You are on page 1of 208

ModeloyguaparalaimplementacindeGobiernodeTIenEntidades

BancariasdeColombia

PROYECTODEGRADO

MaraHelenaCorreaCorrea
BreynerAlexanderParraRojas

Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001

FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012

1
ModeloyguaparalaimplementacindeGobiernodeTIenEntidades
BancariasdeColombia

MaraHelenaCorreaCorrea
BreynerAlexanderParraRojas

Trabajodegradoparaoptaralttulode
MsterenGestindeInformticayTelecomunicaciones
nfasisenGerenciadeTI

Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001

FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012

2
Notadeaceptacin

____________________________
____________________________
____________________________
____________________________
____________________________
____________________________

_________________________
FirmadelPresidentedelJurado

_________________________
FirmadelJurado

_________________________
FirmadelJurado

SantiagodeCali,Fecha

3
TABLADECONTENIDO

1. INTRODUCCIN.................................................................................................................12

1.1 GobiernodeTI ................................................................................................................12

1.2 PlanteamientodelProblema............................................................................................13

1.3 ObjetivoGeneral.............................................................................................................13

1.4 ObjetivosEspecficos: .....................................................................................................13

1.5 ResumendelModeloPropuesto ......................................................................................14


1.5.1 RequerimientosdeTIrelevantesparaelModelo .....................................................14
1.5.2 SeleccindelmarcodereferenciadelmodelodeGobiernodeTI............................16
1.5.3 AutoevaluacindeniveldemadurezdeGobiernodeTI. .........................................16
1.5.4 ModelodeGobiernodeTIpropuesto......................................................................16
1.5.5 GuadeImplementacindelModelodeGobiernodeTIpropuesto ..........................17

1.6 ResumendeResultadosObtenidos.................................................................................18

1.7 OrganizacindelDocumento...........................................................................................21

2. MODELOSDEGOBIERNOYGESTINDETI...................................................................22

2.1 ISO38500:2008 ..............................................................................................................22

2.2 COBIT4.1 .......................................................................................................................24

2.3 CMMIDEV1.3 ................................................................................................................25

2.4 ISO9001:2008 ................................................................................................................25

2.5 ISO9004:2009 ................................................................................................................25

2.6 ISO27001:2006 ..............................................................................................................26

2.7 ISO27001:2006 ..............................................................................................................26

2.8 ModelodeMadurezdeCobiT..........................................................................................26

2.9 ModelodeMadurezdeCMMI..........................................................................................27

2.10 ModelodeMadurezISO9004:2009 ............................................................................28

2.11 ComparacindelosmodelosdenivelesdemadurezdeCobiT,CMMIeISO9004......29

3. CONTEXTODELSECTORBANCARIOCOLOMBIANO ...................................................31

3.1 EstablecimientosBancarios.............................................................................................31

4
3.2 ActualidadBancaria.........................................................................................................31

3.3 PresenciaGeogrfica ......................................................................................................35

3.4 Expansindelabanca ....................................................................................................37

3.5 Entidadesdesupervisin.................................................................................................38
3.5.1 LaSuperintendenciaFinanciera ..............................................................................39

3.6 Legislacincolombianaquerigenelsectorbancarioyqueaportanalmodelopropuesto 41
3.6.1 Decreto633de1993...............................................................................................41
3.6.2 CircularExterna014del2009 .................................................................................41
3.6.3 CircularExterna038de2009 ..................................................................................41
3.6.4 CircularExterna052de2007 ..................................................................................42

4. AUTOEVALUACIONDEGOBIERNODETI .......................................................................43

4.1 AutoevaluacindeniveldemadurezdeGobiernodeTI...................................................43
4.1.1 AutoevaluacindeGobiernodeTIpropuesto ..........................................................44
4.1.2 RealizacindelaAutoevaluacin ............................................................................45
4.1.3 EjemplodelaAutoevaluacin .................................................................................46
4.1.4 PresentacindelosresultadosdelaAutoevaluacin...............................................47

5. MODELOPROPUESTO......................................................................................................49

5.1 ContextodelModelo........................................................................................................49

5.2 EstructuradelModelo......................................................................................................56

6. MODELODEGOBIERNODETIPARAENTIDADESBANCARIASDECOLOMBIA..........58

6.1 Responsabilidad..............................................................................................................59
6.1.1 RQ16Administracindelosdatos.........................................................................60
6.1.2 RQ19GestindelaDocumentacin.....................................................................63

6.2 Estrategia........................................................................................................................64
6.2.1 RQ01Planestratgicodetecnologa ....................................................................65
6.2.2 RQ05Administracindeproyectosdesistemas....................................................68

6.3 Adquisicin......................................................................................................................71
6.3.1 RQ02Infraestructuradetecnologa.......................................................................72
6.3.2 RQ03Relacinconproveedores...........................................................................74
6.3.3 RQ07Adquisicindetecnologa...........................................................................75
6.3.4 RQ08Adquisicinymantenimientodesoftwaredeaplicacin...............................76

5
6.3.5 RQ09Instalacinyacreditacindesistemas.........................................................78

6.4 Desempeo.....................................................................................................................80
6.4.1 RQ06Administracindelacalidad........................................................................81
6.4.2 RQ10Administracindecambios..........................................................................83
6.4.3 RQ11Administracindeserviciosconterceros.....................................................85
6.4.4 RQ12Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica. .........................................................................................................................87
6.4.5 RQ13Continuidaddelnegocio..............................................................................89
6.4.6 RQ14Seguridaddelossistemas ..........................................................................92
6.4.7 RQ17Administracindeinstalaciones ..................................................................95
6.4.8 RQ18Administracindeoperacionesdetecnologa..............................................97

6.5 Cumplimiento ..................................................................................................................99


6.5.1 RQ04Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidady
comercioelectrnico..........................................................................................................100

6.6 ComportamientoHumano..............................................................................................102
6.6.1 RQ15Educacinyentrenamientodeusuarios. ...................................................103

7. GUADEIMPLEMENTACINDELMODELODEGOBIERNODETIPARAENTIDADES
BANCARIASDECOLOMBIA....................................................................................................105

7.1 Guadeimplementacindelmodelo..............................................................................105
7.1.1 Fase1:Obtenerelcompromisodelaaltadireccin...............................................105
7.1.2 Fase2:Determinarelestadoactual ......................................................................106
7.1.3 Fase3:Establecerelestadofuturodeseado. ........................................................107
7.1.4 Fase4:Identificarlasbrechas...............................................................................107
7.1.5 Fase5:Definirelplandeimplementacin .............................................................108
7.1.6 Fase6:Desarrollarelplandeimplementacin ......................................................109
7.1.7 Fase7:Monitorearycontrolareldesempeodelaimplementacin ......................110

8. VALIDACINDELAPROPUESTA ..................................................................................112

8.1 MetodologadeValidacin.............................................................................................112

8.2 SeleccindeExpertos...................................................................................................112

9. RESULTADOSOBTENIDOS ............................................................................................117

10. CONCLUSIONESYFUTUROTRABAJO .........................................................................123

6
10.1 Conclusiones.............................................................................................................123

10.2 TrabajoFuturo...........................................................................................................124

11. BIBLIOGRAFA.................................................................................................................125

12. ANEXOS ...........................................................................................................................127

7
LISTADECUADROS

pg.

Tabla1:Identificacindelos19requerimientosdeTIseleccionados ................................................................ 16
Tabla2:Comparacinpornivelesdelosmodelosdemadurez ............................................................................. 29
Tabla3:Comparacinporavanceentrenivelesdelosmodelosdemadurez................................................... 30
Tabla4:ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera ................................... 40
Tabla5:FormatodelaAutoevaluacinpropuesta..................................................................................................... 46
Tabla6:EjemplodelaAutoevaluacin,comparadoconlosnivelesdemadurezdeCobiT,CMMeISO
9004................................................................................................................................................................................. 47
Tabla7:Identificacindelos19requerimientosdeTIseleccionados ................................................................ 51
Tabla8:Relacinentrelos19requerimientosdeleyylosdiferentesmarcos................................................. 54
Tabla9:EstructuradelmodelodeGobiernodeTIpropuesto................................................................................ 57
Tabla10:Relacindeobservacionesdelgrupodeexpertos.................................................................................116

8
LISTADEFIGURAS

pg.

Figura1:ModelodeGobiernodeTIPropuesto ........................................................................................................... 17
Figura2:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto....................................................................................................................................................................... 19
Figura3:Resultadodeljuiciodeexpertos..................................................................................................................... 20
Figura4:Modelo ISO38500paraelgobiernodeTI................................................................................................... 24
Figura5:ModelodeMadurezdeCobiT .......................................................................................................................... 27
Figura6:NivelesdemadurezdeCMMI .......................................................................................................................... 28
Figura7:DistribucindecarterasporBancos............................................................................................................. 34
Figura8:Presenciageogrficadelasentidadesbancarias...................................................................................... 36
Figura9:EntidadesdeSupervisin ................................................................................................................................. 38
Figura10:AutoevaluacindeGobiernodeTIPropuesta......................................................................................... 44
Figura11:EsquemadelaAutoevaluacinpropuesta................................................................................................ 45
Figura12:Ejemplodela presentacindelosresultadosporlos6principiosdeISO38500 ...................... 48
Figura13:Ejemplodelapresentacindelosresultadospor las3tareasprincipalesporcadaprincipio
deISO38500................................................................................................................................................................. 48
Figura14:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT .............................................. 55
Figura15:ModelodeGobiernodeTIPropuesto......................................................................................................... 56
Figura16:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto.....................................................................................................................................................................118
Figura17:Resultadospregunta1delaencuesta......................................................................................................119
Figura18:Resultadospregunta2delaencuesta......................................................................................................120
Figura19:Resultadospregunta3delaencuesta......................................................................................................120
Figura20:Resultadospregunta4delaencuesta......................................................................................................121
Figura21:Resultadospregunta5 delaencuesta......................................................................................................121
Figura22:Resultadospregunta6delaencuesta......................................................................................................122
Figura23:Resultadospregunta7delaencuesta......................................................................................................122

9
LISTADEANEXOS

pg.

Anexo1:AutoevaluacindeniveldemadurezdeGobiernodeTIpropuesta.(verarchivoAnexo
1.doc) ................................................................................................................................127
Anexo2:GuaparaeldiligenciamientodelaautoevaluacindeniveldemadurezdeGobiernode
TIpropuesta.(verarchivoAnexo2.doc).............................................................................127
Anexo3:Formatodeanlisisderesultados(verarchivoAnexo3.xls) ........................................127
Anexo4:EjemplodeimplementacindeunrequerimientodeTIdelmodelopropuesto(verarchivo
Anexo4.doc) .....................................................................................................................127
Anexo5:ResumenEjecutivodelmodelodeGobiernodeTIenentidadesbancariasdeColombia
(verarchivoAnexo5.doc) ..................................................................................................127
Anexo6:Encuestaenformatodigitalparaeljuiciodeexpertos(verarchivoAnexo6.pdfy/ola
encuestaenlneaen
https://docs.google.com/spreadsheet/viewform?formkey=dHJ0ZFNEcnRJeWlNRVVhV0owdH
NNZGc6MQ) .....................................................................................................................127
Anexo7:Verificacindelcumplimientodelos19requerimientosenelBancodeOccidente.(Ver
archivoAnexo7.doc) .........................................................................................................127
Anexo8:ProcedimientodocumentadodelBancodeOccidenteDS0101Realizaranlisisdela
situacin(verarchivoAnexo8.doc) ...................................................................................127

10
RESUMEN

Desde la fundacin delprimer banco privado en Colombia en 1870 (el Banco de


Bogot)1, el sector bancario colombiano ha tenido un crecimiento importante, no
solo financieramente, sino desde el punto de vista tecnolgico. En la actualidad,
estesectorestregidopordiferentesleyesydecretos.Elprincipal,eldecreto663
de 19932, por medio del cual reglamenta y define que son Establecimientos
Bancarios y regula el tipo de operaciones autorizadas adems marca una
diferenciaentreentidadesbancariasyotrostiposdeentidadesy/ocorporaciones
financieras.Deigualforma,eldecreto4327de20053 facultaalaSuperintendencia
Financieracomoentedecontroldelsectorbancario,conelfindehacerpreservar
la estabilidad, seguridad y confianza, apoyado en el cumplimiento de la ley y
sancionandoaaquellasentidadesqueincurranenfaltas.

Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo, y


hacen grandes esfuerzos einversiones en tecnologa conel objetivo de ser ms
eficientesymsseguros,sinembargo,elproblemaesquehastaahora,noexista
un modelo de Gobierno de TI adaptado a las necesidades del sector bancario
colombiano.

A nivel Latinoamrica, el Banco Supervielle S. A. uno de los principales Bancos


privadosdelaRepublicaArgentinalanzenelao2009unproyectodenominado
"Gobierno de TI", donde la Gerencia General del Banco era el patrocinador
"Sponsor"ylaGerenciaCoordinadoradeTIysusGerentesloslderesdelmismo4
Sin embargo, no es pertinente aplicar exactamente modelos de gobierno de TI
bancariodeotrospasesdadaslasdiferenciasculturales,operativas,econmicas
ydelegislacinexistentesconrespectoaColombia.

Por tal motivo, el propsito del presente documento es proponer un modelo de


Gobierno de TI, con su respectiva gua para su implementacin en entidades
bancarias de Colombia, que satisfaga las necesidades legales y corporativas de
estesector.

1
Orgenes de la banca comercial en Colombia. Banco de la Republica.
http://www.banrepcultural.org/blaavirtual/revistas/credencial/marzo2001/135origenes.htm
2
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
3
Decreto 4327 de 2005. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/dec432705.doc
4
Caso de Estudio: Banco Supervielle S.A., Argentina. ISACA.
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBanco
SupervielleSAArgentina.aspx

11
1. INTRODUCCIN

Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.

Losestablecimientosbancariossedividenendostipos:

Banco comercial: Las palabras banco comercial significan un establecimiento


que hace el negocio de recibir fondos de otros en depsito general y de usar
stos, junto con su propio capital, para prestarlo y comprar o descontar pagars,
girosoletrasdecambio.

Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin5.

Es importante saber que todas las entidades que hacen parte del sistema
financieroestnsujetasalaregulacinysupervisinporpartedelasautoridades
deintervencin:elCongresodelaRepblica,elMinisteriodeHaciendayCrdito
PblicoylaSuperintendenciaFinanciera.Asmismo,estassonlasencargadasde
crear los marcos normativos y de velar porque los recursos de las personas,
empresas y el gobierno se encuentren seguros en manos de las diferentes
instituciones.Adems,laSuperintendenciaFinancieratambintienefuncionesde
inspeccin,vigilanciaycontrolsobrelasentidades6.

1.1 GobiernodeTI

Gobierno de TI (Tecnologas de Informacin) es la estructura de relaciones y


procesos para dirigir y controlar la empresa hacia el logro de sus objetivos,
agregandovalor,altiempoqueseobtieneunbalanceentreelriesgoyelretorno
sobre inversiones en TI. El gobierno de TI integra e institucionaliza las buenas
prcticasparagarantizarqueTIenlaempresasoportalosobjetivosdelnegocio.
Facilita que la empresa aproveche al mximo su informacin, maximiza los
beneficios, capitaliza las oportunidades y gana ventajas competitivas. Muchas
organizaciones cuentan con diferentes marcos de Gestin deTI (CobiT, Itil, etc.)

5
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
6
Informacin al consumidor financiero. ASOBANCARIA.
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y
_banca/

12
sin embargo, cuando estos marcos de trabajo y estndares son utilizados
colectivamente, se vuelven muy confusos y obstruyen el propsito principal del
GobiernodeTI7

1.2 PlanteamientodelProblema

Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo y


hacen grandes esfuerzos einversiones en tecnologa conel objetivo de ser ms
eficientesymsseguroselproblemaesquenoexisteunmodelodeGobiernode
TIadaptadoalasnecesidadesdelsectorbancariocolombiano.

1.3 ObjetivoGeneral

Proponer un modelo de Gobierno de TI y una gua para su implementacin en


entidades bancarias de Colombia, que satisfaga las necesidades legales y
corporativasdeestesector,teniendoencuentaquenoseratilaplicaralpiedela
letra modelos de Gobierno de otros sectores colombianos, ya que la
infraestructura, tecnologa, modelo de negocio y sobre todo, legislacin, es
diferente.Tampocoespertinenteaplicarexactamente modelosdegobiernodeTI
bancariodeotrospasesdadaslasdiferenciasculturales,operativas,econmicas
ydelegislacinexistentesconrespectoaColombia.

1.4 ObjetivosEspecficos:

1. Realizar un anlisis del contexto del sector bancario en Colombia,


incluyendolasprincipalesdisposicioneslegalesquelosrigen.

2. Realizar un anlisis de los marcos para Gobierno de TI existentes y


determinar cules son los ms apropiados para la creacin del modelo a
implementar.

3. CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI

4. Desarrollar un modelo de Gobierno de TI, basado en los marcos


seleccionados.

5. Crear una gua de implementacin para el modelo de Gobierno de TI


desarrollado.

7
Artculo: Gobierno de TI Estado del arte. Ingrid Luca Muoz Perin MsC, Gonzalo Ulloa
Villegas. Revista S&T, Universidad Icesi.
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf

13
6. Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
Rubricaquepermitasuevaluacin.

1.5 ResumendelModeloPropuesto

El presentemodelodeGobiernodeTIpropuestorecogeelespritudelaCircular
014de2009,lacualtienecomoobjetivoprimarioquelasentidadesbancariasde
Colombia creen y/o fortalezcan un sistema de control interno que permita la
evaluacin continua de su eficiencia,contribuyaallogro de susobjetivosde
negocioyfortalezcalaapropiadaadministracindelosriesgosaloscualesse
ven expuestas en el desarrollo de su actividad, realizndolas en condiciones de
seguridad,transparenciayeficiencia.

1.5.1 RequerimientosdeTIrelevantesparaelModelo

LasentidadesbancariasdeColombiaseencuentranregidaspordiferentesleyes,
normas y decretos. Para las reas de TI, existe en especial la Circular 014 del
2009enesta,sedefineenelcapitulo7.6.2.(NormasdeControlInternoparala
Gestin de la Tecnologa), que las entidades bancarias debern disear un
SistemadeControlInterno(SCI)paralagestindelatecnologa,querespondaa
las polticas, necesidades y expectativas de la entidad y a las exigencias
normativas, con el propsito de contribuir al logro de los objetivos
institucionales8

El SIC obliga a los responsables de TI de las Entidades Bancarias a contar con


estndares, polticas, directrices y procedimientos debidamente aprobados,
orientadosacubrirlossiguientesrequerimientos:

1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.

8
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc

14
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.

Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.

En razn de lo anterior, dichos requerimientos se convirtieron en los


requerimientosdeTIclavesparaelmodelodeGobiernodeTIparalasentidades
bancarias.

Para mayor facilidad, se identificaron los 19 requerimientos de TI seleccionados


conuncdigo,talcomosemuestraenlaTabla1.

Cdigo Procesos
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
Administracin, desempeo, capacidad y disponibilidad de la
RQ12
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.

15
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindelaDocumentacin.
Tabla1:Identificacindelos19requerimientosdeTIseleccionados

1.5.2 SeleccindelmarcodereferenciadelmodelodeGobiernodeTI.

ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.

Despus de realizar un anlisis de los diferentes marcos de Gobierno de TI, se


escogielISO38500:2008,debidoaqueesunaNormaInternacionalqueprovee
un estndar para que la direccin de las organizaciones evalen, dirijan y
controlenelusodelastecnologasdelainformacin.

Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMIDEV,ISO27001,ISO27002eISO9001.

1.5.3 AutoevaluacindeniveldemadurezdeGobiernodeTI.

Si bien es cierto el sector bancario cuenta con diferentes decretos, normas y


circulares las cuales no solo regulan la actividad bancaria como tal, sino que
ademsalgunasdeellassonexclusivasparacontrolarygarantizarlagestindela
tecnologa,ellonoimplicaquenecesariamentetenganestablecidounGobiernode
TI. Por tal motivo, una autoevaluacin es un buen punto de partida para que los
responsablesdeTIdelasentidadesbancariasdeterminenunestadoactualyuno
deseadocontraunestadoideal,dentrodelaescalapropuesta.

1.5.4 ModelodeGobiernodeTIpropuesto

Despus de determinarlosrequerimientos de TI, el marco base ylos marcos de


apoyo,seprocediadefinirelmodelo,elcualconsisti(apoyadosconCobiT)en
agruparlos19requerimientosdeTIseleccionadosenlos6principiosdelaNorma
ISO38500:2008.Posterioraesto,sedetermincualesactividadesdelosmarcos
de apoyo ayudaran a cumplir con los objetivos de los 6 principios de ISO
38500:2008 y finalmente se determin una serie de indicadores de gestin que
permitanevaluarelcumplimientodelasmetaspropuestas.(verfigura1).

El modelo de Gobierno de TI para las Entidades Bancarias planteado en este


proyecto, responde a las actividades principales definidas por la norma ISO
38500:2008 de Evaluar la utilizacin actual y futura de las TI. Dirigir la
16
preparacin e implementacin de los planes y polticas que aseguren que la
utilizacindelasTIdemodoquealcancenlosobjetivosinstitucionalesyControlar
el desempeo de la tecnologa de la informacin, a travs de sistemas de
medicinadecuados.

MODELODEGOBIERNODETI

Evaluar Dirigir Controlar

Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano

RQ19,RQ16 RQ01,RQ05 RQ02,RQ03, RQ06,RQ10, RQ04 RQ15


RQ07,RQ08, RQ11,RQ12,
RQ09, RQ13,RQ14,
RQ17,RQ18,

ActividadesdeControl

IndicadoresdeGestin

Figura1:ModelodeGobiernodeTIPropuesto

1.5.5 GuadeImplementacindelModelodeGobiernodeTIpropuesto

Con elfin de proporcionar una gua quefacilitelaimplementacin delModelo de


Gobierno de TI en las entidades bancarias de Colombia, se definieron dos
actividadesespecficas:

1. Sedocumentunaguadeimplementacindelmodelo.
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto(veranexo4).

17
Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
porelITGovernanceInstitute,ITgovernanceimplementation9.queconstadesiete
fases:

Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodelaimplementacin

1.6 ResumendeResultadosObtenidos

Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:

Identificacin de los 19 requerimientos de TI claves para el modelo de


GobiernodeTI

ModelodeGobiernodeTIparaentidadesbancariasdeColombia

UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008

UnaGuadeImplementacinparamodelopropuesto

Un instrumento para la validacin del modelo por parte de un juicio de


expertos.

Para validar la autoevaluacin y conocer el estado actual de Gobierno de TI,


segnla escala propuesta, se pidi a 3 entidades bancarias de Colombia quela
diligenciaran.Elresumendedichoresultadoseselsiguiente:

Segn el muestreo, el sector bancario tiene procedimientos, tareas y/o


actividades, que segn el modelo y la escala propuesta, ayudan al
GobiernodeTI

Se evidencia tambin que tienen inters de crecer a un nivel superior del


actual,entodaslasaristasdelmodelopropuesto.

9
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute

18
Se observa adems, que sibien es cierto tienen expectativa de avanzar a
unnivelsuperior,porahoranoconsideranlaposibilidaddeestarenelnivel
ideal,dentrodelaescalapropuesta

Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamie
Estrategia
ntoHumano 2
1
NIVEL
0 DESEADO

Principio5 Principio3 NIVEL


Conformidad Adquisicin IDEAL

Principio4
Desempeo

Figura2:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto

Respecto al juicio de expertos y tomando como base la pregunta Considerando


deformaglobalelresumenejecutivoenviado,ustedconsideraviableoinviablela
implementacindelmodelopropuestodeGobiernodeTIparaentidadesbancarias
deColombia elresultadofueelsiguiente:

19
7.Considerandodeformaglobalelresumenejecutivo
enviado,ustedconsideraviableoinviablelaimplementacin
delmodelopropuestodeGobiernodeTIparaentidades
bancariasdeColombia

0%

Esviable
Esinviable

100%

Figura3:Resultadodeljuiciodeexpertos

Losresultadosyelanlisismsdetalladoseencuentranenelcaptulo9

20
1.7 OrganizacindelDocumento

Captulo1 Seestableceelcontextodeltrabajo,elplanteamientodelproblema,
losobjetivos,elresumendelmodelopropuestoyelresumendelos
Introduccin resultados obtenidos.

Captulo2 Se presenta el marco terico, en el cual se incluyen diferentes


modelos, marcos y normas iso pertinentes para la elaboracin de
ModelosdeGobiernoyGestindeTI este documento.

Enestecaptulosedefinequesonestablecimientosbancariosyse
Captulo3.
presentaunaactualidaddelsectorbancariocolombiano.Ademsse
ContextodelsectorBancario presentan las entidades de supervisin y leyes que rigen a este
Colombiano sector.

Captulo4 Esta seccin hace referencia a la forma como fue creada la


AutoevaluacindeGobiernodeTI autoevaluacin deGobierno deTI propuestapara elsector.

Captulo5 En este captulo se detalla el modelo de Gobierno de Ti para


ModeloPropuesto entidades bancarias enColombia propuesto

Capitulo6 Este captulo est destinado exclusivamente para el Modelo de


ModelodeGobiernodeTIpara Gobierno de TI propuesto. En este captulo se encuetran los
EntidadesBancariasdeColombia principios, lasactividades decontrol ylos indicadores degestin

Captulo7 Enestaseccinsepresentalaguaparalaimplmentacindel
GuadeImplementacin ModelodeGobiernodeTIpropuesto

Captulo8 Enestecaptuloseabordalametodologaimplementadaparala
ValidacindelaPropuesta validacindelmodelopropuesto,porpartedeungrupodeexpertos

Captulo9 Estecaptulocontienelosresultadosobtenidosconelpresente
trabajo,ademsdelosresultadosdelaevaluacindelmodelopor
ResultadosObtenidos partedeljuiciodeexpertos

Captulo10 EstaseccincontienelasconclusionesdelmodelodegobiernodeTI
ConclusionesyFuturoTrabajo propuestoyeltrabajofuturoquedeberaseguir

21
2. MODELOSDEGOBIERNOYGESTINDETI

2.1 ISO38500:2008

Antecedentes
GobiernodelasTIC(ITgovernance)yatieneunanormaISOasociada,laISO/IEC
38500:2008 Corporate governance of information technology que viene a
complementar el conjunto de estndares ISO que afectan a los sistemas y
tecnologas de la informacin (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504,
ISO/IEC24762,etc.).Estanuevanormafijalosestndaresparaunbuengobierno
de los procesos y decisiones empresariales relacionadas con los servicios de
informacinycomunicacinque,suelenestargestionadostantoporespecialistas
enTICinternosoubicadosenotrasunidadesdenegociodelaorganizacin,como
por proveedores de servicios externos. En esencia, todo lo que esta norma
proponepuederesumirseentrespropsitosfundamentales:

Asegurar que, si la norma es seguida de manera adecuada, las partes


implicadas (directivos, consultores, ingenieros, proveedores de hardware,
auditores,etc.),puedanconfiarenelgobiernocorporativodeTIC.

Informar y orientar a los directores que controlan el uso de las TIC en su


organizacin.

Proporcionar una base para la evaluacin objetiva por parte de la alta


direccinenelgobiernodelasTIC.

LanormaISO/IEC38500:2008sepublicenjuniode2008conbaseenlanorma
australianaAS8015:2005.Eslaprimeradeunaseriesobrenormasdegobiernode
TIC. Suobjetivo esproporcionar un marco de principios para quela direccin de
las organizaciones lo utilice al evaluar, dirigir y monitorizar el uso de las
tecnologas de la informacin y comunicaciones (TICs). Est alineada con los
principios de gobierno corporativo recogidos en el Informe Cadbury y en los
PrincipiosdeGobiernoCorporativodelaOCDE

Definiciones
La norma incluye 19 definiciones de trminos, entre los que se pueden destacar
lossiguientes:

Principios
LanormadefineseisprincipiosdeunbuengobiernocorporativodeTIC:

1.Responsabilidad

22
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o
demandadeTI.Laresponsabilidadsobreunaaccinllevaaparejadalaautoridad
parasurealizacin.

2.Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades
actuales y futuras de las TIC. Los planes estratgicos de TIC satisfacen las
necesidadesactualesyprevistasderivadasdelaestrategiadenegocio.

3.Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, en base a un anlisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio
adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a
largoplazo.

4.Desempeo
La TI est dimensionada para dar soporte a la organizacin, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y
futuras.

5Cumplimiento
La funcin de TI cumple todas las al respecto estn claramente definidas,
implementadasyexigidas.

6.Comportamientohumano
LaspolticasdeTIC,prcticasydecisionesdemuestranrespetoalfactorhumano,
incluyendolasnecesidadesactualesyemergentesdetodalagenteinvolucrada.

Modelo
LadireccinhadegobernarlaTICmediantetrestareasprincipales

Evaluar
Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias,
propuestasyacuerdosdeaprovisionamiento(internosyexternos).

Dirigir
Dirigir la preparacin y ejecucin de los planes y polticas, asignando las
responsabilidades al efecto. Asegurarla correcta transicindelos proyectos ala
produccin, considerando los impactos en la operacin, el negocio y la
infraestructura.ImpulsarunaculturadebuengobiernodeTICenlaorganizacin.

Controlar

23
Mediantesistemasde medicin,vigilarelrendimientodelaTIC,asegurandoque
seajustaaloplanificado.10

Figura4:ModeloISO38500paraelgobiernodeTI

2.2 COBIT4.1

Es un producto de ISACA. Su objetivo es servir de marco de referencia para


establecer un esquema de control sobre los procedimientos de gestin. COBIT
ayudaalasorganizacionesareducirlosriesgosdeTIyaumentarelvalorobtenido
de las tecnologas de la informacin. Es un marco de referencia y un juego de
herramientasdesoportequepermitenalagerenciacerrarlabrechaconrespecto
alosrequerimientosdecontrol,temastcnicosyriesgosdenegocio,ycomunicar
eseniveldecontrolalosInteresados(Stakeholders).

COBITpermiteeldesarrollodepolticasclarasydebuenasprcticasparacontrol
deTIatravsdelasempresas.
reasdeenfoque:

1. AlineamientoEstratgico.
2. Entregadevalor.
3. Manejoderiesgos.
4. Gestinderecursos.
5. Controlymonitorizacin.Medicinderendimiento.

10
Gobierno de las TIC ISO/IEC 38500.The ISACAJournalOnlinepublishedbyISACA.Manuel
Ballester, Ph.D.,CIS A, CIS M, CGEIT , IEEE. http://www.isaca.org/Journal/Past
Issues/2010/Volume1/Documents/jpdf1001onlinegobierno.pdf

24
2.3 CMMIDEV1.3

Esunmodelodeprocesosquecontienelasmejoresprcticasdelaindustriapara
eldesarrollo,mantenimiento,adquisicinyoperacindeproductosyservicios.Es
un Modelo de Madurez de Capacidades Integrado, desarrollado por el SEI
(Software Engineering Institute). Mide la madurez del desarrollo del software en
unaescaladel1al5.Describeformasefectivasyprobadasdehacerlascosas,no
esunenfoqueradical.

La versin actual de CMMI es la versin 1.3 la cual corresponde a CMMISVC,


liberadael1denoviembrede2010.HaytresconstelacionesdeCMMI:

CMMI para el Desarrollo (CMMIDEV o CMMI for Development), En l se tratan


procesosdedesarrollodeproductosyservicios.

CMMIparalaadquisicin(CMMIACQoCMMIforAcquisition),Enlsetratanla
gestin de la cadena de suministro, adquisicin y contratacin externa en los
procesosdelgobiernoylaindustria.

CMMIparaservicios(CMMISVCoCMMIforServices),estdiseadoparacubrir
todaslasactividadesquerequierengestionar,estableceryentregarServicios.

2.4 ISO9001:2008

Fue elaborada por la Organizacin Internacional para la Estandarizacin, y


especifica los requisitos para un sistema de gestin de la calidad que pueden
utilizarseparasuaplicacininternaporlasorganizaciones,paracertificacinocon
fines contractuales. Esta norma aplica el ciclo de mejoramiento continuo de
Deming "PDCA": acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar). Est estructurada en cuatro grandes bloques, completamente lgicos, y
estosignificaqueconelmodelodesistemadegestindecalidadbasadoenISO
sepuededesarrollarensusenocualquieractividad

2.5 ISO9004:2009

Estanormainternacionalproporcionaorientacinparaayudaraconseguirelxito
sostenido para cualquier organizacin en un entorno complejo, exigente y en
constantecambio,medianteunenfoquedegestindelacalidad.

La norma ISO 9004:2009 promueve la autoevaluacin como una herramienta


importanteparalarevisindelniveldemadurezdelaorganizacin

ElAnexoA:

25
Es una herramienta para que la organizacin autoevale sus fortalezas y
debilidades, para determinar su nivel de madurez y para identificar las
oportunidadesdemejoraeinnovacin.

2.6 ISO27001:2006

Es un estndar de seguridad publicado porla Organizacin Internacional parala


Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). La serie
contienelasmejoresprcticasrecomendadasenSeguridaddelainformacinpara
desarrollar, implementar y mantener Especificaciones para los Sistemas de
GestindelaSeguridaddelaInformacin(SGSI).

2.7 ISO27001:2006

Es un estndar para la seguridad de la informacin publicado por primera vez


como ISO/IEC17799:2000porla International Organization for Standardization y
por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de
Information technology Security techniques Code of practice for information
security management. Tras un periodo de revisin y actualizacin de los
contenidos del estndar, se public en el ao 2005 el documento actualizado
denominado ISO/IEC 17799:2005. El estndar ISO/IEC17799 tiene suorigen en
elBritishStandardBS77991quefuepublicadoporprimeravezen1995.

2.8 ModelodeMadurezdeCobiT

El modelo de madurez de CobiT se basa en un mtodo de evaluacin de la


organizacin, de talforma que pueda valorarse a s misma desdeun nivel de no
existente(0)hastaunniveloptimizado(5).
LosnivelesdemadurezestndiseadoscomoperfilesdeprocesosdeTI,donde
laorganizacindeterminaestadosactualesyfuturos.Noestndiseadosparaser
usadoscomounmodelolimitante,esdecir,dondenosepuedepasaralsiguiente
nivelsuperiorsinhabercumplidotodaslascondicionesdelnivelinferior.

