ITIL. Un marco para la calidad del servicio de TI.

ITIL son las siglas de Information Technology Infrastructure Library y consiste en una
serie de publicaciones que sirven de guía para proporcionar servicios de TI de calidad.
ITIL describe una serie de buenas prácticas que, apoyadas en procesos y una amplia
lista de roles, tareas, procedimientos y responsabilidades, pueden adaptarse a
cualquier organización o área de TI.

A finales de los ochenta nace ITIL para mejorar los servicios de TI que el gobierno de
Gran Bretaña brindaba a los ministerios y otras oficinas del sector público, pero en la
actualidad, es el marco de referencia para la gestión de servicios en la industria de la
tecnología de información. El éxito de ITIL es tal, que hoy es utilizado como el estándar
de Administración de Servicios de TI por algunas empresas líderes en el mundo, lo que
ha dado pie al surgimiento de ISO 20000 (BS15000) como estándar propio de TI.

ITIL define los objetivos y las actividades, así como las entradas y las salidas de los
procesos de la organización TI. Sin embargo, no brinda una descripción específica de la
forma en la que se deben implementar, ya que esto puede variar de organización a
organización. Es decir, no se trata de una metodología, más bien es un marco de
trabajo y de procesos. En esencia, los 10 procesos (interrelacionados) que conforman
la estructura básica de ITIL, tienen objetivos bien definidos y orientados a brindar
servicios a un nivel de calidad preacordada (entre el cliente/usuario y el proveedor) al
mejor costo posible.

Libros que Conforman las “Mejores Prácticas”

A continuación los siete libros que conforman ITIL, cada uno se enfoca a temas
específicos, al servicio de TI en sus diferentes implicaciones. Cada uno se conecta con
los otros:
• Soporte del Servicio.
• Entrega del Servicio.
• Administración de la Seguridad.
• Administración de la Infraestructura de TI.
• Administración de Aplicaciones.
• Planificación para Implementar la Administración de Servicios.
• Perspectiva del Negocio.

Los libros de Soporte del Servicio y Entrega del Servicio, son considerados la parte
central del marco de procesos propuesto por ITIL para la Administración de Servicios
de TI. En este sentido, la estructura básica de ITIL se compone de cinco procesos
relacionados con la Entrega del Servicio y cinco procesos de Soporte al Servicio. El
Service Desk o Mesa de Servicio, si bien no es un proceso sino una función, que se
incluye en la parte de Soporte del Servicio, aunado también con Administración de la
Seguridad, que forma parte de otro estándar en sí (BS7799 o ISO 17799).
Los procesos orientados a dar Soporte al Servicio; son los relacionados con el día a día
del servicio de TI:

• Centro o mesa de servicio: Única función (no proceso), cuya razón de ser es dar
soporte a la provisión de los servicios acordados, garantizando el acceso a la
organización TI y comprometiéndose con algunas actividades de los procesos. La Mesa
de Servicio se constituye como el punto único de contacto entre los clientes y/o
usuarios y la organización, o área de TI.
• Gestión de incidentes: Restituir rápidamente el servicio después de un incidente y en
cumplimiento de los Acuerdos de Nivel de Servicio (SLA) predefinidos, a fin de que
afecte lo menos posible a las actividades del negocio.
• Gestión de problemas: Descubrir y eliminar la causa de los problemas (o incidentes
repetitivos), siendo la base de la mejora continua del servicio.
• Gestión de configuraciones: Mantiene informes fiables de los detalles de los
elementos de TI (hardware, software, documentación).
• Gestión de cambios: Garantizar que se utilicen los procedimientos y los métodos
estándar para que se puedan implementar los cambios/proyectos con rapidez y con el
menor impacto posible en la calidad del servicio de TI.
• Gestión de versiones: Maneja y distribuye versiones de software y hardware
utilizados para proporcionar el nivel de servicio acordado.
Procesos relacionados con la entrega del servicio de TI:
• Gestión de niveles de servicio: Garantizar que se mantengan y mejoren
continuamente los servicios TI que necesita el cliente, además de establecer acuerdos
de niveles de servicio (SLAs) que cumplan con sus expectativas y definan la pauta a
cumplir en los productos y servicios de TI.
• Gestión financiera de los servicios TI: Ayudar a la organización TI interna,
administrando de una manera efectiva los costos de los recursos TI necesarios para
proporcionar los servicios.
• Gestión de la capacidad: Proveer de manera consistente los recursos TI necesarios
cuando son requeridos y a un precio justo, alineados con los requisitos futuros y
actuales del cliente.
• Gestión de la continuidad de servicios TI: Ayudar a toda la gestión de la Continuidad
del Negocio (BCM), garantizando que la infraestructura y los servicios de TI puedan
restaurarse dentro de los límites previamente especificados luego de un desastre.
• Gestión de la disponibilidad: Proporcionar un nivel de disponibilidad de servicio de
TI definido y eficiente en costo, que permita al negocio alcanzar sus objetivos.
 LIBRO

