IDENTIFICACIÓN DE MECANISMOS DE MEJORA ............................................................................ 70 IDENTIFICACIÓN DE C LÚSTERS Y C LASIFICACIÓN DE LOS MECANISMOS DE MEJORA ................... 71 INSTRUMENTO .............................................................................................................................. 74. CAPÍTULO 4 – CAMPO DE APLICACIÓN: SECTOR FINANCIERO COLOMBIANO ......................... 75. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(6) 4.1 MODELO DEL SECTOR FINANCIERO COLOMBIANO [30]................................................................ 75 4.1.1 Establecimientos de Crédito .............................................................................................. 76 4.1.2 Aseguradoras e Intermediarios de Seguros ....................................................................... 76 4.1.3 Filiales Especializadas de Servicios Financieros .............................................................. 76 4.1.4 Banca Central – Banco de la República ............................................................................ 77 4.1.5 Intermediarios de Valores y otros Agentes ........................................................................ 77 4.1.6 Entes de Control y Vigilancia ............................................................................................ 78 4.1.7 Otras Entidades ................................................................................................................. 78 4.2 LEGISLACIÓN DEL SECTOR FINANCIERO COLOMBIANO [30] ........................................................ 78 4.2.1 Sarbanes-Oxley (SOX) ....................................................................................................... 79 4.2.2 Basel II ............................................................................................................................... 80 4.2.3 Circular 014 de la Superintendencia Financiera de Colombia ......................................... 80 4.2.4 Circular 052 de la Superintendencia Financiera de Colombia ......................................... 81 4.3 PAPEL DE TI EN EL SECTOR FINANCIERO COLOMBIANO [11] ....................................................... 81 4.4 CASO DE ESTUDIO ........................................................................................................................ 84 4.4.1 Aplicación y Resultados ..................................................................................................... 84. CAPÍTULO 5 - CONCLUSIONES Y TRABAJOS FUTUROS ................................................................... 119 5.1 5.2 5.3 5.4. CONCLUSIONES DEL CASO DE ESTUDIO ...................................................................................... 119 CONCLUSIONES DEL INSTRUMENTO DESARROLLADO ................................................................ 120 CONCLUSIONES DEL MODELO DE INTEGRACIÓN PROPUESTO ..................................................... 121 TRABAJOS FUTUROS ................................................................................................................... 122. BIBLIOGRAFÍA ........................................................................................................................................... 123 ANEXOS ........................................................................................................................................................ 126 ANEXO I. MAPA CONCEPTUAL DEL MARCO TEÓRICO GENÉRICO ........................................................ 126 ANEXO II. MAPA CONCEPTUAL DEL MARCO TEÓRICO ESPECÍFICO ..................................................... 127 ANEXO III. MATRIZ DE COMPARACIÓN DE MARCOS DE GOBIERNO DE TI ........................................... 128 ANEXO IV. DIAGRAMA DE COMPARACIÓN DE MARCOS DE GOBIERNO DE TI ...................................... 130 ANEXO V. MATRIZ DE COMPARACIÓN DE MARCOS DE GESTIÓN DE R IESGOS DE TI............................ 131 ANEXO VI. DIAGRAMA DE COMPARACIÓN DE MARCOS DE GESTIÓN DE R IESGOS DE TI ..................... 132 ANEXO VII. DESCRIPCIÓN DE LAS RELACIONES PRESENTES EN EL MODELO Y LOS MECANISMOS DE MEJORA IDENTIFICADOS ............................................................................................................................................................ 133 ANEXO VIII. INSTRUMENTO DESARROLLADO PARA EL CIO ................................................................ 140 ANEXO IX. INSTRUMENTO DESARROLLADO PARA EL PERSONAL DE TECNOLOGÍA .............................. 143 ANEXO X. INSTRUMENTO DESARROLLADO PARA EL PERSONAL DE NEGOCIO ..................................... 145 ANEXO XI. DESCRIPCIÓN DE LOS RESULTADOS O BTENIDOS PARA LOS MECANISMOS DE MEJORA DEL BANCO A 147. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(7) ÍNDICE DE FIGURAS Figura 1 - Esquema de Integración Propuesto para los Elementos del Marco de Gobierno de TI del CISR .......... 54 Figura 2 - Esquema Propuesto para la Integración entre los Elementos del Marco de Gestión de Riesgos de TI 4A .......................................................................................................................................................................... 59 Figura 3 - Modelo de Estado Futuro del CIO Extendido [26] .............................................................................. 60 Figura 4 - Modelo de IBM [9] ............................................................................................................................ 62 Figura 5 - Representación del Modelo del Estado Futuro del CIO Extendido [15]............................................... 63 Figura 6 - Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación [15] ..................................... 64 Figura 7 - Esquema Propuesto para la Integración entre los Elementos del Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación............................................................................................................. 66 Figura 8 - Modelo Propuesto para la Integración de Gobierno de TI y Gestión de Riesgos de TI......................... 68 Figura 9 - Modelo Propuesto para la Integración de Gobierno de TI y el Rol del CIO ......................................... 69 Figura 10 - Modelo Propuesto para la Integración de Gestión de Riesgos de TI y el Rol del CIO ........................ 69 Figura 11 - Principios Fundamentales para una Exitosa Implementación de TI [17] ............................................ 70 Figura 12 - Niveles de Calidad Utilizados en el Instrumento [24] ....................................................................... 74 Figura 13 - Principales Actores del Sector Financiero Colombiano [30] ............................................................. 76 Figura 14 - Nivel de Competencias Líder Banco A............................................................................................. 85 Figura 15 - Nivel de Responsabilidades Líder Banco A ...................................................................................... 86 Figura 16 - Portafolio de TI Banco A ................................................................................................................. 88 Figura 17 - Modelo Operativo Banco A ............................................................................................................. 89 Figura 18 – Esquema de Integración de Gobierno de TI Banco A ....................................................................... 90 Figura 19 – Esquema de Integración de Gestión de Riesgos de TI Banco A ........................................................ 93 Figura 20 – Esquema de Integración del Rol del CIO Banco A........................................................................... 96 Figura 21 - Modelo de Integración de Gobierno de TI y Gestión de Riesgos de TI Banco A ............................... 