Qu es el Gobierno de TI?

Modelos de Madurez, Indicadores y

Mtricas
VII Conferencia AEMES 2006

Dr. Jos D Carrillo Verdn (U.P.M.)

Madrid 14-15 de Noviembre 2006

Agenda

Conceptos sobre Gobierno de TI

Modelos de Madurez, medidas e
indicadores
Conclusiones

2
AEMES-

Conceptos sobre Gobierno de TI

El concepto de Gobierno

Gobernar: Guiar, dirigir, conducir, pilotar o regir una

colectividad o sistema social.
Gobierno es el arte o manera de gobernar que se
propone como objetivo el logro de un desarrollo
econmico, social e institucional duradero, promoviendo
un sano equilibrio entre el Estado, la sociedad civil y el
mercado de la economa
(Diccionario de la Real Academia-2001)

4
AEMES-

El concepto de Gobernanza

Gobernacin o gobernanza es el resultado de

organizar a las personas con el propsito de
alcanzar los objetivos de la comunidad, de entre
los cuales destacan la proteccin del territorio, la
seguridad de sus habitantes, y su desarrollo
integral.
Implica el concepto de medir.

5
AEMES-

Antecedentes de la Gobernanza de
Empresas y TI
1992 . COSO : Committee of Sponsoring Organizations of
Tradeway Conmmission)

Marco de control interno:

Eficacia y eficiencia en las operaciones
Fidelidad de los informes financieros
Cumplimiento con leyes y normas
1992. Cardbury Report (Committee on the Financial
Aspects of Corporate Governance)
Buenas prcticas en la distribucin de
informacin a grupos interesados
1996. ISACA. COBIT (1 edicin)
1998.
Turnbull Report (Guidance for Directors on
Combined Code).
nfasis del gobierno corporativo en el
comit de auditora, procesos de
seguimiento de riesgos, control interno
1998. OCDE. Principios de Gobernanza Corporativa.
6

AEMES-

Antecedentes de la Gobernanza de
Empresas y TI
1999. BIS (Bank for International Settlement. Enhancing
Corporate Governance in Banking Organization)
Polticas y guas para la industria financiera
sobre riesgos operativos y de sistemas.
Buenas prcticas en sistemas y en TI
2000.

ITGovernace Institute. COBIT 3 Edicin.

2003. ITGovernace Institute. Board brifing in IT Governance.

2 Ed.
2004. MIT. Sloan Management School. CISR IT Governace:
How top performers manage IT Decision Rights For
superior results. Joanne Ross /Peter Weill
2006. ITGovernace Institute. COBIT 4 Ed.

7
AEMES-

El Gobernanza Corporativa

Es el proceso mediante el cual, el consejo de

administracin de una entidad asegura el logro
sostenido de sus objetivos, as como la proteccin del
patrimonio y de los intereses de todos los grupos de
inters social (stakeholders), a quienes debe ofrecer
transparencia en las prcticas de administracin y
control de la entidad.
(OCDE Principios para la gobernanza corporativa1999)

8
AEMES-

Gobernanza de la Empresa

Es el conjunto de responsabilidades y prcticas

ejercitadas por el consejo y la direccin ejecutiva con
el objetivo de proporcionar direccin estratgica,
asegurar que los objetivos se alcanzan, que los riesgos
se gestionan adecuadamente y verificar que los
activos de la empresa se utilizan de una manera
responsable. (IT - Governance Institute)
Es el conjunto de polticas, procesos, organizacin y
medidas que rigen el funcionamiento, control y
responsabilidad externa de una empresa
(Gartner/Metagroup)
9
AEMES-

Gobernanza y Activos
La Alta Direccin de la empresa como agente del Consejo pone
en marcha sus mandatos mediante la articulacin de estrategias y
comportamientos deseables (Cultura y creencias)
Los activos clave para que las empresas lleven a cabo sus
estrategias y generen valor para el negocio son:
Personas
Financieros
Fsicos
Propiedad Intelectual
Informacin y Tecnologa de la Informacin
Relaciones
10
AEMES-