El modelo de madurez de CobiT, a diferencia del CMMI, no tiene laintencin de


medir los niveles de forma precisaes decir, que elobjetivo no esprobarque un
nivel se ha conseguido con exactitud, para conseguir una certificacin de
cumplimientodedichonivel.

Las evaluaciones se pueden realizar ya sea contra las descripciones del modelo
de madurez como un todo o con mayor rigor en cada una de las afirmaciones
individualesdelasdescripciones.

26
La ventaja de este modelo de nivel de madurez, es que es fcil para la
organizacinubicarseasmismaenlaescalayevaluarqusedebehacersise
quiereavanzarhaciaotronivelsuperior.

LaescaladelmodelodemadurezdeCobiTseencuentraestablecidaentreniveles
0yel5ysebasaenunaescalademadurezsimple,dondesemuestracomoun
proceso evoluciona desde una capacidad no existente (0) hasta una capacidad
optimizada(5).(verfigura5)

Figura5:ModelodeMadurezdeCobiT

2.9 ModelodeMadurezdeCMMI

ElniveldemadurezdeCMMIesunaplataformaevolutivadefinidaparalamejora
de procesos de la organizacin, es decir, que para poder alcanzar un nivel, se
debe haber cumplido con la totalidad de los requerimientos de los niveles
predecesores.

Cada nivel de madurez desarrolla un subconjunto importante de procesos de la


organizacin,preparndolaparapasaralsiguienteniveldemadurez.

Los niveles de madurez se miden mediante el logro de las metas especficas y


genricasasociadasconcadaconjuntopredefinidodereasdeprocesos.

En CMM se establecen cinco niveles de madurez denominados por los nmeros


del1al5(verfigura6)

27
5.Enoptimizacin

4.Gestionado
Cuantitativamente

3.Definido

2.Gestionado

1.Inicial

Figura6:NivelesdemadurezdeCMMI

2.10 ModelodeMadurezISO9004:2009

Estanormainternacionalproporcionaorientacinparaayudaraconseguirelxito
sostenido para cualquier organizacin en un entorno complejo, exigente y en
constantecambio,medianteunenfoquedegestindelacalidad.

La norma ISO 9004:2009 promueve la autoevaluacin como una herramienta


importanteparalarevisindelniveldemadurezdelaorganizacin

Lanormaestcompuestapor3anexos:

ElAnexoA:
Es una herramienta para que la organizacin autoevale sus fortalezas y
debilidades, para determinar su nivel de madurez y para identificar las
oportunidadesdemejoraeinnovacin.

ElAnexoB:
Proporcionaunadescripcindelosprincipiosdelagestindelacalidadqueson
labasedelasnormassobregestindelacalidad.

ElAnexoC:
MuestralacorrespondenciacaptuloacaptuloentrelanormaISO9004:2009yla
normaISO9001:2008

Con relacin a la autoevaluacin, la norma ISO 9004:2009 en su numeral 8.3.4,


tiene un apartado para la autoevaluacin, que la define como una revisin

28
exhaustivaysistemticadelasactividadesdelaorganizacinydesudesempeo
en relacin con su grado de madurez. La autoevaluacin puede ayudar a la
organizacin a priorizar, planificar e implementar mejoras y/o innovaciones,
cuandoseanecesario.

En cuanto al modelo de madurez, la Norma ISO 9004:2009 define que una


organizacin madura tiene un desempeo eficaz y eficiente y logra el xito
sostenidosilogra:

Comprender y satisfacer las necesidades y expectativas de las partes


interesadas
Realizarelseguimientodeloscambiosenelentornodelaorganizacin
Identificarposiblesreasdemejoraeinnovacin
Definirydesplegarestrategiasypolticas
Establecerydesplegarobjetivospertinentes
Gestionarsusprocesosysusrecursos
Demostrarconfianzaenlaspersonas,guindoleshaciaunamotivacin,un
compromisoyunaparticipacinmayores
Establecerrelacionesmutuamentebeneficiosasconlosproveedoresyotros
aliados.

2.11 ComparacindelosmodelosdenivelesdemadurezdeCobiT,CMMIe
ISO9004

COMPARACIONDENIVELESDEMADUREZ
MODELOS
Nivel0 Nivel1 Nivel2 Nivel3 Nivel4 Nivel5

CobiT4.1 NoExistente Inicial Repetible Definido Administrado Optimizado

Gestionado
En
CMMIDEV Inicial Gestionado Definido cuantitativa
Optimizacin
mente
Mejor
ISO9004 NivelBase
Prctica

Tabla2:Comparacinpornivelesdelosmodelosdemadurez

29
Permiteavanzarsincumplirun
MODELOS
nivelanterior

CobiT4.1 Si

CMMIDEV No

ISO9004 No

Tabla3:Comparacinporavanceentrenivelesdelosmodelosdemadurez

30
3. CONTEXTODELSECTORBANCARIOCOLOMBIANO

3.1 EstablecimientosBancarios

Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.

Banco comercial: Las palabras banco comercial significan un establecimiento


que hace el negocio de recibir fondos de otros en depsito general y de usar
stos, junto con su propio capital, para prestarlo y comprar o descontar pagars,
girosoletrasdecambio.

Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin.11

3.2 ActualidadBancaria

En Colombia,laindustria bancaria se est transformando. La entrada debancos


latinoamericanos al mercado colombiano, la conversin de instituciones
financieraslocalesnobancariasenestablecimientosbancariosylaexpansinde
bancos locales hacia otros pases de la regin son hechos que demuestran el
cambio de estructura del sector. Estos movimientos se explican en parte por las
slidas condiciones macroeconmicas, la baja profundizacin financiera y el
mayorpoderadquisitivodelapoblacin.

A pesar de que la banca colombiana es diversa y universal, en cuanto a la


cantidad y calidad de productos y servicios que se ofrecen en el mercado de
crditoycaptacin,elsegmentocorporativohapredominado.Noobstante,enlos
ltimos aos el sector ha atendido ms a la banca personal, situacin que se
evidenciatantoporelintersdelaindustriaenimplementardiferentescanalesde
prestacin de servicio hacia personas, como por elingreso de bancos pequeos
en nichos enfocados en la modalidad de consumo. Al mismo tiempo que el
segmento de microcrdito tambin se ha fortalecido con la incursin de nuevas
entidades.

Elsistemabancariohatenidovariostiposdeorganizacinenlasltimasdcadas.
En el perodoprevioala crisis domstica de finales delos noventa (19982001),
seobservunaseriedefusionesquepermitieronextenderlosnegociosbancarios

11
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf

31
ya vigentes hacia otras regiones y sectores de la poblacin. En contraste, en la
dcada pasada (20022006), se presentaron operaciones orientadas a la
adquisicin de entidades que proporcionaran nuevas sinergias a travs de la
diversificacindeproductosyserviciosfinancieros.12

Recientemente, los establecimientos bancarios parecen estar viviendo un nuevo


proceso de organizacin, pero en esta ocasin en un ambiente ms regional
(latinoamericano). Esta nueva dinmica se ha caracterizado por presentar dos
tendencias.Porunaparte,laexpansindelosbancoslocaleshaciaotrospases
de la regin, y, por otra, la entrada de bancos latinoamericanos al mercado
colombiano.Tambinseestobservandounincrementoenelnmerodebancos
locales producto de la transformacin de entidades financieras no bancarias en
establecimientosbancarios.

Aunquelabancacolombianaesdiversa,elsegmentocorporativohapredominado.
Sinembargo,enlosltimosaoselsectorhaatendidomsalabancapersonal,
situacin que se evidencia tanto por el inters de la industria en implementar
diferentescanalesdeprestacindeserviciohaciapersonas,comoporelingreso
de bancos pequeos en nichos enfocados en las modalidades de consumo y
microcrdito.

A diciembre de 2011, el total de activos del sistema bancario ascendi a $302


billones (incluidas las titularizaciones), de los cuales $200 bn (66%) son cartera
brutay$58bn(19%)soninversiones.Recientementeestarelacinentrecarterae
inversiones se ha mantenido estable, contrario a lo sucedido en el periodo post
crisisdelosaosnoventa,duranteelcualsepresentunasustitucindecartera
porttulosvalores.

A diciembre de 2011, la cartera comercial es la ms representativa del sistema


con aproximadamente el 58% ($120 billones) del total de la cartera, seguida por
consumo con el 27% ($56 billones), vivienda con el 12% ($24,5 billones) y
microcrditoconel3%($5,5billones).3Lacarteradeconsumoycomercialsonlas
modalidadesenlasqueparticipanlamayoradelasinstituciones.Mientrasquelas
modalidades de microcrdito y vivienda tienen una participacin limitada. (ver
figura7).

12
Fusiones y Adquisiciones en el Sector Financiero Colombiano: Anlisis y Propuestas
sobre la Consolidacin Bancaria. Ministerio de Hacienda de Colombia.
http://www.minhacienda.gov.co/portal/page/portal/HomeMinhacienda/regulacionfinanciera/Presenta
ciones/Presentaciones/7_ANIFMULTIBANFINAL0606.pdf

32
CarteraComercial

Popular Otros Agrario


4% 5% 3%
Santader
3%

Bogota
18%
AVVillas
2%
Bancolombia Colpatria
26% 5%
Davivienda
11%

BBVA CajaSocial
GNB 7% 2%
Sudameris Occidente
2% HelmBank 9%
5%

CarteradeConsumo

Otros Pichincha Falabella Bancoomeva Finandina


0,4% 1% 2% 2% 1% AVVillas
4%
Bogota
Colpatria
9%
7%
Popular
10%
Santander
3%
Davivienda
Bancolombia 15%
14%

BBVA CajaSocial
HSBC
GNB 10% 3%
1%
Sudameris HelmBank Occidente
4% 2% 5%

33
CarteradeMicrocredito

Bancolombia Bogota
Otros
CajaSocial 5% 4%
2%
8%
WWB
11%

Bancamia
15%

Agrario
55%

CarteradeVivienda

Santader Otros Bancoomeva AVVillas


2% 0,5% 2% 3% Colpatria
7%

Bancolombia
28%
Davivienda
26%

BBVA
18% CajaSocial
10%

HelmBank Occidente
3% 1%

Figura7:DistribucindecarterasporBancos

34
Por su importancia relativa en el sistema, Bancolombia, Bogot, Davivienda y
Occidente son los bancos con mayor participacin en la cartera comercial,
concentrando alrededor del 65% del total. En cuanto a la distribucin de esta
modalidadensectoreseconmicos,setienequelamayorparteestcolocadaen
elcampodeservicios(40%),industria(19%),comercio(18%),construccin(8%),
gobierno (6%), agricultura (6%) y otros (4%). Para el mercado de servicios, las
entidades que tienen la mayor proporcin de su cartera en este rubro son
Bancoomeva y Pichincha, con el 67% y 55%, respectivamente. En el caso del
sector industrial, HSBC presenta la mayor concentracin con el 31% de sus
crditos. En cuanto al segmento de comercio, Citibank y Bancama tienen un
volumenconsiderabledelacartera,alcanzandoun50%y43%,respectivamente.
Porsuparte,elBancoAgrarioeslaentidadquepresentalamayorconcentracin
desucarteraenelsectoragrcolaconun38%.
Enelcasodelacarteradeconsumo,lasentidadesconlamayorparticipacinson
Davivienda, Bancolombia, BBVA, Popular, Bogot, Citi y Colpatria, quienes
concentran el 71% de esta cartera en el sistema bancario. El portafolio de
consumo se ha concentrando principalmente en los segmentos de libranza, libre
inversin y tarjetas de crdito con participaciones del 32%, 24% y 22%
respectivamente. El 22% restante de la cartera de consumo corresponde a
vehculos,crditorotativoyotros.

En relacin con la cartera de vivienda, Bancolombia, Davivienda, BBVA, Banco


CajaSocialyColpatriaconcentranel88%lacartera.Estamodalidadsedivideen
trespartes:viviendapropiaconel63%,leasinghabitacionalconel12%yel25%
restantesoncrditosquesehatitularizado.

LamodalidaddemicrocrditoestconformadaprincipalmenteporBancoAgrario,
especializado en crditos destinados a pequeos productores agropecuarios, y
Bancama, WWB y Banco Caja Social, cuya cartera corresponde al 89% del
sector.Estesegmentopresentadostramos:crditosmenoresde25SMMLV,con
una participacin del 90% en la cartera del sector, y crditos entre 25 y 120
SMMLV, con el 10% restante. Vale la pena destacar que el incremento en las
tasas de inters de colocacin, producto del cambio metodolgico en el proceso
decertificacindelintersbancariocorrientedeestamodalidad,hapermitidoque
recientementeseincrementesignificativamenteeltamaodeestacartera.

3.3 PresenciaGeogrfica

Lasentidadesbancariastienenpresenciaalolargodetodoelterritorionacional.
En 2011 el nmero de oficinas se increment en 403, de las cuales 266 fueron
colocadas por los nuevos bancos, alcanzando 4.921 oficinas en todo el pas. A
nivel de entidad, Bancoomeva ingres en 25 departamentos con 89 oficinas,
Falabellaen14departamentoscon36oficinas,Finandinaen8departamentoscon
11oficinas,Pichinchaen14departamentoscon29oficinasyelBancodelaMujer

35
(WWB)en24departamentoscon101oficinas.Lareginandina,unadelasms
activaseconmicamente,tienelamayorconcentracindeoficinasbancarias.(ver
figura8)

Figura8:Presenciageogrficadelasentidadesbancarias

36
3.4 Expansindelabanca

En2011,labancaviviunprocesodeexpansinenelmercadodomsticoconla
transformacin de cinco entidades financieras en establecimientos bancarios. De
esta manera, el sector qued integrado por 23 bancos, lo que representa una
mayor profundizacin y mayores beneficios para los clientes financieros. En
especial, la cartera de consumo se expandi con la llegada de los bancos
especializados en este ramo, a saber Bancoomeva, Finandina, Falabella y
Pichincha. De igual forma, la cartera de microcrdito cont con la incursin del
BancodelaMujer(WWB),elcualcontribuyafortaleceresamodalidad.

En lnea con esta dinmica, las compaas de financiamiento Serfinansa,


MacrofinancierayFinamrica,enfocadasenelsegmentodemicrocrditoycrdito
deconsumo,recientementehananunciadosuintencindeconvertirseenbancos
aligualquelacooperativaCoopcentral.

Elsectorbancariotambinhavenidofortaleciendosupresenciaenlosmercados
externos, principalmente en Latinoamrica. En 2007, Bancolombia adquiri la
operacindelBancoAgrcolaenelSalvadorporUS$900millones,seguidoporel
Banco de Bogot en 2010, quien adquiri la operacin del BAC Credomatic en
Centroamrica por US$1.900 millones. Por su parte, en el primer semestre de
2012, Davivienda compr la operacin del HSBC en Costa Rica, Honduras y El
Salvador por US$801 millones y GNB Sudameris obtuvo la operacin del HSBC
enColombia,Paraguay,UruguayyPerporcercadeUS$400millones.

Algunas entidades extranjeras tambin estn poniendo sus ojos en el mercado


colombiano. En lo corrido de 2012, Corpbanca de Chile adquiri el Banco
Santander Colombia y el Scotiabank de Canad se hizo a una importante
participacinaccionariaenColpatria,unodelosmayoresdistribuidoresdetarjetas
de crdito. Existen tambin bancos extranjeros que buscan ingresar al mercado
local mediante la conformacin de nuevas entidades. Por ejemplo, Ita BBA
ingres al pas a travs de una corporacinfinanciera propia, y el Banco Azteca
estevaluandolaincursinalmercadocolombianocomobanco.

Estosmovimientosenlabancacolombianaseexplicanenparteporlosmrgenes
derentabilidad,ellimitadogradodepenetracinfinancierayunapoblacinconun
ingreso creciente. En este sentido, esperamos que esta dinmica le permita a la
industriabancariaseguiravanzandoensugradodecompetitividadeincrementar
suportafoliodeproductosyserviciosfinancieros.13

13
Articulo:QutipodeBancatenemos?Asobancaria.
http://www.asobancaria.com/portal/pls/portal/docs/1/2928048.PDF

37
3.5 Entidadesdesupervisin

Nuestrosistemafinancieroestconformadoporlasinstitucionesfinancierasylas
autoridades de intervencin. Las primeras captan y manejan dineros del pblico
con la autorizacin del Estado. Estas entidades ofrecen una amplia gama de
productos de ahorro que se ajustan a distintos requerimientos y necesidades de
laspersonas.Paragarantizarelbuenfuncionamientodelmercadoengeneral,las
autoridades de intervencin se encargan de aportar transparencia al sistema
financieroy,porlotanto,confianzayseguridadalosahorradores,inversionistasy
deudores. Es importante saber que todas las entidades que hacen parte del
sistema financiero estn sujetas a la regulacin y supervisin por parte de las
autoridades de intervencin: el Congreso de la Repblica, el Ministerio de
HaciendayCrditoPblicoylaSuperintendenciaFinanciera(verfigura9),estn
encargadas de crearlos marcos normativosde los dems agentes del sistema y
de velar porque los recursos de las personas, empresas y el gobierno se
encuentrensegurosenmanosdelasdiferentesinstituciones.LaSuperintendencia
Financiera tambin tiene funciones de inspeccin, vigilancia y control sobre las
entidades. Entre las funciones del Banco de la Repblica se encuentra el ser
prestamistadeltimainstanciaybanquerodelosestablecimientosdecrdito,en
caso de que stos tengan necesidades transitorias de liquidez. Por su parte, el
Fondo de Garantas de Instituciones Financieras (Fogafin) es el asegurador de
depsitos del sistema con el fin de proteger la confianza de quienes tienen
productosenlasinstitucionesfinancierasinscritas.14

Figura9:EntidadesdeSupervisin

14
Informacinalconsumidorfinanciero.Asobancaria.
www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y_banc
a/

38
3.5.1 LaSuperintendenciaFinanciera

La Superintendencia Financiera de Colombia surgi de la fusin de la


SuperintendenciaBancariadeColombiaenlaSuperintendenciadeValores,segn
lo establecido en el artculo 1 del Decreto 4327 de 2005. La entidad es un
organismo tcnico adscrito al Ministerio de Hacienda y Crdito Pblico, con
personerajurdica,autonomaadministrativayfinancieraypatrimoniopropio

Misin: Preservar la confianza pblica y la estabilidad del sistema financiero


mantener la integridad, la eficiencia y la transparencia del mercado de valores y
dems activos financieros y velar por el respeto a los derechos de los
consumidoresfinancierosyladebidaprestacindelservicio.

Funciones Generales:LaSuperintendenciaFinancieradeColombiaejercerlas
funciones establecidas en el decreto 2739 de 1991 y dems normas que la
modifiquen o adicionen, el Decreto 663 de 1993 y dems normas que lo
modifiquenoadicionen,laLey964de2005ydemsnormasquelamodifiqueno
adicionen, las dems que sealen las normas vigentes y las que le delegue el
PresidentedelaRepblica.15

Actualmente,laSuperintendenciaFinancieraregula23entidadesbancaras:

No Nombre RepresentanteLegal Cargo PginaWeb

Alejandro Figueroa
1 BancodeBogot Presidente www.bancodebogota.com
Augusto Jaramillo
Jos
2 BancoPopular RincnGmez Presidente www.bancopopular.com.co
Hernn
Jaime Munita
3 BancoSantander Presidente www.bancosantander.com.co
Francisco Valdivieso
Carlos
4 Bancolombia YepesJimnez Presidente www.bancolombia.com.co
Ral
Hctor Quiones
5 Scotiabank Presidente www.scotiabank.com.co
Guillermo Gutirrez
Norea
6 Citibank Bernardo Presidente www.citibank.com.co
Ocampo
Hans Theilkuhl
7 HSBCColombia Presidente www.banistmo.com.co
Juergen Ochoa

15
Nuestra Superintendencia. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co

39
BancoGNB Verastegui
8 Camilo Presidente www.sudameris.com.co
Sudameris Carvajal
Cabrera Presidente
9 BBVAColombia Oscar www.bbvaganadero.com
Izquierdo Ejecutivo
Mara
10 FerroIriarte Presidente www.bancaext@bancodecred
HelmBank Carmia ito.com.co
Bancode www.bancodeoccidente.com.
11 Efran Oterolvarez Presidente
Occidente co
Diego
12 BCSC PrietoRivera Presidente www.bancocajasocial.com.co
Fernando
Efran Forero
13 Davivienda Presidente www.davivienda.com
Enrique Fonseca
ColpatriaRed Luis Perdomo
14 Presidente www.colpatria.com
Multibanca Santiago Maldonado
Francisco Estupin
15 Banagrario Presidente www.bancoagrario.gov.co
dePaula Heredia
Juan
16 AVVillas ngelMeja Presidente www.avvillas.com.co
Camilo
Manuel Gerente
17 Procredit BuriticLpez www.bancoprocredit.com.co
Salvador General
Gmez
18 Bancama Mercedes Presidente www.bancamia.com.co
Restrepo
Jos Guerrero
19 WWB Presidente www.bancowwb.com
Alejandro Becerra
Jos Terreros
20 Bancoomeva Presidente www.bancoomeva.com
Miguel Ospina
Gerente
21 Finandina Orlando ForeroGmez www.finandina.com
General
Jorge Villarroel Gerente
22 BancoFalabella www.falabella.com.co
Alberto Barrera General
Marcel Fernndez
23 BancoPichincha Daniel Salvador Presidente www.bancopichincha.com.co
Eduardo Chauvet

Tabla4:ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera16

16
ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera(Agosto2012).
SuperintendenciaFinancieradeColombia.
http://www.superfinanciera.gov.co/EntidadesSupervisadas/entidades_general.xls

40
3.6 Legislacin colombiana que rigen el sector bancario y que aportan al
modelo propuesto

3.6.1 Decreto633de1993

Este decreto presenta una descripcin bsica de las entidades sometidas a la


vigilancia de la superintendencia bancaria y regula la estructura del sistema
financiero.

Determinaquelosestablecimientosbancariossonlasinstitucionesfinancierasque
tienenporfuncinprincipallacaptacinderecursosencuentacorrientebancaria,
as como tambin la captacin de otros depsitos a la vista o a trmino, con el
objetoprimordialderealizaroperacionesactivasdecrdito.

Determinaqueelsistemafinancieroyaseguradorseencuentraconformadodela
siguientemanera:

a.Establecimientosdecrdito.
b.Sociedadesdeserviciosfinancieros.
c.Sociedadesdecapitalizacin.
d.Entidadesaseguradoras.
e.Intermediariosdesegurosyreaseguros

3.6.2 CircularExterna014del2009

Determina que todas las entidades supervisadas, ya sean matrices o


subordinadas,debernimplementaroajustarsuSistemadeControlInternoSCIa
los requisitos mnimos establecidos en esta circular, en forma tal que el mismo
resulte acorde con el tamao de la organizacin (en trminos de nmero de
empleados,valordelosactivoseingresos,recursoscaptadosdelpblico,nmero
desucursalesoagencias,entreotros.)ylanaturalezadelasactividadespropias
desuobjetosocial,ascomodelasdesarrolladasporcuentadeterceros,teniendo
encuentalarelacinbeneficio/costo.

3.6.3 CircularExterna038de2009

Realizaunasmodificacionesalnumeral7delCaptuloIX,TtuloPrimeroControl
Interno de la Circular Externa 014 del 2009, con el propsito de facilitar la

41
adecuada aplicacin de las disposiciones contenidas en dicha circular expedida
porlaSuperintendenciaFinancieradeColombia17

3.6.4 CircularExterna052de2007

Determina requerimientos mnimos de seguridad y calidad en el manejo de


informacinatravsdemediosycanalesdedistribucindeproductosyservicios
paraclientesyusuarios,lascualesdebernseradoptadasportodaslasentidades
sometidasalainspeccinyvigilanciadelaSperFinancieradeColombia.18

17
Circular externa 038 de 2009. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce038_09.doc
18
Circular externa 052 de 2007. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce052_07.rtf

42
4. AUTOEVALUACIONDEGOBIERNODETI

Si bien es cierto el sector bancario cuenta con diferentes decretos, normas y


circularescomolasdefinidasanteriormente,lascualesnosoloregulanlaactividad
bancariacomotal,sinoqueademsalgunasdeellassonexclusivasparacontrolar
y garantizar la gestin de la tecnologa (circular externa 014 de 2009), ello no
implicaquenecesariamentetenganestablecidounGobiernodeTI.Portalmotivo,
unaautoevaluacinesunbuenpuntodepartidaparaquelosresponsablesdeTI
delasentidadesbancariasdeterminenunestadoactualyunodeseadocontraun
estadoideal,dentrodelaescalapropuesta.

ComopuntodepartidaparaladefinicinyposteriorimplementacindeGobierno
de TI en el sector bancario colombiano, se hace pertinente realizar dos
actividades:

1. Autoevaluacin de nivel de madurez de Gobierno de TI: Esta


autoevaluacintieneporobjetivoquelosresponsablesdeTIdelosbancos
se realicen un autodiagnstico para determinar en qu grado de nivel de
madurez de Gobierno de TI se encuentran con respecto a la escala
propuesta. As mismo, se establece en quniveldeseanestar. Al ser una
autoevaluacin, se presume que los encargados de TI la responden de
formacorrectayverdica.

2. ComparacindeprocesosdeTI:ParaelmodelodegobiernodeTIenlas
entidades bancarias de Colombia, se parte delos 19 requerimientosde TI
quelacircularexterna014de2009obligaalosbancosacumplir.Aunas,
se realizuna comparacinentre dichos requerimientos ylos procesos de
TI del Banco de Occidente, a partir de su respectivo mapa de procesos y
susplanesestratgicosdetecnologa(verAnexo7).

4.1 AutoevaluacindeniveldemadurezdeGobiernodeTI

Un modelo de madurez es una forma de medirqu tan bien estn desarrollados


y/o implementados los procesosadministrativos dentrodela Organizacin. En el
caso de TI, esto quiere decir qu tan capaces son en realidad qu tan bien
desarrolladosocapacesdeberanser,principalmenteconrelacinalasmetasde
TI.

Las escalas del modelo de madurez ayudan a explicarleala Gerencia dnde se


encuentran los defectos en la administracin de procesos de TI y a establecer
objetivosdondeserequieran.

43
La autoevaluacin es una herramienta para la revisin del nivel de madurez de
una organizacin. Una autoevaluacinpuede abarcar criterios como elliderazgo,
estrategia,sistemadegestin,recursosy/oprocesos,confindeidentificarreas
de fortalezas, debilidades y oportunidades tanto para la mejora, como para la
innovacin.

ParacrearlaestructuradelaautoevaluacindelniveldemadurezdeGobiernode
TIenentidadesbancarias,seuslaNormaISO38500comobaseyseapoyen
los conceptos de nivel de madurez CobiT, CMMI e ISO 9004, las cuales se
encuentrandescritasenelCapitulo2

4.1.1 AutoevaluacindeGobiernodeTIpropuesto

ElformatodeautoevaluacintomacomobaselanormaISO38500ylosprincipios
delosmodelosdemadurezdeCobiT,CMMIeISO9004(verfigura10)

ISO CobiT
38500

Autoevaluacin
deGobiernode
TIpropuesta

ISO
CMMI 9004

Figura10:AutoevaluacindeGobiernodeTIPropuesta

44
4.1.2 RealizacindelaAutoevaluacin

ParalarealizacindelaautoevaluacindeGobiernodeTIsesiguieron3pasos:

En el primer paso se defini como base la norma ISO 38500 y se dividieron el


cumplimientodesus6principiosylas3tareasprincipalesennivelesdemadurez,
utilizandocomopautalosmodelosdenivelesdemadurezdeCobiT,CMMIeISO
9004(verfigura11).

PosteriormenteseutilizelformatodeautoevaluacindelanormaISO9004para
presentar la propuesta y permitir que los encargados de TI que las diligencien
definansunivelactualyniveldeseado.

Por ltimo, se adicion ala autoevaluacinuna gua para su diligenciamiento,la


cualincluyetrminosypautasrelevantesparalarealizacindelaautoevaluacin.

Principiosde Tareas Nivelesde Formatopara


Iso38500 Prinicipales Madurez Autoevaluaci
n
Responsabilidad Evaluar CobiT ISO9004
Estrategia Dirigir CMMI
Adquisicin Supervisar ISO9004
Desempeo
Conformidad
Comportamiento
Humano

Figura11:EsquemadelaAutoevaluacinpropuesta

Porcadaunodelos6principiosqueestablecelanormaISO38500,seplantearon
actividades divididas en 3 bloques que corresponden a las tareas principales
(Evaluar,DirigirySupervisar)(vertabla5)

Cadaactividadcuentacon5nivelesdemadurez(preguntas).Elprimernivelesel
cumplimientobsicodeunaactividaddelanorma.Paraavanzaralnivel2sedebe
cumplirconel100%dela(s)actividadesdelnivel1msla(s)actividaddelnivel2.
Para alcanzar el nivel 3 de madurez se debe cumplir con las actividades de los
niveles1,2y3yassucesivamente.

45
NIVELESDEMADUREZ
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
PRINCIPIOS
Evaluar
DEISO
38500 Dirigir

Supervisar

Tabla5:FormatodelaAutoevaluacinpropuesta

4.1.3 EjemplodelaAutoevaluacin

Acontinuacinsepresentaunejemplodelaautoevaluacin,tomandoelprincipio
No 1 (Responsabilidad) dela Norma ISO38500 yla tarea principal Evaluar. (ver
tabla6)

La Autoevaluacin completa y su gua de diligenciamiento se encuentran en los


Anexos1y2respectivamente.

Principio1:Responsabilidad

Los individuos o grupos dentro de la organizacin entienden y aceptan sus


responsabilidades con respecto tanto al suministro como a la demanda de
Tecnologa de la informacin. Aquellos con responsabilidad de las acciones
tambintienenlaautoridadparaejecutartalesacciones.

TareaPrincipal:Evaluar

Los directores deberan evaluar las opciones para la asignacin de


responsabilidades con relacin al uso actual y futuro de la tecnologa de la
informacin de la organizacin. Al evaluar las opciones, se recomienda que los
directores busquen asegurar el uso y la entrega eficaces, eficientes y aceptables
de la tecnologa de la informacin como soporte para los objetivos actuales y
futurosdelnegocio.Losdirectoresdeberanevaluarlacompetenciadeaquellosa
quienes se les asigna la responsabilidad de tomar decisiones con respecto a la
tecnologa de la informacin. En general, estas personas deberan ser gerentes
del negocio que tambin sean responsables de los objetivos del negocio de la
organizacin y del desempeo, ayudados por especialistas en TI que entiendan
losvaloresylosprocesosdelnegocio.

46
NIVELESDEMADUREZ
CobiT4.1 Inicial Repetible Definido Administrado Optimizado
Gestionado
CMMI En
Inicial Gestionado Definido Cuantitativame
DEV optimizacin
nte
ISO9004 Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
En general, Los directores Con respecto Los directores Los directores
los individuos de TI al suministro y de TI tienen de TI, evalan
o grupos establecer a la demanda alineadas las la competencia
dentro de la reglas y de la reglas y (capacidad,
organizacin responsabilida informacin, responsabilidade autoridad,
no tienen des con los usuarios s con los experiencia,
PRINCIPIO1:
claras sus relacin al uso dentro de la objetivos etc.) de
responsabilida actual y futuro organizacin, actuales y aquellos a
RESPONSAB
des con de la entienden y futuros del quienes se les
ILIDAD Tarea respecto al tecnologa de aceptan las negocio. asigna la
Principal suministro y a la informacin reglas y responsabilida
lademandade de la responsabilida Los niveles de d de tomar

Evaluar lainformacin organizacin. des asignadas entendimiento y decisiones con


porTI. aceptacin por respectoaTI.
parte de los (Los resultados
usuarios, con de estas
respecto al uso evaluaciones
de la se encuentran
informacin, se documentados)
encuentran
documentados

Tabla6:EjemplodelaAutoevaluacin,comparadoconlosnivelesdemadurezdeCobiT,CMMe
ISO9004

4.1.4 PresentacindelosresultadosdelaAutoevaluacin

El objetivo de la autoevaluacin es determinar el nivel de madurez actual y el


deseado de Gobierno de TI para posteriormente con el modelo cerrar la brecha
existenteentreelnivelactualyelniveldeseado.

Lapresentacindelosresultadosdelaautoevaluacinserealizaratravsdeun
grficoradialquepermitaobservarlasbrechasantesmencionadas(verfigura12y
13).

47
Para validar la autoevaluacin y conocer el estado actual de Gobierno de TI,
segn la escala propuesta, se pidi a los responsables de TI de 3 entidades
bancarias de Colombia que la diligenciaran. El anlisis de los resultados de la
autoevaluacinseabarcaenelcaptulo9

Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamie
Estrategia
ntoHumano 2
1
NIVEL
0 DESEADO

Principio5 Principio3 NIVEL


Conformidad Adquisicin IDEAL

Principio4
Desempeo

Figura12:Ejemplodelapresentacindelosresultadosporlos6principiosdeISO38500

Evaluar
5
4
3
2 PROME
1 DIO
0 NIVEL
ACTUAL

Supervisar Dirigir

Figura13:Ejemplodelapresentacindelosresultadosporlas3tareasprincipalesporcada
principiodeISO38500

48
5. MODELOPROPUESTO

ElpresentemodelodeGobiernodeTIpropuestorecogeelespritudelaCircular
014 de 2009, la cual como tiene como objetivo primario que las entidades
bancarias de Colombia creen y/o fortalezcan un sistema de control interno que
permita la evaluacin continua de su eficiencia, contribuya al logro de sus
objetivosdenegocioyfortalezcalaapropiadaadministracindelosriesgosa
los cuales se ven expuestas en el desarrollo de su actividad, realizndolas en
condicionesdeseguridad,transparenciayeficiencia.

5.1 ContextodelModelo

Las entidades bancarias de Colombia se encuentran regidas por la Circular 014


del 2009 la cual define las Normas de Control Interno para la Gestin de la
Tecnologa.

En dicha circular se establece que las entidades bancarias debern disear un


SistemadeControlInterno(SCI)paralagestindelatecnologa,querespondaa
las polticas, necesidades y expectativas de la entidad y a las exigencias
normativas, con el propsito de contribuir al logro de los objetivos
institucionales19

El SCI obliga a los responsables de TI de las Entidades Bancarias a contar con


estndares, polticas, directrices y procedimientos debidamente aprobados,
orientadosacubrir19requerimientos:

1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.