98 Figura 22 – Modelo de Integración de Gobierno de TI y Rol del CIO Banco A................................................. 102 Figura 23 - Modelo de Integración de Gestión de Riesgos de TI y Rol del CIO Banco A .................................. 106 Figura 24 – Resultado Consolidado Banco A ................................................................................................... 110 Figura 25 – Marco de Referencia de Valor Propuesto por el CISR del MIT [46]............................................... 115 Figura 26 – Matriz DOFA Banco A ................................................................................................................. 117. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(8) ÍNDICE DE CUADROS Tabla 1 - Comparación entre Marcos de Gobierno de TI .................................................................................... 51 Tabla 2 - Comparación entre Marcos de Gestión de Riesgos de TI ..................................................................... 56 Tabla 3 - Clasificación de los Mecanismos de Mejora en Tipos .......................................................................... 71 Tabla 4 - Clasificación de los Mecanismos de Mejora en Clústers ...................................................................... 72 Tabla 5 - Papel de TI en el Sector Financiero Colombiano [11] .......................................................................... 82 Tabla 6 - Porcentajes de Tiempo del Personal en la Organización y en el Cargo Actual ...................................... 84 Tabla 7 – Arquetipos de Gobierno Banco A ....................................................................................................... 86 Tabla 8 - Matriz de Elementos de Gobierno de TI Banco A ................................................................................ 93 Tabla 9 - Matriz de Elementos de Gestión de Riesgos de TI Banco A................................................................. 95 Tabla 10 - Matriz de Elementos del Rol del CIO Banco A.................................................................................. 98 Tabla 11 - Matriz de Elementos de Gobierno de TI vs. Gestión de Riesgos de TI Banco A ............................... 100 Tabla 12 - Matriz de Mecanismos de Mejora Gobierno de TI vs. Gestión de Riesgos de TI Banco A ................ 101 Tabla 13 - Matriz de Elementos de Gobierno de TI vs. Rol del CIO Banco A ................................................... 103 Tabla 14 - Matriz de Mecanismos de Mejora Gobierno de TI vs. Rol del CIO Banco A .................................... 105 Tabla 15 - Matriz de Elementos de Gestión de Riesgos de TI vs. Rol del CIO Banco A .................................... 108 Tabla 16 - Matriz de Mecanismos de Mejora Gestión de Riesgos de TI vs. Rol del CIO Banco A ..................... 109 Tabla 17 – Resultados Obtenidos para los Mecanismos de Mejora del Banco A ............................................... 112 Tabla 18 - Matriz de Elementos del Modelo vs. Compromisos del Marco de Referencia de Valor del CISR para el Banco A .......................................................................................................................................................... 116. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(9) PARTE A. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(10) ARTÍCULO TESIS I. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(11) Modelo de Integración de Buenas Prácticas para la Gestión de TI Jimmy Andrey Sánchez Bustos. Andrea Herrera. Olga Lucía Giraldo. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. RESUMEN Diversas investigaciones han mostrado que la incorporación de buenas prácticas en conceptos tales como el gobierno de TI, la gestión de riesgos de TI y el rol del CIO, genera valor a partir de TI en las organizaciones [1], [2] y [3]. En este artículo se analizan los tres componentes anteriores (gobierno de TI, gestión de riesgos de TI y el rol del CIO), para construir una visión holística de TI en una organización. Para cada componente primero se describe el estado del arte a través de marcos de referencia que se comparan mediante la aplicación de herramientas desarrolladas en investigaciones previas [4], [5] y [6]. De acuerdo a los resultados obtenidos se propone un esquema de integración entre los elementos pertenecientes al marco central de cada componente y a partir de los esquemas de integración propuestos se plantea el modelo de integración de los tres componentes. Dentro de los resultados parciales obtenidos se encuentra primero el desarrollo de un proceso definido y repetible para el análisis de los componentes considerados relevantes en la gestión de TI y segundo un proceso definido y repetible para el desarrollo del modelo de integración de los componentes. Para el primer proceso se construye una matriz de comparación de marcos del componente y se propone una calificación cuantitativa para la selección de un marco central. En el caso de los componentes analizados hasta este punto (gobierno de TI y gestión de riesgos de TI) se emplean herramientas desarrolladas en investigaciones previas. Para el segundo proceso se describen y analizan las relaciones encontradas entre los componentes, posteriormente para cada relación se hallan una serie de mecanismos de mejora y finalmente estos son clasificados en clústers con características comunes.. Palabras Clave Modelo de Integración, Buenas Prácticas, Gestión de TI, Generación de Valor de TI, Gobierno de TI, Gestión de Riesgos de TI, Rol del CIO.. 1. INTRODUCCIÓN En un mundo globalizado y altamente competitivo como el de hoy en día, las empresas están siendo obligadas a buscar nuevas y mejores oportunidades de negocio [7]. Razón por la cual la tendencia de los últimos años ha sido el aumento en el uso de tecnologías de información (TI). Esto se ve reflejado en un estudio realizado por la firma IDATE donde se asevera que en el año 2008 el mercado de TI tuvo un aumento del 4.8% respecto al año anterior, tras varios años con un crecimiento del 6% o superior (situación originada por la crisis económica mundial) [7].. Estas cifras que si bien muestran una disminución en el último año, apalancan la utilización de TI dentro de las organizaciones, principalmente con el fin de proporcionar consistencia con los objetivos establecidos dentro de éstas. Todo esto ha derivado en un gran impacto de TI en el mundo corporativo. Por tal razón las empresas han empezado a incorporar buenas prácticas para la adecuada gestión de TI, las cuales han surgido de numerosas investigaciones realizadas por reconocidas instituciones a nivel mundial. Entre estas investigaciones se destacan las del CISR (Center for Information Systems Research) del MIT (Massachusetts Institute of Technology) Sloan School of Management, las del ITGI (IT Governance Institute) y las de la OGC (Office of Government Commerce), entre otras. Estas instituciones se han encargado de desarrollar conceptos que fortalecen el desempeño de TI dentro de las organizaciones, tales como el Gobierno de TI, la Gestión de Riesgos de TI y el Rol del CIO. Estos conceptos son el objeto principal de esta investigación y son denominados componentes. La necesidad de optimizar el uso de TI dentro de las organizaciones conduce a la incorporación de dichos componentes. El aislamiento de estos componentes no permite tener una visión holística de TI dentro de las empresas. Esta visión parcial es crítica para una apropiada gestión de TI en importantes sectores de la economía nacional. El artículo presenta inicialmente el marco teórico del Gobierno de TI, la Gestión de Riesgos de TI y el Rol del CIO. Posteriormente se plantea el modelo de integración entre los componentes mencionados anteriormente. Finalmente se presentan las conclusiones parciales del desarrollo de esta investigación y los trabajos futuros correspondientes.. 