Gobernanza Corporativa

Gobernanza Corporativa
Accionistas

Grupos de inters
Consejo

Control

Comunicacin
Equipo de Alta Direccin

Estrategia

Comportamientos deseables
Activos clave

Personas Financieros

Fsicos Propiedad
Intelectual

Mecanismos gobernanza
financieros
MIT (CISR)
AEMES-

Informacin
y TI

Relaciones

Mecanismos gobernanza TI

Gobernanza de Activos Clave

11

El gobierno de la Tecnologa de la
Informacin
Confluyen dos factores importantes:
Accin desarrollada como resultado del Gobierno
Corporativo
Madurez en la Direccin y en el Gobierno de la
Tecnologa de la Informacin.
(2 Etapa de la Tercera Ola (Alvin Toffler))

12
AEMES-

El Gobierno de la Tecnologa
de la Informacin
Es una responsabilidad del Consejo de Administracin y

direccin ejecutiva con relacin a la Tecnologa de la Informacin

para asegurar:
Que TI est alineada con la estrategia del negocio.
Que las nuevas tecnologas faciliten que la organizacin haga
cosas que antes no fue posible hacer
Que los servicios y funciones de TI se proporcionan con el
mximo valor posible o de la forma mas eficiente.
Todos los riesgos relacionados con TI son conocidos y
administrados y los recursos de TI estn seguros.
Governance Institute 2003)

(IT

13
AEMES-

El Gobierno de la Tecnologa
de la Informacin

Es el marco que permite definir responsabilidades y

tomar decisiones correctas para impulsar los
comportamientos deseables en el uso de la TI en las
organizaciones. (Jeanne Ross. MIT Sloan School of Management )

14
AEMES-

Requisitos para un buen Gobierno de TI

Existencia de un marco adecuado:
Estructura: Quin toma las decisiones? Qu
estructuras organizativas se crearn, y quin participar
en ellas y qu responsabilidades asumir?
Procesos. Cmo se tomarn las decisiones de invertir
en TI? Cules son los procesos de toma de decisiones
para proponer inversiones, revisarlas, aprobarlas y definir
prioridades las inversiones?
Comunicacin. Cmo sern seguidos, medidos y
comunicados los resultados de estos procesos? Qu
mecanismos sern utilizados para comunicar las
decisiones de inversin al consejo de administracin,
direccin ejecutiva, direccin de negocio, direccin de TI,
empleados y accionistas?

15
AEMES-

Requisitos para un buen Gobierno de TI

Tener claro los principios que rigen la funcin de
TI en la organizacin.
No confundir acciones estratgicas con tctica y
operativas para la implantacin del Gobierno.
La responsabilidad de la decisin de iniciar el
proceso de gobierno es el Consejo de
Administracin/Direccin ejecutiva.
El CIO debe ser el promotor de la idea y
corresponsable de la implantacin de los procesos
de gobierno.
El factor clave del xito es decidir quin toma las
decisiones y en base a que factores
Es un proceso continuo de aprendizaje y su ciclo
es de mejora continua. (PDCA o IDEAL)
16
AEMES-

Implantacin del Gobierno de la Tecnologa

de la Informacin
Concienciacin del Consejo /Direccin ejecutiva,

de la necesidad de su implantacin. Papel del CIO.

Estn definidos los principios de gestin de la TI
en la Organizacin, es decir el papel de TI?.
Identificacin de las capacidades necesarias,
especialmente de TI para su cumplimiento.
Infraestructura necesaria para la gestin de la
informacin en la organizacin.
Formulacin de requisitos para la aceptacin de
peticiones de aplicaciones.
Gestin de inversiones. ( Jeanne Ross. MIT)
AEMES-

17

Gobierno de la Informacin y de las

Tecnologas de la Informacin

Principios
Metas

Acuerdos que permiten establecer

un proceso ordenado de definicin
de las polticas organizativas, de tal
manera que el consejo, comisin
ejecutiva y personal corporativo
puedan desarrollar el control
sobre las inversiones en sistemas
de informacin por medios legtimos.