ITIL, COBIT, CMMI, PMBOK: Como integrar y adoptar los estándares para un buen
Gobierno de TI

Introducción

La importancia que las TI han alcanzado hoy en día es enorme. Ha dejado de ser una
herramienta de soporte y/o un área accesoria para convertirse en algún totalmente
necesario para cualquier empresa.
Hoy en día es impensable concebir una empresa que no use las tecnologías de la
información para la gestión del día a día; desde las formas más básicas como el uso de
una hoja Excel o del correo electrónico hasta implantaciones de inteligencia de
negocios y minería de datos.
Pero de cualquier modo, son muchos los problemas que se presentan al gestionar
estas Tecnologías de la Información, principalmente en el sentido de cómo lograr que
las TI conlleven a una ventaja para la organización, como hacer que las TI sean una
inversión con retorno y no solamente un gasto necesario.
Es por ello que se han creado en la industria diversos marcos de trabajo y mejores
prácticas que buscan eliminar estas problemáticas. Estas mejores prácticas se han
convertido en estándares de la industria, tales es así que su implantación se ha
convertido en los últimos años en una necesidad para aquellas empresas que deseen
gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas.

Los problemas
Como se mencionó anteriormente, los problemas al gestionar las TI son diversos y en
distintas materias. De ellos, se rescatan los principales a continuación:

Mala gestión de proyectos TI

Toda iniciativa de TI que se desee implementar se debe gestionar como un proyecto,
es decir: bajo un cronograma, presupuesto y recursos determinados. Sin embargo, no
siempre estos proyectos acaban según lo esperado o planificado.
Para tener una idea de la problemática a la que nos enfrentamos en la gestión de
proyectos, se tienen los siguientes datos (Fuente: Chaos):

· Más de 16 millones de personas están involucradas en proyectos en el mundo

· Solamente el 16.2% de los proyectos son exitosos
· El 31% de los proyectos son cancelados antes de su terminación, costando millones de
dólares

Lo que nos muestra estos datos es la falta de cultura de gestión de proyectos; es decir:
a pesar de las grandes inversiones que se ponen sobre la mesa para la ejecución de
proyectos, no se ha tomado total conciencia aun de la importancia de una adecuada
gestión de proyectos.
Para poder resolver esta problemática hay que primero identificar el porqué del
fracaso de estos proyectos:
· Falta de compromiso y apoyo de la alta dirección

Si la Alta Dirección no brinda el soporte necesario para la consecución de un proyecto

estratégico para la compañía, este estará destinado al fracaso. Tal vez pueda
terminarse dentro de costos y tiempo especificados y logrando los entregables con el
nivel de calidad requerido, pero sin la involucración de la Alta Gerencia se corre el
riesgo de que el producto final de dicho proyecto se conviertan en un “elefante
blanco”, es decir, que nunca nadie los use o que no se ajusten a las necesidades reales
de la organización.
Esto se da justamente por la falta de involucramiento de la Alta Gerencia. Es
recomendable que al menos un miembro de la Alta Gerencia esté involucrado ya sea
como sponsor o como un stakeholder principal dentro del proyecto. Esto garantizaría
que el proyecto se adecue a los lineamientos y necesidades de la compañía.

· Toma de requerimientos y definición de alcance equivocado o incompleto

Un paso que muchas veces se obvia o que no se le brinda la debida importancia es la
toma de requerimientos, lo cual es la actividad central para la posterior definición del
alcance del proyecto.
Según un estudio realizado por Clive Finkelstein (el padre de la Ingeniería de la
Información), más del 65% de los problemas que se presentan los proyectos de
desarrollo de software, se deben a la mala recopilación de los requerimientos.

Más aún, una vez implantado y terminado el desarrollo de un nuevo sistema, más del
80% de los recursos de mantenimiento se destinan también a corregir problemas
ocasionados por la mala gestión de requerimientos
La falta de un adecuado proceso para recopilar los requerimientos y delimitar el
alcance (en base a dichos requerimientos), hace que esto suceda.