2. MARCO TEÓRICO En esta sección, para los componentes definidos se presenta su estado del arte a través de algunos de los marcos existentes, se selecciona un marco central a trabajar y se propone un esquema de integración entre los diferentes elementos de ese marco. Se comienza por el gobierno de TI, continuando con la gestión de riesgos de TI y finalizando con el rol del CIO. A continuación se presentan los marcos de trabajo de cada componente. Estos sirven como referencia para el desarrollo de esta investigación, así como para justificar la selección de un marco como eje central y un esquema de integración de los diferentes elementos que componen el marco seleccionado.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(12) 2.1 Gobierno de TI 2.1.1 Estado del Arte de Gobierno de TI: Los Diferentes Marcos de Referencia Como se menciona en la Introducción, existen diferentes marcos de referencia alrededor del gobierno de TI, entre los cuales se encuentran: a). b). c). CISR: Basado en el libro IT Governance: How top performers manage IT decision rights for superior results de Weill y Ross. [1] COBIT: Control Objectives for Information and related Technology, desarrollado por el ITGI (IT Governance Institute). [8] ITIL: Information Technology Infrastructure Library, desarrollado por la OGC (Office of Government Commerce). [9]. Para realizar la comparación de los tres marcos se utiliza la herramienta propuesta en [4], la cual proporciona una valoración cuantitativa donde el marco correspondiente al CISR obtiene una calificación del 85%, mientras que COBIT obtiene el 69% e ITIL el 66%. [10]. 2.1.3 Elementos del Marco Seleccionado y su Esquema de Integración El marco seleccionado consta de los siguientes elementos principales [1]: a). b). c). d). e). 2.1.2 Análisis para la Selección del Marco de Gobierno de TI A partir de la comparación anterior se llega a las siguientes conclusiones: a). b). c). El marco que propone el CISR, involucra a los ejecutivos de nivel directivo de la organización con el fin de buscar una fuerte alineación de TI con el negocio. Cubre, si no todos, por lo menos la mayoría de los aspectos de la gestión de TI. Puede complementarse bien con algunos de los marcos ya mencionados. Su principal inconveniente es la ausencia de un proceso de certificación dentro de las empresas. COBIT es un marco que a pesar de cubrir muchos aspectos de la gestión de TI (principalmente a nivel de control de procesos de alto nivel) requiere mucha experiencia por parte de los profesionales. ITIL maneja un lenguaje claro para el cliente y busca mejorar la calidad en los servicios de TI. A pesar de esto lleva un tiempo amplio de implementación y se centra principalmente en la gestión de servicios, dejando de lado otras áreas importantes dentro de la gestión de TI.. De lo anterior se decide que el marco central de gobierno de TI a trabajar dentro de esta investigación es el propuesto por el CISR, principalmente por la participación de los ejecutivos de alto nivel, la búsqueda de una fuerte alineación de TI con el negocio, por su completitud en el análisis de la gestión de TI en las organizaciones y por su alta calificación respecto a los otros marcos. Aparte de esto, los marcos COBIT e ITIL pueden verse más como mecanismos para la gestión de TI que como marcos de gobierno de TI, por lo cual se encuentran en un nivel inferior al marco propuesto por el CISR y pueden servir como mecanismos de enlace para éste. Por estas razones no se descarta la posibilidad de complementar el marco central con elementos y herramientas específicas de los otros marcos cuando sea necesario.. f). Arquetipos de Gobierno: Son modelos políticos (monarquía de negocio, monarquía de TI, duopolio de TI, federal y feudal) utilizados para describir las combinaciones de personas que tienen poder de decisión o proporcionan entradas para la toma de decisiones de TI. Dominios de Decisión: Son los ámbitos principales para hacer de TI un recurso estratégico dentro de la organización (principios de TI, arquitectura de TI, infraestructura de TI, necesidades de aplicaciones de negocio e inversión en TI). Diseño de Gobierno: Es la manera en la cual las empresas armonizan la estrategia organizacional con el gobierno de TI y las metas de desempeño del negocio. Modelo Operativo: Es el nivel necesario de integración y estandarización de los procesos (diversificación, replicación, coordinación y unificación) para entregar productos y/o servicios a los clientes. Portafolio de TI: Es una herramienta que parte del dominio de decisión de inversión en TI para manejar estas inversiones (infraestructura, transaccional, informacional y estratégica) con el fin de balancearlas a corto y largo plazo y alinearlas con los objetivos del negocio. Modelo de Compromiso: Son mecanismos de gobierno (gobierno de TI corporativo, administración de proyectos y mecanismos de compromiso) que reúnen a los stakeholders1 principales para asegurar que los proyectos logren los objetivos locales y globales.. La Figura 1 muestra el esquema de integración propuesto para los seis elementos del marco seleccionado. [1]. Figura 1 – Esquema de Integración Propuesto para los Elementos del Marco de Gobierno de TI del CISR Es fundamental resaltar que los elementos más significativos del marco seleccionado para Gobierno de TI son los dominios de decisión, debido a que están fuertemente vinculados con los demás elementos del esquema propuesto. Finalmente, la construcción del esquema de integración propuesto entre los diferentes elementos del marco central es la base del componente de Gobierno de TI, esto con el fin de permitir la integración con los otros componentes dentro del modelo.. 1. Persona o entidad afectada por las actividades de una organización.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(13) 2.2 Gestión de Riesgos de TI 2.2.1 Estado del Arte de Gestión de Riesgos de TI: Los Diferentes Marcos de Referencia Existen una serie de marcos de referencia desarrollados alrededor de la gestión de riesgos de TI, entre los cuales se destacan: a) b) c). 2.2.3 Elementos del Marco Seleccionado y su Esquema de Integración El marco seleccionado consta de los siguientes elementos principales [2]: a). 4A: Basado en el libro IT Risk: Turning business threats into competitive advantage de Westerman y Hunter. [2] RISK IT: Desarrollado por el ITGI (IT Governance Institute). [11] MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, desarrollado por el Consejo Superior de Administración Electrónica del Ministerio de las Administraciones Públicas del Gobierno de España. [12]. Para realizar esta comparación se utilizan las herramientas propuestas en [5] y [6] que proporcionan una valoración cuantitativa, en la cual el marco 4A obtiene una calificación del 70%, mientras que RISK IT obtiene el 66% y MAGERIT el 64%. [10]. 