Polticas de la informacin

18
AEMES-

Gobierno de la Informacin y de las

Tecnologas de la Informacin
Ejemplos de metas
Las unidades de negocio descentralizadas sern
totalmente responsables de los beneficios y de los
costes de tecnologa de informacin que se utilicen en
sus operaciones. Asumirn conseguir la ganancia de la
productividad derivada del uso de la tecnologa de la
informacin, tal como se comprometieron en sus planes
de negocio.
La ventaja competitiva de la empresa estar
soportada por soluciones de tecnologas de informacin
que ofrezcan las capacidades ms eficaces en el sector.
Se incluir en todas las evaluaciones peridicas de
productividad, como un indicador clave, la productividad
de la produccin.
Se facilitarn medios electrnicos para satisfacer las
necesidades de comunicacin del personal.
19
AEMES-

Gobierno de la Informacin y de las

Tecnologas de la Informacin
Ejemplos de principios

Los sistemas de informacin debern mejorar la

productividad de la informacin y calidad de trabajo
de los empleados, proveedores, contratistas y socios.
Los sistemas de informacin de la empresa
compartirn recursos eficaz y eficientemente
mediante la adopcin de estndares, datos y
capacidad de software comunes.

20
AEMES-

Gobierno de la Informacin y de las

Tecnologas de la Informacin
Se gestionar la informacin mediante un control
centralizado de estndares, eficiencia, seguridad y
activos compartidos.
Se gestionar la informacin mediante una
poltica centralizada y ejecucin descentralizada para
asegurar la responsabilidad, calidad, aprendizaje e
innovacin.
Se eliminarn tareas redundantes y entonces se
simplificarn los procesos de informacin antes de
construir nuevas aplicaciones.
21
AEMES-

Gobierno de la Informacin y de las

Tecnologas de la Informacin
Se mejorarn los sistemas de informacin
existentes siempre que surja una necesidad de
automatizacin adicional en lugar de optar por
nuevos desarrollos de sistemas como opcin
preferida.
Se probarn y validarn nuevos mtodos de
negocio en instalaciones piloto antes de su
implantacin a gran escala.
Los directores de operaciones sern los
responsables de todos los beneficios y costes de
desarrollo y operacin de sus sistemas de
informacin.
22
AEMES-

Decisiones clave en el
Gobierno de TI
Decisiones sobre Principios de TI
Definiciones de alto nivel acerca de la utilizacin de la TI por el negocio

Decisiones sobre Decisiones sobre

arquitectura de TI infraestructura tcnica

Organizacin lgica
Servicios compartidos de TI
para datos,
coordinados centralmente
aplicaciones e
que proporcionan los
infraestructura
fundamentos de las
expresada mediante
capacidades de la empresa
un conjunto de
polticas, relaciones y
Necesidades de
decisiones tcnicas
para conseguir el
aplicaciones
negocio deseado y la
Especificacin de las
integracin y
necesidades del negocio de
estandarizacin
compra o desarrollo de
tcnica
aplicaciones de TI

Decisiones de
inversiones en TI
y su priorizacin

Decisiones acerca de
cunto y cundo
invertir en TI, incluyendo
la aprobacin de proyectos
y la justificacin tcnica de
los mismos

23
AEMES-

reas del Gobierno de TI

En
Va treg
lor a d
e

del
tin
to
Ges imien
d
Ren

reas del
Gobierno
de TI

Gestin de
Recursos

Ges
Rie tin de
sgo
l

to
n
e
i
m ico
a
e
in atg
l
A tr
es

24
AEMES-

reas del Gobierno de TI

Gestin de recursos
Entrega de
Valor de TI

Alineamiento
estratgico
de TI

Valor dirigido
a Grupos de
Inters

Gestin de
Riesgos

Performance
management

25
AEMES-

Dominios del Gobierno de TI

Alineamiento estratgico se centra en asegurar:
la conexin e integracin del negocio con los planes de TI
en definir, mantener y validar las propuestas de valor de TI
alinear las operaciones de TI con las de la empresa
Entrega de valor se refiere a ejecutar las propuestas de valor
durante el ciclo de entrega, asegurando que TI entrega los beneficios
relacionados con la estrategia del negocio, concentrndose en
optimizar costes y proporcionar el valor intrnseco a la TI.
Gestin de recursos se refiere a la optimizacin de inversiones y a
la gestin adecuada de los recursos de TI: aplicaciones, informacin,
infraestructura y personas. Los temas clave son la optimizacin del
conocimiento e infraestructuras.