Otro motivo son las malas interpretaciones de los informes, mensajes o

conversaciones entre cliente, usuario, analista, jefe de proyectos, sponsor y
programador. Esto es algo común también, debido a que estas comunicaciones se
realizan de manera informal y empírica, sin un modelo adecuado.
· Carencia de un sistema de control de cambios

Durante la ejecución de todo proyecto, se solicitarán cambio en el alcance. Es

responsabilidad del Jefe de proyectos valorar dichas peticiones de cambios desde el
punto de vista de la triple restricción (costo, tiempo y alcance) y determinar si el
cambio se implantará. Cada cambio se debe analizar al detalle para determinar el
impacto que tendrá en el proyecto.
Sin embargo muy pocas veces los cambios son registrados, mucho menos analizados
debidamente. Y lógicamente esto conlleva posteriormente a inconsistencias en los
requerimientos, requerimientos contradictorios, etc.

· Jefes de proyecto improvisados (skills inadecuados)

No todo buen programador es un buen Jefe de proyectos. Cada uno requiere de

habilidades distintas. A pesar de ello, algo muy común que suele pasar en las
compañías es ascender a Jefe de proyectos al programador estrella de la compañía.
Esta acción no es descabellada siempre y cuando dicho programador haya tenido
previamente la experiencia necesario gestionando proyectos y se le haya capacitado
adecuadamente al respeto. Pero lo que suele ocurrir normalmente es colocar como
Jefe de proyectos a excelentes programadores pero con poca o ninguna experiencia en
gestión de proyectos.
Esto muestra claramente un indicador de la falta de cultura y compromiso respecto a
la dirección de los proyectos de TI. No se le da la importancia debida al Jefe de
proyectos respecto al papel que juega en el éxito o fracaso de un proyecto.
Esta demás extenderse en las consecuencias que estos problemas en la gestión de
proyectos acarrea: pérdidas económicas para la compañía, sobre-costos, productos
que no se ajustan a las necesidades requeridas, personal involucrado con baja moral,
entre otros.

Gestión de servicios inadecuada

La infraestructura de TI (hardware y aplicaciones de software) de toda empresa tiene

una sola finalidad: dar el soporte necesario para poder obtener beneficios tangibles,
basados en la información. Por ello los servicios que dicha infraestructura ofrezca ya
sea a los empleados de la organización o a los clientes externos de la misma, deben
brindarse de la manera más óptima posible, en términos de velocidad, calidad y
disponibilidad.

Por ejemplo: las aplicaciones empresariales usadas por las distintas áreas de la
compañía deben estar disponibles cuando estas se necesiten. De no ser así, el
problema debe resolverse lo más rápido posible para minimizar las consecuencias de
dicho problema.
Lo que vemos en muchas compañías es que esta gestión de los servicios de TI se hace
de manera desorganizada, sin un esquema de trabajo y sin ningún tipo de métricas ni
metas específicas por cumplir.
La falta de conocimiento de las modelos de gestión de servicio es una causa
importante en la manera como estos servicios se vienen gestionando de manera
improvisada. Esto, junto con la carencia de una visión proactiva y a futuro de la
continuidad de los servicios de TI puede convertir a la Gestión de servicios de TI en un
elemento de discordia dentro de la compañía. Recuerde que cada error o caída de
alguno de los servicios de TI que no es atendida debidamente genera incomodidades
en los empleados o usuarios externos, erosionando así la confiabilidad y satisfacción
no sólo externa sino también la confiabilidad y satisfacción interna de la compañía.
Otras consecuencias del mal manejo de los servicios TI son:

· Imposibilidad de obtener métricas adecuadas de los servicios

· Servicios TI cada vez con más problemas e incidencias repetitivas
· Saturación de los servicios TI sin previo aviso

Falta de procesos de control y monitorización

La única manera de conocer si la infraestructura de TI está siendo bien gestionada es
midiendo su rendimiento en relación a metas previamente definidas. No medición de
cumplimiento de metas técnicas de TI sino también valorando como estas medición
colaboran para el cumplimiento de los objetivos de negocio de la compañía.
Si no se conoce el estado de los servicios, infraestructura e inversiones en TI, será
imposible tomar las medidas catalizadoras o correctivas pertinentes, lo cual conlleva
indefectiblemente a una carencia de eficiencia y eficacia en todos los procesos de la
organización
Establecer un marco de trabajo sobre el cual se definan objetivos, metas y métricas
específicas es el elemento que ayudará a eliminar este problema.

Métodos de desarrollo de software inadecuados

Como se mencionó anteriormente, la mala gestión de los requerimientos de un
proyecto de software representan alrededor del 65% de los problemas en gestión de
proyectos. Pero no solo hay que gestionar correctamente el proyecto para lograr un
resultado positivo para la empresa, sino que también hay que aplicar las técnicas
adecuadas para el desarrollo de software.