19
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc

49
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.

Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.

En razn de lo anterior, dichos requerimientos se convirtieron en los


requerimientosdeTIclavesparaelmodelodeGobiernodeTIparalasentidades
bancarias. Para mayor facilidad, se identificaron los 19 requerimientos de TI
seleccionadosconuncdigo,talcomosemuestraenlaTabla7.

Cdigo RequerimientosdeTI
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
Administracin, desempeo, capacidad y disponibilidad de la
RQ12
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.

50
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindelaDocumentacin.

Tabla7:Identificacindelos19requerimientosdeTIseleccionados

ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.

ElmarcodeGobiernodeTIseleccionadofueelISO38500:2008,debidoaquees
una Norma Internacional que provee un estndar para que la direccin de las
organizaciones evalen, dirijan y monitoreen el uso de las tecnologas de la
informacin.

Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMI,ISO27002eISO9001.

Paraencontrarlarelacinentrelos19requerimientosdelacircular014,elmarco
baseylosmarcosdeapoyo,serealizunmapeodandolossiguientesresultados.

CMMI ISO
Cdigo Procesos ISO38500 CobiT ISO9001
Dev 27002
Plan estratgico de
RQ01 Estrategia PO1
tecnologa.
10.2.1
Infraestructura de
RQ02 Adquisicin AI3 10.2.2 6.3
tecnologa.
10.2.3
5.1.1
Relaciones con 10.7.3
RQ03 Adquisicin PO5 SAM 7.4.1
proveedores. 10.8.1
6.2.3
Cumplimiento de
6.1.6
requerimientos legales
15.1.1
RQ04 para derechos de autor, Cumplimiento ME3 8.2.2
15.1.2
privacidad y comercio
15.1.4
electrnico.
PMC,
Administracin de
RQ05 Estrategia PO10 IPM,PP,
proyectosdesistemas.
QPM

51
4.1
4.2.2
5.1
5.3
Administracin de la 5.4.1
RQ06 Desempeo PO8 PPQA
calidad. 5.4.2
5.5.1
5.5.2
5.6
6.1
6.1.5
7.4.1
6.2.3
RQ07 Adquisicindetecnologa. Adquisicin AI5 7.4.2
10.8.2
7.4.3
12.5.5
6.1.4
7.2.1
10.3.2
11.6.2
Adquisicin y REQM, 12.1.1
RQ08 mantenimientodesoftware Adquisicin AI2 RD,PI, 12.2.3
deaplicacin. TS 12.3.1
12.4.3
12.5.1
12.5.2
12.5.3
10.1.4
12.5.1
Instalacin y acreditacin
RQ09 Adquisicin AI7 12.5.2
desistemas.
10.3.2
6.1.4
10.1.2
12.5.3
Administracin de
RQ10 Desempeo AI6 CM 12.5.1 7.3.7
cambios.
12.6.1
11.5.4

52
6.2.1
6.2.3
Administracin de
RQ11 Desempeo DS2 8.1.3 7,4
serviciosconterceros.
10.2.3
10.8.2
12.1.1
Administracin, 9.1.5
desempeo, capacidad y 9.2.4
RQ12 Desempeo DS3
disponibilidad de la 12.4.2
infraestructuratecnolgica. 15.5.2
12.6.1
6.1.6
6.1.7
14.1.1 5.6
RQ13 Continuidaddelnegocio. Desempeo DS4
14.1.2 8.2.2
14.1.3
14.1.4
14.1.1
14.1.2
RQ14 Seguridaddelossistemas. Desempeo DS5 RSKM 13.1.1 8.2.2
13.1.2
5.1.2
Educacin y 8.1.1
Comportamiento PO7 6.2.1
RQ15 entrenamiento de OT 8.1.2
Humano DS7 6.2.2
usuarios. 8.2.2
10.8.1
10.5.1
PO2
10.7.1
Administracin de los PO6 4.2.3
RQ16 Responsabilidad 15.1.3
datos. ME4 4.2.4
10.7.1
DS11
10.7.2
12.4.3

9.1.1
Administracin de
RQ17 Desempeo DS12 9.1.2 6.3
instalaciones.
9.1.3

53
9.2.5
6.2.1

Administracin de 10.1.1
RQ18 Desempeo DS13
operacionesdetecnologa. 10.7.4
4.2
6.1.1 4.2.1
Gestin de la
RQ19 Responsabilidad PO4 6.1.2 4.2.2
Documentacin.
6.1.3 4.2.3
4.2.4

Tabla8:Relacinentrelos19requerimientosdeleyylosdiferentesmarcos

Parallevaracaboelmapeoanteriorserealizaronlossiguientespasos:

1. Mapearlos19requerimientoscontraCobiT4.1

2. Una vez teniendo identificados en Cobit 4.1 los 19 requerimientos, se


establecilarelacinentreCobiT4.1conISO38500(verfigura14).De
esta manera se agrup los 19 requerimientos de la circular en los 6
principiosdeISO38500.

3. ParalosmapeosentreCobit4.1eISO27002seutilizeldocumentode
ISACA llamado, AlineandoCobit4.1,ITILv3yISO27002en
beneficiodelaempresayparaelmapeoconISO9001:2008yCMMI
Dev,utilizamossusrespectivasnormas

Despusdedistribuirlos19requerimientosdeTI,elmarcobaseylosmarcosde
apoyo, se determin cuales actividades de los marcos de apoyo ayudaran a
cumplir con los objetivos de los 6 principios de ISO 38500:2008 y finalmente se
determin una serie de indicadores de gestin que permitan evaluar el
cumplimientodelasmetaspropuestas.

54
20
Figura14:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT

El modelo de Gobierno de TI para las Entidades Bancarias planteado en este


proyecto,respondealasactividadesprincipalesdefinidasporlanormaISO38500
de Evaluar la utilizacin actual y futura de las TI. Dirigir la preparacin e
implementacindelosplanesypolticasqueasegurenquelautilizacindelasTI
demodoquealcancenlosobjetivosinstitucionalesyControlareldesempeode
latecnologadelainformacin,atravsdesistemasdemedicinadecuados.

20
AFoundationforSecurity,ITGovernanceNetworkNetherlands,
http://itgovernance.com/nl/index.php?option=com_content&view=article&id=72&Itemid=89.

55
MODELODEGOBIERNODETI

Evaluar Dirigir Controlar

Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano

RQ19,RQ16 RQ01,RQ05 RQ02,RQ03, RQ06,RQ10, RQ04 RQ15


RQ07,RQ08, RQ11,RQ12,
RQ09, RQ13,RQ14,
RQ17,RQ18,

ActividadesdeControl

IndicadoresdeGestin

Figura15:ModelodeGobiernodeTIPropuesto

5.2 EstructuradelModelo

ElmodelodeGobiernodeTIparaentidadesbancariasseencuentraestructurado
delasiguientemanera:

6 principios, 19 Requerimientos de TI, 137 Actividades de control y 56


Indicadoresdegestin

Actividades
Principios Requerimientos deTI Indicadores
deControl
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 GestindelaDocumentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
Adquisicin
RQ03 Relacionesconproveedores. 4 1

56
RQ07 Adquisicindetecnologa. 4 3
Adquisicin y mantenimiento de software de
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin, desempeo, capacidad y
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimiento de requerimientos legales para
Cumplimiento RQ04 derechos de autor, privacidad y comercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6

Tabla9:EstructuradelmodelodeGobiernodeTIpropuesto

Los6principiosdelmodelofueronobtenidoslanormaISO38500:2008,deigual
maneralas137ActividadesdeControlylos56IndicadoresdeGestin,fueron
transcritasdeCobiT4.1,ISO27002:2008,CMMIDEVy/oISO9001:2008.AlFinal
de cada actividad de control aparece un superndice conla referencia del marco
utilizadoendichocontrol

57
6. MODELODEGOBIERNODETIPARAENTIDADESBANCARIASDE
COLOMBIA

RQ16 Administracindelosdatos.
Responsabilidad
RQ19 GestindelaDocumentacin.

RQ01 Planestratgicodetecnologa.
Estrategia
RQ05 Administracindeproyectosdesistemas.

RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Adquisicin RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwarede
aplicacin.
RQ09 Instalacinyacreditacindesistemas.

RQ06 Administracindelacalidad.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
RQ12 Administracin,desempeo,capacidady
Desempeo disponibilidaddelainfraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.

RQ04 Cumplimientoderequerimientoslegalespara
Cumplimiento derechosdeautor,privacidadycomercioelectrnico.

Comportamiento
RQ15 Educacinyentrenamientodeusuarios.
Humano

58
6.1 Responsabilidad

Los individuos o grupos dentro de la organizacin entienden y aceptan sus


responsabilidades con respecto tanto al suministro como a la demanda de
Tecnologadelainformacin.

Los responsables TI deberan evaluar las opciones para la asignacin de


responsabilidades con relacin al uso actual y futuro de la tecnologa de la
informacin de la organizacin. Deberan asegurar que el uso y la entrega de
informacin se eficaz, eficiente y aceptable, de modo que la tecnologa de la
informacin ayude para alcanzar los objetivos actuales y futuros del negocio.
Adems deberan evaluarla competencia de aquellos aquienes seles asignala
responsabilidad de tomar decisiones con respecto a la tecnologa de la
informacin.

Los responsables de TI deberan dirigir los proyectos para que se realicen de


acuerdo con las responsabilidades de tecnologa de la informacin asignadas.
Tambin deberan exigir que se les entregue la informacin que necesitan para
cumplir sus responsabilidades, incluidas las relativas a acciones y toma de
decisiones.

Los directores deberan controlar que se hayan establecido los mecanismos


adecuadosparaelgobiernodelatecnologadelainformacin.Tambindeberan
supervisarqueaquellosaquienessehanasignadoresponsabilidad,reconozcany
entiendansusresponsabilidades.

59
6.1.1 RQ16Administracindelosdatos

Una efectiva administracin de datos requiere de la identificacin de


requerimientos de datos. El proceso de administracin de informacin tambin
incluye el establecimiento de procedimientos efectivospara administrarlalibrera
de medios, el respaldo y la recuperacin de datos y la eliminacin apropiada de
medios. Una efectiva administracin de datos ayuda a garantizar la calidad,
oportunidadydisponibilidaddelainformacindelnegocio.

6.1.1.1 ActividadesdeControl

i. Verificarquetodoslosdatosqueseesperaprocesarserecibenyprocesan
completamente,deformaprecisayatiempo,yquetodoslosresultadosse
entregandeacuerdoalosrequerimientosdenegocio.Lasnecesidadesde
reinicioyreprocesoestnsoportadas.CobiT4.1

ii. Definir e implementar procedimientos para el archivo, almacenamiento y


retencin de los datos, de forma efectiva y eficiente para conseguir los
objetivos de negocio, la poltica de seguridad de la organizacin y los
requerimientosregulatorios.CobiT4.1

iii. Definir e implementar procedimientos para mantener un inventario de


mediosalmacenadosyarchivadosparaasegurarsuusabilidadeintegridad.
CobiT4.1

iv. Definireimplementarprocedimientosparaasegurarquelosrequerimientos
de negocio para la proteccin de datos sensitivos y el software se
consiguencuandoseeliminanotransfierenlosdatosy/oelhardware. CobiT
4.1

v. Definir e implementar procedimientos de respaldo y restauracin de los


sistemas, aplicaciones, datos y documentacin en lnea con los
requerimientosdenegocioyelplandecontinuidad.CobiT4.1

vi. Definireimplementarlaspolticasyprocedimientosparaidentificaryaplicar
los requerimientos de seguridad aplicables al recibo, procesamiento,
almacnysalidadelosdatosparaconseguirlosobjetivosdenegocio,las
polticasdeseguridaddelaorganizacinyrequerimientosregulatorios.CobiT
4.1

vii. Establecerymantenerunmodelodeinformacinempresarialquefaciliteel
desarrollo de aplicaciones y las actividades de soporte a la toma de
decisiones, consistente con los planes de TI El modelo debe facilitar la
creacin, uso y el compartir en forma ptima la informacin por parte del

60
negocio de tal manera que se mantenga su integridad, sea flexible,
funcional,rentable,oportuna,seguraytoleranteafallos.CobiT4.1

viii. Establecer un esquema de clasificacin que aplique a toda la empresa,


basado en que tan crtica y sensible es la informacin (esto es, pblica,
confidencial,secreta)delaempresa.Esteesquemaincluyedetallesacerca
delapropiedaddedatos,ladefinicindenivelesapropiadosdeseguridady
de controles de proteccin, y una breve descripcin de los requerimientos
deretencinydestruccindedatos,ademsdequtancrticosysensibles
son. Se usa como base para aplicar controles como el control de acceso,
archivoocifrado.CobiT4.1

ix. Definir los elementos de un ambiente de control deinformacin, alineados


con la filosofa administrativa y el estilo operativo de la empresa. Estos
elementos incluyen las expectativas y/o requerimientos respecto a la
competenciadelpersonal,larendicindecuentasylaresponsabilidad.CobiT
4.1

x. Elaborar y dar mantenimiento a un conjunto de polticas que apoyen la


estrategia de TI. Estas polticas deben incluir su intencin, roles y
responsabilidades, procesos de excepcin, enfoque de cumplimiento y
referencias a procedimientos, estndares y directrices. Su relevancia se
debeconfirmaryaprobarenformaregular.

xi. AsegurarsedequelaspolticasdeTIseimplantanysecomunicanatodoel
personalrelevante,yserefuerzan,detalformaqueestnincluidasysean
parteintegraldelasoperacionesempresariales.CobiT4.1

xii. Asegurarse de que la conciencia y el entendimiento de los objetivos y la


direccindelnegocioydeTIsecomunicanalosinteresadosapropiadosya
losusuariosdetodalaorganizacin.CobiT4.1

xiii. Definir, establecer y alinear el marco de gobierno de TI con la visin


completa del entorno de control y Gobierno Corporativo. Confirmar que el
marco de gobierno de TI asegura el cumplimiento con las leyes y
regulaciones y que estaalineado, y confirma laentrega de,la estrategia y
objetivosempresariales.InformadelestadoycuestionesdegobiernodeTI.
CobiT4.1

6.1.1.2 IndicadoresdeGestin

a) Satisfaccindelusuarioconladisponibilidaddelosdatos.

b) Porcentajederestauracionesexitosasdedatos.

61
c) Nmero de incidentes en los que tuvo que recuperarse datos sensitivos
despusquelosmedioshabansidodesechados.

d) El porcentaje de aplicaciones que no cumplen con la metodologa de


arquitecturadelainformacinusadaporlaempresa

e) Lafrecuenciadeactividadesdevalidacindedatos

62
6.1.2 RQ19GestindelaDocumentacin

Deben existir procesos, polticas de administracin y procedimientos para todas


las funciones, con atencin especfica en el control, el aseguramiento de la
calidad,laadministracinderiesgos,laseguridaddelainformacin,lapropiedad
dedatosydesistemasylasegregacindefunciones.Losdocumentosyregistros
requeridosporlaorganizacindebencontrolarse.Laorganizacindebeestablecer
un procedimiento documentado para definir los controles necesarios para la
identificacin, el almacenamiento,la proteccin,la recuperacin,la retencin yla
disposicin de los documentos y los registros asimismo deben permanecer
legibles,fcilmenteidentificablesyrecuperables.

6.1.2.1 ActividadesdeControl

i. Aprobar los documentos en cuanto a su adecuacin antes de su emisin.


ISO9001:2008

ii. Revisar y actualizar los documentos cuando sea necesario y aprobarlos


nuevamente.ISO9001:2008

iii. Asegurarse de que se identifican los cambios y el estado de la versin


vigentedelosdocumentos.ISO9001:2008

iv. Asegurarsedequelasversionespertinentesdelosdocumentosaplicables
seencuentrandisponiblesenlospuntosdeuso.ISO9001:2008

v. Asegurarse de que los documentos permanecen legibles y fcilmente


identificables.ISO9001:2008

vi. Asegurarse que los documentos de origen externo, que la organizacin


determina que son necesarios para la operacin se identifican y que se
controlasudistribucin.ISO9001:2008

vii. Prevenirelusonointencionadodedocumentosobsoletos,yaplicarlesuna
identificacin adecuada en el caso de que se mantengan por cualquier
razn.ISO9001:2008

6.1.2.2 IndicadoresdeGestin

a) ElporcentajedeprocesosdeTIdocumentados

63
6.2 Estrategia

La estrategia de negocios de la organizacin toma en consideracin las


capacidades actuales y futuras de la tecnologa de la informacin los planes
estratgicos para la Tecnologa de la Informacin deberan satisfacer las
necesidadesactualesycontinuasdelaestrategiadenegociosdelaorganizacin.

Los responsables de TI deberan evaluar los desarrollos de tecnologa de la


informacin y los procesos del negocio con el fin de asegurarse de que la
tecnologa de la informacin brindar soporte a las necesidades futuras del
negocio.Alconsiderarlosplanesylaspolticas,losresponsablesdeTIdeberan
evaluarlasactividadesdelatecnologadelainformacinparaasegurarqueestn
alineadasconlosobjetivosdelaorganizacinparalascircunstanciascambiantes,
que toman en consideracin las mejores prcticas y satisfacen los requisitos de
otras partes claveinvolucradas. Esrecomendable quelos responsables deTI se
asegurenqueelusodelatecnologadelainformacinestsujetaalavaloracin
yevaluacinadecuada.

Los responsables de TI tambin deberan fomentar y dirigir la presentacin de


propuestas para usos innovadores de la tecnologa de la informacin que le
permitan alaorganizacinresponder a oportunidades onuevos retos emprender
nuevosnegociosomejorarlosprocesos.

Los responsables de TI deberan controlar el progreso de las propuestas de


tecnologa de la informacin aprobadas para asegurar que se estn cumpliendo
losobjetivosenlosmarcostemporalesexigidos,utilizandolosrecursosasignados.
SerecomiendaquelosresponsablesdeTIsupervisenelusodelatecnologade
lainformacinparaasegurarquestaobtienelosbeneficiosprevistos.

64
6.2.1 RQ01Planestratgicodetecnologa

La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los


recursosdeTIenlneaconlaestrategiayprioridadesdelnegocio.Lafuncinde
TIylosinteresadosdelnegociosonresponsablesdeasegurarqueelvalorptimo
se consigue desde los proyectos y el portafolio de servicios. El plan estratgico
mejora la comprensin de los interesados clave de las oportunidades y
limitaciones de TI, evala el desempeo actual, identifica la capacidad y los
requerimientos de recursos humanos, y clarifica el nivel de investigacin
requerido.Laestrategiadenegocioyprioridadessereflejarnenportafoliosyse
ejecutarn por los planes estratgicos de TI, que especifican objetivos concisos,
planes de accin y tareas que estn comprendidas y aceptadas tanto por el
negociocomoporTI.

6.2.1.1 ActividadesdeControl

i. Trabajarconelnegocioparagarantizarqueelportafoliodeinversionesde
TI de la empresa contenga programas con casos de negocio slidos.
Reconocer que existen inversiones obligatorias, de sustento y
discrecionalesquedifierenencomplejidadygradodelibertadencuantoa
la asignacin de fondos. Los procesos de TI deben proporcionar una
entrega efectiva y eficiente de los componentes TI de los programas y
advertencias oportunas sobre las desviaciones del plan, incluyendo costo,
cronograma o funcionalidad, que pudieran impactar los resultados
esperadosdelosprogramas.LosserviciosdeTIsedebenejecutarcontra
acuerdos de niveles de servicios equitativos y exigibles. La rendicin de
cuentasdellogrodelosbeneficiosydelcontroldeloscostosesclaramente
asignada y monitoreada. Establecer una evaluacin de los casos de
negocio que sea justa, transparente,repetible y comparable,incluyendoel
valorfinanciero,elriesgodenocumplirconunacapacidadyelriesgodeno
materializarlosbeneficiosesperados.CobiT4.1

ii. Educar a los ejecutivos sobre las capacidades tecnolgicas actuales y


sobreel rumbo futuro, sobrelas oportunidades que ofrece TI, y sobre qu
debe hacerel negocio para capitalizar esasoportunidades. Asegurarse de
queelrumbodelnegocioalcualestalineadoTIestbienentendido.Las
estrategias de negocio y de TI deben estar integradas, relacionando de
maneraclaralasmetasdelaempresaylasmetasdeTIyreconociendolas
oportunidadesascomolaslimitacionesenlacapacidadactual,ysedeben
comunicar de manera amplia. Identificar las reas en que el negocio
(estrategia)dependedeformacrticadeTI,y mediarentrelosimperativos
del negocio y la tecnologa, de tal modo que se puedan establecer
prioridadesconcertadas.CobiT4.1

65
iii. Evaluar el desempeo de los planes existentes y de los sistemas de
informacin en trminos de su contribucin a los objetivos de negocio, su
funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y
debilidades.CobiT4.1

iv. Crear un plan estratgico que defina, en cooperacin con los interesados
relevantes, cmo TI contribuir a los objetivos estratgicos de la empresa
(metas) as como los costos y riesgos relacionados. Incluye cmo TI dar
soportealosprogramasdeinversinfacilitadosporTIyalaentregadelos
servicios operativos. Define cmo se cumplirn y medirn los objetivos y
recibirnunaautorizacinformaldelosinteresados.Elplanestratgicode
TI debe incluir el presupuesto de la inversin / operativo, las fuentes de
financiamiento,laestrategiadeobtencin,laestrategiadeadquisicin,ylos
requerimientos legales y regulatorios. El plan estratgico debe ser lo
suficientemente detallado para permitir la definicin de planes tcticos de
TI.CobiT4.1

v. Crear un portafolio de planes tcticos de TI que se deriven del plan


estratgicodeTI.Estosplanestcticosdebendescribirlasiniciativasylos
requerimientosderecursosrequeridosporTI,ycmoelusodelosrecursos
yellogrodelosbeneficiossernmonitoreadosyadministrados.Losplanes
tcticos deben tener el detalle suficiente para permitir la definicin de
planes de proyectos. Administrar de forma activa los planes tcticos y las
iniciativas de TI establecidas por medio del anlisis de los portafolios de
proyectos y servicios. Esto incluye el equilibrio de los requerimientos y
recursos de forma regular, comparndolos con el logro de metas
estratgicas y tcticas y con los beneficios esperados, y tomando las
medidasnecesariasencasodedesviaciones.CobiT4.1

vi. Administrardeformaactiva,juntoconelnegocio,elportafoliodeprogramas
de inversin de TI requerido para lograr objetivos de negocio estratgicos
especficospormediodelaidentificacin,definicin,evaluacin,asignacin
deprioridades,seleccin,inicio,administracinycontroldelosprogramas.
Esto incluye clarificar los resultados de negocio deseados, garantizar que
los objetivos de los programas den soporte al logro de los resultados,
entender el alcance completo del esfuerzo requerido para lograr los
resultados,definirunarendicindecuentasclaraconmedidasdesoporte,
definir proyectos dentro del programa, asignar recursos y financiamiento,
delegar autoridad, y comisionar los proyectos requeridos al momento de
lanzarelprograma.CobiT4.1

66
6.2.1.2 IndicadoresdeGestin

a) ElporcentajedeobjetivosdeTIenelplanestratgicodeTI,quedasoporte
alplanestratgicodelnegocio

b) El porcentaje de proyectos TI en el portafolio de proyectos que se puede


rastrearhaciaelplantcticodeTI

c) El retraso entre las actualizaciones del plan estratgico de TI y las


actualizacionesdelosplanestcticosdeTI

67
6.2.2 RQ05Administracindeproyectosdesistemas

Establecerunmarcodetrabajodeadministracindeprogramasyproyectospara
la administracin de todos los proyectos de TI establecidos. El marco de trabajo
debe garantizar la correcta asignacin de prioridades y la coordinacin de todos
los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de
recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de
entrega por fases, aseguramiento de la calidad, un plan formal de pruebas,
revisindepruebasypostimplantacindespusdelainstalacinparagarantizar
laadministracindelosriesgosdelproyectoylaentregadevalorparaelnegocio.
Este enfoque reduce el riesgo de costos inesperados y de cancelacin de
proyectos, mejora la comunicacin y el involucramiento del negocio y de los
usuariosfinales,aseguraelvalorylacalidaddelosentregablesdelosproyectos,
ymaximizalacontribucinalosprogramasdeinversinfacilitadosporTI.

6.2.2.1 ActividadesdeControl

i. Mantener, fomentar el programa de los proyectos, relacionados con el


portafolio de programas de inversiones facilitadas por TI, por medio de la
identificacin, definicin, evaluacin, otorgamiento de prioridades,
seleccin, inicio, administracin y control de los proyectos. Asegurarse de
que los proyectos apoyen los objetivos del programa. Coordinar las
actividades e interdependencias de mltiples proyectos, administrar la
contribucin de todoslos proyectos dentrodel programa hastaobtenerlos
resultados esperados, y resolver los requerimientos y conflictos de
recursos.CobiT4.1

ii. Establecer y mantener un marco de trabajo para la administracin de


proyectos que defina el alcance y los lmites de la administracin de
proyectos,ascomolasmetodologasaseradoptadasyaplicadasencada
proyecto emprendido. El marco de trabajo y los mtodos de soporte se
debenintegrarconlosprocesosdeadministracindeprogramas.CobiT4.1

iii. Establecer un enfoquede administracin deproyectos que corresponda al


tamao, complejidad y requerimientos regulatorios de cada proyecto. La
estructura de gobierno de proyectos puede incluir los roles, las
responsabilidadesylarendicindecuentasdelpatrocinadordelprograma,
patrocinadores de proyectos, comit de direccin, oficina de proyectos, y
gerente del proyecto, as como los mecanismos por medio de los cuales
puedensatisfaceresasresponsabilidades(talescomoreportesyrevisiones
por etapa). Asegurarse que todos los proyectos de TI cuenten con
patrocinadores con la suficiente autoridad para apropiarse de la ejecucin
delproyectodentrodelprogramaestratgicoglobal.CobiT4.1

68
iv. Obtenerelcompromisoylaparticipacindelosinteresadosafectadosenla
definicinyejecucindelproyectodentrodelcontextodelprogramaglobal
deinversionesfacilitadasporTI.CobiT4.1

v. Definirydocumentarlanaturalezayalcancedelproyectoparaconfirmary
desarrollar,entrelosinteresados,unentendimientocomndelalcancedel
proyecto y cmo se relaciona con otros proyectos dentro del programa
global de inversiones facilitadas por TI. La definicin se debe aprobar de
maneraformalporpartedelospatrocinadoresdelprogramaydelproyecto
antesdeiniciarelproyecto.CobiT4.1

vi. Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a


todoslosinteresados.Laaprobacindelafaseinicialsedebebasarenlas
decisiones de gobierno del programa. La aprobacin de las fases
subsiguientessedebebasarenlarevisinyaceptacindelosentregables
delafaseprevia,ylaaprobacindeuncasodenegocioactualizadoenla
prximarevisinimportantedelprograma.Enelcasodefasestraslapadas,
sedebeestablecerunpuntodeaprobacinporpartedelospatrocinadores
delprogramaydelproyecto,paraautorizaraselavancedelproyecto. CobiT
4.1

vii. Establecer un plan integrado para el proyecto, aprobado y formal (que


cubralosrecursosdenegocioydelossistemasdeinformacin)paraguiar
la ejecucin y el control del proyecto a lo largo de la vida del ste. Las
actividadeseinterdependenciasdemltiplesproyectosdentrodeunmismo
programa se deben entender y documentar. El plan del proyecto se debe
mantener a lo largo de la vida del mismo. El plan del proyecto, y las
modificacionesaste,sedebenaprobardeacuerdoalmarcodetrabajode
gobiernodelprogramaydelproyecto.CobiT4.1

viii. Definir las responsabilidades, relaciones, autoridades y criterios de


desempeodelosmiembrosdelequipodelproyectoyespecificarlasbases
para adquirir y asignar a los miembros competentes del equipo y/o a los
contratistas al proyecto. La obtencin de productos y servicios requeridos
para cada proyecto se debe planear y administrar para alcanzar los
objetivos del proyecto, usando las prcticas de adquisicin de la
organizacin.CobiT4.1

ix. Eliminar o minimizar los riesgos especficos asociados con los proyectos
individuales por medio de un proceso sistemtico de planeacin,
identificacin, anlisis, respuesta, monitoreo y control de las reas o
eventos que tengan el potencial de ocasionar cambios no deseados. Los
riesgos afrontados por el proceso de administracin de proyectos y el
producto entregabledel proyecto se debenestablecer y registrar de forma
central.CobiT4.1

69
x. Prepararunplandeadministracindelacalidadquedescribaelsistemade
calidad del proyecto y cmo ser implantado. El plan debe ser revisado y
acordadodemaneraformalportodaslaspartesinteresadasparaluegoser
incorporadoenelplanintegradodelproyecto.CobiT4.1

xi. Establecer un sistema de control de cambios para cada proyecto, de tal


modo que todos los cambios a la lnea base del proyecto (Ej. costos,
cronograma, alcance y calidad) se revisen, aprueben e incorporen de
manera apropiada al plan integrado del proyecto, de acuerdo al marco de
trabajodegobiernodelprogramaydelproyecto.CobiT4.1

xii. Identificar las tares de aseguramiento requeridas para apoyar la


acreditacin de sistemas nuevos o modificados durante la planeacin del
proyectoeincluirlosenelplanintegrado.Lastareasdebenproporcionarla
seguridad de que los controles internos y las caractersticas de seguridad
satisfaganlosrequerimientosdefinidos.CobiT4.1

xiii. Medireldesempeodelproyectocontraloscriteriosclavedelproyecto(Ej.
alcance,cronograma,calidad,costosyriesgos)identificarlasdesviaciones
con respecto al plan evaluar su impacto sobre el proyecto y sobre el
programa global reportar los resultados a los interesados clave y
recomendar,Implementary monitorearlasmedidascorrectivas,segnsea
requerido,deacuerdoconelmarcodetrabajodegobiernodelprogramay
delproyecto.CobiT4.1

xiv. Solicitar que al finalizar cada proyecto, los interesados del proyecto se
cercioren de que el proyecto haya proporcionado los resultados y los
beneficios esperados. Identificar y comunicar cualquier actividad relevante
requerida para alcanzar los resultados planeados del proyecto y los
beneficios del programa, e identificar y documentar las lecciones
aprendidasaserusadasenfuturosproyectosyprogramas.CobiT4.1

6.2.2.2 IndicadoresdeGestin

a) Porcentajedeproyectosquesatisfacenlasexpectativasdelosinteresados
(atiempo,dentrodelpresupuesto,yconsatisfaccindelosrequerimientos
y/oponderadosporimportancia)

b) Porcentajedeproyectosconrevisinpostimplantacin

c) Porcentaje de proyectos que siguen estndares y prcticas de


administracindeproyectos

70
6.3 Adquisicin

LasadquisicionesdeTecnologadelainformacinsehacenporrazonesvlidas,
con base en el anlisis adecuado y continuo, con toma de decisiones clara y
transparente.Existeelequilibrioadecuadoentrebeneficios,oportunidades,costos
yriesgos,tantoacortocomoalargoplazo.

Los responsables de TI deberan evaluar las opciones para el suministro de la


tecnologa de la informacin con el fin de realizar las propuestas aprobadas,
equilibrandolosriesgosyelvalordeldinerodelasinversionespropuestas.

Los responsables de TI deberan dirigir que los activos de la tecnologa de la


informacin (sistemas e infraestructura) se adquieren de la manera correcta,
incluidalapreparacindeladocumentacinadecuada,alavezqueseasegurael
suministra de las capacidades requeridas. Los responsables de TI deberan
controlarquelosacuerdosdesuministro(tantointernocomoexterno)densoporte
alasnecesidadesdelnegociodelaorganizacin.

Losdirectoresdeberancontrolarlasinversionesentecnologadelainformacin
paraasegurarqueestasproporcionanlascapacidadesrequeridas.Serecomienda
que los responsables de TI supervisen el grado en el que la organizacin y sus
proveedores mantienen el entendimiento compartido de la intencin de la
organizacinalhacercualquieradquisicindetecnologadelainformacin.

71
6.3.1 RQ02Infraestructuradetecnologa

Las organizaciones deben contar con procesos para adquirir, Implementar y


actualizar la infraestructura tecnolgica. Esto requiere de un enfoque planeado
paraadquirir,manteneryprotegerlainfraestructuradeacuerdoconlasestrategias
tecnolgicas convenidas y la disposicin del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones
delnegocio.

6.3.1.1 ActividadesdeControl

i. Generar un plan para adquirir, Implementar y mantener la infraestructura


tecnolgica que satisfaga los requerimientos establecidos funcionales y
tcnicosdelnegocio,yqueestdeacuerdoconladireccintecnolgicade
laorganizacin.Elplandebeconsiderarextensionesfuturasparaadiciones
de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la
inversin para actualizaciones de tecnologa. Evaluar los costos de
complejidad y la viabilidad comercial del proveedor y el productoalaadir
nuevacapacidadtcnica.CobiT4.1

ii. Implementar medidas de control interno, seguridad y auditora durante la


configuracin,integracin y mantenimientodel hardware y del software de
lainfraestructuraparaprotegerlosrecursosygarantizarsudisponibilidade
integridad.Sedebendefinirycomprenderclaramentelasresponsabilidades
alutilizarcomponentesdeinfraestructurasensitivosportodosaquellosque
desarrollan e integran los componentes de infraestructura. Se debe
monitorearyevaluarsuuso.CobiT4.1

iii. Desarrollarunaestrategiayunplandemantenimientodelainfraestructura
ygarantizarquesecontrolanloscambios,deacuerdoconelprocedimiento
de administracin de cambios de la organizacin. Incluir una revisin
peridica contralas necesidades delnegocio, administracinde parches y
estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y
requerimientosdeseguridad.CobiT4.1

iv. Establecerelambientededesarrolloypruebasparasoportarlaefectividad
y eficiencia de las pruebas de factibilidad e integracin de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisicin y
desarrollo. Hay que considerar la funcionalidad, la configuracin de
hardwareysoftware,pruebasdeintegracinydesempeo,migracinentre
ambientes, control de la versiones, datos y herramientas de prueba y
seguridad.CobiT4.1

72
6.3.1.2 IndicadoresdeGestin

a) El porcentaje de plataformas que no se alinean con la arquitectura de TI


definidaylosestndaresdetecnologa

b) El nmero de procesos de negocio crticos soportados por infraestructura


obsoleta(oqueprontoloser)

c) El nmero de componentes de infraestructura que ya no se pueden


soportar(oqueyanosepodrnenelfuturocercano)

73
6.3.2 RQ03Relacinconproveedores

LosresponsablesdeTIdeberanasegurarsedequeelproductoadquiridocumple
los requisitos de compra especificados. El tipo y el grado del control aplicado al
proveedor y al producto adquirido debe depender del impacto del producto
adquiridoenlaposteriorrealizacindelproductoosobreelproductofinal.