26
AEMES-

Dominios del Gobierno de TI

Gestin del riesgo requiere:
concienciacin por parte de la alta direccin
Una clara comprensin de la apetencia de riesgo de la
organizacin
comprender la necesidad del cumplimiento con los requisitos
transparencia en el tratamiento de los riesgos ms
significativos
integrar las responsabilidades de la gestin de riesgos en la
organizacin
Medida del rendimiento sigue y controla:
la estrategia de la implantacin
la estrategia de los proyectos
el uso de los recursos
el rendimiento de los procesos y la entrega de los servicios
utilizando BSC
AEMES-

27

28
AEMES-

Procesos del Gobierno y Direccin

de TI
Gobierno de TI
Portfolio Management

Arquitectura de Empresa
y Estndares
Gestin de recursos y
externalizacin

Gestin de niveles de
servicio
Gestin de Proyectos
Gobierno

Administracin

Colaboracin

Presupuestos
y controles
Anlisis
Econmico

Desarrollo de Servicios de TI

Reingeniera de flujo
de trabajos

Planificacin y mejora
continua

Gestin de
adquisiciones y
vendedores

Seguridad de la Informacin

Gestin Financiera

Planificacin

Ingeniera e integracin
de sistemas

Gestin de capacidad
y activos

Reingeniera de la
organizacin

Reingeniera de
infraestructuras

Contabilidad de
Proyectos
Contabilidad
Coste Servicios

Gestin de la
Disponibilidad
Continuidad de
las operaciones

Proteccin,
Deteccin y
Respuesta
Gestin de la
Calidad de Datos

Entrega de Servicios de TI
Gestin de
Cambios
Gestin de Datos y
Aplicaciones

Gestin de versiones

Gestin de
Configuracin

Operaciones de los servicios de TI

Gestin de Operaciones

Gestin de Lanzamiento

Gestin del Centro

de Contacto

Gestin de problemas
e incidencias

29
AEMES-

Mitos del Gobierno de TI

El Gobierno de TI es responsabilidad del Director de Informtica
Accionistas

Direccin Corporativa
Vendedores
de TI

Clientes

Direcciones de
negocio
Proveedores

Directivos
de TI

El Director de Informtica no
es el responsable del Gobierno
de TI
La eficacia del Gobierno de TI
depende solo parcialmente del
Director de Informtica y otros
directivos de TI
El Gobierno de TI descansa en
la capacidad de los directivos de
negocio para definir la
estrategia de negocio incluida la
de TI y su valor para el negocio.
30

AEMES-

Mitos del Gobierno de TI

El Gobierno de TI se ocupa de la organizacin de la funcin de
TI

Investigacin

Proyectos

Activos

Portfolio de TI

La organizacin de TI es un
Portfolio de diferentes funciones de
negocio interdependientes y de
capacidades tcnicas que existen en
distintos niveles de la organizacin y
en terceras partes.
La infraestructura de TI (personas,
tecnologa, procesos) es la base de
las capacidades de TI
Las capacidades de TI se
entienden como servicios
compartidos de alta calidad dirigidos
centralmente por TI
31

AEMES-

Mitos del Gobierno de TI

El Gobierno de TI es una nueva forma de la antigua escuela

de la Direccin de TI
La direccin de TI se centra en la
Orientacin al
eficacia y eficiencia de los servicios y
negocio
productos y gestin de las operaciones
Externa
Gobierno
de TI, el Gobierno en :
de TI
- Contribucin de TI al negocio y su
rendimiento
- Transformacin y posicionamiento
de TI para alcanzar retos futuros del
negocio

Direccin de TI

Interna
Presente
(Petersen, 2003)

Futuro

Orientacin
en el tiempo
32

AEMES-

Modelos de Madurez,
indicadores y medidas

Modelos de Madurez
Fcil comprensin de dnde estamos y dnde
deberamos estar

Realizacin de benchmarking
Modelo de IT Governance Institute (CobiT)
Modelo de Forrester
Modelo de Jeanne Ross y Peter Weil
Modelo de ITGPM Maizlish/Handler

34
AEMES-

Modelo de Madurez del

Gobierno de TI

Profundizacin en
Gobierno de TI
Plena comprensin de la
Gobierno de TI
Existe concienciacin
sobre los objetivos de
Gobierno de TI
Se reconoce que
existen problemas de
Gobierno de TI.
No se reconoce
ningn proceso
de Gobierno de
Inicial
TI

Repetible
pero intuitivo
2

Proceso
definido
3

En
Optimizacin
5

Dirigido
y medido

No existente
0
AEMES-

IT Governance Institute

35

Modelo de Madurez del

Gobierno de TI

36
AEMES-

Productos CobiT 4.00

Board Brifing on
IT Governance 2 ed.
Responsabilidades
Direccin ejecutiva y Comits

Medidas del rendimiento

. Objetivos de las actividades
. Modelos de Madurez

Guas de Gestin

Direccin del negocio y la tecnologa

Qu es el marco
de control de TI?