Un problema común es el de tratar de seguir al pie de la letra una metodología de

software determinada. La idea de que una sola metodología debe ser usada para todos
los proyectos de una compañía no es del todo acertada. Cada proyecto de software es
diferente, cada uno tiene alcances, presupuestos y tiempos distintos. Por ende, usar
una sola metodología para todos no es lo más óptimo.

Además, la falta de compromiso del equipo con la metodología elegida hace la tarea
más difícil y genera mayores dificultades, ya que los involucrados no harán lo que se
supone deben hacer. Muchas veces esto se da por una falta de entrenamiento
adecuado o por una resistencia al cambio de las personas.
De cualquier manera, estos problemas se deben resolver teniendo un modelo de
gestión del software adecuado que sea aplicado por todos y que sea lo
suficientemente flexible para soportar proyectos de distinta envergadura.
Falta de alineamiento estratégico para las iniciativas TI
Otro clásico problema en cuanto al gobierno de las TI en general, es la falta de visión
de negocio. Es decir, la existencia de un divorcio entre los objetivos a los que la
organización apunta y los objetivos a los que TI apunta.

Con un divorcio como este, las TI más que colaborar con los objetivos de negocio de la
compañía, estarán dificultando la consecución de dichos objetivos.

Una investigación realizada el 2003 por PricewaterhouseCoopers muestra los 10

principales problemas que las compañías enfrentaban en ese entonces respecto al
gobierno de las TI:

Como se puede apreciar en el gráfico anterior, es el alineamiento estratégico de las TI

con el negocio es de lejos el mayor problema por resolver.
Esto se confirma con un estudio del 2004 realizado por Lighthouse Global, el cual
identifica la necesidad de alinear las TI a las estrategias de negocio y la necesidad de
asegurar la correcta priorización de las inversiones en TI como los factores más
importantes para lograr un buen gobierno de TI y del negocio.
Por ello, las consecuencias de esta falta de alineamiento son diversas:

· Pérdida de credibilidad en las TI y reducción de presupuesto:

Si las iniciativas de TI no logran beneficios para el negocio, pues las nuevas iniciativas
de proyectos de TI no serán tomadas en cuenta más adelante por la Alta Dirección, con
lo que los presupuestos para las mismas se reducirán.

· Pérdida de eficiencia en los procesos de la compañía

Por otro lado, sin nuevas iniciativas TI en consideración, se corre el riesgo de perder
competitividad y eficiencia en los procesos productivos de la compañía.
Inversiones en TI que no generan beneficios tangibles
Un aspecto complementario al alineamiento que debe existir entre negocio y TI, y
respecto al control y monitorización del gobierno de las TI, es el aspecto financiero.
Toda iniciativa o proyecto se ejecuta con la finalidad de obtener algún tipo de
beneficio que se debe cuantificar en términos de dinero.

Dicho esto, a continuación se presentan algunos datos obtenidos de diversos estudios

realizados respecto a las inversiones realizadas en TI:

· El 20% de todos los gastos en TI son desperdiciados, lo que representa a nivel global
un valor de $600 billones de destrucción de valor al año (Estudio de Garner, 2002)

· Según un estudio del 2004 de IBM realizado a las compañías Fortune 1000, los CIOs
reportaron que 40% de los gastos en TI no generaron ningún valor a la compañía

Estos datos son realmente alarmantes en términos del valor que se pierde con las
inversiones hechas en TI. Y esto nos conlleva justamente a la raíz del problema: las
inversiones en TI han sido un tabú, nunca se ha medido dichas inversiones en términos
financieros y no hay cultura por hacerlo.

Es por ellos que uno de los cuatro problemas principales a los que se enfrenta las
organizaciones, es la percepción de una baja rentabilidad de las inversiones en TI de
alto coste. Más aun, más del 30% de los CIOs de las compañías Fortune 1000 indican
un rendimiento negativo de las inversiones en TI destinadas a aumentar eficiencia.
No tratar a las inversiones en TI dentro de un portafolio de inversiones y al contrario,
tratarlas como un componente aislado dentro de la compañía es el factor principal
para este problema.

Por ello, se hace necesario de un marco de trabajo adecuado que gestione dichas
inversiones en TI de manera profesional. De esta manera las inversiones en TI
entregaran verdadero valor, volverán a ser creíbles y se generarán utilidades
financieras para la compañía.

Encontrando la solución
Conocidos entonces los problemas, se debe determinar ahora como estos problemas
pueden ser resueltos con los diversos modelos y estándares que existen hoy en día.
Cabe recalcar que para cada uno de los problemas expuestos, hay más de un modelo
aplicable para gestionar dichas problemáticas. Es decisión de cada compañía
determina el que mejor se adapte a sus necesidades y políticas empresariales.
A continuación se describen los principales estándares de la industria, los más
comúnmente aceptados y usados para la resolución de estos problemas:
Gestión de proyectos con PMBOK
La gestión de proyecto basado en el marco de trabajo PMBOK, creado por el Project
Management Institute PMI) es el modelo más difundido y aceptado para la gestión de
proyectos en general (no solo proyectos de TI).