6.3.2.1 ActividadesdeControl

i. La organizacin debera evaluar y seleccionar los proveedores en funcin


de su capacidad para suministrar productos de acuerdo con los requisitos
delaorganizacin.ISO9001:2008

ii. Deben establecerse los criterios para la seleccin, la evaluacin y la re


evaluacindeproveedores.ISO9001:2008

iii. Debenmantenerselosregistrosdelosresultadosdelasevaluacionesyde
cualquieraccinnecesariaquesederivedelasmismas.ISO9001:2008

iv. Cuando la organizacin quieran llevar a cabo la verificacin en las


instalaciones del proveedor, la organizacin debe establecer en la
informacindecompralasdisposicionesparalaverificacinpretendida. ISO
9001:2008

6.3.2.2 IndicadoresdeGestin

a) Cantidad de proveedores evaluados y/o reevaluados en un periodo de


tiempo

74
6.3.3 RQ07Adquisicindetecnologa

Se deben suministrar recursos TI, incluyendo personas, hardware, software y


servicios. Esto requiere de la definicin y ejecucin de los procedimientos de
adquisicin,la seleccin de proveedores, el ajuste de arreglos contractuales y la
adquisicin en s. El hacerlo as garantiza que la organizacin tenga todos los
recursosdeTIqueserequierendeunamaneraoportunayrentable.

6.3.3.1 ActividadesdeControl

i. Desarrollar y seguir un conjunto de procedimientos y estndares


consistente con el proceso general de adquisiciones de la organizacin y
con la estrategia de adquisicin para adquirir infraestructura relacionada
con TI, instalaciones, hardware, software y servicios necesarios por el
negocio.CobiT4.1

ii. Formular un procedimiento para establecer, modificar y concluir contratos


para todos los proveedores. El procedimiento debe cubrir, como mnimo,
responsabilidades y obligaciones legales, financieras, organizacionales,
documentales, de desempeo, de seguridad, de propiedad intelectual y
responsabilidades de conclusin, as como obligaciones (que incluyan
clusulas de penalizacin). Todos los contratos y las modificaciones a
contratoslasdebenrevisarasesoreslegales.CobiT4.1

iii. Seleccionar proveedores de acuerdo a una prctica justa y formal para


garantizar la mejor viable y encajable segn los requerimientos
especificados. Los requerimientos deben estar optimizados con las
entradasdelosproveedorespotenciales.CobiT4.1

iv. Proteger y hacer cumplir los intereses de la organizacin en todo los


contratos de adquisiciones, incluyendo los derechos y obligaciones de
todas las partes en los trminos contractuales para la adquisicin de
software,recursosdedesarrollo,infraestructurayservicios.CobiT4.1

6.3.3.2 IndicadoresdeGestin

a) Elnmerodecontroversiasenrelacinconloscontratosdeadquisicin

b) Lareduccindelcostodecompra

c) Elporcentajedeinteresadosclavesatisfechosconlosproveedores

75
6.3.4 RQ08Adquisicinymantenimientodesoftwaredeaplicacin.

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
negocio.Esteprocesocubreeldiseodelasaplicaciones,lainclusinapropiada
de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuracin en s de acuerdo a los estndares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicacionesautomatizadascorrectas

6.3.4.1 ActividadesdeControl

i. Traducirlosrequerimientos delnegocio a una especificacin dediseo de


altonivelparalaadquisicindesoftware,teniendoencuentalasdirectivas
tecnolgicas y la arquitectura de informacin dentro de la organizacin.
Tener aprobadas las especificaciones de diseo por gerencia para
garantizar que el diseo de alto nivel responde a los requerimientos.
Reevaluar cuando sucedan discrepancias significativas tcnicas o lgicas
duranteeldesarrolloomantenimiento.CobiT4.1

ii. Preparar el diseo detallado ylos requerimientos tcnicos del software de


aplicacin. Definir el criterio de aceptacin de los requerimientos. Aprobar
losrequerimientosparagarantizarquecorrespondenaldiseodealtonivel.
Realizar reevaluaciones cuando sucedan discrepancias significativas
tcnicasolgicasduranteeldesarrolloomantenimiento.CobiT4.1

iii. Implementar controles de negocio, cuando aplique, en controles de


aplicacin automatizados tal que el procesamiento sea exacto, completo,
oportuno,autorizadoyauditable.CobiT4.1

iv. Abordar la seguridad de las aplicaciones y los requerimientos de


disponibilidad en respuesta a los riesgos identificados y en lnea con la
clasificacin de datos, la arquitectura de la informacin, la arquitectura de
seguridaddelainformacinylatoleranciaariesgosdelaorganizacin.CobiT
4.1

v. Configurar e implementar software de aplicaciones adquiridas para


conseguirlosobjetivosdenegocio.CobiT4.1

vi. Encasodecambiosimportantesalossistemasexistentesqueresultenen
cambiossignificativosaldiseoactualy/ofuncionalidad,seguirunproceso
de desarrollo similar al empleado para el desarrollo de sistemas nuevos.
CobiT4.1

76
vii. Garantizarquelafuncionalidaddeautomatizacinsedesarrolladeacuerdo
con las especificaciones de diseo, los estndares de desarrollo y
documentacin,losrequerimientosdecalidadyestndaresdeaprobacin.
Asegurar que todos los aspectos legales y contractuales se identifican y
direccionanparaelsoftwareaplicativodesarrolladoporterceros.CobiT4.1

viii. Desarrollar,Implementarlosrecursosyejecutarunplandeaseguramiento
de calidad del software, para obtener la calidad que se especifica en la
definicin de los requerimientos y en las polticas y procedimientos de
calidaddelaorganizacin.CMMIDEV

ix. Seguir el estado de los requerimientos individuales (incluyendo todos los


requerimientosrechazados)duranteeldiseo,desarrolloeimplementacin,
y aprobar los cambios a los requerimientos a travs de un proceso de
gestindecambiosestablecido.CMMIDEV

x. Desarrollarunaestrategiayunplanparaelmantenimientodeaplicaciones
desoftware.CMMIDEV

6.3.4.2 IndicadoresdeGestin

a) Nmero de problemas en produccin por aplicacin, que causan tiempo


perdidosignificativo

b) Porcentajedeusuariossatisfechosconlafuncionalidadentregada

77
6.3.5 RQ09Instalacinyacreditacindesistemas

Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadasen un ambiente dedicado con datos
depruebarelevantes,definirlatransicineinstruccionesdemigracin,planearla
liberacin y la transicin en s al ambiente de produccin, y revisar la post
implantacin. Esto garantiza que los sistemas operativos estn en lnea con las
expectativasconvenidasyconlosresultados.

6.3.5.1 ActividadesdeControl

i. Entrenaralpersonaldelosdepartamentosdeusuarioafectadosyalgrupo
de operaciones de la funcin de TI de acuerdo con el plan definido de
entrenamiento eimplantacin y alos materiales asociados, como parte de
cadaproyectodesistemasdelainformacindedesarrollo,implementacin
omodificacin.CobiT4.1

ii. Establecerunplandepruebasbasadoenlosestndaresdelaorganizacin
que define roles, responsabilidades, y criterios de entrada y salida.
Asegurarqueelplanestaaprobadoporlaspartesrelevantes.CobiT4.1

iii. Establecer un plan de implantacin y respaldo y vuelta atrs. Obtener


aprobacindelaspartesrelevantes.CobiT4.1

iv. Definir y establecer un entorno seguro de pruebas representativo del


entorno de operaciones planeado relativo a seguridad, controles internos,
practicasoperativos,calidaddelosdatosyrequerimientosdeprivacidad,y
cargasdetrabajo.CobiT4.1

v. Plandeconversindedatosymigracindeinfraestructurascomopartede
los mtodos de desarrollo de la organizacin, incluyendo pistas de
auditoria,respaldoyvueltaatrs.CobiT4.1

vi. Pruebas de cambios independientemente en acuerdo con los planes de


pruebas definidos antes de la migracin al entorno de operaciones.
Asegurarqueelplanconsideralaseguridadyeldesempeo.CobiT4.1

vii. Asegurar que el dueo de proceso de negocio y los interesados de TI


evalanlosresultadosdelosprocesosdepruebascomodeterminaelplan
de pruebas. Remediarloserrores significativos identificados en el proceso
depruebas,habiendocompletadoelconjuntodepruebasidentificadasenel
plan de pruebas y cualquier prueba de regresin necesaria. Siguiendo la
evaluacin,aprobacinpromocinaproduccin.CobiT4.1

78
viii. Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a
operaciones, mantenindoloenlnea con elplan deimplantacin. Obtener
la aprobacin de los interesados clave, tales como usuarios, dueo de
sistemas y gerente de operaciones. Cuando sea apropiado, ejecutar el
sistema en paralelo con el viejo sistema por un tiempo, y comparar el
comportamientoylosresultados.CobiT4.1

ix. Establecer procedimientos en lnea con los estndares de gestin de


cambios organizacionales para requerir una revisin posterior a la
implantacincomoconjuntodesalidaenelplandeimplementacin.CobiT4.1

6.3.5.2 IndicadoresdeGestin

a) Tiempo perdido de la aplicacin o problemas de datos provocados por


pruebasinadecuadas

b) Porcentaje de sistemas que satisfacen los beneficios esperados, medidos


enelprocesoposterioralaimplantacin

c) Porcentajedeproyectosconplandepruebadocumentadoyaprobado

79
6.4 Desempeo

La tecnologa de la informacin es adecuada para brindar soporte a la


organizacin, suministrando los servicios, los niveles de servicio y la calidad del
servicio que se requieren para satisfacer los requisitos actuales y futuros del
negocio.

Los responsables de TI deberan evaluar los medios propuestos porlo gerentes


paraasegurarquelatecnologadelainformacinapoyelosprocesosdenegocio
conlahabilidadycapacidadrequeridas.Estaspropuestasdeberandirigirsehacia
lacontinuidaddelaoperacinnormaldelnegocioydeltratamientodelosriesgos
asociados con el uso de la tecnologa de la informacin. Se recomienda que los
responsables de TI evalen los riesgos que se originan en las actividades de la
tecnologadelainformacinparalacontinuidaddelaoperacindelosnegocios.
Los responsables de TI deberan evaluar los riesgos para la integridad de la
informacinyproteccindelosactivosdetecnologadelainformacin,incluyendo
la propiedad intelectual y memoria organizacional asociadas. Tambin deberan
evaluar las opciones para garantizar decisiones eficaces y oportunas acerca del
uso de la tecnologa delainformacin en soporte delas metas del negocio. Los
responsables de TI deberan evaluar con regularidad la eficacia y el desempeo
delsistemadelaorganizacinparaelgobiernodelatecnologadelainformacin.

LosresponsablesdeTIdeberandirigirlaasignacindelosrecursossuficientes
demaneraquetallatecnologadelainformacinsatisfagalasnecesidadesdela
organizacin, de acuerdo con las prioridades acordadas y las restricciones del
presupuesto. Los directores deberan dirigira aquellos responsables deasegurar
quelatecnologadelainformacindsoportealnegocio,cuandoserequierapor
razones del negocio, con datos correctos y actualizados que estn protegidos
contraprdidaomaluso.
Supervisar

Es recomendable que los responsables de TI controlen en que grado la


tecnologa delainformacin da soporte alnegocio.Tambindeberan supervisar
hasta donde se da prioridad a los recursos y los presupuestos asignados de
acuerdo con los objetivos del negocio. De igual modo los responsables de TI
deberansupervisarenquegradosecumplenadecuadamentelaspolticas,como
aquellas para la precisin de los datos y el uso eficiente de la tecnologa de la
informacin.

80
6.4.1 RQ06Administracindelacalidad

Se debe elaborar y mantener un sistema de administracin de calidad, el cual


incluya procesos y estndares probados de desarrollo y de adquisicin. Esto se
facilita por medio de la planeacin,implantacin y mantenimiento del sistema de
administracin de calidad, proporcionando requerimientos, procedimientos y
polticas claras de calidad. Los requerimientos de calidad se deben manifestar y
documentar con indicadores cuantificables y alcanzables. La mejora continua se
logra por medio del constante monitoreo, correccin de desviaciones y la
comunicacindelosresultadosalosinteresados.Laadministracindecalidades
esencial para garantizar que TI est dando valor al negocio, mejora continua y
transparenciaparalosinteresados.

6.4.1.1 ActividadesdeControl

i. La organizacin debera establecer, documentar, implementar y mantener


unsistemadegestindelacalidadymejorarcontinuamentesueficacia ISO
9001:2008

ii. La organizacin debera determinar los procesos necesarios para el


sistemadegestindelacalidadysuaplicacinatravsdelaorganizacin,
determinar la secuencia e interaccin de estos procesos, determinar los
criterios y los mtodos necesarios para asegurarse de que tanto la
operacincomoelcontroldeestosprocesosseaneficaces,asegurarsede
la disponibilidad de recursos e informacin necesarios para apoyar la
operacin y el seguimiento de estos procesos, realizar el seguimiento, la
medicin (cuando sea aplicable) y el anlisis de estos procesos,
implementar las acciones necesarias para alcanzar los resultados
planificadosylamejoracontinuadeestosprocesos.ISO9001:2008

iii. Laorganizacindeberaestablecerymantenerunmanualdelacalidadque
incluyaelalcancedelsistemadegestindelacalidad,losprocedimientos
documentadosestablecidosparaelsistemadegestindelacalidad,yuna
descripcindelainteraccinentrelosprocesosdelsistemadegestindela
calidad.ISO9001:2008

iv. La alta direccin debera crear una poltica de la calidad adecuada al


propsitodelaorganizacin,queincluyauncompromisodecumplirconlos
requisitosydemejorarcontinuamentelaeficaciadelsistemadegestinde
lacalidad,queproporcioneunmarcodereferenciaparaestableceryrevisar
los objetivos de la calidad, que es comunicada y entendida dentro de la
organizacinyqueesrevisadaparasucontinuaadecuacin.ISO9001:2008

81
v. Adoptarymantenerestndaresparatododesarrolloyadquisicinquesiga
elciclodevida,hastaelltimoentregableeincluirlaaprobacinenpuntos
clave con base en criterios de aceptacin acordados. Los temas a
considerar incluyen estndares de codificacin de software, normas de
nomenclaturaformatosdearchivos,estndaresdediseoparaesquemas
y diccionario de datos estndares para la interfaz de usuario inter
operabilidad eficiencia de desempeo de sistemas escalabilidad
estndares para desarrollo y pruebas validacin contra requerimientos
planesdepruebasypruebasunitarias,deregresinydeintegracin. CMMI
Dev

vi. Enfocar la administracin de calidad en los clientes, determinando sus


requerimientosyalinendolosconlosestndaresyprcticasdeTI.Definir
roles y responsabilidades respecto a la resolucin de conflictos entre el
usuario/clienteylaorganizacindeTI.CobiT4.1

vii. Mantener y comunicar regularmente un plan global de calidad que


promuevalamejoracontinua.CobiT4.1

viii. Definir,planeareimplementarmedicionesparamonitorearelcumplimiento
continuo del sistema de gestin de la calidad, as como el valor que el
sistemadegestindelacalidadproporciona.Lamedicin,elmonitoreoyel
registrodelainformacindebenserusadosporeldueodelprocesopara
tomarlasmedidascorrectivasypreventivasapropiadas.CobiT4.1

6.4.1.2 IndicadoresdeGestin

a) Porcentaje de Interesados (Stakeholders) satisfechos con la calidad


(ponderadoporimportancia)

b) Porcentaje de procesos de TI revisados de manera formal por


aseguramiento de calidad de modo peridico que satisfaga las metas y
objetivosdecalidad

c) Porcentaje de procesos que reciben revisiones de aseguramiento de


calidad

82
6.4.2 RQ10Administracindecambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches,


relacionados con la infraestructura y las aplicaciones dentro del ambiente de
produccin, deben administrarse formalmente y controladamente. Los cambios
(incluyendo procedimientos, procesos, sistema y parmetros del servicio) se
deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los
resultados planeados despus delaimplantacin. Esto garantiza lareduccin de
riesgos que impactan negativamente la estabilidad o integridad del ambiente de
produccin.

6.4.2.1 ActividadesdeControl

i. Establecer procedimientos de administracin de cambio formales para


manejar de manera estndar todas las solicitudes (incluyendo
mantenimiento y parches) para cambios a aplicaciones, procedimientos,
procesos, parmetros de sistema y servicio, y las plataformas
fundamentales.CobiT4.1

ii. Garantizar que todas las solicitudes de cambio se evalan de una


estructurada manera en cuanto aimpactos en el sistema operacional y su
funcionalidad. Esta evaluacin deber incluir categorizacin y priorizacin
de los cambios. Previo a la migracin hacia produccin, los interesados
correspondientesautorizanloscambios.CobiT4.1

iii. Establecerunprocesoparadefinir,plantear,evaluaryautorizarloscambios
de emergencia que no sigan el proceso de cambio establecido. La
documentacin y pruebas se realizan, posiblemente, despus de la
implantacindelcambiodeemergencia.CobiT4.1

iv. Establecerunsistemadeseguimientoyreporteparamanteneractualizados
a los solicitantes de cambio y a los interesados relevantes, acerca del
estatusdelcambioalasaplicaciones,alosprocedimientos,alosprocesos,
parmetrosdelsistemaydelservicioylasplataformasfundamentales. CobiT
4.1

v. Siempre que se implantan cambios al sistema, actualizar el sistema


asociado y la documentacin de usuario y procedimientos
correspondientes. Establecer un proceso de revisin para garantizar la
implantacincompletadeloscambios.CobiT4.1

83
6.4.2.2 IndicadoresdeGestin

a) El nmero de interrupciones o errores de datos provocados por


especificacionesinexactasounaevaluacindeimpactoincompleta

b) Larepeticindeaplicacionesoinfraestructuradebidaaespecificacionesde
cambioinadecuadas

c) El porcentaje de cambios que siguen procesos de control de cambio


formales

84
6.4.3 RQ11Administracindeserviciosconterceros

Lanecesidaddeasegurarquelosserviciosprovistosporterceroscumplanconlos
requerimientosdelnegocio,requieredeunprocesoefectivodeadministracinde
terceros. Este proceso se logra por medio de una clara definicin de roles,
responsabilidadesyexpectativasenlosacuerdosconlosterceros,ascomocon
larevisinymonitoreodelaefectividadycumplimientodedichosacuerdos.Una
efectiva administracin de los servicios de terceros minimiza los riesgos del
negocioasociadosconproveedoresquenosedesempeandeformaadecuada.

6.4.3.1 ActividadesdeControl

i. Identificar todos los servicios de los proveedores, y categorizar los de


acuerdo al tipo de proveedor, significado y criticidad. Mantener
documentacin formal de relaciones tcnicas y organizacionales que
cubren los roles y responsabilidades, metas, entregables esperados, y
credencialesdelosrepresentantesdeestosproveedores.CobiT4.1

ii. Formalizarelprocesodegestinderelacionesconproveedoresparacada
proveedor. Los dueos delasrelaciones deben enlazarlascuestiones del
cliente y proveedor y asegurar la calidad de las relaciones basadas en la
confianzaytransparencia.(porejemploatravsdelosacuerdosdenivelde
servicio).CobiT4.1

iii. Identificar y mitigar los riesgos relacionados con la habilidad de los


proveedoresparamantenerunefectivoserviciodeentregadeformasegura
yeficientesobreunabasedecontinuidad.Asegurarqueloscontratosestn
deacuerdoconlosrequerimientoslegalesyregulatoriosdelosestndares
universales del negocio. La administracin del riesgo debe considerar
adems acuerdos de confidencialidad, contratos de garanta, viabilidad de
la continuidad del proveedor, conformidad con los requerimientos de
seguridad, proveedores alternativos, penalizaciones e incentivos, etc. CobiT
4.1

iv. Establecer un proceso para monitorear la prestacin del servicio para


asegurar que el proveedor est cumpliendo con los requerimientos del
negocio actuales y que se adhiere continuamente a los acuerdos del
contrato y los acuerdos de nivel de servicio, y que el desempeo es
competitivo con proveedores alternativos y las condiciones del mercado.
CobiT4.1

v.

85
6.4.3.2 IndicadoresdeGestin

a) Elnmerodequejasdelosusuariosdebidasalosservicioscontratados

b) El porcentaje de los principales proveedores que cumplen claramente los


requerimientosdefinidosylosnivelesdeservicio

c) Elporcentajedelosprincipalesproveedoressujetosamonitoreo

86
6.4.4 RQ12 Administracin, desempeo, capacidad y disponibilidad de la
infraestructuratecnolgica.

La necesidad de administrar el desempeo y la capacidad de los recursos de TI


requiere de un proceso para revisar peridicamente el desempeo actual y la
capacidad de los recursos de TI. Este proceso incluye el pronstico de las
necesidades futuras, basadas en los requerimientos de carga de trabajo,
almacenamiento y contingencias. Este proceso brinda la seguridad de que los
recursos de informacin que soportan los requerimientos del negocio estn
disponiblesdemaneracontinua.

6.4.4.1 ActividadesdeControl

i. Establecer un proceso de planeacin para la revisin del desempeo y la


capacidad de los recursos de TI, para asegurar la disponibilidad de la
capacidad y del desempeo, con costos justificables, para procesar las
cargas de trabajo acordadas tal como se determina en los acuerdos de
nivelde servicio. Losplanes de capacidad y desempeo debenhaceruso
detcnicasdemodeloapropiadasparaproducirunmodelodedesempeo,
de capacidad y de desempeo de los recursos de TI, tanto actual como
pronosticado.CobiT4.1

ii. Revisar la capacidad y desempeo actual de los recursos de TI en


intervalos regulares para determinar si existe suficiente capacidad y
desempeo para prestar los servicios con base en los niveles de servicio
acordados.CobiT4.1

iii. Llevaracabounpronsticodedesempeoycapacidaddelosrecursosde
TI en intervalos regulares para minimizar el riesgo de interrupciones del
servicio originadas por falta de capacidad o degradacin del desempeo.
Identificartambinelexcesodecapacidadparaunaposibleredistribucin.
Identificar las tendencias de las cargas de trabajo y determinar los
pronsticos que sernparte delos planes de capacidad y dedesempeo.
CobiT4.1

iv. Brindarlacapacidadydesempeorequeridostomandoencuentaaspectos
como cargas de trabajo normales, contingencias, requerimientos de
almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse
medidas cuando el desempeo y la capacidad no estn en el nivel
requerido,talescomodarprioridadalastareas,mecanismosdetolerancia
defallasyprcticasdeasignacinderecursos.Lagerenciadebegarantizar
que los planes de contingencia consideran de forma apropiada la
disponibilidad, capacidad y desempeo de los recursosindividuales de TI.
CobiT4.1

87
v. Monitorearcontinuamenteeldesempeoylacapacidaddelosrecursosde
TI. La informacin reunida sirve para dos propsitos: Mantener y poner a
puntoeldesempeoactualdentrodeTIyatendertemascomoelasticidad,
contingencia, cargas de trabajo actuales y proyectadas, planes de
almacenamientoyadquisicinderecursosyparareportarladisponibilidad
haciaelnegociodelservicioprestadocomoserequiereenlosacuerdode
niveldeservicio.CobiT4.1

vi. Acompaar todos los reportes de excepcin con recomendaciones para


accionescorrectivasCobiT4.1

6.4.4.2 IndicadoresdeGestin

a) Nmero de horas perdidas por usuario por mes, debidas a la falta de


planeacindelacapacidad

b) Porcentajedepicosdondeseexcedelametadeutilizacin

c) Porcentaje de acuerdos de nivel de servicio, cuyo de tiempo de respuesta


quenosesatisfacen

88
6.4.5 RQ13Continuidaddelnegocio

La necesidad de brindar continuidad en los servicios de TI requiere desarrollar,


manteneryprobarplanesdecontinuidaddeTI,almacenarrespaldosfueradelas
instalaciones y entrenar de forma peridica sobre los planes de continuidad. Un
procesoefectivodecontinuidaddeservicios,minimizalaprobabilidadyelimpacto
de interrupciones mayores en los servicios de TI, sobre funciones y procesos
clavesdelnegocio.

6.4.5.1 ActividadesdeControl

i. Desarrollar un marco de trabajo de continuidad de TI para soportar la


continuidad del negocio con un proceso consistente a lo largo de toda la
organizacin. El objetivo del marco de trabajo es ayudar en la
determinacindelaresistenciarequeridadelainfraestructuraydeguiarel
desarrollo delos planes derecuperacin dedesastres y de contingencias.
Elmarcodetrabajodebetomarencuentalaestructuraorganizacionalpara
administrar la continuidad, la cobertura de roles, las tareas y las
responsabilidades de los proveedores de servicios internos y externos, su
administracin y sus clientes as como las reglas y estructuras para
documentar,probaryejecutarlarecuperacindedesastresylosplanesde
contingencia de TI. El plan debe tambin considerar puntos tales como la
identificacinderecursoscrticos,elmonitoreoyreportedeladisponibilidad
de recursos crticos, el procesamiento alternativo y los principios de
respaldoyrecuperacin.CobiT4.1

ii. Desarrollar planes de continuidad de TI con base en el marco de trabajo,


diseado para reducir el impacto de una interrupcin mayor de las
funciones y los procesos clave del negocio. Los planes deben considerar
requerimientos de resistencia, procesamiento alternativo, y capacidad de
recuperacindetodoslosservicioscrticosdeTI.Tambindebencubrirlos
lineamientosdeuso,losrolesyresponsabilidades,losprocedimientos,los
procesosdecomunicacinyelenfoquedepruebas.CobiT4.1

iii. Centrarlaatencinenlospuntosdeterminadoscomolosmscrticosenel
plan de continuidad de TI, para construir resistencia y establecer
prioridades en situaciones de recuperacin. Evitar la distraccin de
recuperarlospuntosmenoscrticosyasegurarsedequelarespuestayla
recuperacin estn alineadas conlas necesidades prioritarias del negocio,
asegurndosetambinqueloscostossemantienenaunnivelaceptabley
se cumple con los requerimientos regulatorios y contractuales. Considerar
losrequerimientosderesistencia,respuestayrecuperacinparadiferentes
niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24

89
horas,msde24horasyparaperiodoscrticosdeoperacindelnegocio.
CobiT4.1

iv. Definiryejecutarprocedimientosdecontroldecambios,paraasegurarque
el plan de continuidad de TI se mantenga actualizado y que refleje de
manera continua los requerimientos actuales delnegocio. Es esencial que
los cambios en los procedimientos y las responsabilidades sean
comunicadosdeformaclarayoportuna.CobiT4.1

v. ProbarelplandecontinuidaddeTIdeformaregularparaasegurarquelos
sistemas de TI pueden ser recuperados de forma efectiva, que las
deficienciassonatendidasyqueelplanpermaneceaplicable.Estorequiere
una preparacin cuidadosa, documentacin, reporte de los resultados de
laspruebasy,deacuerdoconlosresultados,laimplementacindeunplan
de accin. Considerar el alcance de las pruebas de recuperacin en
aplicacionesindividuales,enescenariosdepruebasintegrados,enpruebas
depuntaapuntayenpruebasintegradasconelproveedor.CobiT4.1

vi. Asegurarse de que todos las partes involucradas reciban sesiones de


entrenamiento de forma regular respecto a los procesos y sus roles y
responsabilidadesencasodeincidenteodesastre.Verificareincrementar
el entrenamiento de acuerdo con los resultados de las pruebas de
contingencia.CobiT4.1

vii. Determinarqueexisteunaestrategiadedistribucindefinidayadministrada
paraasegurarquelosplanessedistribuyandemaneraapropiadaysegura
yqueestndisponiblesentrelaspartesinvolucradasyautorizadascuando
ydondeserequiera.Sedebeprestaratencinenhacerlosaccesiblesbajo
cualquierescenariodedesastre.CobiT4.1

viii. Planear las acciones a tomar durante el perodo en que TI est


recuperando y reanudando los servicios. Esto puede representar la
activacin de sitios de respaldo, el inicio de procesamiento alternativo, la
comunicacin a clientes y a los interesados, realizar procedimientos de
reanudacin, etc. Asegurarse de que los responsables del negocio
entienden los tiempos de recuperacin de TI y las inversiones necesarias
entecnologaparasoportarlasnecesidadesderecuperacinyreanudacin
delnegocio.CobiT4.1

ix. Almacenar fuera de las instalaciones todos los medios de respaldo,


documentacin y otros recursos de TI crticos, necesarios para la
recuperacin de TI y para los planes de continuidad del negocio. El
contenido de los respaldos a almacenar debe determinarse en conjunto
entrelosresponsablesdelosprocesosdenegocioyelpersonaldeTI.La
administracin del sitio de almacenamiento externo a las instalaciones,

90
debe apegarse a la poltica de clasificacin de datos y a las prcticas de
almacenamientodedatosdelaempresa.LagerenciadeTIdebeasegurar
que los acuerdos con sitios externos sean evaluados peridicamente, al
menosunavezporao,respectoalcontenido,alaproteccinambientalya
la seguridad. Asegurarse dela compatibilidad del hardware y del software
para poder recuperar los datos archivados y peridicamente probar y
renovarlosdatosarchivados.CobiT4.1

x. Una vez lograda una exitosa reanudacin de las funciones de TI despus


de un desastre, determinar si la gerencia de TI ha establecido
procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.CobiT4.1

6.4.5.2 IndicadoresdeGestin

a) Nmero de horas perdidas por usuario por mes, debidas a interrupciones


noplaneadas

b) NmerodeprocesoscrticosdenegocioquedependendeTI,quenoestn
cubiertosporunplandecontinuidad

91
6.4.6 RQ14Seguridaddelossistemas

Lanecesidaddemantenerlaintegridaddelainformacinydeprotegerlosactivos
de TI, requiere de un proceso de administracin de la seguridad. Este proceso
incluye el establecimiento y mantenimiento de roles y responsabilidades de
seguridad, polticas, estndares y procedimientos de TI. La administracin de la
seguridad tambinincluye realizar monitoreos de seguridad y pruebas peridicas
as como realizar acciones correctivas sobre las debilidades o incidentes de
seguridadidentificados.Unaefectivaadministracindelaseguridadprotegetodos
los activos de TI para minimizar el impacto en el negocio causado por
vulnerabilidadesoincidentesdeseguridad.

6.4.6.1 ActividadesdeControl

i. Administrar la seguridad de TI al nivel ms alto apropiado dentro de la


organizacin, de manera que las acciones de administracin de la
seguridadestnenlneaconlosrequerimientosdelnegocio.CobiT4.1

ii. Trasladarlosrequerimientosdenegocio,riesgosycumplimientodentrode
un plan de seguridad de TI completo, teniendo en consideracin la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta
implementadoenlaspolticasyprocedimientosdeseguridadjuntoconlas
inversiones apropiadas en los servicios, personal, software y hardware.
Comunicarlaspolticasyprocedimientosdeseguridadalosinteresadosya
losusuarios.CobiT4.1

iii. Asegurar que todos los usuarios (internos, externos y temporales) y su


actividadensistemasdeTI(aplicacindenegocio,entornodeTI,operacin
de sistemas, desarrollo y mantenimiento) deben ser identificables de
manera nica. Permitir que el usuario se identifique a travs de
mecanismos de autenticacin. Confirmar que los permisos de acceso del
usuario al sistema y los datos estn en lnea con las necesidades del
negocio definidas y documentadas y que los requerimientos de trabajo
estnadjuntosalasidentidadesdelusuario.Asegurarquelosderechosde
accesodelusuariosesolicitanporlagerenciadelusuario,aprobadosporel
responsabledelsistemaeimplementadoporlapersonaresponsabledela
seguridad. Las identidades del usuario y los derechos de acceso se
mantienen en un repositorio central. Se despliegan tcnicas efectivas en
coste y procedimientos rentables, y se mantienen actualizados para
establecer la identificacin del usuario, realizar la autenticacin y habilitar
losderechosdeacceso.CobiT4.1

iv. Garantizar que la solicitud, establecimiento, emisin, suspensin,


modificacin y cierre de cuentas de usuario y de los privilegios

92
relacionados, sean tomados en cuenta por un conjunto de procedimientos
de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de
aprobacin que describa al responsable de los datos o del sistema
otorgandolos privilegios de acceso. Estos procedimientos deben aplicarse
a todos los usuarios, incluyendo administradores (usuarios privilegiados),
usuarios externos e internos, para casos normales y de emergencia. Los
derechosyobligacionesrelativosalaccesoalossistemaseinformacinde
la empresa deben acordarse contractualmente para todos los tipos de
usuarios.Realizarrevisionesregularesdelagestindetodaslascuentasy
losprivilegiosasociados.CobiT4.1

v. Garantizar que la implementacin de la seguridad en TI sea probada y


monitoreadadeformaproactiva.LaseguridadenTIdebeserreacreditada
peridicamente para garantizar que se mantiene el nivel seguridad
aprobado. Una funcin de ingreso al sistema (logging) y de monitoreo
permite la deteccin oportuna de actividades inusuales o anormales que
puedenrequeriratencin.CobiT4.1

vi. Definir claramente y comunicar las caractersticas de incidentes de


seguridad potenciales para que puedan ser clasificados propiamente y
tratadosporelprocesodegestindeincidentesyproblemas.ISO27002

vii. Garantizarquelatecnologarelacionadaconlaseguridadsearesistenteal
sabotajeynoreveledocumentacindeseguridadinnecesaria.ISO27002

viii. Determinarquelaspolticasyprocedimientosparaorganizarlageneracin,
cambio, revocacin, destruccin, distribucin, certificacin,
almacenamiento, captura, uso y archivo de llaves criptogrficas estn
implantadas, para garantizar la proteccin de las llaves contra
modificacionesydivulgacinnoautorizadas.CobiT4.1

ix. Ponermedidaspreventivas,detectivasycorrectivas(enespecialcontarcon
parches de seguridad y control de virus actualizados) en toda la
organizacinparaprotegerlossistemasdelainformacinyalatecnologa
contramalware(virus,gusanos,spyware,correobasura).CobiT4.1

x. Uso de tcnicas de seguridad y procedimientos de administracin


asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentacin
de redes, y deteccin de intrusos) para autorizar acceso y controlar los
flujosdeinformacindesdeyhacialasredes.CobiT4.1

xi. Transaccionesdedatossensiblesseintercambiansoloatravsdeunaruta
omedioconcontrolesparaproporcionarautenticidaddecontenido,prueba
deenvo,pruebaderecepcinynorepudiodelorigen.ISO27002

93
6.4.6.2 IndicadoresdeGestin

a) Elnmerodeincidentesquedaanlareputacinconelpblico

b) Elnmerodesistemasdondenosecumplenlosrequerimientosde
seguridad

c) Elnmerodeviolacionesenlasegregacindetareas

94
6.4.7 RQ17Administracindeinstalaciones

Laproteccindelequipodecmputoydelpersonal,requieredeinstalacionesbien
diseadas y bien administradas. El proceso de administrar el ambiente fsico
incluyeladefinicindelosrequerimientosfsicosdelcentrodedatos,laseleccin
de instalaciones apropiadas y el diseo de procesos efectivos para monitorear
factoresambientalesyadministrarelaccesofsico.Laadministracinefectivadel
ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al
equipodecmputoyalpersonal.