2.2.2 Análisis para la Selección del Marco de Gestión de Riesgos de TI. b). A partir de la comparación anterior se concluye que: a). b). c). El marco 4A involucra a los ejecutivos de nivel directivo de la organización por lo cual se adapta fácilmente a distintas situaciones organizacionales. Define el riesgo de TI basándose en un enfoque de visión global y experiencia local, y además posee un modelo de madurez que mide la evolución de la gestión pero no propone acciones de monitoreo de los planes de acción [6]. Los problemas de integración con otros esfuerzos organizacionales y la visión teórica que puede dificultar su desarrollo, son puntos que pueden complementarse con los marcos RISK IT y MAGERIT. RISK IT es un marco que a pesar de poseer una buena integración con otros esfuerzos organizacionales y una buena definición de madurez, no se enfoca en el negocio sino en la parte operativa y no es fácilmente adaptable a diferentes situaciones organizacionales. MAGERIT es un marco que posee una fuerte valoración de los activos críticos de la organización por lo cual produce una visión cuantitativa del riesgo, pero tiene una visión demasiado operativa y carece de una propuesta estructurada de cultura de conciencia del riesgo.. De lo anterior se decide que el marco central de gestión de riesgos de TI a trabajar dentro de esta investigación es el marco 4A, principalmente por: la participación de los ejecutivos de alto nivel; por la adaptación a diferentes organizaciones; por su enfoque en la visión global y la experiencia local para la definición del riesgo de TI; por su propuesta de un modelo de madurez para la evaluación del riesgo; y por su alta calificación respecto a los otros marcos. Por supuesto no se descarta la posibilidad de complementar este marco con elementos y herramientas específicas de los otros marcos cuando sea necesario.. c). Objetivos de Negocio: Son el eje central del marco (de sus iniciales viene su nombre) que con una correcta gestión de riesgos de TI pueden proporcionar beneficios a la organización: Disponibilidad (Availability): Mantener los sistemas y sus procesos de negocio operativos y recuperarlos ante posibles interrupciones o incidentes. Acceso (Access): Asegurar la entrada apropiada a datos y sistemas, pues de esta forma las personas adecuadas tendrán el ingreso a la información que necesitan y las personas que no, estarán restringidas. Precisión (Accuracy): Proveer de manera correcta, a tiempo y completa, la información requerida por la gerencia, empleados, clientes, proveedores y entes regulatorios. Agilidad (Agility): Capacidad de cambiar con costos y velocidad administrados. Perfil de Riesgos: Es un esquema que se construye a partir del análisis de los trade-offs2 de riesgos de TI de los cuatro objetivos de negocio, con el fin de encontrar un balance óptimo para lograr un transparente funcionamiento del negocio. Este perfil generalmente es definido por la gerencia acorde a las características específicas del negocio y a partir de éste se construyen e interiorizan las tres disciplinas fundamentales. [5] Disciplinas Fundamentales: Son las perspectivas desde las cuales se pueden atacar los riesgos con el fin de desarrollar capacidades para lograr el perfil ideal definido: Base Tecnológica: Es la disciplina que busca el desarrollo de una estructura adecuada de activos de TI y de los empleados de la organización que apoyan y mantienen los procesos en constante funcionamiento. Gobierno de Riesgos: Es la disciplina que define los riesgos de TI en toda la organización, continuamente monitorea la forma cómo evolucionan, los prioriza y desarrolla políticas y estándares para controlarlos. Cultura: Es la disciplina que desde la alta gerencia se encarga de crear y transmitir una cultura de conciencia del riesgo de TI a todos los niveles de la organización, tanto en las áreas de negocio como en las áreas de TI.. La Figura 2 muestra el esquema de integración propuesto para los tres tipos de elementos del marco seleccionado (los cuatro objetivos de negocio, el perfil de riesgos y las tres disciplinas fundamentales). [2]. 2. Situaciones que involucran perder una cualidad de algo a cambio de ganar otra cualidad.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(14) 3.2 Descripción de las Relaciones Presentes en el Modelo y sus Mecanismos de Mejora A continuación se describen las relaciones presentes en el modelo anterior y se hallan los mecanismos de mejora correspondientes a éstas:. Figura 2 – Esquema Propuesto para la Integración entre los Elementos del Marco de Gestión de Riesgos de TI 4A Es fundamental resaltar que el elemento más significativo del marco seleccionado para Gestión de Riesgos de TI es el perfil de riesgos, debido a que está fuertemente vinculado con los demás elementos del esquema propuesto. Finalmente, la construcción del esquema de integración propuesto entre los diferentes elementos del marco seleccionado es la base del componente de Gestión de Riesgos de TI, esto con el fin de permitir la integración con los otros componentes en el modelo.. 2.3 Rol del CIO El análisis de este componente se encuentra actualmente en desarrollo.. 3. MODELO DE INTEGRACIÓN PARA LA GENERACIÓN DE VALOR DE TI En esta sección primero se presenta un modelo de integración entre los componentes objetivo de esta investigación, posteriormente se describen las relaciones encontradas en este modelo y se hallan mecanismos de mejora para cada una de estas relaciones. Finalmente, a partir de los mecanismos hallados se identifican clústers3 de mecanismos con características comunes.. 3.1 Modelo de Integración Propuesto En la Figura 3 se observa el modelo de integración de los componentes, mostrando las relaciones encontradas entre los elementos pertenecientes a éstos.. Figura 3 – Modelo Propuesto para la Integración de Gobierno de TI y Gestión de Riesgos de TI. 3. Conjunto, conglomerado o grupo.. El Diseño de Gobierno Provee la Base para Definir el Gobierno de Riesgos: Esta relación indica que a partir de la armonización de la organización y su estrategia empresarial es posible definir los riesgos de TI que se encuentran en su interior. Entre los posibles mecanismos de mejora se encuentran la definición de estrategias para la gestión de riesgos de TI y la evaluación de estos riesgos dentro de la organización. Los Arquetipos de Gobierno Proveen la Base para Definir el Gobierno de Riesgos: Esta relación indica que las personas involucradas en la toma de decisiones de TI también tienen una gran influencia en la definición de los riesgos de TI. Entre los posibles mecanismos de mejora se encuentran la disposición de un comité de riesgos de TI conformado por el personal involucrado en la toma de decisiones de TI y la ejecución de planes de atención a estos riesgos. Los Dominios de Decisión Proveen la Base para Definir el Gobierno de Riesgos: Esta relación indica que las decisiones principales que se deben tomar en TI deben ser tenidas en cuenta para la definición de los riesgos de TI. Entre los posibles mecanismos de mejora se encuentra la clasificación de los riesgos de TI de acuerdo a los dominios de decisión (por ejemplo, riesgos en el dominio de arquitectura de TI). El Modelo de Compromiso Provee la Base para Definir el Gobierno de Riesgos: Esta relación indica que a partir de mecanismos de gobierno de TI se pueden definir los riesgos de TI. Entre los posibles mecanismos de mejora se encuentra la conformación de comités y equipos a nivel corporativo, de unidad de negocio y de proyecto para la definición de riesgos de TI junto con los mecanismos de toma de decisiones correspondientes. El Diseño de Gobierno Facilita la Toma de Decisiones para Fortalecer y Evolucionar la Base Tecnológica: Esta relación indica que a partir de la administración de recursos físicos (activos de TI) y recursos humanos (personal de la organización), se pueden tomar decisiones para fortalecer y evolucionar estos mismos recursos. Entre los posibles mecanismos de mejora se encuentra la definición de estrategias para la administración de la base tecnológica. Los Arquetipos de Gobierno Facilitan la Toma de Decisiones para Fortalecer y Evolucionar la Base Tecnológica: Esta relación indica que las personas que toman decisiones relacionadas con TI buscan fortalecer y evolucionar la base tecnológica con el fin de optimizar los procesos de negocio. Entre los posibles mecanismos de mejora se encuentra la disposición de un comité de administración de la base tecnológica conformado por el personal involucrado en la toma de decisiones de TI. Los Dominios de Decisión Facilitan la Toma de Decisiones para Fortalecer y Evolucionar la Base Tecnológica: Esta relación indica que existen dos dominios de decisión que fortalecen y evolucionan la base tecnológica, a saber la infraestructura y la arquitectura de TI. Entre los posibles mecanismos de mejora se encuentra la definición de. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(15) estrategias de fortalecimiento de la infraestructura y la arquitectura de TI. El Portafolio de TI Facilita la Toma de Decisiones para Fortalecer y Evolucionar la Base Tecnológica: Esta relación indica que la manera en la cual la organización maneja sus inversiones en TI contribuye al fortalecimiento y evolución de la base tecnológica. Entre los posibles mecanismos de mejora se encuentra la definición de estrategias de inversión en TI enfocadas en la optimización de la base tecnológica. El Modelo Operativo Facilita la Toma de Decisiones para Fortalecer y Evolucionar la Base Tecnológica: Esta relación indica que dependiendo del nivel de estandarización e integración de los procesos de la organización se puede tener una base tecnológica centralizada o distribuida. Entre los posibles mecanismos de mejora se encuentra la alineación de los procesos de negocio con la base tecnológica. Los Arquetipos de Gobierno Proveen Herramientas para Construir el Perfil de Riesgos: Esta relación indica que las personas involucradas en la toma de decisiones de TI por lo general son quienes se encargan de construir el perfil de riesgos. Entre los posibles mecanismos de mejora se encuentran la disposición de un comité de construcción del perfil de riesgos de TI conformado por el personal involucrado en la toma de decisiones de TI y una propuesta de gobierno de estos riesgos. Los Dominios de Decisión Proveen Herramientas para Construir el Perfil de Riesgos: Esta relación indica que a partir de las decisiones principales que se deben tomar en TI se puede realizar el análisis de las 4A’s. Entre los posibles mecanismos de mejora se encuentra la categorización del perfil de riesgos de acuerdo a los dominios de decisión, es decir, construir un perfil de riesgos por cada dominio de decisión. El Portafolio de TI Provee Herramientas para Construir el Perfil de Riesgos: Esta relación indica que la distribución de las inversiones en TI repercute en la construcción del perfil de riesgos. Entre los posibles mecanismos de mejora se encuentra la clasificación del perfil de riesgos de acuerdo a las inversiones en TI, es decir, construir un perfil de riesgos por cada tipo de inversión. Los Arquetipos de Gobierno Pueden Variar según la Cultura de la Organización: Esta relación indica que la cultura de la organización tiene influencia en las personas que deben tomar las decisiones relacionadas con TI al interior de ésta. Entre los posibles mecanismos de mejora se encuentra la disposición de un comité de cultura organizacional respecto a TI conformado por las personas involucradas en la toma de decisiones de TI. Los Dominios de Decisión Pueden Variar según la Cultura de la Organización: Esta relación indica que la cultura organizacional puede definir prioridades en la toma de decisiones relacionadas con TI, por ejemplo, darle más importancia a las decisiones correspondientes a los principios de TI. Entre los posibles mecanismos de mejora se encuentra la definición de los mecanismos de toma de decisiones de tipo cultural dentro de la organización. El Modelo Operativo Puede Basarse en Estrategias para Obtener una Mayor Disponibilidad: Esta relación indica que los niveles de estandarización e integración de los procesos. pueden depender de estrategias enfocadas primero en resolver el objetivo base de las 4A’s (disponibilidad) y a partir de éste conseguir los demás. Entre los posibles mecanismos de mejora se encuentra la definición de un modelo de madurez de estos objetivos de negocio.. 3.3 Identificación de Clústers de los Mecanismos de Mejora Inicialmente se identifican los clústers en los que se pueden agrupar los mecanismos de mejora de las relaciones presentes en el modelo. Para esto, primero es necesario enumerar los mecanismos previamente hallados y posteriormente clasificarlos de acuerdo a unos clústers con características comunes. Estas características comunes son construidas a partir de los diferentes niveles jerárquicos existentes dentro de la organización, los cuales se describen a continuación [5]: Nivel Estratégico: Nivel en el que se formulan, diseñan y evalúan las decisiones transversales a todas las áreas funcionales de la empresa, que le permitirán a la organización alcanzar sus objetivos de largo plazo y desarrollar ventajas competitivas. Este es el nivel más alto en la jerarquía corporativa. Nivel Táctico: Nivel en el que se formulan y definen las acciones específicas a ejecutar para implementar las estrategias definidas en el nivel estratégico y alcanzar los objetivos definidos. Nivel Operativo: Nivel en el que se desarrollan los proyectos, procesos y procedimientos necesarios para ejecutar con éxito las acciones definidas en el nivel táctico.. 3.3.1 Identificación de Mecanismos de Mejora Como se menciona anteriormente, los mecanismos de mejora identificados son los siguientes: a) b) c) d) e) f) g). Estrategias para la gestión de riesgos de TI. Evaluación de los riesgos de TI dentro de la organización. Comité de riesgos de TI a nivel corporativo. Comité de riesgos de TI a nivel de unidad de negocio. Comité de riesgos de TI a nivel de proyecto. Ejecución de planes de atención a los riesgos de TI. Clasificación de los riesgos de TI de acuerdo a los dominios de decisión. h) Mecanismos de toma de decisiones de riesgos de TI. i) Estrategias para la administración de la base tecnológica. j) Comité de administración de la base tecnológica. k) Estrategias de fortalecimiento de la infraestructura y la arquitectura de TI. l) Estrategias de inversión en TI enfocadas en la optimización de procesos que soporta la base tecnológica. m) Alineación de los procesos de negocio con la base tecnológica. n) Comité de construcción del perfil de riesgos de TI. o) Propuesta de gobierno de riesgos de TI. p) Categorización del perfil de riesgos de acuerdo a los dominios de decisión, es decir, se clasifican los riesgos asociados a las 4A‟s de acuerdo con los dominios de decisión y a partir de esta clasificación se construye un perfil de riesgos por cada dominio de decisión, con el fin de apalancar la gestión de riesgos de TI para cada uno de estos dominios.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(16) q). r) s) t). Clasificación del perfil de riesgos de acuerdo a las inversiones en TI, es decir, se clasifican los riesgos asociados a las 4A‟s de acuerdo con los tipos de inversión y a partir de esta clasificación se construye un perfil de riesgos por cada tipo de inversión, con el fin de apalancar la gestión de riesgos de TI para cada uno de estos tipos. Comité de cultura organizacional respecto a TI. Mecanismos de toma de decisiones de tipo cultural dentro de la organización. Modelo de madurez de los objetivos de negocio de las 4A‟s.. 3.3.2 Clasificación de los Mecanismos de Mejora en Clústers Habiendo enumerado los diferentes mecanismos de mejora encontrados en las relaciones presentes en el modelo de integración, es necesario clasificarlos de acuerdo con características comunes de los niveles jerárquicos descritos, en clústers, los cuales se presentan a continuación. Mecanismos de Mejora a Nivel Estratégico: Este clúster hace referencia a las actividades relacionadas directamente con la estrategia de la organización respecto a la gestión de TI, tales como a), c), l), m), n), o), r) y t). Mecanismos de Mejora a Nivel Táctico: Este clúster hace referencia a actividades más detalladas que desarrollan el nivel estratégico, tales como b), d), g), h) y s). Mecanismos de Mejora a Nivel Operativo: Este clúster hace referencia a actividades más específicas que guían las acciones en el nivel operativo, como e), f), i), j), k), p) y q). Posterior a esta clasificación, se plantea la construcción de una herramienta que pueda ser aplicada en una empresa, esto con el fin de indicar que el uso de los mecanismos hallados en cada clúster contribuye a la generación de valor de TI en la organización.. 