Dicho modelo se basa en un conjunto de buenas prácticas divididas en 9 áreas de

conocimiento, cada una de las cuales se sub-divide en actividades (siendo 44 en total).
Lo importante de este modelo es que nos brinda un esquema de trabajo para gestionar
cada aspecto de un proyecto: desde gestión del alcance hasta gestión de las
adquisiciones.

Es importante mencionar también que cada organización debe determinar que partes
del marco de trabajo de PMBOK es aplicable a la compañía. Esto dependerá de la
envergadura y nivel de detalle y control que se deseen tener de cada proyecto. Por
ello, se debe pensar en PMBOK como un conjunto de lineamientos generales, de los
cuales la organización se puede alimentar para establecer una metodología de trabajo
propia.

ITIL

ITIL (Information Technology and Infraestructure Library) es el estándar más

ampliamente conocido para la gestión de los servicios TI. Como se explicó
anteriormente, una correcta gestión de servicios permite un alto nivel de
disponibilidad de dichos servicios y un alto nivel de satisfacción de clientes y
empleados de la compañía.

Los procesos ITIL están alineados con el estándar de calidad ISO 9000 y se encuentran
vinculados con el Modelo de Excelencia de la EFQM (European Foundation for Quality
Management), el cual es utilizado por más de 1.000 empresas en todo el mundo.

ITIL se centra en brindar servicios de alta calidad para lograr la máximo satisfacción del
cliente a un costo manejable. Para ello, parte de un enfoque estratégico basado en el
triángulo procesos-personas-tecnología. En otras palabras: determina la forma de
ejecutar procesos estándar ayudados de la tecnología para lograr la satisfacción de las
personas, usuarios de los servicios de TI.
Por otro lado, la gestión de servicios con ITIL tiene su columna vertebral en la función
de Service Desk, la cual es el punto único de contacto entre la organización y el usuario
o cliente del servicio.

A continuación graficamos en forma resumida su funcionamiento y relación con los

demás procesos de ITIL:

Tener un sistema de gestión de servicios basado en ITIL permitirá a la compañía lograr:

1. Mayor alineamiento de TI con el negocio / enfoque a clientes: Los procesos ITIL

están dirigidos a maximizar la disponibilidad de los servicios TI con el propósito de
lograr la satisfacción de los clientes y cumplir con los acuerdos de nivel de servicio
acordados
2. Resolución de incidencias y problemas más rápida y eficiente: Al tener una posición
proactiva hacia la resolución rápida y eficaz de incidentes y a la vez hacia la prevención
de los mismos, se logra también la satisfacción de los clientes

3. Reducción del número de llamadas al Service Desk: Las mejores prácticas de ITIL
establecen los procesos necesarios no solo para resolver incidentes, sino para
aprender de ellos y lograr tener una base de conocimientos (llamada por ITIL: Known
Error Database) con la que la organización logra una mejora continua minimizando
cada vez el número de incidentes y la carga de trabajo del Service Desk.

4. Aumento del ratio de resolución de incidencias en primera instancia: Organizando

adecuadamente los niveles de escalamiento de incidentes en el Service Desk, se logra
maximizar el tiempo de respuesta y resolución desde que se comunica el incidente en
el servicio TI hasta su resolución

5. Implantación de cambios más rápida / mejor control de cambios: De igual manera,

gracias al proceso de gestión de cambios de ITIL, se pueden administrar los cambios
requeridos en la infraestructura TI que se generan a raíz de algún incidente
determinado. El correcto manejo de los cambios garantiza la calidad y estabilidad de
los servicios TI

6. Reducción del número de cambios que necesiten ser revocados: Igualmente, con
una correcta gestión de cambios, que cuente con revisiones de la Junta de cambios y el
cliente, se minimizarán los posibles problemas que puedan surgir a raíz de los mismos
y los “malos entendidos” respecto a dichos cambios entre la organización y el cliente.