6.4.7.1 ActividadesdeControl

i. DefiniryseleccionarloscentrosdedatosfsicosparaelequipodeTIpara
soportarlaestrategiadetecnologaligadaalaestrategiadelnegocio.Esta
seleccin y diseo del esquema de un centro de datos debe tomar en
cuenta el riesgo asociado con desastres naturales y causados por el
hombre. Tambin debe considerar las leyes y regulaciones
correspondientes, tales como regulaciones de seguridad y de salud en el
trabajo.CobiT4.1

ii. Definir e implementar medidas de seguridad fsicas alineadas con los


requerimientosdelnegocio.Lasmedidasdebenincluir,peronolimitarseal
esquema del permetro de seguridad, de las zonas de seguridad, la
ubicacin de equipo crtico y de las reas de envo y recepcin. En
particular, mantenga unperfil bajo respectoa la presencia de operaciones
crticasdeTI.Debenestablecerselasresponsabilidadessobreelmonitoreo
ylosprocedimientosdereporteyderesolucindeincidentesdeseguridad
fsica.CobiT4.1

iii. Definir e implementar procedimientos para otorgar, limitar y revocar el


acceso a locales, edificios y reas de acuerdo con las necesidades del
negocio,incluyendolasemergencias.Elaccesoalocales,edificiosyreas
debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para
todas las personas que accedan a las instalaciones, incluyendo personal,
clientes,proveedores,visitantesocualquiertercerapersona.CobiT4.1

iv. Diseareimplementarmedidasdeproteccincontrafactoresambientales.
Deben instalarse dispositivos y equipo especializado para monitorear y
controlarelambiente.CobiT4.1

v. Administrarlasinstalaciones,incluyendoelequipodecomunicacionesyde
suministro de energa, de acuerdo con las leyes y los reglamentos, los
requerimientostcnicosydelnegocio,lasespecificacionesdelproveedory
loslineamientosdeseguridadysalud.CobiT4.1

95
6.4.7.2 IndicadoresdeGestin

a) Tiemposinservicioocasionadoporincidentesrelacionadosconelambiente
fsico

b) Nmerodeincidentesocasionadosporfallasobrechasdeseguridadfsica

c) Frecuenciaderevisinyevaluacinderiesgosfsicos.

96
6.4.8 RQ18Administracindeoperacionesdetecnologa

Un procesamiento de informacin completoy apropiado requiere de una efectiva


administracin del procesamiento de datos y del mantenimiento del hardware.
Esteprocesoincluyeladefinicindepolticasyprocedimientosdeoperacinpara
una administracin efectiva del procesamiento programado, proteccin de datos
de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de
hardware. Una efectiva administracin de operaciones ayuda a mantener la
integridaddelosdatosyreducelosretrasoseneltrabajoyloscostosoperativos
deTI.

6.4.8.1 ActividadesdeControl

i. Definir,implementarymantenerprocedimientosestndarparaoperaciones
de TI y garantizar que el personal de operaciones est familiarizado con
todas las tareas de operacin relativas a ellos. Los procedimientos de
operacin deben cubrir los procesos de entrega de turno (transferencia
formal de la actividad, estatus, actualizaciones, problemas de operacin,
procedimientos de escalamiento, y reportes sobre las responsabilidades
actuales)paragarantizarlacontinuidaddelasoperaciones.CobiT4.1

ii. Organizar la programacin de trabajos, procesos y tareas en la secuencia


mseficiente,maximizandoeldesempeoylautilizacinparacumplircon
los requerimientos del negocio. Deben autorizarse los programas iniciales
as como los cambios a estos programas. Los procedimientos deben
implementarse para identificar, investigar y aprobar las salidas de los
programasestndaresagendados.CobiT4.1

iii. Definir eimplementar procedimientos para monitorearlainfraestructurade


TIyloseventosrelacionados.Garantizarqueenlosregistrosdeoperacin
se almacena suficiente informacin cronolgica para permitir la
reconstruccin, revisin y anlisis de las secuencias de tiempo de las
operacionesydelasotrasactividadesquesoportanoqueestnalrededor
delasoperaciones.CobiT4.1

iv. Establecer resguardos fsicos, prcticas de registro y administracin de


inventarios adecuados sobre los activos de TI ms sensitivos tales como
formas, instrumentos negociables, impresoras de uso especial o
dispositivosdeseguridad.CobiT4.1

v. Definir e implementar procedimientos para garantizar el mantenimiento


oportunodelainfraestructuraparareducirlafrecuenciayelimpactodelas
fallasodeladisminucindeldesempeo.CobiT4.1

97
6.4.8.2 IndicadoresdeGestin

a) Nmero de niveles de servicio afectados a causa de incidentes en la


operacin.

b) Horas no planeadas de tiempo sin servicio a causa de incidentes en la


operacin.

c) Porcentaje de activos de hardware incluidos en los programas de


mantenimiento.

98
6.5 Cumplimiento

La tecnologa de la Informacin cumple con todas las leyes y los reglamentos


obligatorios. Las polticas y las prcticas estn definidas, implementadas y se
hacencumplir.

Es recomendable que los responsables de TI evalen con regularidad la


extensin hastala cualla tecnologa dela informacin satisfacelas obligaciones
(reglamentarias, legislativas, de ley, contractuales), las polticas internas, las
normasylasdirectricesprofesionales.

Los responsables de TI deberan dirigir a aquellos responsables de establecer


mecanismosregularesyrutinariosparagarantizarqueelusodelatecnologade
la informacin cumple con las obligaciones pertinentes (reglamentarias,
legislativas,deley,contractuales),lasnormasylasdirectrices.Losresponsables
de TI deberan dirigir de modo que se establezcan y hagan cumplir las polticas
que permiten ala organizacin cumplir susobligacionesinternas en el uso dela
tecnologadelainformacin.LosresponsablesdeTIdeberandirigirdeformatal
queelpersonaldetecnologadelainformacincumplalasdirectricespertinentes
paraelcomportamientoyeldesarrolloprofesional.Convienequelosresponsables
deTIdirijandetalformaquetodaslasaccionesrelacionadasconlatecnologade
lainformacinseanticas.

Es recomendable que los responsables de TI controlen la conformidad y el


cumplimiento dela tecnologa delainformacin a travs de prcticas adecuadas
auditora y presentacin de informes, asegurando que las revisiones sean
oportunas,exhaustivasyadecuadasparalaevaluacindelgradodesatisfaccin
del negocio. Tambin deberan supervisar las actividades de tecnologa de la
informacin, incluyendo la disposicin final de los activos y los datos, para
asegurar el cumplimiento de obligaciones ambientales, de privacidad, de gestin
deconocimientoestratgico,depreservacindelamemoriaorganizacionalyotras
obligacionespertinentes.

99
6.5.1 RQ04 Cumplimiento de requerimientos legales para derechos de
autor,privacidadycomercioelectrnico.

Una supervisin efectiva del cumplimiento requiere del establecimiento de un


proceso de revisin para garantizar el cumplimiento de las leyes, regulaciones y
requerimientos contractuales. Este proceso incluye la identificacin de
requerimientos de cumplimiento, optimizando y evaluando la respuesta,
obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente
integrandolosreportesdecumplimientodeTIconelrestodelnegocio.

6.5.1.1 ActividadesdeControl

i. Identificar, sobre una base continua, leyes locales e internacionales,


regulaciones,yotrosrequerimientosexternosquesedebendecumplirpara
incorporar en las polticas, estndares, procedimientos y metodologas de
TIdelaorganizacin.CobiT4.1

ii. Revisar y ajustar las polticas, estndares, procedimientos y metodologas


deTIparagarantizarquelosrequisitoslegales,regulatoriosycontractuales
sondireccionadosycomunicados.CobiT4.1

iii. Confirmar el cumplimiento de polticas, estndares, procedimientos y


metodologasdeTIconrequerimientoslegalesyregulatorios.CobiT4.1

iv. Obtener y reportar garanta de cumplimiento y adhesin a todas las


polticasinternas derivadas de directivas internas o requerimientoslegales
externos, regulatorios o contractuales, confirmando que se ha tomado
cualquieraccincorrectivapararesolvercualquierbrechadecumplimiento
poreldueoresponsabledelprocesodeformaoportuna.CobiT4.1

v. Integrar los reportes de TI sobre requerimientos legales, regulatorios y


contractualesconlassalidassimilaresprovenientesdeotrasfuncionesdel
negocio.CobiT4.1

6.5.1.2 IndicadoresdeGestin

a) ElcostodelnocumplimientodeTI,incluyendoarreglosymultas

100
b) Tiempo promedio de demora entre la identificacin de los problemas
externosdecumplimientoysuresolucin

c) Frecuenciaderevisionesdecumplimiento

101
6.6 ComportamientoHumano

Las polticas, prcticas y decisiones con respecto a la Tecnologa de la


Informacin demuestran respeto por el comportamiento humano, incluyendo las
necesidadesactualesyevolutivasdetodaslaspersonasenelproceso

Los responsables de TI deberan evaluar las actividades de tecnologa de la


informacin paraasegurar que los comportamientos humanos estnidentificados
yseconsiderandemaneracorrecta.

Los responsables de TI deberan dirigir de manera tal que las actividades de


tecnologa de la informacin sean consistentes con el comportamiento humano
identificado. Se recomienda que los responsables de TI dirijan de manera que
cualquier persona en cualquier momento pueda identificar y reportar riesgos,
oportunidades, problemas y preocupaciones. Estos riesgos se deberan manejar
de acuerdo con las polticas y los procedimientos publicados y escalar hasta las
personascorrespondientesacargodelatomadedecisiones.

Se recomienda que los responsables de TI controlan las actividades de


tecnologa de la informacin para asegurar que los comportamientos humanos
identificadassiguensiendopertinentesyqueselesbrindalaatencinadecuada.
Los responsables de TI deberan supervisar las prcticas laborales con el fin de
asegurar que son consistentes con el uso adecuado de la tecnologa de
informacin.

102
6.6.1 RQ15Educacinyentrenamientodeusuarios.

ParaunaeducacinefectivadetodoslosusuariosdesistemasdeTI,incluyendo
aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento
de cadagrupo deusuarios. Adems de identificarlas necesidades, esteproceso
incluye la definicin y ejecucin de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de
entrenamientoincrementaelusoefectivodelatecnologaaldisminuirloserrores,
incrementando la productividad y el cumplimiento de los controles clave tales
comolasmedidasdeseguridaddelosusuarios.

Adquirir, mantener y motivar una fuerza detrabajo parala creacin y entrega de


servicios de TI para el negocio. Esto se logra siguiendo prcticas definidas y
aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacin del
desempeo, la promocin y la terminacin. Este proceso es crtico, ya que las
personas sonactivosimportantes, y elambiente de gobierno y de controlinterno
dependefuertementedelamotivacinycompetenciadelpersonal.

6.6.1.1 ActividadesdeControl

i. Establecer y actualizar de forma regular un programa de entrenamiento


para cada grupo objetivo de empleados, que incluya: Estrategias y
requerimientosactualesyfuturosdelnegocio,valorescorporativos(valores
ticos, cultura de control y seguridad, etc.), implementacin de nuevo
software e infraestructura de TI (paquetes y aplicaciones), habilidades,
perfiles de competencias y certificaciones actuales y/o credenciales
necesarias. mtodos de imparticin (por ejemplo, aula, web), tamao del
grupoobjetivo,accesibilidadytiempo.CobiT4.1

ii. Con base enlas necesidadesde entrenamientoidentificadas,identificar: a


los grupos objetivo y a sus miembros, a los mecanismos de imparticin
eficientes, a maestros, instructores y consejeros. Designar instructores y
organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del
registro(incluyendolosprerrequisitos),laasistencia,ydelasevaluaciones
dedesempeo.CobiT4.1

iii. Al finalizar el entrenamiento, evaluar el contenido del entrenamiento


respecto a la relevancia, calidad, efectividad, percepcin y retencin del
conocimiento, costo y valor. Los resultados de esta evaluacin deben
contribuirenladefinicinfuturadelosplanesdeestudioydelassesiones
deentrenamiento.CobiT4.1

103
iv. Verificar de forma peridica que el personal tenga las habilidades para
cumplirsusrolesconbaseensueducacin,entrenamientoy/oexperiencia.
DefinirlosrequerimientosesencialesdehabilidadesparaTIyverificarque
se les d mantenimiento, usando programas de calificacin y certificacin
segnseaelcaso.CobiT4.1

v. ProporcionaralosempleadosdeTIlaorientacinnecesariaalmomentode
la contratacin y entrenamiento continuo para conservar su conocimiento,
aptitudes,habilidades,controlesinternosyconcienciasobrelaseguridad,al
nivelrequeridoparaalcanzarlasmetasorganizacionales.ISO9001:2008

vi. Es necesario que las evaluaciones de desempeo se realicen


peridicamente,comparandocontralosobjetivosindividualesderivadosde
las metas organizacionales, estndares establecidos y responsabilidades
especficas del puesto. Los empleados deben recibir adiestramiento sobre
sudesempeoyconducta,segnseanecesario.ISO9001:2008

6.6.1.2 IndicadoresdeGestin

a) Nmerodellamadasdesoportedebidoaproblemasdeentrenamiento

b) PorcentajedesatisfaccindelosInteresadosconelentrenamientorecibido

c) Lapsodetiempoentrelaidentificacindelanecesidaddeentrenamientoy
laimparticindelmismo

d) El nivel de satisfaccin de los interesados respecto a la experiencia y


habilidadesdelpersonal.

e) LarotacindepersonaldeTI.

f) PorcentajedepersonaldeTIcertificadodeacuerdoalasnecesidadesdel
negocio.

104
7. GUADEIMPLEMENTACINDELMODELODEGOBIERNODETIPARA
ENTIDADESBANCARIASDECOLOMBIA

Con elfin de proporcionar una gua quefacilitelaimplementacin delModelo de


Gobierno de TI en las entidades bancarias de Colombia, se definieron dos
actividadesespecficas:

1. Sedocumentunaguadeimplementacindelmodelo
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto(veranexo4).

Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
por el IT Governance Institute, IT governance implementation21 que consta de
sietefases:

Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodelaimplementacin

7.1 Guadeimplementacindelmodelo

7.1.1 Fase1:Obtenerelcompromisodelaaltadireccin.

7.1.1.1 Objetivo:
Obtener el apoyo de la alta direccin y difundir entre las partes interesadas
(stakeholders) la decisin de la implementacin del modelo de gobierno de TI a
travsdelosmedioshabitualesdedivulgacininterna.

7.1.1.2 Actividades

1. PresentarelmodelodegobiernodeTIalaaltadireccin

21
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute

105
2. Explicarelalcancedelproyecto

3. Definirlosrolesylosresponsablesdelaimplementacindelproyecto

4. Definirunplandeimplementacin

5. Definiruncronogramadeimplementacin

6. Informaralaspartesinteresadas

7.1.1.3 Entregables

a) Documento con el apoyo y compromiso de la alta direccin en la


implementacindelproyecto

b) Documento con el plan de implementacin, los roles y responsables de


cadaactividadyelcronogramadeimplementacindelproyecto

7.1.2 Fase2:Determinarelestadoactual

7.1.2.1 Objetivo:
Determinar,pormediodelmodelodeautoevaluacinpropuesto, unestadoactual
delniveldemadurezdeGobiernodeTIquesedesearaalcanzar

7.1.2.2 Actividades

1. El responsable de TI debeleer y entenderla guapara el diligenciamiento


delaautoevaluacindescritoenelanexo2.

2. ElresponsabledeTIdebediligenciarlaautoevaluacindeniveldemadurez
propuesta,lacualseencuentraenelanexo1.

3. Trasladar los resultados numricos de la columna estado actual de la


autoevaluacin,alformatodeanlisisderesultadospropuestoenelanexo
3,paraobservargrficamentelosresultados.

7.1.2.3 Entregables

106
a) Diligenciamientodelaautoevaluacindeniveldemadurezdegobiernode
TI.

b) Diligenciamiento del formato de anlisis de resultados propuesto en el


anexo3

7.1.3 Fase3:Establecerelestadofuturodeseado.

7.1.3.1 Objetivo:
Determinar, con la ayuda del modelo de autoevaluacin propuesto, un estado
futurodeseado,delniveldemadurezdeGobiernodeTI.

7.1.3.2 Actividades

1. El responsable de TI debeleer y entenderla guapara el diligenciamiento


delaautoevaluacindescritoenelanexo2.

2. Teniendo especial atencin en la columna de nivel deseado, el


responsable de TI debe diligenciar la autoevaluacin de nivel de madurez
propuesta,lacualseencuentraenelanexo1.

3. Trasladar los resultados numricos de la columna nivel deseado de la


autoevaluacin,alformatodeanlisisderesultadospropuestoenelanexo
3paraobservargrficamentelosresultados.

7.1.3.3 Entregables

a) Diligenciamientodelaautoevaluacindeniveldemadurezdegobiernode
TI.

b) Diligenciamiento del formato de anlisis de resultados propuesto en el


anexo3

7.1.4 Fase4:Identificarlasbrechas

107
7.1.4.1 Objetivo:
Con base en el estado actual y el estado futuro deseado resultantes de la
autoevaluacin,identificarlas brechasa sercerradas con el finde avanzar enla
implementacindelproyecto.

7.1.4.2 Actividades

1. Identificarlasbrechasexistentesentreelestadoactualyelestadodeseado
paracadaprincipio.

2. Identificar en conjunto con los lderes de TI, las causas, problemas


comunes, amenazas, riesgos y restricciones que dificultaran cerrar las
brechasexistentes.

3. Determinar en conjunto con los lideres de TI, oportunidades de mejora,


fortalezasybeneficiosquefacilitarancerrarlasbrechas.

7.1.4.3 Entregables

a) Documentoconlasbrechasexistentesquesedeseancerrar

b) Documento con las acciones necesarias que ayuden a cerrar las brechas
existentes

7.1.5 Fase5:Definirelplandeimplementacin

7.1.5.1 Objetivo:
Establecer un plan de implementacin que permita alcanzar los objetivos
propuestos

7.1.5.2 Actividades

1. Definir, de acuerdo a las brechas existentes encontradas, cuales de ellas


serncerradasycualessoloquedaranplanteadasparaimplementarenun
futuro
108
2. Identificar en el modelo propuesto y segn las brechas a cerrar, las
actividadesdecontrolnecesariasparaalcanzarlosobjetivos

3. Convertirlasactividadesdecontrol,enproyectos,loscualesdeberntener
susresponsablesasignados,metas,recursosycronogramaaseguir.

4. Definirelordenenelcualseejecutarnlosproyectosestablecidos.

7.1.5.3 Entregables

a) Documentos con las brechas que sern cerradas y cuales quedarn


planteadasparaunfuturo

b) Documento con las actividades de control necesarias para cerrar las


brechas

c) Documentoconlosproyectosaimplementar,consusresponsables,metas,
recursos y cronograma, adems del orden de implementacin de los
proyectos

7.1.6 Fase6:Desarrollarelplandeimplementacin

7.1.6.1 Objetivo:
Desarrollarelplandeimplementacinplanteadoenlafaseanterior

7.1.6.2 Actividades

1. Implementarcadaproyectoenelordenestablecidoenlafaseanterior

2. Paracadaproyecto,gestionarlosrecursoseconmicos,fsicosyhumanos
necesarios adems de cualquier tipo de recurso necesario adicional para
llevaracabocadaproyecto

3. Realizarlasactividadesnecesariasencadaproyectoparadarcumplimiento
almismoenlostiemposplanteadosencadacronograma

4. Una vez terminado cada proyecto, realizar pruebas y realizar el cierre del
mismo.

109
5. Divulgar (socializar) entre las partes interesadas el fin del proyecto y
realizarcapacitacionesencasodesernecesarias

7.1.6.3 Entregables

a) Listado con los recursos necesarios para la implementacin de cada


proyecto

b) Listado con las pruebas realizadas (ejecutadas y aceptadas) a las


actividadesimplementadas

c) Cierreformaldelproyecto,conlarespectivaaprobacindelresponsabledel
proyectoyelresponsabledeTIdelbanco

7.1.7 Fase7:Monitorearycontrolareldesempeodelaimplementacin

7.1.7.1 Objetivo:
Establecer revisiones peridicas alos proyectos implementados para validar que
cumplen con los objetivos y metas propuestos adems generar una
retroalimentacinconlasleccionesaprendidas.

7.1.7.2 Actividades

1. Crear mecanismos que permitan validar que los proyectos implementados


estncumpliendoconobjetivospropuestos

2. Definir responsables para realizar el monitoreo de los proyectos


implementados

3. Reportar el resultado del monitoreo al responsable de TI del Banco para


que tome las medidas que considere necesarias dependiendo de los
resultadosobtenidos

7.1.7.3 Entregables

a) Documento con los mecanismos creados para validar los proyectos


implementadosylosresponsablesdellevaracaboelmonitoreo

b) Documentoconelresultadodelmonitoreoefectuado

110
111
8. VALIDACINDELAPROPUESTA

8.1 MetodologadeValidacin

ParavalidarelmodelodeGobiernodeTIenentidadesbancariasdeColombia,se
cre un resumen ejecutivo del mismo (ver anexo 5) y una encuesta en formato
digital(veranexo6)enelcualselesolicitaungrupodeexpertosqueconbase
en dicho resumen ejecutivo evaluaran ciertos aspectos que se describen ms
adelante.

Dicho formato se cre en Google Docs y se envo va correo electrnico a los


expertosparaconocersucriterio.

Losaspectosavalidarfueronlossiguientes:

Validacin de los 19 requerimientos TI identificados como base para el


desarrollo del modelo de gobierno de TI para entidades bancarias de
Colombiapropuesto.

Validacin del modelo de Gobierno de TI para entidades bancarias de


Colombiapropuesto.

Validacin de la autoevaluacin de nivel de madurez de gobierno de TI


propuesta

Validacindelaaplicabilidaddelaguadeimplementacinpropuestapara
el modelodeGobiernodeTIenentidadesbancariasdeColombia

8.2 SeleccindeExpertos

ParalavalidacindelapropuestadelmodelodeGobiernodeTIparaentidades
bancarias de Colombia, se seleccion un grupo de expertos compuesto por
personascuyoperfilreunieraporlomenosunodelossiguientesaspectos:

ExperienciaenreasdeTIdelalgnbancoenColombia
ExperiencialaboralengobiernodeTI
ExperienciaendocenciadegobiernodeTI
Ttulouniversitarioeningenieradesistemasy/osimilares,conmaestraen
elcampodelossistemasyconocimientosdegobiernodeTI
Ttulo universitario en ingeniera de sistemas y/o similares, dueo de
empresasdetecnologalascualestenganreconocimientoanivelnacional
internacional

112
Laspersonasseleccionadasfueronlassiguientes:

JessEmilioZabala(Respondilaencuesta)
SubgerentedeDesarrolloymantenimiento
BancodeOccidente

JosMiguelLpez(Respondilaencuesta)
GerentedeTI
BancoWWB

FabinAndrsCardenas(Respondilaencuesta)
Coordinadordeproyectos
Bancoomeva

IngridLuciaMuoz(NOrespondilaencuesta)
DocenteMaestra
UniversidadIcesi

LilianadelSocorroGmez(Respondilaencuesta)
DocenteMaestra
UniversidadIcesi

FranciscoAgrayCorts(Respondilaencuesta)
GerenteOficinadeProyectos

SigifredoQuinteroContreras(Respondilaencuesta)
ConsultordeTI

AntonioFernndezMartnez(Respondilaencuesta)
DocenteUniversitario
UniversidaddeAlmeraEspaa

FabinGonzlezValencia(Respondilaencuesta)
GerentedeTI
Ecom

Lasobservacionesrealizadasporelgrupodeexpertossedetallanacontinuacin
y los resultados de la encuesta se encuentran en el Capitulo 9 Resultados
Obtenidos:

113
Observacinrealizada Detalledela Respuestaala
por Observacin Observacin
NosenqupartedelModelo Lacircular014de2009
deGobiernoincorporenla especificatextualmenteenel
necesidaddearticularlos captulo7.6.2.quelas
ObjetivosEstratgicosdeTI entidadesbancariasdebern
conlosObjetivosEstratgicos disearunSistemadeControl
delNegocio. Interno(SCI)paralagestin
FranciscoAgrayCorts delatecnologa,queresponda
alaspolticas,necesidadesy
expectativasdelaentidadya
lasexigenciasnormativas,con
elpropsitodecontribuiral
logrodelosobjetivos
institucionales
ComoModelodeGobierno Consideramosquepuede
deberanproponer llegaraserprudente,sin
MecanismosdeGobiernode embargo,considerandolas
TI(diferentescomits, diferentesnormativasy
FranciscoAgrayCorts ejecutivosaniveldelnegocio, mecanismosdecontroldela
aniveldeproyectos,tcnicos, superintendencia,
operativos,entreotros) consideramosquenoes
necesarioproponermas
comitsdecontrol
Otroaspectoqueesclaveen ElRQ15,ensusactividades
TIeslaCapacitacin,enel decontrol,estorientadotanto
FranciscoAgrayCorts RQ15loveomuyfocalizadoa alusuariodeTIcomo al
Usuarios,peronosednde usuarionoTI
quedelagentedeTI.
Enlapropuestade Seactualizolaguade
ImplementacindelModelo implementacinenlaFase7
basadosenelITGovernace quedandodelasiguiente
Institute,nosesienelpunto forma:Monitorearycontrolar
queserefierenaEstablecerel eldesempeodela
estadofuturodeseado,ese implementacin
FranciscoAgrayCorts
seraelModeloqueestn
proponiendoycontralse
estableceranlasbrechas,de
noseras,elmodelo
propuestoquedaraflotando
enlaImplementacin..
EnlapartedelContextodel SeamplielCapitulo3
Trabajo,paraunamayor ContextodelSectorBancario
claridad,sepodra Colombiano,paradar
contextualizardesdeel respuestaalaobservacin
SistemaFinancieroen planteada
Colombia,sucomposicinyen
SigifredoQuinteroContreras
estecontexto,
cmoseubicanlos
EstablecimientosBancariosen
elmarcogeneralyenlos
establecimientosdecrdito,
diferencindolosdelas

114
corporacionesfinancieras,las
compaasdefinanciamientoy
lascooperativasfinancieras.
EnelModelodeGobiernode Noseincluydentrodela
TIpropuestonoaparece graficadelmodelo,porquela
explcitoelnombrede Autoevaluacinsequiere
SigifredoQuinteroContreras Autoevaluacin.Sugierodejar presentarconuncomplemento
lapalabraAutoevaluacin (anexo)alapropuesta
arribadelaspalabras
EvaluarDirigirControlar
InfraestructuradeTecnologa: ElRQ02estranversarconlos
confirmarsistaserefiere indicadresperoestaorientado
sloalaAdquisicincomolo aquelosBancosdeben
planteaelModelo(RQ02)osi contarconprocesospara
estransversal(Estructura adquirir,Implementary
SigifredoQuinteroContreras organizacional,roles, actualizarlainfraestructura
factorhumanoyotros)como tecnolgicadeacuerdoconlas
losIndicadoresdeGestino estrategiastecnolgicas
lasActividadesdeControl. convenidasyladisposicindel
ambientededesarrolloy
pruebas.
AlRequerimiento Seactualizeneltrabajo
Documentacin(RQ19) quedandoGestindela
SigifredoQuinteroContreras quedaramsclarosisele Documentacin
anteponelapalabra
AdministracinoGestin.
EnlaEstructuradelModelode Nuestromodelosebasaenel
GobiernodeTIPropuesto normaISO38500,lacual
recomiendoincluiren: abordaen3desus6
principioslosaspectosde
Responsabilidad:Polticasy Responsabilidad,Desempeo
Procedimientos,Innovacin. yComportamientoHumano,
Desempeo:Administracin sobreloscualescreamos
deserviciosdeAsistencia actividadesdecontrol,
SigifredoQuinteroContreras
Tecnolgica(ITIL). tendientesacumplirconlos
ComportamientoHumano: aspectosquesesugierenenla
GestindelFactorHumano. observacin
ConsolidarCulturadel
GobiernodeTI.Segestionala
TI,peroesclavegestionar
todolorelacionadoconel
factorhumano.
Sesugiereadicionarcomo LanormaISO38500incluye
principiooincluirenotro: unprincipiocumplimientoenel
cualsepidecumplircontodos
GestindelRiesgo. losaspectoslegales
InvestigacinyDesarrollo. (incluyendolosrelacionados
PatentesyDerechosde conderechosdeautor).En
SigifredoQuinteroContreras
Autor. cuantoalaGestindelRiesgo
locubreconsuprincipiode
Desempeo.Elapartadode
InvestigacinyDesarrollono
estincluidoyloplanteamos
enelCapitulo10Trabajo

115
Futuro
Nossilotenganenel EnelAnexo2seincluyeun
documento,perolomenciono: glosarioconlostrminosms
tenerunglosariodetrminos. relevantesusadosennuestra
SigifredoQuinteroContreras
Esimportantedefinirlas propuesta
palabrasclave,inclusoincluir
suetimologa:
EncuantoalaGuade SeactualizolaFase7dela
ImplementacindelModelo gua,quedandodelasiguiente
recomiendoincluirunltimo forma:Establecerrevisiones
tem:Fase8:Lecciones peridicasalosproyectos
SigifredoQuinteroContreras Aprendidasy implementadosparavalidar
Retroalimentacin. quecumplenconlosobjetivos
ymetaspropuestosadems
generarunaretroalimentacin
conlasleccionesaprendidas
Creoqueentrelos19 Los19requerimientosdeTI,
requerimientosquehabeis losobtuvimosdelacircular
seleccionadocubrsbastante 014de2009,portalmotivo
bienelmbitodelgobiernode tomamossumismaredaccin
AntonioFernndezMartnez lasTIperoalgunosdeellos
estnredactadosdemanera
quesonpropiosdelnivelde
GestinoAdministracinde
lasTIynodeldeGobierno
Nosemuybienquinvaa Recibimoslaobservacinpero
rellenarestaautoevaluacin, nolacompartimosporque
perodeberanhacerlolos pensamosquesonlos
directivosdebanca directivosdeTI,losms
AntonioFernndezMartnez
indicadospararesponderla
autoevaluacin,debidoaque
losaspectosqueseevalan
sonorientadosaTI

Tabla10:Relacindeobservacionesdelgrupodeexpertos

116
9. RESULTADOSOBTENIDOS

Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:

Identificacin de los 19 requerimientos de TI claves para el modelo de


GobiernodeTI

ModelodeGobiernodeTIparaentidadesbancariasdeColombia

UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008

UnaGuadeImplementacinparamodelopropuesto

Un instrumento para la validacin del modelo por parte de un juicio de


expertos.

Para validar la autoevaluacin y conocer el estado actual de Gobierno de TI,


segnla escala propuesta, se pidi a 3 entidades bancarias de Colombia quela
diligenciaran.Elresumendedichoresultadoseselsiguiente:

Segn el muestreo, el sector bancario tiene procedimientos, tareas y/o


actividades, que segn el modelo y la escala propuesta, ayudan al
GobiernodeTI

Se evidencia tambin que tienen inters de crecer a un nivel superior del


actual,entodaslasaristasdelmodelopropuesto.

Se observa adems, que sibien es cierto tienen expectativa de avanzar a


unnivelsuperior,porahoranoconsideranlaposibilidaddeestarenelnivel
ideal,dentrodelaescalapropuesta

117
Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamien
Estrategia
toHumano 2
1
NIVEL
0 DESEADO

Principio5 Principio3 NIVEL


Conformidad Adquisicin IDEAL

Principio4
Desempeo

Figura16:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto

Respectoalosresultadosdelaencuestaparaeljuiciodeexpertos(veranexo6),
seobservaquedelos19RequerimientosdeTIpropuestosparahacerpartedeun
modelodegobiernodeTI, 3fueronvotadoscon100%,7con86%y9conel71%
locualsignificaqueensumayorasonaceptados.

De igual forma se observa que a la pregunta de si est de acuerdo o en


desacuerdo en que los 19 requerimientos de TI identificados son vlidos,
apropiados y sirven de base para el modelo de Gobierno de TI para entidades
bancariasdeColombia,el86%votfavorablementeaesteinterrogante.

Por ltimo y ante el interrogante de si considera viable o inviable la


implementacindelmodelopropuestodeGobiernodeTIparaentidadesbancarias
deColombia,el100%delosexpertosvotafavordeestaafirmacin.

Losresultadosdeljuiciodeexpertosfueronlossiguientes:

118
1) Del listado de 19 requerimientos de TI que ordena la circular externa 014 de
2009,porfavorseleccionelosqueustedconsideraquedebenhacerpartedeun
modelodegobiernodeTI

RQ01 Planestratgicodetecnologa. RQ11 Administracindeserviciosconterceros.