Cmo evaluar el marco

de control de TI?

Cmo implantar TI
en la empresa?

Profesionales del Gobierno, Aseguramiento, Control y Seguridad

Marco de CobiT

Gua de
aseguramiento de TI

Objetivos de
Control

Objetivos de control
de TI para SOX

Prcticas de
Control

Gua para la implantacin

de Gobierno de TI

CobiT Quickstart
Lnea base de
Seguridad CobiT
37

AEMES-

38
AEMES-

39
AEMES-

40
AEMES-

41
AEMES-

42
AEMES-

43
AEMES-

44
AEMES-

45
AEMES-

46
AEMES-

Conclusiones

Conclusiones
El buen gobierno de TI no es una ciencia ni una
tcnica exacta. Requiere disciplina, compromiso.
Necesita adaptarse a las estructuras
organizativas, cultura y a la estrategia de la
organizacin.
Es esencial que lo compren los ejecutivos de la
organizacin.
Una vez que se ha tomado la decisin de
desarrollar un marco para el Gobierno de TI, el
primer paso convencer al consejo y direccin
ejecutiva ya que es una parte del Gobierno
Corporativo. Lo ideal es que proceda la decisin del
Consejo o de la Direccin General.
48
AEMES-

Conclusiones
Desarrollar la estructura de gobierno primero. Si el
CIO no esta a nivel de direccin ejecutiva es lo
primero. Si no, es ms difcil de implantar el
Gobierno de TI.
Cmo mnimo debe crearse un comit de
inversiones en TI para revisar, aprobar y definir
prioridades para las inversiones en TI y un comit
de arquitectura para desarrollar, comunicar e
introducir una arquitectura de empresa y estndares
de TI.
Desarrollar un proceso de gestin del Portfolio de
inversiones de TI y de un proceso de gestin de la
demanda. Luego deben seguir, acuerdos de nivel de
servicio (SLA) y mecanismos de facturacin.
49
AEMES-

Conclusiones
No empezar desde cero. Revisar los marcos
existentes (COBIT, ITIL, CMMI, ISO 1799-1 y 2).
Tratar de desarrollar un marco propio.
Si la preocupacin de la empresa son los
riesgos apoyarse en COBIT.
Si es la entrega de servicios COBIT + ITIL.
Si es la seguridad COBIT +ISO 17799
Establecer un proceso de medida corporativo y
medir, medir y medir.
Comunicar y aprender. El gobierno de TI debe ser
continuamente reforzado y explicado utilizando las
medidas e indicadores obtenidos.
Utilizar el Cuadro Integral de Mando para la
comunicacin de las medidas del rendimiento y
direccin de TI

50

AEMES-

Los dos peores prctica que

impiden el buen Gobierno de TI

Huda hacia adelante en las demandas

de las unidades de negocio

Las unidades de negocio son las responsables

finales de la optimizacin de las inversiones en TI, de
la misma manera que lo son de la optimizacin de las
restantes inversiones y gastos.
En muchas organizaciones, las unidades de negocio
han abdicado de su responsabilidad, aunque toman
las decisiones de muchos gastos de TI

52
AEMES-

Obsesin por la urgencia, dejando lo

importante a su suerte
Los problemas de incremento de valor son
secundarios frente a la peticin de servicios de TI
y se continuar haciendo lo mismo mientras que
las causas raz permanezcan sin ser abordadas

53
AEMES-

Conclusiones

Ninguna metodologa, estndar o ley puede cubrir todo el

espacio de control pero los Directores de Informtica podrn
establecer una base para guiar la implementacin del
gobierno de IT, incluyendo:
Portfolio Management
Matriz de credibilidad y dependencia
Modelos de organizacin y procesos (CMMi, TickiT,.)
Estndares de control de TI (pe., ITIL, COBIT, SPICE)
Regulaciones externas de gobernanza empresarial (pe.,
Sarbanes-Oxley, ....) o sectorial (pe., Basilea II,....)

54
AEMES-

Muchas gracias por su atencin

jcarrillo@fi.upm.es

55
AEMES-