CMMI
El modelo CMMI (Capacity Madurity Model Integrated) es una fusión de modelos de
mejora de procesos e ingeniería del software. Constituye una forma de medir el grado
de madurez de las organizaciones respecto a la aplicación de las mejores prácticas de
desarrollo y gestión del software
El objetivo de CMMI es establecer una guía que permita a las organizaciones mejorar
sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos
y servicios informáticos
Son cinco los niveles de madurez que establece CMMI:

· Nivel 0: Incompleto
o El proceso no se realiza, o no se consiguen sus objetivos
· Nivel 1: Inicial o ejecutado:
o Este es el nivel en donde están todas las empresas que no tienen procesos: es donde
el proceso se ejecuta y se logra su objetivo, así sea fuera de presupuesto y de
cronograma.
o En este nivel de madurez, el desarrollo del proyecto es totalmente opaco, no se sabe
lo que pasa en él

· Nivel 2: Repetible:
o Se da cuando el éxito de los resultados obtenidos se pueden repetir
o La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado
y controlado durante el desarrollo del mismo, se decir: además de ejecutarse, el
proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos.
o El desarrollo no es opaco y se puede saber el estado del proyecto en todo momento.
· Nivel 3: Definido:
o Significa que la forma de desarrollar proyectos está definida, establecida,
documentada y que existen métricas (obtención de datos objetivos) para la
consecución de objetivos concretos
· Nivel 4: Administrado
o Los proyectos usan objetivos medibles y cuantificables para alcanzar cubrir las
necesidades de los clientes y la organización. Es decir, se usan métricas para gestionar
la organización.

· Nivel 5: Optimizado
o Los procesos de los proyectos y de la organización están orientados a la mejora de
las actividades, que mediante métricas son identificadas, evaluadas y puestas en
práctica.

La mayoría de las empresas que llegan solo hasta el nivel 3, ya que es un nivel con el
cual muchas empresas no ven la necesidad de ir más allá. Por otro lado, normalmente
las empresas que intentan alcanzar los niveles 4 y 5, lo realizan simultáneamente ya
que están muy relacionados.
Cabe acotar nuevamente que el objetivo principal de estos niveles de madurez es
lograr un nivel de estandarización adecuado para cada compañía respecto a sus
procesos de desarrollo de software, con la finalidad de gestionar los proyectos de
software adecuadamente y así lograr cumplir con los objetivos planificados para dicho
proyecto. Es importante recordar también que lo primordial no es lograr la
certificación de los procesos de la organización sino lograr una institucionalización de
dichos procesos estandarizados que conlleven a la realización de los objetivos
definidos.

COBIT
COBIT (Control Objectives for Information and related Technology) es el estándar
generalmente aceptado que brinda buenas prácticas para gestión y control de las TI.
El marco de trabajo de COBIT tiene un triple enfoque:
· Enfocado al management: Puesto que provee a la Administración de una base de
mejores prácticas con las cuales se pueden tomar decisiones de TI e inversión.
· Enfocado a los usuarios de IT: Debido a la seguridad que les brinda para el control de
objetivos y procesos
· Enfocado a auditores: Debido a que permite identificar problemas de control de TI
dentro de la infraestructura de TI de la compañía.
COBIT está conformado por cuatro dominios, cada uno de los cuales están organizados
en procesos (34 en total) que su vez se sub-dividen en actividades y objetivos de
control
· Planificación y organización: Que está compuesta por todas las actividades que
definen las estrategias y táctica de TI basado en los objetivos de negocio de la
empresa. Se define además la infraestructura de TI adecuada y necesario
· Adquisición e implementación: Donde se encuentran las actividades para la ejecución
del plan de TI previamente definido.
· Entrega y soporte: Dominio que comprende la entrega de los servicios requeridos y el
establecimiento de procesos de soporte.
· Monitoreo y evaluación: Donde se realizan las actividades de inspección y monitoreo
de los procesos de TI.
Los procesos de estos dominios de COBIT se implantan dentro de las políticas y
especificaciones de requerimientos de negocio, determinados por los criterios de la
información, los cuales establecen los niveles de rendimiento en cada uno de los
siguientes aspectos:
· Eficiencia
· Eficacia
· Confidencialidad
· Integridad
· Disponibilidad
· Disponibilidad
· Conformidad

Estos criterios deben ser tomados en cuanto al momento de ejecutar los procesos
COBIT y al momento de monitorear los diversos recursos de TI con los que cuenta la
compañía (aplicaciones, información, infraestructura y personas).
Estos nos dan un marco completo de trabajo para gestionar y controlar las TI y poder
maximizar los beneficios de las TI para con la organización.

Val IT
La iniciativa de Val IT (producida con el IT Governance Institute) fue pensada para
responder a la necesidad de las organizaciones de optimizar la realización de valor de
sus inversiones en TI.