Administracin,desempeo,capacidady
RQ02 Infraestructuradetecnologa. RQ12 disponibilidaddelainfraestructura
tecnolgica.
RQ03 Relacionesconproveedores. RQ13 Continuidaddelnegocio.
Cumplimientoderequerimientos legales
RQ04 paraderechosdeautor,privacidady RQ14 Seguridaddelossistemas.
comercioelectrnico.

RQ05 Administracindeproyectosdesistemas. RQ15 Educacinyentrenamientodeusuarios.

RQ06 Administracindelacalidad. RQ16 Administracindelosdatos.


RQ07 Adquisicindetecnologa. RQ17 Administracindeinstalaciones.
Adquisicinymantenimientodesoftware Administracindeoperacionesde
RQ08 RQ18
deaplicacin. tecnologa.
RQ09 Instalacinyacreditacindesistemas. RQ19 GestindelaDocumentacin.
RQ10 Administracindecambios.

RQ1 100%
RQ2 86%
RQ3 100%
RQ4 86%
RQ5 71%
RQ6 86%
RQ7 86%
RQ8 71%
RQ9 71%
RQ10 71%
RQ11 71%
RQ12 86%
RQ13 100%
RQ14 86%
RQ15 71%
RQ16 71%
RQ17 71%
RQ18 86%
RQ19 71%
0% 20% 40% 60% 80% 100%

Figura17:Resultadospregunta1delaencuesta

119
2,Estausteddeacuerdooendesacuerdo,enquelos19
requerimientosdeTIidentificadossonvalidos,apropiados
ysirvendebaseparaelmodelodeGobiernodeTIpara
entidadesbancariasdeColombia

Deacuerdo Endesacuerdo

14%

86%

Figura18:Resultadospregunta2delaencuesta

3.TeniendoencuentaelmodelodeGobiernodeTIpara
entidadesbancariasdeColombiadelresumenejecutivo
(numeral2.3,pag.7),consideraustedqueelmodelo
propuestoesadecuadooinadecuado

0%

Esadecuado
Esinadecuado

100%

Figura19:Resultadospregunta3delaencuesta

120
4.TeniendoencuentalaestructuradelmodelodeGobierno
deTIparaentidadesbancariasdeColombiadelresumen
ejecutivo(numeral2.4,pag.8),consideraustedquela
estructuradelmodelopropuestoesadecuadaoinadecuado

0%

Esadecuado
Esinadecuado

100%

Figura20:Resultadospregunta4delaencuesta

5.Respectoalaautoevaluacindeniveldemadurezde
GobiernodeTIpropuesta(numeral2.5,pag9),ustedla
consideraapropiadaoinapropiada

0%

Esapropiada
Esinapropiada

100%

Figura21:Resultadospregunta5delaencuesta

121
6.Encuantoalas7fasesparalaimplementacindelmodelo
deGobiernodeTI,descritasenelresumenejecutivo
(numeral2.6pag.12),ustedlasconsideraadecuadasy
suficientesparalallevaracabolaimplementacin

0%

Sisonadecuadasy
suficientes
Nosonadecuadaso
suficientes

100%

Figura22:Resultadospregunta6delaencuesta

7.Considerandodeformaglobalelresumenejecutivo
enviado,ustedconsideraviableoinviablelaimplementacin
delmodelopropuestodeGobiernodeTIparaentidades
bancariasdeColombia

0%

Esviable
Esinviable

100%

Figura23:Resultadospregunta7delaencuesta

122
10. CONCLUSIONESYFUTUROTRABAJO

10.1 Conclusiones

Gobierno deTI est orientado a la realidadactual de laindustria, sinimportar el


tipootamaodelaorganizacinnoseavizoraalgntipoimpedimentoquehaga
que gobierno de TI no sea aplicado a las industrias. Lo que definitivamente si
existe,sondiferenciasdetipoorganizativas,culturales,econmicasylegislativas
dependiendodelsectordelaindustria,loqueimplicaqueTIdebeestaradaptada
aestasnecesidadespropias.

LoanteriorimplicaquesibienesciertogobiernodeTIesunproductogenrico
que puede adaptarse a cualquier tipo de organizacin, s se hace imperativo
realizar un amoldamiento a la realidad de la industria particular que desea
implementar.

Para la realizacin de este trabajo se parti de una ventaja significativa y es el


hecho que el sector bancario colombiano esta agrupado y regulado por leyes,
impartidas mayoritariamente por la superintendencia financiera, las cuales hacen
que este sector tenga una estructura organizacional y documental muy bien
establecida,loqueallanaelcaminoparaunaposibleimplementacindeGobierno
de TI. Entre estas leyes est la circular 014 de 2009, la cual obliga al sector
bancario a contar con 19 requerimientos de TI, los cuales deben estar
documentadosyalineadosconlosobjetivosestratgicosdelaorganizacin.

Casocontrariosucedeconotrossectorescomercialesdelpas,loscualesdeben
seguir un camino ms complejo y extenso, debido a que se debe partir por
verificar si tienen procesos claves documentados y de no ser as, se debe
comenzar por conseguir esta informacin con las personas que lideran los
diferentes procesos, con la dificultad agravada que tal vez estas personas no
tienenelconocimientonecesarioparaentregarinformacinclaveyrelevantedela
organizacinydeTI.

Lo verdaderamente importante parallevar acabo un proceso deimplementacin


de Gobierno deTI en una organizacin, escontar con el apoyo (administrativo y
financiero)porpartedelaAltaGerencia,yaqueimplementarcualquiermodelode
Gobierno de TI requiere mnimamente de alinear los objetivos estratgicos de la
organizacinconlosobjetivosdeTIyenelcasodequeestosnoseencuentren
documentados,requerirdeunesfuerzoadministrativoyfinancieroadicionalpara
completarenprimerlugarestaactividad.

Respectoalosmarcosdereferencia,todossonmuyvaliososyestnprecedidos
de muchas horas de trabajo, de muchas personas con un conocimiento y
experienciaindiscutibleasmismo,seobserva quelosmarcosbasedeGobierno

123
deTItienenmuchascosasencomnynoesdifcilhacerasociacionesentreellos,
por tal motivo cualquier marco base (sabindolo aplicar) resultar til para la
implementacindeGobiernodeTI.

10.2 TrabajoFuturo

Sibienesciertoestemodelopropuestocuentaconlaaceptacinenteoradeun
juicio de expertos con conocimientos y experiencia en la materia, se hace
determinante dar salto de la teora a la prctica, por ende el trabajo futuro
inmediatodebesereldeimplementarelmodeloenalgnbancodepasyhacer
seguimiento al proceso de implementacin, de modo que se pueda validar en la
prctica los conceptos planteados de manera terica y que a su vez pueda
entregaraportes que permitan elmejoramiento continuodel modelo(porejemplo
incluir un principio de innovacin y desarrollo) en pro de tener un modelo de
gobiernodetiparaelsectorbancariodeColombia,cadavezmsdepurado.

De igual forma y teniendo en cuenta el ritmo cambiante de la tecnologa, los


marcos gobierno yla legislacin colombiana, es prudente revisar peridicamente
estas aristas, de manera que permita al modelo estar actualizado con las
necesidades y tendencias que tienen incidencia en este modelo de Gobierno de
TI,comoporejemplo,lastendenciascadavezmsfuertesdelabancamvilyla
computacin en la nube, CobiT 5 y circulares externas que pueda decretar la
SuperintendenciaFinancieradeColombia

Porltimoyconelnimodeextenderelalcancedeestemodelodegobiernode
TI,untrabajofuturoseraeldeevaluarlaadaptabilidaddelmismoaotrossectores
similares,demodoquenoseapliquenicamentealsectorbancario,sinotodoal
sectorfinancierodispuestoeneldecreto663de1993comolosonporejemplolas
CorporacionesdeAhorroyVivienda,lasCompaasdefinanciamientocomercialy
lasCooperativasFinancieras

124
11. BIBLIOGRAFA

Superintendencia Financiera de Colombia Circular Externa 014 del 2009,


Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc

Superintendencia Financiera de Colombia, Circular externa 038 de 2009,


Colombia,
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce038_09.doc

Superintendencia Financiera de Colombia, Circular externa 052 de 2007,


Colombia,www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce052_07.rtf

Superintendencia Financiera de Colombia, Decreto 633 de 1993, Colombia,


http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/
parte01.pdf

Asobancaria, Informacin al consumidor financiero. Colombia, 2012


http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/siste
ma_financiero_y_banca/

Ministerio de Hacienda de Colombia, Fusiones y Adquisiciones en el Sector


Financiero Colombiano: Anlisis y Propuestas sobre la Consolidacin Bancaria.
Colombia,2012
http://www.minhacienda.gov.co/portal/page/portal/HomeMinhacienda/regulacionfin
anciera/Presentaciones/Presentaciones/7_ANIFMULTIBANFINAL0606.pdf

IngridLucaMuozPerinMsC,GonzaloUlloaVillegas,Artculo:Gobiernode
TI Estado del arte, Revista S&T, Universidad Icesi, Cali, 2011
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.
pdf

ISACA ManuelBallesterPhD, GobiernodelasTICISO/IEC38500.TheISACA


Journal Online published, 2010, http://www.isaca.org/Journal/Past
Issues/2010/Volume1/Documents/jpdf1001onlinegobierno.pdf

ITGovernanceInstitute,AlineandoCOBIT4.1,ITILV3eISO/IEC27002en
beneficiodelaempresa.2008,
http://www.isaca.org/KnowledgeCenter/Research/Documents/AlineandoCobit
4.1,ITILv3yISO27002enbeneficiodelaempresav2,7.pdf.

125
IT Governance Institute, Informe: Global Status Report on the Governance of
EnterpriseIT,2011,
http://www.isaca.org/KnowledgeCenter/Research/Documents/GlobalStatus
ReportGEIT10Jan2011Research.pdf

ISACA Centro de Conocimiento, Caso de Estudio: Banco Supervielle S.A.,


Argentina,
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasode
EstudioBancoSupervielleSAArgentina.aspx

ISACA Centro de Conocimiento, Caso de Estudio: Grupo Bancolombia


Implements COBIT to Help Ensure Compliance and Improve Processes.
http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBITCaseStudyGrupo
Bancolombia.aspx

ISACA Manuel Ballester, Ph.D, Artculo: Gobierno de las TIC ISO/IEC 38500,
IsacaJournal,2010,

AntonioFernndezMartnez,GobiernodelasTIparauniversidades,Universidad
deAlmeraFaranLlorensLargo,UniversidaddeAlicante,2011

ISACA. StevenDeHaes,Ph.D.,WimVan Grembergen,Ph.D.,Artculo:Moving


FromITGovernancetoEnterpriseGovernanceofIT,IsacaJournal,2009.

126
12. ANEXOS

Anexo 1: AutoevaluacindeniveldemadurezdeGobiernodeTIpropuesta.(ver
archivoAnexo1.doc)

Anexo2:Guaparaeldiligenciamientodelaautoevaluacindeniveldemadurez
deGobiernodeTIpropuesta.(verarchivoAnexo2.doc)

Anexo3:Formatodeanlisisderesultados(verarchivoAnexo3.xls)

Anexo 4: Ejemplo de implementacin de un requerimiento de TI del modelo


propuesto(verarchivoAnexo4.doc)

Anexo 5: Resumen Ejecutivo del modelo de Gobierno de TI en entidades


bancariasdeColombia(verarchivoAnexo5.doc)

Anexo6:Encuestaenformatodigitalparaeljuiciodeexpertos(verarchivoAnexo
6.pdf y/o la encuesta en lnea en
https://docs.google.com/spreadsheet/viewform?formkey=dHJ0ZFNEcnRJeWlNRV
VhV0owdHNNZGc6MQ)

Anexo 7: Verificacin delcumplimiento delos 19requerimientos en elBanco de


Occidente.(VerarchivoAnexo7.doc)

Anexo 8: Procedimiento documentado del Banco de Occidente DS01 01


Realizaranlisisdelasituacin(verarchivoAnexo8.doc)

127
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

ANEXO1AutoevaluacindeniveldemadurezdeGobiernodeTI

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
Engeneral, losindividuoso Los directores de TI Conrespectoalsuministroy Los directores de TI tienen Los directores de TI,
grupos dentro de la establecer reglas y a la demanda de la alineadas las reglas y evalan la competencia
organizacin no tienen responsabilidades con informacin, los usuarios responsabilidades con los (capacidad, autoridad,
claras sus relacin al uso actual y dentro de la organizacin, objetivos actuales y futuros experiencia, etc.) de
responsabilidades con futurode latecnologadela entienden y aceptan las delnegocio. aquellos a quienes se les
respecto alsuministro y a la informacin de la reglas y responsabilidades asignalaresponsabilidadde
demandadelainformacin. organizacin. asignadasporTI. Los niveles de tomar decisiones con
Evaluar

entendimiento y aceptacin respectoaTI.


por parte de los usuarios, (Los resultados de estas
con respecto al uso de la evaluaciones se encuentran
informacin, se encuentran documentados)
documentados
3.2Principio1:Responsabilidad

En la organizacin no se Los directores de TI, Los directores de TI dirigen LosdirectoresdeTIcuentan Los directores de TI
cuenta con proyectos de conocen pero no dirigen los todos los proyectos de con un procedimiento verifican que todos los
tecnologa. proyectosdetecnologaque tecnologa de la documentado para ayudar a proyectos de tecnologa,
se establecen en la alta organizacin. evaluar el cumplimiento de estn alineadas con las
gerencia de la organizacin las metas de los proyectos responsabilidades
(uotrasreas) Los Directores de TI, detecnologaquedirigen. asignadasalreadeTI
Dirigir

cuentan con una autoridad


parcial para solicitar Los directores deTI exigen
informacin de otras que se les entregue la
dependencias. informacin que necesitan
para cumplir sus
responsabilidades, incluidas
las relativas a acciones y
tomadedecisiones.

Los directores de TI tienen Los directores de TI Los directores de TI Los directores de TI Tambin supervisan y/o
algn conocimiento acerca conocen y supervisan que supervisan y/o auditan supervisan y/o auditan auditan peridicamente que
degobiernodeTI. se hayan establecido los peridicamente el peridicamente el los individuos o grupos
mecanismos adecuados funcionamiento de los desempeo de aquellos a dentro de la organizacin
Controlar

paraelgobiernode TI. mecanismos implementados quienes se ha asignado entiendan y aceptan sus


para el cumplimiento de responsabilidad en el responsabilidades con
As mismo, cuenta con gobiernode TI. gobiernodeTI(porejemplo, respecto tanto al suministro
procedimientos y/o formatos (Dichas supervisiones se aquellaspersonasmiembros como a la demanda de
que garanticen el encuentrandocumentadas) de los comits, jefes, tecnologadelainformacin.
mantenimiento de un coordinadores,etc.)
modelodegobiernodeTI

119
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
Los directores de TI, Los directores de TI LosdirectoresdeTIevalan LosdirectoresdeTIcuentan Los directores de TI
evalan y brindan soporte a estudian los avances de la y monitorean las actividades con un plan estratgico de garantizanquesusprocesos
lasnecesidadesactualesdel tecnologa de la informacin deTI,peronoaseguranque TI, el cual tiene en cuenta podran ser (en cualquier
negocio. y los procesos del negocio estas se mantengan (con el los planes y las polticas de momento), verificados,
con el fin de asegurarse de paso del tiempo) alineadas laorganizacin. auditados y/o evaluados tal
que TI brinda soporte a las con los objetivos de la como se describe en
necesidades futuras del organizacin. LosdirectoresdeTIevalan normas nacionales e
negocio. peridicamente que las internacionalespertinentes.
Evaluar

(Los resultados de dicha actividades de TI se


evaluacin se encuentran mantengan alineadas con
documentadas) los objetivos de la
organizacin.

(Los resultados de dicha


3.3Principio2:Estrategia

evaluacin y alineacin con


los objetivos de la
organizacin se encuentran
documentados)

Los usuarios conocen los Los usuarios de la La Organizacin fomenta y Los directores de TI tienen Los directores de TI
procesos de TI de la Organizacin estn estimula la presentacin de establecidos procedimientos fomentan y evalan que
Organizacin. autorizados para presentar propuestasdeinnovacinde y/o formatos para la estaspropuestaspermitan a
Dirigir

propuestas de innovacin TI presentacin y recepcin de la organizacin responder a


paraTI (Se tiene establecido un propuestasdeinnovacinen oportunidades, nuevos
procedimiento, formato TI. retos, mejorar los procesos
lineamiento, etc., que de la organizacin y/o estn
evidencie la forma como se alineadas con los objetivos
fomentadichaactividad) delnegocio.
La Organizacin cuenta con Todos los proyectos de la Los directores de TI Los directores deTInosolo Los directores de TI,
una metodologa para la organizacin (incluidos los conocen y supervisan el supervisan el progreso del supervisan el uso de TI
ejecucindeproyectos de TI) son monitoreados progreso de los proyectos avance de los proyectos de para asegurar que de sta,
Controlar

para supervisar el progreso de TI TI,sino quese aseguraque se obtienen los beneficios


delosmismas (Dicha supervisin se se estn cumpliendo los previstos y que continen
encuentra debidamente objetivos y beneficios alineados con los objetivos
documentada) planteados. delaorganizacin.

120
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
Cualquierproceso dentro de LosdirectoresdeTIevalan Los directores de TI son los Los directores de TI Se cuenta con un
la Organizacin puede diferentes opciones al encargados y responsables apruebanlamejorpropuesta procedimiento documentado
solicitar un requerimiento momento de adquirir adquirir tecnologa para la que de cumplimiento a los y/o formatos que evidencien
para la adquisicin organizacin requerimientos planteados, el cumplimiento del
Evaluar

tecnologa, pero no son los


tecnologa. adems que garantice el equilibriomencionado
nicos encargados de equilibrio adecuado entre
aprobarlapropuesta. beneficios, oportunidades,
costos y riesgos, tanto a
cortocomoalargoplazo.
3.4Principio3:Adquisicin

Los directores de TI Los directores de TI Los directores de TI Los directores de TI Los directores de TI
gestionan y mantienen los adquieren tecnologa de verifican que se incluya la verifican el cumplimiento de gestionan los acuerdos de
activos de TI (sistemas e forma correcta, clara y respectiva documentacin los acuerdos de nivel de nivel de servicio (tanto
infraestructura) transparente, teniendo en (instructivos,manuales,etc.) servicio(tantointernoscomo internos como externos) de
cuenta los requerimientos delatecnologaadquirida,a externos) modo que aseguran que
Dirigir

planteados la vez que aseguran queel estos soportan las


las tecnologas adquiridas necesidades del negocio.
cumplen con las (Se cuenta con un
capacidadesrequeridas. procedimiento documentado
y/o formatos que evidencien
el cumplimiento de los
acuerdos de nivel de
servicio)
La organizacin cuenta con Los directores de TI Se tienen algn tipo de Los directores de TI tienen Los directores de TI tienen
mecanismosparasupervisar supervisan(auditan) quelas procedimiento y/o formato contacto con los contacto y/o alianzas
Controlar

que las inversiones, en inversiones en TI, que permita evidenciar el proveedores de tecnologa estratgicas con los todos
trminos generales, estn proporcionan las resultado de la supervisin soloenocasionespuntuales los proveedores de
acordesconlasrequeridas. capacidades requeridas realizada en las inversiones tecnologa.
para las cuales fueron deTI
adquiridas.

121
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
LosdirectoresdeTIevalan Los directores de TI tienen LosdirectoresdeTIevalan Los directores de TI LosdirectoresdeTIevalan
que la tecnologa de la polticas dirigidas hacia la peridicamente los riesgos garantizanquelatecnologa conregularidad laeficaciay
informacin apoya los continuidad de la operacin que se originan en las de la informacin es el desempeo del sistema
procesos de negocio con la normal del negocio y del actividades de la tecnologa adecuada para brindar organizacin para el
habilidad y capacidad tratamiento de los riesgos de la informacin para la soporte a la organizacin, gobierno TI (Se cuenta con
requeridas. asociados con el uso de la continuidad de la operacin suministrando los servicios, un procedimiento
tecnologadelainformacin. delosnegocios. los acuerdos de niveles de documentado y/o formatos
Evaluar

servicio y la calidad del que evidencia el


Adems evalan los riesgos servicio que se requieren cumplimiento de esta
para la integridad de la parasatisfacerlosrequisitos evaluacin)
3.5Principio4:Desempeo

informacin y proteccin de actuales y futuros del


los activos de tecnologa de negocio, soportando las
lainformacin,incluyendo la metasdelnegocio.
propiedad intelectual y
memoria organizacional
asociadas.
La Organizacin cuenta con Los directores de TI tienen Los directores de TI La informacin que soporta LosdirectoresdeTicuentan
un mecanismo de asegurada la asignacin de garantizan que los recursos al negocio, se encuentra con mecanismos y/o
Dirigir

asignacinderecursospara losrecursossuficientespara que le son asignados, disponible cuando se procedimientos que


susdiferentesprocesos. elejerciciodesusfunciones satisfacen las necesidades requiere, con datos garantizan la calidad y
delaorganizacin. correctos y actualizados y disponibilidad de la
estn protegidos contra informacin
prdidaomaluso.
Los directores de TI LosdirectoresdeTIcuentan Se tiene establecido un Los directores de TI Los directores de TI dan
supervisanlavidatildela con mecanismos cronograma, el cual se poseen, controlan y prioridad a las inversiones
Controlar

tecnologa de la informacin documentadosquepermiten encuentra supervisado, de supervisan el presupuesto que impacten directamente
dasoportealnegocio. prever cuando la tecnologa renovacin de la tecnologa asignado por la losobjetivosdelnegocio.
delainformacin,se acerca de la informacin, de igual Organizacin para la
alfinaldesuvidatil forma se tiene asegurado inversindeTI
los recursos para dicha
renovacin.

122
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
Los directores de TI De igual manera, los La Organizacin cuenta con Los directores de TI LosdirectoresdeTIevalan
garantizan que le directores de TI garantizan polticas y prcticas claras, supervisan peridicamente peridicamente que las
tecnologa de la Informacin que la tecnologa de la las cuales se encuentran que se cumplen dichas tecnologas de la
Evaluar

cumple con todos Informacin de la documentadasydetallanlos prcticas y polticas informacin satisfacen las
lineamientos establecidos Organizacin cumple con requerimientoslegalesdeTI expresadas por la obligacionesreglamentarias,
porlaOrganizacin todas las leyes y los querigenalaOrganizacin. Organizacin. legislativas, de ley,
reglamentosobligatorios. contractuales, las polticas
internas, las normas y las
directricesprofesionales.
La Organizacin garantiza Los directores de TI Los directores de TI Los resultados de estas La organizacin cuenta con
3.6Principio5:Conformidad

que se cumple con las colaboran con la Alta supervisan peridicamente supervisionesseencuentran directrices claras que
obligaciones legales Gerencia a establecer que se cumpla con las documentadas y son regulan el comportamiento
pertinentes. mecanismos regulares y obligaciones internas y analizadas peridicamente de los usuarios con relacin
rutinarios para garantizar externas en el uso de la en busca de la mejora alasTIdelaOrganizacin.
Dirigir

que el uso de la tecnologa tecnologadelainformacin. continua.


de la informacin cumple
con las obligaciones
pertinentes (reglamentarias,
legislativas, de ley,
contractuales), las normas y
lasdirectrices.
Los directores de TI Dichas auditorias se Las auditorias incluyen la Tambin se incluye la Las auditorias tambin
supervisan la conformidad y encuentran debidamente supervisindelosactivosde verificacindelcumplimiento supervisan las actividades
el cumplimiento de las programadas, son TI y los datos (informacin) de todas las obligaciones tendientes a la preservacin
obligaciones de TI a travs oportunas, exhaustivas y delaOrganizacin. legales pertinentes y las delainformacinprivadade
Controlar

de prcticas adecuadas de adecuadas y evalan el suscritas con clientes y laOrganizacin


auditora. grado de satisfaccin de las proveedores
tecnologas de la
informacin con los
objetivos, polticas y/o
directrices de la
Organizacin

123
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012

NiveldeMadurez Escriba Escriba


Apartado sunivel sunivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 actual deseado
Los usuarios de la Los directores de TI ayudan Los directores de TI tienen La Organizacin conoce Las polticas, prcticas y
Organizacin tienen un aquelosusuariosentiendan documentadas las acerca del comportamiento decisionesconrespectoaTI
conocimiento bsico de las y aprovechen la tecnologa interacciones (relaciones) humano y sabe que esto demuestran respeto por el
tecnologas que tienen que tienen disponible, de existentesentrelosusuarios incluye: comportamientohumano.
disponibles modo que estos aumenten y las tecnologas de la La cultura, las necesidades,
sudesempeopersonal y el informacin disponibles en y las aspiraciones de los
de los sistemas de laOrganizacin. usuarios, bien sea como
Evaluar

informacin. individuosocomogrupos.

Adems,losdirectoresdeTI
3.7Principio6:ComportamientosHumanos

son conscientes (y lo
documentan como un
riesgo) que estos
comportamientos humanos
pueden afectar el
rendimiento las tecnologas
delainformacin
Los directores de TI dirigen LosdirectoresdeTIcuentan La Organizacin cuenta con Todos los reportes acerca Los directores de TI
de tal manera que las con mecanismos que polticas y/o procedimientos de los riesgos, analizan peridicamente
actividades de TI sean permiten que cualquier que permiten escalar los oportunidades, problemas y todos los reportes
consistentes con el persona en cualquier riegos reportados hasta las preocupaciones generados en busca de
Dirigir

comportamiento humano momento puedaidentificar y personas correspondientes relacionados con las mejoras para la
identificado. reportar riesgos, a cargo de la toma de tecnologas de la Organizacin
oportunidades, problemas y decisiones. informacin, se encuentran
preocupaciones debidamentedocumentados
relacionados con las
tecnologas de la
informacin
La Organizacin supervisa La Organizacin analiza los Los directores de TI La Organizacin supervisa Los directores de TI
peridicamente el nivel de resultados de la supervisin supervisan peridicamente peridicamente que las supervisan las prcticas
satisfaccin del de los comportamientos cmo los comportamientos polticas, prcticas y laborales de los usuarios,
Controlar

comportamiento humano. humanos y brinda la humanos afectan el decisiones de TI con el fin de asegurar que
(Por mediode encuestas de atencin adecuada que se rendimiento de las demuestren respeto por el sean consistentes del uso
climalaboral,porejemplo). requiera para mejorar nivel tecnologas de la comportamientohumano adecuado de la tecnologa
desatisfaccin. informacin. deinformacin.

124
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012

ANEXO2
GuaparaeldiligenciamientodelaEncuesta
AutoevaluacindeniveldemadurezdeGobiernodeTI

Laencuestaesunaherramientadediagnsticocuyoobjetivoesdeterminarelestadodemadurez
de la implementacin de Gobierno de TI en los Bancos de Colombia, con el fin de generar un
modelo de implementacin acorde a las necesidades de las organizaciones que permita una
adecuadaimplementacindelmismo.Acontinuacinsedetallaunabreveexplicacindelaspartes
queconformanlaencuesta:

Principio1Responsabilidad:Esteapartadorefiereaquelosindividuosogruposdentrodela
organizacinentiendenyaceptansusresponsabilidadesconrespectotantoalsuministrocomoala
demandadeTecnologadelainformacin.Aquellosconresponsabilidaddelasaccionestambin
tienenlaautoridadparaejecutartalesacciones.
Principio2Estrategia:Conesteapartadolaestrategiadenegociosdelaorganizacintomaen
consideracin las capacidades actuales y futuras de la tecnologa de la informacin los planes
estratgicosparalaTecnologadelaInformacinsatisfacenlasnecesidadesactualesycontinuas
delaestrategiadenegociosdelaorganizacin.
Principio3Adquisicin:EnesteapartadolasadquisicionesdeTecnologadelainformacinse
hacen por razones vlidas, con base en el anlisis adecuado y continuo, con una toma de
decisiones clara y transparente. Existe el equilibrio adecuado entre beneficios, oportunidades,
costosyriesgos,tantoacortocomoalargoplazo.
Principio 4 Desempeo: En este apartado la tecnologa de la informacin es adecuada para
brindar soporte a la organizacin, suministrando los servicios, niveles de servicio y calidad del
servicioqueserequierenparasatisfacerlosrequisitosactualesyfuturosdelnegocio.
Principio 5 Conformidad: En este apartado la tecnologa de la Informacin cumple con todas
las leyes y los reglamentos obligatorios. Las polticas y las prcticas estn definidas,
implementadasysehacencumplir.
Principio6ComportamientoHumano:Conesteapartadolaspolticas,prcticasydecisiones
con respecto a la Tecnologa de la Informacin demuestran respeto por el comportamiento
humano,incluyendolasnecesidadesactualesyevolutivasdetodaslaspersonasenelproceso.

Adems, por cada principio se encuentran 3 tareas que permite a los directores controlar la
TecnologadelaInformacin:

a. Evaluarelusoactualyfuturodelatecnologadelainformacin

125
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012

b. Dirigirlapreparacineimplantacindelosplanesylaspolticasparagarantizarqueeluso
delaTIsatisfacelosobjetivosdelnegocio.
c. Controlar laconformidadconlaspolticasyeldesempeofrentealosplanes.

A continuacin se detalla el glosario que debe tenerse en cuenta al momento de realizar la


encuesta:

GOBIERNO CORPORATIVO: Es el sistema mediante el cual se dirigen y controlan las


organizaciones.

GOBIERNO CORPORATIVO DE TI: Es el sistema mediante el cual se dirige y controla el uso


actual y futuro de la tecnologa de la informacin. El Gobierno Corporativo de TI involucra la
evaluacin y direccin del uso de dicha tecnologa para dar soporte a la organizacin y la
supervisindeesteusoparaalcanzarlosplanes.steincluyelaestrategiaypolticasparautilizar
latecnologadelainformacindentrodeunaorganizacin.

DIRECTOR:Miembrodelorganismodegobiernomsaltodelaorganizacin.Seincluyendueos,
miembrosdelajunta,socios,ejecutivosdealtonivelosimilaresyfuncionariosautorizadosporla
legislacinolosreglamentos.

TECNOLOGA DE LA INFORMACIN: Son aquellos recursos que se requieren para adquirir


procesar, almacenar y divulgar informacin. Este trmino tambin incluye Tecnologa de la
Comunicacin (TC) y el trmino combinado Tecnologa de la Informacin y la Comunicacin
(TIC).

GESTIN: Es el sistema de controles y procesos que se requieren para lograr los objetivos
estratgicosestablecidosporelorganismodegobiernodeunaorganizacin.Lagestinestsujeta
alasdirectricesylasupervisindelapolticaestablecidasatravsdelgobiernocorporativo.

POLITICA: Son las declaraciones claras medibles de la orientacin y comportamiento preferidos


paracondicionarlasdecisionestomadasdentrodeunaorganizacin.

RECURSOS: Son las personas, procedimientos, software, informacin, equipo, insumos,


infraestructura,capitalyfondosdeoperacin,ascomoeltiempo.

RIESGO:Eslacombinacindelaprobabilidaddeuneventoysuconsecuencia.

126
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012

GESTIN DE RIESGOS: Son aquellas actividades coordinadas para dirigir y controlar una
organizacinrespectoalosriesgos.

ESTRATEGA: Plan global de desarrollo de una organizacin que describe el uso eficaz de los
recursos que dan soporte a las actividades futuras de la organizacin. La estrategia implica el
establecimientodeobjetivosylapropuestadeiniciativasparalaaccin.

IMPORTANTE
Tengaencuentaquelaencuestaesunmecanismoparaidentificarelniveldemadurezde
GobiernodeTIensuOrganizacin,porlotantorecomendamosqueseamuyobjetivocon
susrespuestasconelfindeobtenerinformacinrelevanteyreal.
RecuerdequeparaquesuOrganizacinseencuentreenniveldemadurezdebecumplir
totalmenteconlasprcticasdelosnivelesinmediatamenteanteriores.
EstablezcaelniveldeseadoalqueesperarallegarsuOrganizacinporcadaunodelos
principiosdelaencuesta.

127
ANEXO3
FormatodeAnlisisdeResultados

NiveldemadurezdeGobiernodeTIenelsectorBancarioNivelActual
Principios Calificacin Total
Evaluar 0
Principio1Responsabilidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio2Estrategia Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio3Adquisicin Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio4Desempeo Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio5Conformidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio6ComportamientoHumano Dirigir 0 0,0
Controlar 0

NiveldemadurezdeGobiernodeTIenelsectorBancarioNivelDeseado
Principios Calificacin PromedioTotal
Evaluar 0
Principio1Responsabilidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio2Estrategia Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio3Adquisicin Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio4Desempeo Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio5Conformidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio6ComportamientoHumano Dirigir 0 0,0
Controlar 0
NiveldemadurezdeGobiernodeTIenelsectorBancario

PRINCIPIOS NIVELACTUAL NIVELDESEADO NIVELIDEAL

Principio1Responsabilidad 0 0 5
Principio2Estrategia 0 0 5
Principio3Adquisicin 0 0 5
Principio4Desempeo 0 0 5
Principio5Conformidad 0 0 5
Principio6ComportamientoHumano 0 0 5

Principio1
Responsabilidad
5

4 NIVEL
Principio6 ACTUAL
3 Principio2
Comportamient
Estrategia
oHumano 2

1
NIVEL
0 DESEADO

Principio5 Principio3 NIVELIDEAL


Conformidad Adquisicin

Principio4
Desempeo
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO1Responsabilidad
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5
PROMEDIO
4 NIVEL
3 ACTUAL

2
1 PROMEDIO
NIVEL
0 DESEADO

Controlar Dirigir NIVELIDEAL


NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO2Estrategia
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5

4 PROMEDIO
NIVEL
3 ACTUAL
2

1 PROMEDIO
NIVEL
0 DESEADO

NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO3Adquisicin
PROMEDIO PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
NIVELACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5
4 PROMEDIO
NIVEL
3 ACTUAL

2
1 PROMEDIO
NIVEL
0 DESEADO

NIVEL
Controlar Dirigir IDEAL
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO4Desempeo
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO

Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5

4 PROMEDIO
NIVEL
3 ACTUAL
2

1 PROMEDIO
NIVEL
0 DESEADO

NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO5Conformidad
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5
PROMEDIO
4
NIVEL
3 ACTUAL

1 PROMEDIO
NIVEL
0 DESEADO

NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO6ComportamientoHumano
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5

Evaluar
5

4 PROMEDIO
NIVEL
3 ACTUAL
2

1 PROMEDIO
NIVEL
0 DESEADO

NIVELIDEAL
Controlar Dirigir
ANEXO4

EjemplodeimplementacindeunrequerimientodeTIdelmodelo
propuesto

Fase1:Obtenerelcompromisodelaaltadireccin.