4. CONCLUSIONES Y TRABAJOS FUTUROS 4.1 Conclusiones Es importante destacar que las conclusiones se dan más a nivel del proceso utilizado que a nivel del producto obtenido porque actualmente esta investigación se encuentra en progreso y por lo tanto, no existen resultados finales respecto al modelo propuesto. Esto se observa inicialmente con el uso de mapas conceptuales, el cual ha facilitado el desarrollo de la investigación, tanto en el marco teórico como en el modelo. De la misma manera, se observa que el proceso utilizado para el análisis de cada componente se encuentra definido y es repetible, esto se debe tener en cuenta posteriormente para el análisis del componente rol del CIO. Dentro de este proceso es significativo resaltar que las herramientas utilizadas para la evaluación de los marcos han facilitado la selección del eje central del componente. Además, se observa que el proceso utilizado para el desarrollo del modelo está claramente especificado, lo cual se debe tener en cuenta para complementar el modelo con el componente faltante. Por último, dentro de este proceso se han presentado algunas dificultades, principalmente en el hallazgo de relaciones no muy evidentes entre los elementos del modelo.. El valor agregado de esta investigación se encuentra en la construcción de un modelo que aprovecha las ventajas que brindan los elementos de los diferentes componentes analizados, ofreciendo a las organizaciones una serie de mecanismos de mejora clasificados en clústers, esto con el fin de promover la generación de valor de TI al interior de éstas.. 4.2 Trabajos Futuros Inicialmente, se plantea el desarrollo del componente correspondiente al rol del CIO, para posteriormente complementar el modelo de integración con este componente, y finalmente ajustar los mecanismos de mejora y sus clústers asociados de acuerdo a la adición del componente anteriormente mencionado. Por último, se plantea la aplicación del modelo de integración en una organización con el fin de presentar un análisis DOFA que sirva de base para la generación de valor de TI.. 5. BIBLIOGRAFÍA [1] Weill, Peter y Ross, Jeanne IT Governance: How top performers manage IT decision rights for superior results. Boston, Massachusetts: HBS Press, 2004. [2] Westerman, George y Hunter, Richard. IT Risk: Turning business threats into competitive advantage. Boston, Massachusetts: Harvard Business School Press, 2007. [3] Smith, Gregory. Straight to the top: Becoming a World-Class CIO. John Wiley & Sons Inc., 2006. [4] Peñuela, Diego Proyecto de Grado. Incrementar la extracción de valor desde TI construyendo sinergia entre marcos de referencia: IT Engagement Model y COBIT. Bogotá. [5] Santa, John. Proyecto de Grado. Análisis de marcos de gestión del riesgo de TI: Los marcos 4A, Risk IT y la construcción de una herramienta de análisis. Bogotá: s.n., 2009. [6] Pinzón, Julián Felipe. Proyecto de Grado. Acercamiento a la Gestión de Riesgos con Magerit y las 4A. Bogotá: s.n., 2009. [7] IDATE. DigiWorld 2009 http://www.enter.ie.edu/mybox/cms/12037.. Internacional.. [8] IT Governance Institute ®. CobiT http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spanish.pdf.. ®. 4.1.. [9] ITIL ® - Home. Welcome to the Official ITIL® Website. http://www.itil-officialsite.com. [10] Sánchez, Jimmy Andrey. Tesis Maestría. Modelo de Integración de Gobierno de TI, Gestión de Riesgos de TI y el Rol del CIO en el Sector Financiero Colombiano. Bogotá: s.n., 2010. [11] ISACA ®. Marco de Riesgos de http://www.isaca.org/KnowledgeCenter/Research/Documents/Risk-IT-frameworkspanish.pdf.. TI.. [12] Gobierno de España – Ministerio de la Presidencia – Consejo Superior de Administración Electrónica. MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. http://www.csi.map.es/csi/pg5m20.htm.. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(17) ARTÍCULO FINAL. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(18) Modelo de Integración de Buenas Prácticas para la Gestión de TI: Caso Sector Financiero Colombiano Jimmy Andrey Sánchez Bustos. Andrea Herrera. Olga Lucía Giraldo. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. RESUMEN Diversas investigaciones han mostrado que la incorporación de buenas prácticas en conceptos como el gobierno de TI, la gestión de riesgos de TI y el rol del CIO (Chief Information Officer), genera valor a partir de TI en las organizaciones [1], [2] y [3]. En este artículo se analizan los tres componentes anteriores (gobierno de TI, gestión de riesgos de TI y el rol del CIO), para construir una visión holística de TI en una organización. Para cada componente primero se describe el estado del arte a través de marcos de referencia que se comparan mediante la aplicación de herramientas desarrolladas en investigaciones previas [4], [5] y [6]. De acuerdo a los resultados obtenidos se propone un esquema de integración entre los elementos pertenecientes al marco central de cada componente y a partir de estos se plantea el modelo de integración de los tres componentes. Posteriormente se aplica el modelo en una empresa del sector financiero colombiano, mediante la utilización del instrumento desarrollado para estudiar las buenas prácticas para la gestión de TI, analizando las relaciones existentes y ausentes respecto al modelo propuesto, a partir de lo cual se verifican los mecanismos de mejora relacionados y con base en estos se realiza un análisis DOFA con el fin de generar valor de TI para la organización. Los resultados de la aplicación del modelo en el Banco A muestran 33 de las 47 relaciones del modelo propuesto, lo cual equivale a un 70% y da una calificación medio-alta para la gestión de TI al interior de la organización.. Palabras Clave Modelo de Integración, Buenas Prácticas, Gestión de TI, Sector Financiero Colombiano, Gobierno de TI, Gestión de Riesgos de TI, Rol del CIO, Generación de Valor de TI.. of Government Commerce), entre otras; se han encargado de desarrollar conceptos que fortalecen el desempeño de TI dentro de las organizaciones, tales como el Gobierno de TI, la Gestión de Riesgos de TI y el Rol del CIO. Estos conceptos son el objeto principal de esta investigación y son denominados componentes. El artículo presenta inicialmente el marco teórico. Posteriormente se plantea el modelo de integración entre los componentes mencionados anteriormente. Luego se aplica este modelo en una empresa del sector financiero colombiano. Finalmente se presentan las conclusiones del desarrollo de esta investigación y los trabajos futuros correspondientes.. 2. MARCO TEÓRICO En esta sección, para los componentes definidos se presentan algunos de los marcos o modelos de evolución existentes, se selecciona uno central a trabajar y se propone un esquema de integración entre sus diferentes elementos. Se comienza por el gobierno de TI, continuando con la gestión de riesgos de TI y finalizando con el rol del CIO.. 2.1 Gobierno de TI 2.1.1 Marcos de Referencia y Selección del Marco Central Existen diferentes marcos de referencia alrededor del gobierno de TI, entre los cuales se encuentran el marco desarrollado por el CISR [1], COBIT [8] e ITIL [9]. Para realizar la comparación de los tres marcos se utiliza la herramienta propuesta en [4], la cual proporciona una valoración cuantitativa donde el marco correspondiente al CISR es seleccionado como marco central a trabajar en esta investigación, ya que obtiene una calificación del 85%, mientras que COBIT obtiene el 69% e ITIL el 66%. [10]. 