Val IT permite a la organización obtener valor de negocio de sus inversiones de TI,

mediante un marco de trabajo para el gobierno de inversiones en TI que consiste en un
conjunto de mejores prácticas y un conjunto de procesos y actividades.
Una manera sencilla de definir Val IT sería la definición del propio ITGI: “Es un
framework que ayuda a la Alta Gerencia asegurar que la organización obtenga un
óptimo valor de sus inversiones de negocio relacionadas a TI, a un costo manejable y
bajo un nivel de riesgo aceptable”.

De esta manera Val IT permite:

· Aumentar la probabilidad de seleccionar inversiones que tengan el potencial de

generar la mayor rentabilidad
· Aumentar la probabilidad de éxito al ejecutar las inversiones elegidas de modo que
logren o sobrepasen su rentabilidad potencial
· Reducir el riesgo de fracaso, especialmente el fracaso de alto impacto Reducir
sorpresas en relación con el coste y entrega de TI, y de esa forma aumentar el valor del
negocio, reducir costes innecesarios y aumentar el nivel global de confianza en TI
Val IT está compuesto por tres procesos que se muestran en el siguiente gráfico:

· Value Governance: Este proceso establece el marco de trabajo general, la dirección

estratégica necesaria, las características deseadas del portafolio del inversiones así
como las restricciones sobre las cuales basarse al momento de decidir las inversiones

· Investment management: En este proceso de Val IT, basados en los requerimientos

de negocio, se definen los programas de inversión y se realiza una valoración de los
mismos para determinar si son enviados al proceso de gestión de portafolios para su
evaluación correspondiente desde el punto de vista del alineamiento a la objetivos
estratégicos, nivel de riesgos permitidos y generación de valor para el negocio.

· Portfolio management: Este proceso evalúa y prioriza los programas basado en las
restricciones de recursos y costos, y transfiere los proyectos seleccionados al portafolio
activo de la compañía para su ejecución
Integrando los estándares

El dilema de la solución y los retos de la integración

Existen un sin número de estándares y marcos de trabajo para el gobierno de las TI. La
idea no es usar todos ellos en todo momento. Se debe saber analizar y seleccionar
aquellos que mejor se adapten a cada organización.
Recuerde que estos estándares no siempre encajan el uno con el otro. Cada uno de
ellos fue creado por personas diferentes, en tiempos distintos, en lugares distintos y
con propósitos distintos. Por ello, a pesar de que puedan haber varios estándares que
den solución a determina problemática, cada uno de ellos fue creado bajo fue creado
para resolver un matiz específico de dicha problemática, con un enfoque específico y
con un nivel de granularidad distinto. El reto se encuentra en saber que partes de cada
estándar o modelo puede ser para cada compañía.

En definitiva, el de primordial importancia el saber elegir las mejores prácticas,

procesos y estrategias entre todos estos modelos y poder generar a partir de estas
partes seleccionadas un modelo personalizado y adaptado totalmente para una
organización en particular.

Esta enorme cantidad de estándares y la necesidad de analizarlos y elegir lo mejor

entre ellos para el uso dentro de la compañía, nos plantea distintos retos que deben
saber afrontarse:
· Integrar dichos estándares es muchas veces un rompecabezas
Como se mencionó anteriormente, uno de los retos es el saber elegir las partes que
mas convengan a la empresa, de cada uno de estos estándares
· Sobrecarga de mejores prácticas y procedimientos
Al elegir y construir un propio marco de trabajo basado en diversos estándares, se
debe evitar el riesgo de querer incluir más de la cuenta dentro de dicho marco de
trabajo. Lograr y mantener un marco de trabajo simple y eficaz es a lo que se debe
apuntar.
· Costos de adopción
Se debe evaluar también el costo de implantar determinado estándar y determina
combinación de ellos. Si no se establece un presupuesto claro, se corre el riesgo de
fracasar en la puesta en marcha de este proyecto.
· Adopción incompleta
De la misma manera que la falta de un presupuesto claro, puede hacer fracasar a una
iniciativa de implantación de gobierno de las TI, la falta de compromiso y apoyo de la
alta gerencia puede conllevar al mismo resultado negativo. Sin una fuerza de soporte
de la Alta Gerencia, el proyecto no tomará el vuelo que requiere y quedará a medio
camino. Se debe lograr el compromiso de al menos miembro de la Junta General que
brinde un apoyo permanente a estas iniciativas de implantación
· Tiempo requerido
Definir un cronograma es crucial. Se debe realizar una implantación de estándares de
gobierno de las TI de tal manera que permita una adopción veloz; y a la vez permita
una adecuada institucionalización de los procesos relacionados a dichos estándares. La
implantación por fases podría ser una buena alternativa en caso los tiempo para una
implantación total sean muy largos para las expectativas de la compañía.
· Capacitación / educación requerida y Resistencia cultural
Muchas veces se obvia la correcta capacitación y entrenamiento del personas que
estará a cargo de los procesos implantados. Esto conlleva a una resistencia al cambio y
a una falta de institucionalización de las prácticas implantadas. Para eliminar este
problema, la concientización y entrenamiento a los empleados y demás involucrados
es necesaria.
· Liderazgo y momentum!!
Finalmente, un reto relevante es encontrar el momento ideal para proponer e
implantar determinado estándar. Muchas veces estas iniciativas son rechazadas por la
Alta Gerencia debido al mal momento en que fueron propuestas. Se debe saber
escoger el momento ideal en la que dicha propuesta tendrá la mayor acogida posible.
Lógicamente esto se debe sopesar con las necesidades y prioridades de la
organización.