Documentoconelapoyoycompromiso Una vez presentado el proyecto a la


de la alta direccin en la alta direccin, se debe crear un
implementacindelproyecto documento, en el cual se exprese
claramente el apoyo y compromiso por
parte de esta al proyecto. Debe ser un
documento claro que no de espacio a
malasinterpretaciones

Documento con el plan de Utilizando cualquier metodologa de


implementacin, los roles y implementacin de proyectos, se crea
responsables de cada actividad y el undocumentoenelcualseidentifiquen
cronograma de implementacin del claramentelosobjetivosaalcanzar,los
proyecto roles y responsables para el proyecto,
donde se identifiquen claramente sus
actividades y responsabilidades
ademssegenerauncronogramapara
laimplementacindelproyecto

Fase2:Determinarelestadoactual
Fase3Establecerelestadofuturodeseado.

Una vez diligenciada la Autoevaluacin de nivel de madurez de Gobierno de TI


(anexo1)setrasladanlosresultadosalFormatodeAnlisisdeResultados(anexo
3).

136
NiveldeMadurez Escribasu
Escribasu
nivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 nivelactual
deseado
En general, los individuos o Los directores de TI establecer Conrespectoalsuministroyala Los directores de TI tienen Los directores de TI, evalan la
gruposdentrodelaorganizacin reglas y responsabilidades con demanda de la informacin, los alineadas las reglas y competencia (capacidad,
no tienen claras sus relacinalusoactualyfuturode usuarios dentro de la responsabilidades con los autoridad, experiencia, etc.) de
responsabilidades con respecto la tecnologa de la informacin organizacin, entienden y objetivos actuales y futuros del aquellosaquienesselesasigna
alsuministro ya lademandade delaorganizacin. aceptan las reglas y negocio. la responsabilidad de tomar
lainformacin. responsabilidadesasignadaspor decisionesconrespectoaTI.
TI. Los niveles de entendimiento y (Los resultados de estas
aceptacin por parte de los evaluaciones se encuentran
usuarios,conrespectoalusode documentados)
la informacin, se encuentran
documentados

NivelActual
NivelDeseado

NiveldemadurezdeGobiernodeTIenelsectorBancario NivelActual

Principios Calificacin Total


Evaluar 4
Principio1 Responsabilidad Dirigir 3 3,3
Supervisar 3
Evaluar 3
Principio2 Estrategia Dirigir 3 2,7
Supervisar 2
Evaluar 4
Principio3 Adquisicin Dirigir 3 3,3
Supervisar 3
Evaluar 3
Principio4 Desempeo Dirigir 4 3,0
Supervisar 2
Evaluar 3
Principio5 Conformidad Dirigir 4 3,3
Supervisar 3
Evaluar 2
Principio6 ComportamientoHumano Dirigir 3 2,3
Supervisar 2

137
NiveldemadurezdeGobiernodeTIenelsectorBancario NivelDeseado
Promedio
Principios Calificacin
Total
Evaluar 5
Principio1 Responsabilidad Dirigir 4 4,3
Supervisar 4
Evaluar 4
Principio2 Estrategia Dirigir 4 3,7
Supervisar 3
Evaluar 5
Principio3 Adquisicin Dirigir 4 4,3
Supervisar 4
Evaluar 4
Principio4 Desempeo Dirigir 5 4,0
Supervisar 3
Evaluar 4
Principio5 Conformidad Dirigir 5 4,3
Supervisar 4
Evaluar 3
Principio6 ComportamientoHumano Dirigir 4 3,3
Supervisar 3

138
Principio1
Responsabilida
d
5
4
PROMEDI
Principio6
3 Principio2 ONIVEL
Comportamien ACTUAL
Estrategia
toHumano 2
1 PROMEDI
ONIVEL
0
DESEADO

NIVEL
Principio5 Principio3 IDEAL
Comformidad Adquisicin

Principio4
Desempeo

NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO2 Estrategia
PROMEDIO PROMEDIO
PRINCIPIOS NIVELIDEAL
NIVELACTUAL NIVELDESEADO
Evaluar 3 4 5
Dirigir 3 4 5
Supervisar 2 3 5

139
Evaluar
5
4 PROMEDIO
3 NIVEL
2 ACTUAL
1 PROMEDIO
0 NIVEL
DESEADO
NIVEL
Supervisar Dirigir IDEAL

Fase4:Identificarlasbrechas

Documento con las brechas existentes Paraesteejemplo,lanicabrechaque


quesedeseancerrar sedeseacerrareslasiguiente:

Principio2Estrategia

Nivelactual:3
Los directores de TI evalan y monitorean las
actividades de TI, pero no aseguran que estas
se mantengan (con el paso del tiempo)
alineadasconlosobjetivosdelaorganizacin.

NivelDeseado:4

Los directores de TI cuentan con un plan


estratgico de TI, el cual tiene en cuenta los
planesylaspolticasdelaorganizacin.

Los directores de TI evalan peridicamente


que las actividades de TI se mantengan
alineadasconlosobjetivosdelaorganizacin.

Documento con las acciones Se genera un documento con las


necesarias que ayuden a cerrar las accionesqueserequieranyquesirvan
brechasexistentes deayudaparacerrarestabrecha:
Una ventaja de una planeacin estratgica de

140
TI es que ayuda a gestionar y dirigir todos los
recursosdeTI,portalmotivoseraidealcontar
conunpresupuestoclaroparaTI

Otra ventaja de la planeacin estratgica es


que debe estar alineada con la estrategia y
prioridades del negocio, por ende se hace
necesario que TI cuente con las estrategias y
prioridadesactualesdelnegocio

Ademsunplanestratgicoayudaaevaluarel
desempeoactual,identificalacapacidadylos
requerimientos de recursos humanos, por tal
motivo se debe contar con una evaluacin
actualizada del desempeo, la capacidad y los
recursoshumanosdisponibles

Fase5:Definirelplandeimplementacin

Documentosconlasbrechasquesern Pormotivosdelejemplolanicabrecha
cerradasycualesquedarnplanteadas quesercerradaesladecontarconun
paraunfuturo PlanEstratgicodeTI.
Documento con las actividades de Las actividades de control necesarias
control necesarias para cerrar las para cerrar esta brecha son tomadas
brechas del modelo de Gobierno de TI para
entidadesbancariasenColombia,enel
captulo 7.2 Estrategia, 7.2.1 RQ01
Planestratgicodetecnologa:

Evaluareldesempeodelosplanesexistentes
y de los sistemas de informacin en trminos
de su contribucin a los objetivos de negocio,
su funcionalidad, su estabilidad, su
complejidad, sus costos, sus fortalezas y
debilidades.

Crear un plan estratgico que defina, en


cooperacin con los interesados relevantes,
cmoTIcontribuiralosobjetivosestratgicos
de la empresa (metas) as como los costos y
riesgos relacionados. Incluye cmo TI dar
soportealosprogramasdeinversinfacilitados
porTIyalaentregadelosserviciosoperativos.
Define cmo se cumplirn y medirn los
objetivosyrecibirnunaautorizacinformalde
losinteresados.

El plan estratgico de TI debe incluir el


presupuesto de la inversin / operativo, las
fuentes de financiamiento, la estrategia de

141
obtencin, la estrategia de adquisicin, y los
requerimientos legales y regulatorios. El plan
estratgico debe ser lo suficientemente
detallado para permitir la definicin de planes
tcticosdeTI.

Administrar de forma activa, junto con el


negocio,elportafoliodeprogramasdeinversin
deTIrequeridoparalograrobjetivosdenegocio
estratgicos especficos por medio de la
identificacin,definicin,evaluacin,asignacin
de prioridades, seleccin, inicio, administracin
ycontroldelosprogramas.

Estoincluyeclarificarlosresultadosdenegocio
deseados, garantizar que los objetivos de los
programas den soporte al logro de los
resultados, entender el alcance completo del
esfuerzo requerido para lograr los resultados,
definir una rendicin de cuentas clara con
medidas de soporte, definir proyectos dentro
del programa, asignar recursos y
financiamiento, delegar autoridad, ycomisionar
los proyectos requeridos almomento delanzar
elprograma.
Documento con los proyectos a De cada de las actividades de control
implementar, con sus responsables, detalladas en el paso anterior se debe
metas,recursosycronograma,adems generar uno o varios proyectos los
del orden de implementacin de los cualesdebencontarconsurespectivos
proyectos responsables, metas recursos y
cronograma. Adems se debe
identificar en qu orden sern
implementados

Fase6:Desarrollarelplandeimplementacin

Listado con los recursos necesarios Para cada proyecto se debe gestionar
para la implementacin de cada losrecursosnecesariosparagarantizar
proyecto la implementacin de cada proyecto.
Dichos recursos deben quedar
plasmadosenundocumentoloscuales
deben contar con la aprobacin de la
altagerencia

Listado con las pruebas realizadas De cada una de las actividades se les
(ejecutadas y aceptadas) a las debe realizar pruebas (o indicadores)
actividadesimplementadas para determinar que las actividades de
control (proyectos) estn dando los

142
resultadosesperados:

El porcentaje de objetivos de TI en el plan


estratgico de TI, que dan soporte al plan
estratgicodelnegocio

ElporcentajedeproyectosTIenelportafoliode
proyectosquesepuedenrastrearhaciaelplan
tcticodeTI

Cierre formal del proyecto, con la A cada proyecto terminado se le debe


respectiva aprobacin del responsable realizar un cierre formal, el cual debe
delproyectoyelresponsabledeTIdel estar en un documento y debe contar
banco con la firmas de aprobacin del
responsable del proyecto y el
responsabledeTIdelbanco

Fase7:Monitorearycontrolareldesempeodelaimplementacin

Documento con los mecanismos Para verificar si en el tiempo los


creados para validar los proyectos proyectos ejecutados estn dando los
implementados y los responsables de resultados esperados, se implementan
llevaracaboelmonitoreo mecanismos de control que ayuden a
confirmarlosresultadosesperados.

Unodeestosmecanismospodraserel
de realizar de nuevo la autoevaluacin
de nivel de madurez de gobierno deTI
y validar si con los proyectos
implementados se alcanz el nivel
deseado.
Documento con el resultado del El resultado de las verificaciones del
monitoreoefectuado paso anterior se deben documentar y
presentar al responsable de TI y a la
alta gerencia para que se tomen las
medidasqueseconsiderennecesarias.

143
ANEXO5

RESUMENEJECUTIVO

ModeloyguaparalaimplementacindeGobiernodeTIenEntidades
BancariasdeColombia

PROYECTODEGRADODEMAESTRA

Ing.MaraHelenaCorreaCorrea
Ing.BreynerAlexanderParraRojas

Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001

FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012

145
RESUMEN

Desde la fundacin delprimer banco privadoen Colombia en 1870 (el Banco de


Bogot)1, el sector bancario colombiano ha tenido un crecimiento importante, no
solo financieramente, sino desde el punto de vista tecnolgico. En la actualidad,
estesectorestregidopordiferentesleyesydecretos.Elprincipal,eldecreto663
de 19932, por medio del cual reglamenta y define que son Establecimientos
Bancarios y regula el tipo de operaciones autorizadas adems marca una
diferenciaentreentidadesbancariasyotrostiposdeentidadesy/ocorporaciones
financieras.Deigualforma,eldecreto4327de20053 facultaalaSuperintendencia
Financieracomoentedecontroldelsectorbancario,conelfindehacerpreservar
la estabilidad, seguridad y confianza, apoyado en el cumplimiento de la ley y
sancionandoaaquellasentidadesqueincurranenfaltas.

Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo, y


hacen grandes esfuerzos einversiones en tecnologa conel objetivo de ser ms
eficientesymsseguros,sinembargo,elproblemaesquehastaahora,noexista
un modelo de Gobierno de TI adaptado a las necesidades del sector bancario
colombiano.

A nivel Latinoamrica, el Banco Supervielle S. A. uno de los principales Bancos


privadosdelaRepublicaArgentinalanzenelao2009unproyectodenominado
"Gobierno de TI", donde la Gerencia General del Banco era el patrocinador
"Sponsor"ylaGerenciaCoordinadoradeTIysusGerentesloslderesdelmismo4
Sin embargo, no es pertinente aplicar exactamente modelos de gobierno de TI
bancariodeotrospasesdadaslasdiferenciasculturales,operativas,econmicas
ydelegislacinexistentesconrespectoaColombia.

Por tal motivo, el propsito del presente documento es proponer un modelo de


Gobierno de TI, con su respectiva gua para su implementacin en entidades
bancarias de Colombia, que satisfaga las necesidades legales y corporativas de
estesector.

1
Orgenes de la banca comercial en Colombia. Banco de la Republica.
http://www.banrepcultural.org/blaavirtual/revistas/credencial/marzo2001/135origenes.htm
2
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
3
Decreto 4327 de 2005. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/dec432705.doc
4
Caso de Estudio: Banco Supervielle S.A., Argentina. ISACA.
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBanco
SupervielleSAArgentina.aspx

146
1. INTRODUCCIN

1.1 ContextodelTrabajo

1.1.1 EstablecimientosBancarios

Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.

Losestablecimientosbancariossedividenendostipos:

Banco comercial: Las palabras banco comercial significan un establecimiento


que hace el negocio de recibir fondos de otros en depsito general y de usar
stos, junto con su propio capital, para prestarlo y comprar o descontar pagars,
girosoletrasdecambio.

Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin5.

1.1.2 EntidadesdeSupervisin

Es importante saber que todas las entidades que hacen parte del sistema
financieroestnsujetasalaregulacinysupervisinporpartedelasautoridades
deintervencin:elCongresodelaRepblica,elMinisteriodeHaciendayCrdito
PblicoylaSuperintendenciaFinanciera.Asmismo,estassonlasencargadasde
crear los marcos normativos y de velar porque los recursos de las personas,
empresas y el gobierno se encuentren seguros en manos de las diferentes
instituciones.Adems,laSuperintendenciaFinancieratambintienefuncionesde
inspeccin,vigilanciaycontrolsobrelasentidades6.

1.1.3 GobiernodeTI

Gobierno de TI (Tecnologas de Informacin) es la estructura de relaciones y


procesos para dirigir y controlar la empresa hacia el logro de sus objetivos,

5
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
6
Informacin al consumidor financiero. ASOBANCARIA.
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y
_banca/

147
agregandovalor,altiempoqueseobtieneunbalanceentreelriesgoyelretorno
sobre inversiones en TI. El gobierno de TI integra e institucionaliza las buenas
prcticasparagarantizarqueTIenlaempresasoportalosobjetivosdelnegocio.
Facilita que la empresa aproveche al mximo su informacin, maximiza los
beneficios, capitaliza las oportunidades y gana ventajas competitivas. Muchas
organizaciones cuentan con diferentes marcos de Gestin deTI (CobiT, Itil, etc.)
sin embargo, cuando estos marcos de trabajo y estndares son utilizados
colectivamente, se vuelven muy confusos y obstruyen el propsito principal del
GobiernodeTI7

1.2 PlanteamientodelProblema

Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo y


hacen grandes esfuerzos einversiones en tecnologa conel objetivo de ser ms
eficientesymsseguroselproblemaesquenoexistaunmodelodeGobiernode
TIadaptadoalasnecesidadesdelsectorbancariocolombiano.

1.3 Objetivos

1.3.1 ObjetivoGeneral.

Proponer un modelo de Gobierno de TI y una gua para su implementacin en


entidades bancarias de Colombia, que satisfaga las necesidades legales y
corporativasdeestesector,teniendoencuentaquenoseratilaplicaralpiedela
letra modelos de Gobierno de otros sectores colombianos, ya que la
infraestructura, tecnologa, modelo de negocio y sobre todo, legislacin, es
diferente.Tampocoespertinenteaplicarexactamente modelosdegobiernodeTI
bancariodeotrospasesdadaslasdiferenciasculturales,operativas,econmicas
ydelegislacinexistentesconrespectoaColombia.

1.3.2 ObjetivosEspecficos:

1. Realizar un anlisis del contexto del sector bancario en Colombia,


incluyendolasprincipalesdisposicioneslegalesquelosrigen.

7
Artculo: Gobierno de TI Estado del arte. Ingrid Luca Muoz Perin MsC, Gonzalo Ulloa
Villegas. Revista S&T, Universidad Icesi.
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf

148
2. Realizar un anlisis de los marcos para Gobierno de TI existentes y
determinar cules son los ms apropiados para la creacin del modelo a
implementar.

3. CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI

4. Desarrollar un modelo de Gobierno de TI, basado en los marcos


seleccionados.

5. Crear una gua de implementacin para el modelo de Gobierno de TI


desarrollado.

6. Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
rbricaquepermitasuevaluacin.

2. MODELODEGOBIERNODETIPROPUESTO

2.1 ContextodelModelo

Las entidades bancarias de Colombia se encuentran regidas por la Circular 014


del 2009 la cual define las Normas de Control Interno para la Gestin de la
Tecnologa.

En dicha circular se establece que las entidades bancarias debern disear un


SistemadeControlInterno(SCI)paralagestindelatecnologa,querespondaa
las polticas, necesidades y expectativas de la entidad y a las exigencias
normativas, con el propsito de contribuir al logro de los objetivos
institucionales8

El SIC obliga a los responsables de TI de las Entidades Bancarias a contar con


estndares, polticas, directrices y procedimientos debidamente aprobados,
orientadosacubrir19requerimientos:

1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.

8
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc

149
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.

Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.

En razn de lo anterior, dichos requerimientos se convirtieron en los


requerimientosdeTIclavesparaelmodelodeGobiernodeTIparalasentidades
bancarias.

Para mayor facilidad, se identificaron los 19 requerimientos de TI seleccionados


conuncdigo,talcomosemuestraenlaTabla1.

Cdigo RequerimientosdeTI
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
RQ12 Administracin, desempeo, capacidad y disponibilidad de la

150
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindeDocumentacin.

Tabla1:Identificacindelos19requerimientosdeTIseleccionados

2.2 SeleccindelmarcodereferenciadelmodelodeGobiernodeTI.

ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.

Despus de realizar un anlisis de los diferentes marcos de Gobierno de TI, se


escogielISO38500:2008,debidoaqueesunaNormaInternacionalqueprovee
un estndar para que la direccin de las organizaciones evalen, dirijan y
controlenelusodelastecnologasdelainformacin.

Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMI,ISO27001,ISO27002eISO9001.

2.3 Modelo de Gobierno de TI para entidades bancarias de Colombia


propuesto.

Despus de determinarlos requerimientos de TI, el marco base ylos marcos de


apoyo, se procedi a definir el modelo, el cual consisti en agrupar los 19
requerimientos de TI seleccionados en los 6 principios de la Norma ISO
38500:2008.

Posterior a esto, se determin cuales actividades de los marcos de apoyo


ayudaran a cumplir con los objetivos de los 6 principios de ISO 38500:2008 y
finalmentesedeterminunaseriedeindicadoresdegestinquepermitanevaluar
elcumplimientodelasmetaspropuestas.(verfigura1)

151
El modelo de Gobierno de TI para las Entidades Bancarias planteado en este
proyecto,respondealasactividadesprincipalesdefinidasporlanormaISO38500
de Evaluar la utilizacin actual y futura de las TI. Dirigir la preparacin e
implementacindelosplanesypolticasqueasegurenquelautilizacindelasTI
demodoquealcancenlosobjetivosinstitucionalesyControlareldesempeode
latecnologadelainformacin,atravsdesistemasdemedicinadecuados.

MODELODEGOBIERNODETI

Evaluar Dirigir Controlar

Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano

RQ19,RQ16 RQ01,RQ05 RQ02,RQ03, RQ06,RQ10, RQ04 RQ15


RQ07,RQ08, RQ11,RQ12,
RQ09, RQ13,RQ14,
RQ17,RQ18,

ActividadesdeControl

IndicadoresdeGestin

Figura1:ModelodeGobiernodeTIparaentidadesbancariasdeColombiaPropuesto

2.4 EstructuradelModelo

ElmodelodeGobiernodeTIparaentidadesbancariasseencuentraestructurado
delasiguientemanera:

6 principios, 19 Requerimientos de TI, 137 Actividades de control y 56


Indicadoresdegestin

152
Actividades
Principios Requerimientos deTI Indicadores
deControl
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 Documentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
RQ03 Relacionesconproveedores. 4 1
Adquisicin
RQ07 Adquisicindetecnologa. 4 3
Adquisicin y mantenimiento de software de
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin, desempeo, capacidad y
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimiento de requerimientos legales para
Cumplimiento RQ04 derechos de autor, privacidad y comercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6

Tabla2:EstructuradelmodelodeGobiernodeTIpropuesto

2.5 AutoevaluacindeniveldemadurezdeGobiernodeTI.

Si bien es cierto el sector bancario cuenta con diferentes decretos, normas y


circularescomolasdefinidasanteriormente,lascualesnosoloregulanlaactividad
bancariacomotal,sinoqueademsalgunasdeellassonexclusivasparacontrolar
y garantizar la gestin de la tecnologa (circular externa 014 de 2009), ello no
implicaquenecesariamentetenganestablecidounGobiernodeTI.Portalmotivo,
unaautoevaluacinesunbuenpuntodepartidaparaquelosresponsablesdeTI
delasentidadesbancariasdeterminenunestadoactualyunodeseadocontraun
estadoideal,dentrodelaescalapropuesta.

153
ParacrearlaestructuradelaautoevaluacindelniveldemadurezdeGobiernode
TIenentidadesbancarias,seuslaNormaISO38500comobaseyseapoyen
losconceptosdeniveldemadurezCobiT,CMMIeISO9004.

2.5.1 AutoevaluacindeGobiernodeTIpropuesto

ElformatodeautoevaluacintomacomobaselanormaISO38500ylosprincipios
delosmodelosdemadurezdeCobiT,CMMIeISO9004(verfigura3)

2.5.2 RealizacindelaAutoevaluacin

ParalarealizacindelaautoevaluacindeGobiernodeTIsesiguieron3pasos:

En el primer paso se defini como base la norma ISO 38500 y se dividieron el


cumplimientodesus6principiosylas3tareasprincipalesennivelesdemadurez,
utilizandocomopautalosmodelosdenivelesdemadurezdeCobiT,CMMIeISO
9004(verfigura6).

PosteriormenteseutilizelformatodeautoevaluacindelanormaISO9004para
presentar la propuesta y permitir que los encargados de TI que las diligencien
definansunivelactualyniveldeseado.

Por ltimo, se adicion ala autoevaluacinuna gua para su diligenciamiento,la


cualincluyetrminosypautasrelevantesparalarealizacindelaautoevaluacin.

Principiosde Tareas Nivelesde Formatopara


Iso38500 Prinicipales Madurez Autoevaluaci
n
Responsabilidad Evaluar CobiT ISO9004
Estrategia Dirigir CMMI
Adquisicin Supervisar ISO9004
Desempeo
Conformidad
Comportamiento
Humano

Figura2:EsquemadelaAutoevaluacinpropuesta

154
Porcadaunodelos6principiosqueestablecelanormaISO38500,seplantearon
actividades divididas en 3 bloques que corresponden a las tareas principales
(Evaluar,DirigirySupervisar)(vertabla3)

Cadaactividadcuentacon5nivelesdemadurez(preguntas).Elprimernivelesel
cumplimientobsicodeunaactividaddelanorma.Paraavanzaralnivel2sedebe
cumplirconel100%dela(s)actividadesdelnivel1msla(s)actividaddelnivel2.
Para alcanzar el nivel 3 de madurez se debe cumplir con las actividades de los
niveles1,2y3yassucesivamente.

NIVELESDEMADUREZ
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
PRINCIPIOS
Evaluar
DEISO
38500 Dirigir

Supervisar

Tabla3:FormatodelaAutoevaluacinpropuesta

2.6 GuadeImplementacindelModelodeGobiernodeTIpropuesto

Con elfin de proporcionar una gua quefacilitelaimplementacindelModelo de


Gobierno de TI en las entidades bancarias de Colombia, se definieron dos
actividadesespecficas:

1. Sedocumentunaguadeimplementacindelmodelo
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto

Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
porelITGovernanceInstitute,ITgovernanceimplementation9.queconstadesiete
fases:

Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin

9
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute

155
Fase7:Monitorearycontrolareldesempeodelaimplementacin

2.7 ResumendeResultadosObtenidos

Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:

Identificacin de los 19 requerimientos de TI claves para el modelo de


GobiernodeTI

ModelodeGobiernodeTIparaentidadesbancariasdeColombia

UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008

UnaGuadeImplementacinparamodelopropuesto

156
Validacin JuiciodeExpertos

CordialSaludo,

ElobjetivodelapresenteencuestaesvalidarlapropuestadeGobiernodeTIparaentidades
bancariasdeColombia,apartirdelresumenejecutivoquelehasidoenviado.

Sideseaaclararalgnpuntoenespecialdelresumeny/oestaencuesta,porfavornodudeen
hacrnoslasaberalassiguientesdireccionesdecorreo:

breyner2002@hotmail.com
maryh15@gmail.com

Muchasgraciasporsuvaliosacolaboracin

Dell istadode19requerimi entos deTIqueordenal aci rcul arex terna014de2009,porfavor


selecci onel os queustedconsideraque debenhacerpartedeunmodelodegobiernodeTI

Planestratgicodetecnologa.
Infraestructuradetecnologa.
Relacionesconproveedores.
Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidadycomercio
electrnico.
Administracindeproyectosdesistemas.
Administracindelacalidad.
Adquisicindetecnologa.
Adquisicinymantenimientodesoftwaredeaplicacin.
Instalacinyacreditacindesistemas.
Administracindecambios.
Administracindeserviciosconterceros.
Administracin,desempeo,capacidadydisponibilidaddelainfraestructuratecnolgica.
Continuidaddelnegocio.
Seguridaddelossistemas.
Educacinyentrenamientodeusuarios.
Administracindelosdatos.
Administracindeinstalaciones.
Administracindeoperacionesdetecnologa.
Documentacin.

Estausteddeacuerdooendesacuerdo,enquelos 19requerimientos deTIi dentificados


sonvalidos,apropiados ysirvendebaseparaelmodelodeGobi ernodeTIparaentidades
bancarias deColombi a

Deacuerdo
Endesacuerdo

TeniendoencuentaelmodelodeGobi ernodeTIparaentidades bancari as deColombia


delresumenejecutivo(numeral2.3,pag.7),considera ustedqueelmodel opropuestoes
adecuadooinadecuado

EsAdecuado
EsInadecuado

Teniendoencuentalaestructuradelmodel odeGobiernodeTIparaentidades bancarias


deCol ombi adelresumenej ecutivo(numeral2.4,pag.8),consideraustedquel aestructura
delmodelopropuestoes adecuadaoinadecuado

EsAdecuado
EsInadecuado

Respectoalaautoeval uacindeniveldemadurezdeGobiernodeTIpropuesta(numeral
2.5,pag9),ustedl aconsi deraapropi adaoi napropiada

EsApropiada
EsInapropiada

Encuantoa las 7fases paralai mpl ementaci ndelmodelodeGobi ernodeTI,descritas en


elresumenejecuti vo(numeral2.6pag.12),ustedl as consideraadecuadas ysufi cientes
paralal levaracabolaim pl ementacin

Sisonadecuadasysuficientes
Nosonadecuadasosuficientes

Consi derandodeformagl obalelresumenej ecutivoenvi ado,ustedconsideraviabl eo


invi ablel aimplementacindelmodelopropuestodeGobiernodeTIparaentidades
bancarias deColombi a

EsViable
EsInviable

Paraterminar,yagradeci ndoledenuevoporsutiempoeneldili genci ami entodeesta


encuesta,lesoli citamos queporfavordi ligencielos si gui entes datos personal es (los cual es
sonopci onales)nombres yapel lidos
Enqueempresatrabajaactual mente

Quecargodesempea

Submit

Poweredby GoogleDocs

ReportAbuseTermsofServiceAdditionalTerms
ANEXO7

ComparacindeprocesosdeTI

Con el fin de identificar y validar el cumplimiento de la normatividad establecida


por la Superintendencia Financiera a las entidades bancarias de Colombia, se
revis el estado de cumplimiento de los 19 requerimientos clave del Sistema de
ControlInternoparalaGestindeTecnologa(SIC)ysedeterminolosiguienteen
cuantoalosestndares,polticas,directricesyprocedimientosimplementadosen
elBancodeOccidente.(sindecirconestoquetodoslosdemsbancoscuenten
conlosmismoprocedimientos)

Figura1:MapadeprocesosdelBancodeOccidente

El Banco de Occidente dentro de su cadena de valor cuenta con 3 grupos de


procesos: los procesos estratgicos son los que se encargan de dar un
direccionamiento estratgico y de enfocar los objetivos a las estrategias, los
procesos misionales, productivos y operativos son aquellos que se hacen
indispensablesparaposicionarlosproductosyserviciosqueafectandirectamente
la satisfaccin del cliente y por ltimo los procesos de apoyo que son los que
ayudanasoportartodaslasoperacionesdelnegocio.

Comopartedelosprocesosdeapoyo,ladivisindeTecnologacuentaconuna
seriedeprocesosyestrategiasalineadasconelnegociocuyafuncinprincipales
160
agregar valor a travs de soluciones tecnolgicas y procesos innovadores,
efectivosyseguros.Paracumplirconesto,sedefiniunmapadeprocesosdeTI
dondeseinvolucratodolorelacionadoalaGestindelrea.

Acontinuacin,enlafigura15semuestraelmapadeprocesosinternodeTIdel
BancodeOccidente,estetieneunenfoquehacialagestinygobiernoeinvolucra
todaslasreasquecomponenladivisin.

Cada proceso tiene un lder responsable que es el encargado de velar por el


cumplimientodelosprocedimientosylineamientosestablecidos.Adicionalaesto,
cada uno cuenta con un listado de subprocesos que ayudan en la gestin del
mismo.

Figura2:MapadeprocesosdeTIdelBancodeOccidente

161
1.1 DesarrollareImplementarProductosyServicios

El objetivo del proceso es asegurar la implementacin en tiempo y forma de los


requerimientos presentados por las Unidades de Negocio del Banco a travs de
tareasdelciclodevidadelsoftwaredefinidoenesteproceso.

Responsable: SubgerentedeSolucionesFuncionalesySubgerentedeDesarrollo
yMantenimientodeAplicaciones.

Subprocesos Procedimientos

DS0101Realizaranlisisdelasituacinactual
DS01 Realizar ingeniera de
DS0102Elaborardocumentodeespecificaciones
requerimientos
DS0103Verificaryvalidardocumentosdeespecificaciones
DS0201DefinirArquitecturaeinfraestructuradelaaplicacin
DS0202DisearSolucindelRequerimiento
DS02Disearrequerimientos
DS0203DisearModeloLgicodeDatos
DS0204DisearModeloFsicodeDatos
DS0301PrepararydesarrollarlaSolucin
DS03 Desarrollar
DS0302RealizarPruebasUnitarias
requerimientos
DS0303GestionarConversindeDatos
DS0401Elaborarplandepruebas
DS0402Disearcasosdepruebas
DS0403Preparardatosdepruebas
DS0404Ejecutarpruebas
DS04Probarrequerimientos
DS0405Evaluarpruebas
DS0406Ejecutarpruebasdeaceptacindeusuario
DS0407InstalarEnAmbientedePruebas
DS0408AdministrarServiciosenAmbientedePruebas
DS0501PrepararImplementacin
DS05 Implementar DS0502InstalarenProduccin
requerimientos DS0503Brindarsoporteenperododeestabilizacin
DS0504ElaboraryAprobarManuales
DS0601SolicitarFuentesdeversin
DS0602AdministrarFuentesdeVersin
DS06Administrarversiones DS0603PrepararReleaseparainstalar
DS0604ArmarRelease
DS0605AtenderEntregadeVersindeProveedor

1.2 EvaluaryPriorizarRequerimientos

El propsito de este macroproceso es definir la forma en que la Divisin de


Procesos y Proyectos junto con la Divisin de Tecnologa participan en la
estructuracin, ordenamiento y planeacin de la ejecucin de los requerimientos
delBanco.

162
Responsable: SubgerentedeSolucionesFuncionales.

1.3 GestionarEntregadeServicios

El objetivo de este proceso es disear y ejecutar estrategias para mejorar la


satisfaccin del usuario y detectar oportunidades para la mejora de los servicios
prestadosporTI.

Responsable: SubgerentedeSolucionesFuncionales.

Subprocesos Procedimientos

GS0101Gestionarsatisfaccindelusuario
GS0102Gestionarcomunicacinconelusuario
GS01AdministrarRelacinconusuarios GS0103Prepararydictarcapacitacin
GS0104AdministrarControlDocumental
GS0105Validarasignacindelrequerimiento
GS0201CrearIndicadores/Acuerdos
GS02AdministrarIndicadoresyAcuerdos
GS0202ReportarIndicadores/Acuerdos

1.4 SoportarServicios

El propsito de este proceso es asegurar que el usuario tenga acceso a los


serviciosapropiadosquesoportanlasfuncionesdelnegocio.

Responsable: Subgerente de Desarrollo y Mantenimiento de Aplicaciones,


SubgerentedeInfraestructuradeTecnologa.

Subprocesos Procedimientos

SS01AtenderServiciosdeMesade SS0101BrindarSoporteTelefnico
Ayuda SS0102AdministrarBasedeConocimiento
SS0201ResolverIncidentesNormales
SS02AtenderIncidentes
SS0202ResolverIncidentesdeEmergencia
SS0301Identificaryresolverproblemas
SS03AtenderProblemas
SS0302Gestionarproactivamenteproblemas
SS0401Recibiryguardarversin
SS0402AtenderInstalaciones
SS04AdministrarInstalaciones SS0403Actualizarinformacindeusuariosy
equipos
SS0404RealizarInstalacionesdeHardware

1.5 PlanearyDesarrollarRequerimiento

163
Esteprocesovaencaminadohacialossiguientesobjetivos:

Definirlasactividadesdelrequerimientodeunamaneraconcretaconelfin
deconsolidarlasenunplandetrabajofacilitandosuseguimientoycorrecta
ejecucinparaalcanzarelxitodelmismo.
Prepararycoordinarconlasreasfacilitadoraslaasignacindelrecursoo
lacontratacindelmismoduranteeltiemporequeridoporelproyecto.
Coordinarconlasreasfacilitadorasderecursoslogsticoslaobtencinde
losmismosparagarantizarsuasignacinenelmomentopreciso.
Coordinar todos los requerimientos necesarios para establecer relacin
directa con terceros para los casos en que no intervienen las reas de
soportedelBanco.