1. INTRODUCCIÓN En un mundo globalizado y altamente competitivo como el de hoy en día, las empresas están siendo obligadas a buscar nuevas y mejores oportunidades de negocio [7]. Razón por la cual la tendencia de los últimos años ha sido el aumento en el uso de tecnologías de información (TI). Esto se ve reflejado en un estudio realizado por la firma IDATE donde se asevera que en el año 2008 el mercado de TI tuvo un aumento del 4.8% respecto al año anterior, tras varios años con un crecimiento del 6% o superior (situación originada por la crisis económica mundial) [7]. Todo esto ha derivado en un gran impacto de TI en el mundo corporativo. Por tal razón, instituciones reconocidas a nivel mundial como el CISR (Center for Information Systems Research) del MIT (Massachusetts Institute of Technology) Sloan School of Management, el ITGI (IT Governance Institute) y la OGC (Office. Figura 1 – Esquema de Integración Propuesto para los Elementos del Marco de Gobierno de TI del CISR. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(19) 2.1.2 Esquema de Integración El marco seleccionado consta de elementos principales tales como los arquetipos de gobierno, los dominios de decisión, el diseño de gobierno, el modelo operativo, el portafolio de TI y el modelo de compromiso. [1]. De lo anterior se toma como modelo de evolución central del rol del CIO a trabajar dentro de esta investigación el Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación.. La Figura 1 muestra el esquema de integración propuesto para los seis elementos del marco seleccionado.. 2.2 Gestión de Riesgos de TI 2.2.1 Marcos de Referencia y Selección del Marco Central Existen una serie de marcos de referencia desarrollados alrededor de la gestión de riesgos de TI, entre los cuales se destacan el marco 4A [2], RISK IT [11] y MAGERIT [12]. Para realizar esta comparación se utilizan las herramientas propuestas en [5] y [6] que proporcionan una valoración cuantitativa, en la cual el marco 4A es seleccionado como marco central a trabajar en esta investigación, ya que obtiene una calificación del 70%, mientras que RISK IT obtiene el 66% y MAGERIT el 64%. [10]. 2.2.2 Esquema de Integración El marco seleccionado consta de elementos principales tales como los objetivos de negocio (disponibilidad, acceso, precisión y agilidad), el perfil de riesgos y las disciplinas fundamentales (base tecnológica, gobierno de riesgos y cultura). [2]. Figura 3 - Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación [13]. 2.3.2 Esquema de Integración El modelo seleccionado consta de elementos principales tales como los roles, las competencias, las responsabilidades, los objetivos primarios, los roles duales y las actividades del CIO. [13] La Figura 4 muestra el esquema de integración propuesto para los seis elementos del modelo seleccionado.. La Figura 2 muestra el esquema de integración propuesto para los tres tipos de elementos del marco seleccionado (los cuatro objetivos de negocio, el perfil de riesgos y las tres disciplinas fundamentales).. Figura 4 - Esquema Propuesto para la Integración entre los Elementos del Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación Figura 2 – Esquema Propuesto para la Integración entre los Elementos del Marco de Gestión de Riesgos de TI 4A. 2.3 Rol del CIO 2.3.1 Modelo de Evolución del CIO: Integrando la Estrategia y la Innovación Desarrollado al interior del grupo TION (Tecnologías de Información, Organizaciones y Negocios) [13], este modelo enriqueció el modelo del Estado Futuro del CIO Extendido con el modelo de IBM (International Business Machines), con el fin de ver la incidencia de la inclusión de la innovación como factor crítico de éxito y el balanceo de roles notablemente opuestos encaminados al logro de un objetivo específico para el adecuado desempeño del rol, dicho modelo se presenta en la Figura 3.. 3. MODELO DE INTEGRACIÓN PARA LA GENERACIÓN DE VALOR DE TI En esta sección primero se presenta un modelo de integración entre los componentes objetivo de esta investigación, posteriormente se hallan mecanismos de mejora para cada una de las relaciones encontradas en este modelo y a partir de los mecanismos hallados se identifican clústers4 de mecanismos. Finalmente, se presenta el instrumento desarrollado para estudiar las buenas prácticas para la gestión de TI.. 3.1 Modelo de Integración Propuesto Las Figuras 5, 6 y 7 muestran el modelo de integración de los componentes de: Gobierno de TI y Gestión de Riesgos de TI;. 4. Conjunto, conglomerado o grupo. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(20) Gobierno de TI y el Rol del CIO; y Gestión de Riesgos de TI y el Rol del CIO con sus relaciones, respectivamente.. mecanismos de mejora pueden clasificarse de manera análoga en entes (personas), actividades (procesos) y herramientas (tecnología, aunque para este caso se refieren a recursos de apoyo).. 3.3 Identificación de Clústers y Clasificación Respectiva de los Mecanismos de Mejora Los clústers son construidos a partir de los niveles jerárquicos típicos al interior de una organización, los cuales se describen a continuación [5]: Nivel Estratégico: Nivel en el que se formulan, diseñan y evalúan las decisiones transversales a todas las áreas funcionales de la empresa, que le permitirán a la organización alcanzar sus objetivos de largo plazo y desarrollar ventajas competitivas. Este es el nivel más alto en la jerarquía corporativa. Nivel Táctico: Nivel en el que se formulan y definen las acciones específicas a ejecutar para implementar las estrategias definidas en el nivel estratégico y alcanzar los objetivos definidos. Nivel Operativo: Nivel en el que se desarrollan los proyectos, procesos y procedimientos necesarios para ejecutar con éxito las acciones definidas en el nivel táctico.. Figura 5 – Modelo Propuesto para la Integración de Gobierno de TI y Gestión de Riesgos de TI. A partir de la clasificación en los clústers identificados se filtran los mecanismos de mejora de acuerdo a criterios como: utilidad y redundancia, entre otros. A continuación se presentan los mecanismos de mejora filtrados: a) b) c) Figura 6 - Modelo Propuesto para la Integración de Gobierno de TI y el Rol del CIO. d) e). Estrategias para el logro de los objetivos primarios de la organización. Estrategias para la gestión de la cultura organizacional respecto a TI. Estrategias para la alineación del rol del CIO con los objetivos primarios de la organización. Estrategias para el gobierno de TI y de los riesgos de TI. Estrategias de gestión de la base tecnológica.. Los mecanismos de mejora ya filtrados se clasifican en los clústers descritos anteriormente: Mecanismos de Mejora a Nivel Estratégico: Este clúster hace referencia a las actividades relacionadas directamente con la estrategia de la organización respecto a la gestión de TI, tales como a), b) y c). Mecanismos de Mejora a Nivel Táctico: Este clúster hace referencia a actividades más detalladas que desarrollan el nivel estratégico, tales como d). Mecanismos de Mejora a Nivel Operativo: Este clúster hace referencia a actividades más específicas que guían las acciones en el nivel operativo, tales como e). Figura 7 - Modelo Propuesto para la Integración de Gestión de Riesgos de TI y el Rol del CIO. 3.2 Identificación de Mecanismos de Mejora A partir del análisis de las relaciones presentes en el modelo anterior se hallan los posibles mecanismos de mejora. Los cuales son clasificados de acuerdo a los principios fundamentales utilizados para una exitosa implementación de TI (personas, procesos y tecnología). A partir de estos principios los. 3.4 Instrumento El instrumento desarrollado para estudiar las buenas prácticas para la gestión de TI fue diseñado para tres roles dentro de la organización: CIO, personal del Área de Tecnología y personal de Áreas de Negocio. Este instrumento se divide en cinco secciones en las cuales varían las preguntas de acuerdo al rol entrevistado: una por cada uno de los mecanismos de mejora descritos en la sección anterior de este documento, además de una sección de. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(21) información de contacto del participante y una sección de generalidades del negocio y de TI (únicamente para el CIO).. decisiones) y de desarrollo (la incorporación de buenas prácticas en TI). De este análisis se destacan los siguientes datos:. La mayoría de las preguntas del instrumento están basadas en una escala de niveles cualitativos de calidad, que finalmente son ponderados en la calificación final de la pregunta. Los niveles inician en 0 (No Existente), representando la ausencia total de la característica relacionada a la pregunta y terminan en 5 (Alto), representando un sobresaliente rendimiento de la característica relacionada a la pregunta. Los niveles de calidad se muestran en la Figura 8:. Entre las herramientas de TI utilizadas en este sector se encuentran los sistemas ERP y CRM, los sistemas core del negocio, etc. La inversión en TI proyectada para el 2010 en los Estados Unidos estaría alrededor de los 81 billones de dólares. Las compañías del sector desplazan su foco en la optimización de costos hacia la transformación de las inversiones de TI. Las empresas del sector realizan una mayor inversión de TI en innovación (alrededor del 45%).. 4.3 Caso de Estudio. Figura 8 - Niveles de Calidad Utilizados en el Instrumento [5]. 4. CAMPO DE APLICACIÓN: FINANCIERO COLOMBIANO. SECTOR. En este capítulo inicialmente se presenta el modelo del sector financiero colombiano actual (actores principales), posteriormente se presenta el papel que cumple TI en este tipo de organizaciones, tanto a nivel nacional como internacional. Finalmente, se presenta la aplicación del modelo y los resultados obtenidos en el caso de estudio particular.. 4.1 Modelo del Sector Financiero Colombiano [14] Los principales actores del sector financiero colombiano pueden ser observados en la Figura 9 y se enumeran a continuación: Establecimientos de crédito; aseguradoras e intermediarios de seguros; filiales especializadas de servicios financieros; Banca Central (Banco de la República); intermediarios de valores y otros agentes; entes de control y vigilancia; y otras entidades.. Por motivos de confidencialidad, para hacer referencia a la empresa caso de estudio se utiliza el nombre Banco A. El Banco A hace parte de un relevante grupo económico del país y maneja tanto Banca Personal como Banca Empresarial. Además de ello, posee alrededor de diez unidades de negocio y su operación está concentrada principalmente en Colombia aunque se pueden hacer transacciones desde el exterior. Así mismo, se destaca por su cobertura, vanguardia y gestión apropiada de TI en comparación con otras entidades.. 4.3.1 Generalidades El Banco A tiene un buen porcentaje de su personal dedicado a labores de tecnología (entre el 7 y el 8%), lo cual indica la importancia que tiene la gestión de TI para la consecución de los objetivos primarios de la organización. Con respecto a las competencias y responsabilidades del rol del CIO presentadas en [15], el líder del Banco A tiene más desarrolladas la competencia de Orientación a Resultados y la responsabilidad de Consultor/Asesor de TI. El arquetipo de gobierno predominante en el Banco A es el duopolio de TI (en forma de rueda de bicicleta), esto sucede porque algunas de las decisiones de TI son tomadas principalmente por el Área de Tecnología junto con otras unidades de negocio de la organización. El Banco A ha enfocado su portafolio de TI en los últimos 10 años en un gran porcentaje a las inversiones de tipo estratégico (40%), esto debido al continuo desarrollo de productos y servicios innovadores en el mercado, lo cual va acorde con la estrategia de la organización.. Figura 9 - Principales Actores del Sector Financiero Colombiano [14]. Los procesos clave del negocio, la información para estos procesos y las plataformas tecnológicas tienen un nivel alto de estandarización e integración. Lo cual conduce a un modelo operativo unificado, donde el Banco A aprovecha las economías de escala mediante la introducción de productos y servicios innovadores en el mercado.. 4.2 Papel de TI en el Sector Financiero Colombiano. 4.3.2 Esquemas y Modelos de Integración Aplicados al Banco A. El análisis del papel de TI en el sector financiero colombiano se realiza en varios aspectos: Tecnológico (las herramientas de TI utilizadas), económico (la inversión realizada en TI), de toma de decisiones (el soporte de TI en los procesos de toma de. Este análisis se realiza mediante una estrategia bottom-up5, es decir, primero se aplican los esquemas de integración de cada uno de los componentes del modelo y luego el modelo de integración 5. De abajo hacia arriba. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

(22) de los tres componentes sobre el caso de estudio. Para esto se reemplazan los elementos del modelo con sus equivalentes para el Banco A (solamente si existen con un nombre diferente), se verifica si las relaciones planteadas en el modelo se presentan en el caso de estudio y de ser necesario se les cambia el nombre. Con esta información se reconstruye el modelo, se compara con el modelo inicial y se describen brevemente las razones principales de la ausencia de algunas relaciones en el caso de estudio.. principalmente por la no existencia en el modelo de integración de las relaciones del duopolio de TI con el control de riesgos, con las políticas de riesgos y con la cultura organizacional respecto a TI; ya que todas las decisiones de este tipo se encuentran centralizadas en el Área de Tecnología (sin la participación de otras unidades de negocio). Además de la ausencia en dicho modelo de la relación de las inversiones de tipo estratégico con las políticas de riesgos de TI, ya que estas políticas no contribuyen en la definición del portafolio de inversiones en TI.. Las Figuras 10, 11 y 12 muestran el esquema de integración de los componentes de: Gobierno de TI, Gestión de Riesgos de TI; y Rol del CIO, aplicados sobre el caso de estudio, respectivamente.. Figura 10 – Esquema de Integración de Gobierno de TI Banco A. Figura 13 - Modelo de Integración de Gobierno de TI y Gestión de Riesgos de TI Banco A En la Figura 14 se observa el modelo de integración de los componentes de Gobierno de TI y el Rol del CIO aplicado sobre el caso de estudio.. Figura 11 – Esquema de Integración de Gestión de Riesgos de TI Banco A. De acuerdo a los resultados de la investigación, 12 de las 18 relaciones del modelo inicial de integración de Gobierno de TI y el Rol del CIO están presentes. Esto sucede principalmente por la no existencia en el modelo de integración de las relaciones del modelo unificado con el estratega del negocio y con aumentar el ROI de TI; ya que la estandarización de los procesos de negocio tiene una baja influencia en la innovación del negocio y por ende en la mejora de ese indicador. Además de la ausencia en dicho modelo de las relaciones de los dominios de decisión con el estratega del negocio y con aumentar el ROI de TI, del liderazgo en producto y las inversiones de tipo estratégico con el creador inteligente de valor, las cuales no se evidenciaron claramente de acuerdo a las respuestas dadas por el personal entrevistado.. Figura 12 – Esquema de Integración del Rol del CIO Banco A En la Figura 13 se observa el modelo de integración de los componentes de Gobierno de TI y Gestión de Riesgos de TI aplicado sobre el caso de estudio. De acuerdo a los resultados de la investigación, 11 de las 15 relaciones del modelo inicial de integración de Gobierno de TI y Gestión de Riesgos de TI están presentes. Esto sucede. Figura 14 – Modelo de Integración de Gobierno de TI y Rol del CIO Banco A. Grupo de investigación de Tecnologías de Información, Organizaciones y Negocios.

Referencias

Descargar ahora ( PDF - 148 página - 3.75 MB )

Documento similar

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

MDCG 2022-18

If certification of devices under the MDR has not been finalised before expiry of the Directive’s certificate, and where the device does not present an unacceptable risk to health

legacy devices

In addition to the requirements set out in Chapter VII MDR, also other MDR requirements should apply to ‘legacy devices’, provided that those requirements