Responsable: SubgerentedeSolucionesFuncionales.

1.6 GestionarInfraestructura

El propsito de este proceso es asegurar que el usuario tenga acceso a los


serviciosdeinfraestructuraquesoportanlasfuncionesdelnegocio.

Responsable: SubgerentedeInfraestructuradeTecnologa.

Subprocesos Procedimientos

GIF0101AdministraryGestionarCapacidad
GIF0102AdministraryGestionarDisponibilidad
GIF0103Gestionarcontinuidaddelservicio
GIF0104MonitorearServiciosyOperacinde
GIF01GestionarServiciosde
Infraestructural
Infraestructura
GIF0105GestionarOperacinyProduccinde
Infraestructura
GIF0106AdministrarRespaldosyRecuperacin
GIF0107AdministrarCentrodeCmputo
GIF0201Gestionarproblemas:Analizareinvestigar
problemas
GIF0202Gestionarproblemas:Resolverproblemas
GIF0203Operaryadministrarplataformas
GIF02GestionarServiciosdeSoporte
GIF0204Optimizarplataformas
GIF0205Gestionarseguridaddeinfraestructura
GIF0206Administrarinventariodeinfraestructura
GIF0207Administraralmacenamiento
GIF0301Administrarygestionar configuraciones
GIF0302Administrarygestionarcambios
GIF0303Gestionarliberaciones:Definirlineamientosy
GIF03Gestionary Coordinar
estrategiasdeLiberacin
Despliegue
GIF0304Gestionarliberaciones:Realizarpuestaen
operacin
GIF0305DefinirestrategiadeserviciosTI

164
1.7 GestionarArquitectura

El propsito de este proceso es asegurar que la arquitectura existente soporte


todaslasimplementacionestecnolgicasyaplicacionesexistentesyafuturo.

Responsable: DirectordeArquitectura.

Adicional a los procedimientos establecidos para cada proceso, existen otros


procedimientos que se enfocan bsicamente en cumplir los requerimientos de la
LeySarbanesOxley(SOX),dentrodeestospodemosencontrarlossiguientes:

Procedimiento para la Atencin, Control y Solucin de Requerimientos de


EntesdeControl(InternoyExterno)alaDivisindeTecnologa

ProcedimientoparamonitorearactividadesusuariosprivilegiadosyDBA

Procedimiento para la administracin de usuarios en los ambientes de


desarrollo,pruebasyproduccindelBancodeOccidente

ProcedimientoparaManejodedatosdeambientesdepruebasydesarrollo
(enmascaramiento)

ProcedimientoparamanejodeIncidentesenBasedeDatosdeProduccin

En la tabla 7 se realiza una relacin entre los procesos de TI del Banco de


Occidente y su cumplimiento a los 19 requerimientos establecidos en la Circular
014de2009.
RQ01
RQ02
RQ03
RQ04
RQ05
RQ06
RQ07
RQ08
RQ09
RQ10
RQ11
RQ12
RQ13
RQ14
RQ15
RQ16
RQ17
RQ18
RQ19

PROCESOSDETI

GESTINDE
ARQUITECTURA

Establecerestndares
ymetodologade X
ArquitecturadeTI

Diseare
implementar X
ArquitecturadeTI

165
GESTIONAR
INNOVACIN

Administrarmodelo
X
operativodeTI

GESTIONAR
SERVICIOSDE
INFRAESTRUCTURA

Administrary
X X
gestionarcapacidad

Administrary
gestionar X X
disponibilidad

Gestionarcontinuidad
X X X
delservicio

Monitorearserviciosy
operacionesde X X
Infraestructura

Gestionaroperaciny
produccinde X X
Infraestructura

Administrarrespaldos
X X X
yrecuperacin

Administrarcentrode
X X X
computo

GESTIONAR
SERVICIOSDE
SOPORTE

Gestionarproblemas:
Analizarygestionar
problemas

Gestionarproblemas:
resolverproblemas

Operaryadministrar
plataformas

Gestionarseguridad
X
deInfraestructura

Administrarinventario
deInfraestructura

166
Administrar
X
almacenamiento

GESTIONARY
COORDINAR
DESPLIEGUE

Administrary
gestionar
configuraciones

Administrary
X
gestionarcambios

Gestionar
liberaciones:Definir
lineamientosy X
estrategiasde
liberacin
Gestionar
liberaciones:Realizar X
puestaenoperacin

Definirestrategiay
X
serviciosdeTI

SOPORTAR
SERVICIOS

Atenderserviciosde
mesadeayuda

AtenderIncidentes X

Administrar
Instalaciones

GESTIONAR
ENTREGADE
SERVICIOS

Administrarrelacin
X X
conusuarios

Administrar
indicadoresy X
acuerdos

ADMINISTRACIN
DERECURSOS

167
Gestindelnegocio
X
deTI

Gestindeltalento

Gestindecomprasy
X X X
contratacin

EVALUARY
PRIORIZAR
REQUERIMIENTOS

Identificaryplantear
requerimiento

Precotizar,priorizary
planearrequerimiento

DESARROLLARE
IMPLEMENTAR
PRODUCTOSY
SERVICIOS

Realizaringenierade
X X
requerimientos

Disear
X
requerimientos

Desarrollar
X
requerimientos

Probarrequerimientos X X

Implementar
X X
requerimientos

Administrarversiones X X

Tabla1:RelacinentrelosprocesosdeTIdelBancodeOccidenteysucumplimientoalos19
requerimientosestablecidosenlaCircular014de2009

168
ModeloyguadeimplementacindeGobier nodeTIpar a
EntidadesBancar iasenColombia

ModelandImplementationGuideITGover nancefor Banksin


Colombia

HernandoPeaVillamil
PMP,ITIL,CobIT,ISO27001IA
VicepresidentedeFinanzasPMIBogot Colombia
DirectordeMembresaISACACaptuloBogot Colombia(126)
ConsultordeGobiernodeIT
hdo.pena@gmail.com

MaraHelenaCor r eaCor rea


EstudiantedelaMaestraenGestindeInformticayTelecomunicaciones.
IngenieradeSistemasyComputacin,UniversidadJaveriana,Cali(Colombia).
maryh15@gmail.com

BreynerAlexanderPar raRojas
EstudiantedelaMaestraenGestindeInformticayTelecomunicaciones.
IngenierodeSistemas,UniversidadIcesi,Colombia.
breyneralexander@gmail.com

Resumen
En este artculo se presenta un modelo de Gobierno de TI, con su respectiva gua de
implementacin enentidades bancarias de Colombia. El objetivo del modelo es apoyar la
satisfaccin de necesidades de desempeo corporativas y legales de este sector. Este
modelosesustentaenlos19requerimientosdeTIquefueronextradosdelacircular014
de 2009, los 6 principios de la norma ISO38500:2008 ylos marcos de apoyo tales como
CobiT4.1,CMMIDEV,ISO27001,ISO27002eISO9001.Apartirdeaqu sedetermin
cualesactividadesde los marcosdeapoyoayudaranacumplircon losobjetivosde los6
principios de ISO 38500:2008 y finalmente se determin una serie de indicadores de
gestin que permitan evaluar el cumplimiento de las metas propuestas. Adicional al
modelo, se cuenta con una gua de implementacin basada en el planteamiento del IT
GovernanceInstitute,ITgovernance implementation1 queconstadesietefases:Obtener
el compromiso de la direccin, determinar el estado actual, establecer el estado futuro
deseado, identificar las brechas, definir el plan de implementacin, desarrollar el plan de
implementacin y monitorear el desempeo de la implementacin. Con esto se pretende
quelosBancospuedantenerunabaseyunareferenciaparalaimplementacindeGobierno
deTIquelespermitaalinearseconlasestrategiasdelnegocioysatisfacerlasnecesidades
delaorganizacin.

Palabr asclave
GobiernodeTI,ISO38500,requerimientosdeTI,Modelodemadurez.

Abstr act
ThisarticlepresentsamodelofITgovernance,withtheirrespectiveimplementationguide
forbanksinColombia.Thegoalofthismodelistohelptomeetcorporateandlegalsector
regulations.This model has19ITrequirementsthatwereextractedfromtheCircular014
of 2009, a frame where are the six basic principles of the standard ISO38500:2008 and
support frameworks like CobiT 4.1, CMMIDEV, ISO 27001, ISO 27002 and ISO 9001,
from here was determined activities of support frameworks that help to achieve the
objectives of the 6 principles of ISO 38500:2008 and finally was identified a number of
performanceindicatorstoassesstheperformanceoftheproposedgoals.Inadditiontothe
model, it has a guide based implementation raised by the IT Governance Institute, IT
Governance Implementation consists of seven phases: Get management commitment,
determine the current state, set the desired future state, identify gaps, define the
implementation plan, develop the implementation plan and monitor implementation
performance.Thisistoallowbankstohaveabasisandreferencefortheimplementationof
IT governance that allows alignment with business strategies and meet the needs of the
organization.

1
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernance
Institute
Keywor ds
ITGovernance,ISO38500,ITrequirements,Maturitymodel.

1. Intr oduccin
Son establecimientos bancarios las instituciones financieras que tienen por funcin
principal la captacin de recursos en cuenta corriente bancaria, as como tambin la
captacin de otros depsitos a la vista o a trmino, con el objeto primordial de realizar
operacionesactivasdecrdito.Esimportantesaberquetodaslasentidadesquehacenparte
del sistema financiero estn sujetas a la regulacin y supervisin por parte de las
autoridades de intervencin: el Congreso de la Repblica, el Ministerio de Hacienda y
CrditoPblico y laSuperintendenciaFinanciera.As mismo,estassonlasencargadasde
crearlosmarcosnormativos ydevelarporquelosrecursosdelaspersonas,empresas yel
gobierno se encuentren seguros en manos de las diferentes instituciones. Adems, la
Superintendencia Financiera tambin tiene funciones de inspeccin, vigilancia y control
sobrelasentidades.
Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo y hacen
grandes esfuerzose inversionesentecnologaconelobjetivodeser ms eficientes y ms
segurossinembargo,elproblemaesquehastaahora,noexistaunmodelodeGobiernode
TIadaptadoalasnecesidadesdelsector bancariocolombiano.

2. AutoevaluacindeGobier nodeTI
Sibienesciertoelsectorbancariocuentacondiferentesdecretos,normas ycirculares las
cualesnosoloregulanlaactividadbancariacomotal,sinoqueademsalgunasdeellasson
exclusivas para controlar y garantizar la gestin de la tecnologa (circular externa 014 de
2009), ello no implica que necesariamente tengan establecido un Gobierno de TI. Portal
motivo,unaautoevaluacinesunbuenpuntodepartidaparaquelosresponsablesdeTIde
lasentidadesbancariasdeterminenunestadoactual yunodeseadocontraunestadoideal,
dentrodelaescalapropuesta.
ComopuntodepartidaparaladefinicinyposteriorimplementacindeGobiernodeTIen
elsectorbancariocolombiano,sehacepertinenterealizardosactividades:

1. Autoevaluacindenivelde madurezdeGobiernodeTI:Estaautoevaluacintiene
porobjetivoquelosresponsablesdeTIdelosbancosserealicenunautodiagnstico
paradeterminarenquegradodeniveldemadurezdeGobiernodeTIseencuentran
con respecto a la escala propuesta. As mismo, se establece en que nivel desean
estar.Alserunaautoevaluacin,sepresumequelosencargadosdeTIlaresponden
deformacorrectayverdica.
2. ComparacindeprocesosdeTI:ParaelmodelodegobiernodeTIenlasentidades
bancarias de Colombia, se parte de los 19 requerimientos de TI que la circular
externa 014 de 2009 obliga a los bancos a cumplir. Aun as, se realiz una
comparacin entre dichos requerimientos y los procesos de TI del Banco de
Occidente,apartirdesurespectivomapadeprocesos ysusplanesestratgicosde
tecnologa.

La autoevaluacin es una herramienta para la revisin del nivel de madurez de una


organizacin y puede abarcar criterios como el liderazgo, estrategia, sistema de gestin,
recursos y/o procesos, con fin de identificar fortalezas, debilidades y oportunidades tanto
parala mejora,comoparala innovacin.Paracrearlaestructuradelaautoevaluacindel
nivel de madurez de Gobierno de TI en entidades bancarias, se us la Norma ISO 38500
comobaseyseapoyenlosconceptosdeniveldemadurezdeCobiT,CMMIDEVeISO
9004.
ISO CobiT
38500

Autoevaluacin
deGobier node
TIpr opuesta

ISO9004
CMMI

Figura1:AutoevaluacindeGobiernodeTIPropuesto

Para la realizacin de la autoevaluacin de Gobierno de TI se siguieron 3 pasos: En el


primerosedefinicomobaselanormaISO38500ysedividieronelcumplimientodesus6
principios y las 3 tareas principales en niveles de madurez, utilizando como pauta los
modelos de madurez de CobiT, CMMIDEV e ISO 9004. Posteriormente, se utiliz el
formatodeautoevaluacindelanormaISO9004parapresentarlapropuestaypermitirque
los encargados de TI que las diligencien definan su nivel actual y el nivel deseado. Por
ltimo,seadiciona laautoevaluacinunagua parasudiligenciamiento,lacualincluye
trminosypautasrelevantesparalarealizacindelaautoevaluacin.
Por cada uno de los 6 principios que establece la norma ISO 38500, se plantearon
actividades divididas en 3 bloques que corresponden a las tareas principales (Evaluar,
Dirigir y Supervisar). Cada actividad cuenta con 5 niveles de madurez (determinado con
baseenlarespuestaavariaspreguntas).Elprimerniveleselcumplimientobsicodeuna
actividad de la norma. Para lograr el nivel 2 se debe cumplir con el 100% de la(s)
actividades del nivel 1 ms la(s) actividad(es) del nivel 2. Para alcanzar el nivel 3 de
madurezsedebecumplirconlasactividadesdelosniveles1,2y3yassucesivamente.
3. ModelodeGobier nodeTIpar aEntidadesBancar iasenColombia
El presente modelo de Gobierno de TI propuesto recoge el espritu de la Circular 014 de
2009,lacualcomotienecomoobjetivoprimarioquelasentidadesbancariasdeColombia
creeny/ofortalezcanunsistemadecontrolinternoquepermitalaevaluacincontinuadesu
eficiencia, contribuya al logro de sus objetivos de negocio y fortalezca la apropiada
administracindelosriesgosaloscualessevenexpuestaseneldesarrollodesuactividad,
realizndolasencondicionesdeseguridad,transparenciayeficiencia.

3.1. Contextodelmodelo

LasentidadesbancariasdeColombiaseencuentranregidasporlaCircular014del2009la
cual define las Normas de Control Interno para la Gestin de la Tecnologa. En dicha
circular se establece que las entidades bancarias debern disear un Sistema de Control
Interno (SCI) para la gestin de la tecnologa, que responda a las polticas, necesidades y
expectativas de la entidad y a las exigencias normativas, con el propsito de contribuir al
logro de los objetivos institucionales. El SCI obliga a los responsables de TI de las
Entidades Bancarias a contar con estndares, polticas, directrices y procedimientos
debidamente aprobados, orientados a cubrir 19 requerimientos: i) Plan estratgico de
tecnologa, ii) Infraestructura de tecnologa, iii) Relaciones con proveedores, iv)
Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio
electrnico,v)Administracin de proyectos de sistemas, vi) Administracin de la calidad,
vii) Adquisicin de tecnologa, viii) Adquisicin y mantenimiento de software de
aplicacin,ix)Instalacin y acreditacin de sistemas, x) Administracin de cambios, xi)
Administracin de servicios con terceros, xii) Administracin, desempeo, capacidad y
disponibilidad de la infraestructura tecnolgica, xiii) Continuidad del negocio, xiv)
Seguridaddelossistemas,xv)Educacinyentrenamientodeusuarios,xvi)Administracin
delosdatos,xvii)Administracindeinstalaciones,xviii)Administracindeoperacionesde
tecnologay xix)Documentacin.
Por tal motivo y para dar cumplimiento a la ley, las entidades bancarias cuentan con un
SistemadeControlInternoparalagestindetecnologa,elcualestaencaminadoacubrir
los19requerimientosmencionadosyacontribuirallogrodelosobjetivosinstitucionales.
El marco de Gobierno de TI seleccionado fue el ISO 38500:2008, debido a que es una
Norma Internacional que provee un estndar para que la direccin de las organizaciones
evalen, dirijan y monitoreen el uso de las tecnologas de la informacin. Los marcos de
apoyo que complementan el marco base y apoyan las estrategias de Gobierno de TI son:
CobiT 4.1, CMMIDEV, ISO 27001, ISO 27002 e ISO 9001. Despus de determinar los
requerimientosdeTI,elmarcobaseylosmarcosdeapoyo,seprocediadefinirelmodelo,
el cual consisti (apoyados con CobiT) en agrupar los 19 requerimientos de TI
seleccionados en los 6 principios de la Norma ISO 38500:2008 dicho mapeo fue
obtenido de IT Governance Network Netherlands y se muestra en la figura 2. Posterior a
esto,sedetermincualesactividadesde losmarcosdeapoyoayudaranacumplircon los
objetivos de los 6 principios de ISO 38500:2008 y finalmente se determin una serie de
indicadoresdegestinquepermitanevaluarelcumplimientodelasmetaspropuestas.

Figura2:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT2

2
AFoundationforSecurity,ITGovernanceNetworkNetherlands,
http://itgovernance.com/nl/index.php?option=com_content&view=article&id=72&Itemid=
89.
3.2. Estructuradelmodelo
El modelo de Gobierno de TI para las Entidades Bancarias planteado en este proyecto,
responde a las actividades principales definidas por la norma ISO 38500 de Evaluar la
utilizacinactualyfuturadelasTI.Dirigirlapreparacineimplementacindelosplanesy
polticas que aseguren que la utilizacin de las TI de modo que alcancen los objetivos
institucionales y Controlar el desempeo de la tecnologa de la informacin, a travs de
sistemasdemedicinadecuados.

MODELODEGOBIERNODETI

Evaluar Dirigir Controlar

Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano

RQ19,RQ16 RQ01,RQ05 RQ02,RQ03, RQ06,RQ10, RQ04 RQ15


RQ07,RQ08, RQ11,RQ12,
RQ09, RQ13,RQ14,
RQ17,RQ18,

ActividadesdeControl

IndicadoresdeGestin

Figura3:ModelodeGobiernodeTIpropuesto

El modelo de Gobierno de TI para entidades bancarias se encuentra estructurado de la


siguiente manera:6principios,19RequerimientosdeTI,137Actividadesdecontrol y56
Indicadoresdegestin

Actividades
Pr incipios Requer imientosdeTI Indicador es
deContr ol
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 Gestindela Documentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
RQ03 Relacionesconproveedores. 4 1
Adquisicin
RQ07 Adquisicindetecnologa. 4 3
Adquisicinymantenimientodesoftwarede
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin,desempeo,capacidady
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimientoderequerimientoslegalespara
Cumplimiento RQ04 derechosdeautor,privacidadycomercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6

Tabla1:EstructuradelmodelodeGobiernodeTIpropuesto

Los6principios del modelo fueronobtenidos la normaISO38500:2008,deigual manera


las137ActividadesdeControl ylos56IndicadoresdeGestin,fuerontranscritasdeCobiT
4.1,ISO27002:2008,CMMIDEVy/oISO9001:2008

4. Gua de implementacin del modelo de Gobier no de TI par a Entidades


Bancar iasdeColombia
ConelfindeproporcionarunaguaquefacilitelaimplementacindelModelodeGobierno
deTIenlasentidadesbancariasdeColombia,sedefinierondosactividadesespecficas:i)
Sedocumentunaguade implementacindel modelo yii)Sedocumentunejemplode
implementacindeunrequerimientodeTIdelmodelopropuesto.Finalmente,labasepara
laguadeimplementacindelmodelo,fuelaplanteadaporelITGovernanceInstitute,IT
governanceimplementation3 queconstadesietefases:i)Obtenerelcompromisodelaalta
direccin, ii) Determinar el estado actual, iii) Establecer el estado futuro deseado, iv)
Identificar las brechas, v) Definir el plan de implementacin, vi) Desarrollar el plan de
implementaciny vii)Monitorearycontrolareldesempeodelaimplementacin.

5. Conclusiones
En este artculo se presenta un modelo de Gobierno de TI para Entidades Bancarias en
Colombia.ElgobiernodeTIestorientadoalarealidadactualdelaindustria,sinimportar
eltipootamaodelaorganizaciny noseavizoraalgntipoimpedimentoquehagaqueel
gobierno de TI no sea aplicado a las industrias. Lo que definitivamente si existe, son
diferencias de tipo organizativas, culturales, econmicas y legislativas dependiendo del
sector de la industria, lo que implica que TI debe estar adaptada a estas necesidades
propias.
Lo anterior implica que si bien es cierto gobierno de TI es un producto genrico que
puede adaptarse a cualquier tipo de organizacin, si se hace imperativo realizar un
amoldamiento a la realidad de la industria particular que desea implementarlo. En el
modelo se adapta este producto genrico para que cubra los requerimientos de TI que
debencumplirlasentidadesBancariasdebidoalasleyesquelosrigenparapoder,deesta
manera,cubrirloqueimplicatenerunGobiernodeTIanivelorganizacionalyanivelde
reglamentacinnormativa.
Respectoalosmarcosdereferenciaqueseusaronparaeldesarrollodelmodelo,todosson
muy valiosos y estn precedidos de muchas horas detrabajo, de muchas personas con un
conocimiento y experiencia indiscutible as mismo, se observa que los marcos base de
GobiernodeTItienenmuchascosasencomnynoesdifcilhacerasociacionesentreellos,
portalmotivocualquiermarcobase(sabiendoaplicar)resultartilparalaimplementacin
deGobiernodeTI.

3
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernance
Institute
Encuantoalaguadeimplementacindesarrolladapermitepodertenerunpuntodepartida
paralasentidadesBancariasquedeseenaplicarelmodeloensuscompaasdeacuerdoa
lasprcticasyautilizadasparaotrosmodelos.

Refer enciasBibliogr ficas

1. SuperintendenciaFinancieradeColombia CircularExterna014del2009,Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc

2. SuperintendenciaFinancieradeColombia,Circularexterna038de2009,Colombia,
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce038_09.doc

3. SuperintendenciaFinancieradeColombia,Circularexterna052de2007, Colombia,
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce052_07.rtf

4. SuperintendenciaFinancieradeColombia,Decreto633de1993,Colombia,
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte
01.pdf

5. Asobancaria,Informacinalconsumidorfinanciero.Colombia,2012
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_f
inanciero_y_banca/

6. MinisteriodeHaciendadeColombia,FusionesyAdquisicionesenelSector
FinancieroColombiano:AnlisisyPropuestassobrelaConsolidacinBancaria.
Colombia,2012
http://www.minhacienda.gov.co/portal/page/portal/HomeMinhacienda/regulacionfinanci
era/Presentaciones/Presentaciones/7_ANIFMULTIBANFINAL0606.pdf

7. IngridLucaMuozPerinMsC,GonzaloUlloaVillegas,Artculo:GobiernodeTI
Estadodelarte,RevistaS&T,UniversidadIcesi,Cali,2011
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf

8. ISACAManuelBallesterPhD, GobiernodelasTICISO/IEC38500. TheISACA


JournalOnlinepublished,2010,http://www.isaca.org/Journal/PastIssues/2010/Volume
1/Documents/jpdf1001onlinegobierno.pdf

9. ITGovernanceInstitute, AlineandoCOBIT4.1,ITILV3eISO/IEC27002en
beneficiodelaempresa.2008,http://www.isaca.org/Knowledge
Center/Research/Documents/AlineandoCobit4.1,ITILv3yISO27002enbeneficio
delaempresav2,7.pdf
10. ITGovernanceInstitute, Informe:GlobalStatusReportontheGovernanceof
EnterpriseIT,2011,http://www.isaca.org/Knowledge
Center/Research/Documents/GlobalStatusReportGEIT10Jan2011Research.pdf

11. ISACACentrodeConocimiento, CasodeEstudio:BancoSupervielleS.A.,


Argentina ,http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBIT
CasodeEstudioBancoSupervielleSAArgentina.aspx

12. ISACACentrodeConocimiento,CasodeEstudio:GrupoBancolombiaImplements
COBITtoHelpEnsureComplianceandImproveProcesses.
http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBITCaseStudyGrupo
Bancolombia.aspx

13. ISACAManuelBallester,Ph.D,Artculo:GobiernodelasTICISO/IEC38500,Isaca
Journal,2010,

14. AntonioFernndezMartnez,GobiernodelasTIparauniversidades,Universidadde
AlmeraFaranLlorensLargo,UniversidaddeAlicante,2011

15. ISACA.StevenDeHaes,Ph.D.,WimVanGrembergen,Ph.D., Artculo:Moving


FromITGovernancetoEnterpriseGovernanceofIT,IsacaJournal,2009.
Modeloyguaparalaimplementacin
deGobiernodeTIenEntidades
BancariasdeColombia
MaraHelenaCorreaCorrea
BreynerAlexanderParraRojas
Planteamiento
delProblema

LosBancosdependenhoyendadeTIparasu
funcionamientoydesarrollo;yhacengrandes
esfuerzos e inversiones en tecnologa con el
objetivodesermseficientesymsseguros;
el problema es que no exista un modelo de
Gobierno de TI adaptado a las necesidades
del sectorbancariocolombiano.
ObjetivoGeneral

Proponer un modelo de Gobierno de TI y una gua para


su implementacin en entidades bancarias de
Colombia, que satisfaga las necesidades legales y
corporativasdeestesector,teniendoencuentaqueno
seratilaplicaralpiedelaletramodelosdeGobierno
de otros sectores colombianos, ya que la
infraestructura,tecnologa,modelodenegocioysobre
todo, legislacin, es diferente. Tampoco es pertinente
aplicar exactamente modelos de gobierno de TI
bancario de otros pases dadas las diferencias
culturales, operativas, econmicas y de legislacin
existentes con respecto a Colombia.
ObjetivosEspecficos
RealizarunanlisisdelcontextodelsectorbancarioenColombia,incluyendolas
principalesdisposicioneslegalesquelosrigen.

Realizar unanlisisdelosmarcosparaGobiernodeTIexistentesydeterminar
culessonlosmsapropiadosparalacreacindelmodeloaimplementar.

CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI

DesarrollarunmodelodeGobiernodeTI,basadoenlosmarcosseleccionados.

CrearunaguadeimplementacinparaelmodelodeGobiernodeTI
desarrollado.

Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
Rubricaquepermitasuevaluacin.
ResumendelModelo

ElpresentemodelodeGobiernodeTIpropuestorecoge
elespritudelaCircular014de2009,lacualtienecomo
objetivo primario que las entidades bancarias de
Colombia creen y/o fortalezcan un sistema de control
interno que permita la evaluacin continua de su
eficiencia, contribuya al logro de sus objetivos de
negocio y fortalezca la apropiada administracin de los
riesgosaloscualessevenexpuestaseneldesarrollode
su actividad, realizndolas en condiciones de seguridad,
transparencia y eficiencia.
GobiernodeTI

Estructura de relaciones y procesos


para dirigir y controlar la empresa
hacia el logro de sus objetivos,
agregando valor, al tiempo que se
obtiene un balance entre el riesgo y
el retorno sobre inversiones en TI.

El gobierno de TI integra e
institucionaliza las buenas prcticas
paragarantizarqueTIenlaempresa
soporta los objetivos del negocio.

Facilita que la empresa:


Aproveche al mximosu informacin
Maximice los beneficios.
Capitaliceoportunidades
Gane ventajascompetitivas
Contexto

Decreto
Circular 633de
externa 1993
038de
2009
Circular
externa
014de
2009

SectorBancario
Colombiano
Contexto
1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
SistemadeControl 4. Cumplimientoderequerimientoslegales
paraderechosdeautor,privacidady
Interno(SCI)

19RequerimientosdeTI
comercioelectrnico.

19RequerimientosdeTI
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftware
deaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
Estndares,
11. Administracindeserviciosconterceros.
polticas,
12. Administracin,desempeo,capacidady
directricesy
disponibilidaddelainfraestructura
procedimientos
tecnolgica.
orientadosa
13. Continuidaddelnegocio.
cumplir
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
define 17. Administracindeinstalaciones.
18. Administracindeoperacionesde
tecnologa.
Normasde 19. GestindelaDocumentacin.
Control
Internopara
laGestinde
TI
Marcospara
GobiernodeTI
CobIT
4.1

ISO ISO
27002 9001
Gobierno
deTI

ISO CMMI
38500 Dev
Modelode
GobiernodeTI
Modelode
GobiernodeTI
MODELODEGOBIERNODETI

Evaluar Dirigir Controlar

Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano

RQ19,RQ16 RQ01,RQ05 RQ02,RQ03, RQ06,RQ10, RQ04 RQ15


RQ07,RQ08, RQ11,RQ12,
RQ09, RQ13,RQ14,
RQ17,RQ18,

ActividadesdeControl

IndicadoresdeGestin
Modelode
GobiernodeTI
Autoevaluacin
niveldemadurez
ISO38500

CobiT
ISO9004 Autoevaluacin
deGobiernodeTI
deGobiernodeTI
CMMI
Autoevaluacin
niveldemadurez

Principiosde Tareas Nivelesde Formatopara


Iso38500 Prinicipales Madurez Autoevaluacin

Responsabilidad Evaluar CobiT ISO9004


Estrategia Dirigir CMMI
Adquisicin Supervisar ISO9004
Desempeo
Conformidad
Comportamient
oHumano
Guadeimplementacin
delModelo

GuadeimplementacindelIT GovernanceInstitute,IT governance


implementation

Constade

Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodela implementacin

Contiene Contiene Contiene

Objetivo Actividades Entregables


Validacinde
lapropuesta

Elaboracin Elaboracin Seleccinde Realizar


Resumen Encuesta grupode encuestaa
Ejecutivo digital expertos expertos

Validacindelos19 requerimientosdeTI.

ValidacindelmodelodeGobiernodeTIpara
entidadesbancariasdeColombiapropuesto.

Validacindelaautoevaluacindenivelde
madurezdegobiernodeTIpropuesta

Validacindelaaplicabilidaddelaguade
implementacinpropuesta.
Resultadosobtenidos
RQ1 100%
RQ2 86% Planestratgicode Administracindeservicioscon
RQ01 RQ11
RQ3 100% tecnologa. terceros.
Administracin,desempeo,
RQ4 86% Infraestructurade
RQ02 RQ12 capacidadydisponibilidad dela
RQ5 71% tecnologa.
infraestructuratecnolgica.
RQ6 86% RQ03 Relacionesconproveedores. RQ13 Continuidaddelnegocio.
Cumplimientode
RQ7 86%
requerimientoslegalespara
RQ8 71%
RQ04 derechosdeautor, RQ14 Seguridaddelossistemas.
RQ9 71% privacidadycomercio

RQ10 71% electrnico.


Administracindeproyectos Educacinyentrenamiento de
RQ11 71% RQ05 RQ15
desistemas. usuarios.
RQ12 86% RQ06 Administracindelacalidad. RQ16 Administracindelosdatos.
RQ13 100% RQ07 Adquisicindetecnologa. RQ17 Administracindeinstalaciones.
Adquisiciny
RQ14 86% Administracindeoperaciones de
RQ08 mantenimiento desoftware RQ18
RQ15 71% tecnologa.
deaplicacin.
RQ16 71% Instalacinyacreditacinde
RQ09 RQ19 GestindelaDocumentacin.
sistemas.
RQ17 71%
RQ10 Administracindecambios.
RQ18 86%
RQ19 71%

0% 20% 40% 60% 80% 100%


Resultadosobtenidos

Principio1
Responsabilidad
5

4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamiento
Estrategia
Humano 2

1
NIVEL
0 DESEADO

Principio5 Principio3 NIVELIDEAL


Conformidad Adquisicin

Principio4
Desempeo
Bibliografia
SuperintendenciaFinancieradeColombia CircularExterna014del2009,Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
Ingrid LucaMuozPerin MsC,GonzaloUlloaVillegas, Artculo:GobiernodeTI Estadodelarte,RevistaS&T,
UniversidadIcesi,Cali,2011http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf
ISACA ManuelBallesterPh D, GobiernodelasTICISO/IEC38500.TheISACAJournalOnlinepublished,2010,
http://www.isaca.org/Journal/PastIssues/2010/Volume1/Documents/jpdf1001onlinegobierno.pdf
IT Governance Institute,AlineandoCOBIT4.1,ITILV3eISO/IEC27002enbeneficiodela empresa.2008,
http://www.isaca.org/KnowledgeCenter/Research/Documents/AlineandoCobit4.1,ITILv3yISO27002en
beneficiodelaempresav2,7.pdf.
IT GovernanceInstitute,Informe:GlobalStatusReportontheGovernanceofEnterpriseIT,2011,
http://www.isaca.org/KnowledgeCenter/Research/Documents/GlobalStatusReportGEIT10Jan2011Research.pdf
ISACA CentrodeConocimiento,CasodeEstudio:Banco Supervielle S.A.,Argentina,
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBancoSupervielleSA
Argentina.aspx
ISACA CentrodeConocimiento,Caso deEstudio:GrupoBancolombia ImplementsCOBITto Help EnsureCompliance
and Improve Processes. http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBITCaseStudyGrupo
Bancolombia.aspx
ISACA ManuelBallester,Ph.D, Artculo:GobiernodelasTICISO/IEC38500,Isaca Journal,2010,
Antonio FernndezMartnez,GobiernodelasTIparauniversidades,UniversidaddeAlmera;FaranLlorensLargo,
UniversidaddeAlicante,2011
ISACA.StevenDe Haes,Ph.D.,Wim Van Grembergen,Ph.D., Artculo:MovingFromITGovernancetoEnterprise
GovernanceofIT, Isaca Journal,2009.
MuchasGracias

MariaHelenaCorrea maryh15@gmail.com
BreynerAlexanderParra breyneralexander@gmail.com

20