Ordenando las ideas

El siguiente gráfico nos muestra cada uno de estos estándares en contexto y como
ellos se inter-relacionados entre sí para crear un marco global para el gobierno de las
TI:
Cada uno de estos estándares se utiliza para determinadas tareas dentro de este
marco global.
A continuación se detalla las principales elementos en común y diferencias entre cada
uno de estos estándares.

ITIL Vs CMMI
El modelo ITIL se aplica al ciclo de vida completa de TI, pero se enfoca en los procesos
operacionales (post-implementación de un determinado servicio o infraestructura
TI). De allí proviene el gran problema de ITIL: que no cubre adecuadamente las fases
de desarrollo de software ni la gestión de proyectos asociada a esa fase de
construcción de activos software.

Por otro lado, CMMI generalmente se aplica al desarrollo del servicio o infraestructura
en TI (durante la implantación). Sin embargo ambos tienen un punto común de
intersección: La gestión de la entrega. Ambos modelos poseen actividades
recomendadas para la gestión de la entrega de nuevos elementos de software e
infraestructura.
Analizando ambos modelos, podemos observar que CMMI se centra en garantizar la
calidad en el desarrollo de software mientras que ITIL garantiza la explotación del
producto software. Por ello, muchas empresas consideran que ambas metodologías no
son excluyentes, sino complementarias, embarcándose en proyectos de análisis y
definición de procesos que permitan encajar ambas filosofías de trabajo (En conjunto
abarcan desde el desarrollo del software hasta la gestión del mantenimiento y
servicios del mismo).

ITL Vs PMBOK
Los entregables de un proyecto gestionado con el modelo PMBOK pueden ser
producidos y gestionados también usando el modelo ITIL para gestión de servicios. La
gestión de servicios brinda un conjunto de procesos para garantizar el correcto
funcionamiento de la infraestructura TI de la organización.
Esto gestión de servicios involucra indefectiblemente manejar adecuadamente los
fallos que puedan suceder (gestión de incidentes) que conllevan a realizar ajustes en
dichos servicios e infraestructura. Dichos ajustes no solo ni más ni menos que
proyectos de actualización de los servicios TI, que pueden ser manejados siguiendo los
procesos estándar de PMBOK o con aquellos que el mismo modelo ITIL propone.
Por ello, el principal puntos de intersección entre ITIL y PMBOK se encuentran en el
proceso de gestión del cambio. Los términos y nomenclaturas usando por cada uno de
estos estándares para esta gestión del cambio varían en cada modelo. Por ejemplo: el
término CCB (Change Control Board) de PMBOK es equivalente al término Change
Advisory Board (CAB) de ITIL. Pero finalmente, ambos poseen actividades similares
para realizar dicha gestión del cambio.

El enfoque de ITIL para el manejo del cambio es orientado a garantizar la

disponibilidad y operatividad del servicio dentro del contexto de un determinado
Acuerdo de Nivel de Servicio firmado con el cliente del servicio. Por otro lado, el
enfoque de PMBOK respecto a esta gestión de cambios es garantizar la calidad dentro
del marco la triple restricción que todo proyecto debe considerar: costo, tiempo,
calidad y riesgos).

Podemos decir entonces que estos dos estándares son complementarios y

superpuestos a la vez, dependiendo del enfoque que quiera dar la organización en los
procesos de intersección. Se pueden usar ambos modelos en conjunto: para gestionar
servicios basado en ITIL y gestionar los cambios en dichos servicios usando PMBOK

ITIL vs COBIT
Quizás sea COBiT la que más puntos de confluencia presente con ITIL, aunque se
presenten como complementarias. Incluso COBiT puede que tenga mayor alcance que
ITIL ya que abarca todo el espectro de actividades de IT, mientras que ITIL está
centrado solo en “Service Management” (gestión del servicio).
Ambos modelos son también complementarios y se pueden usar juntos: ITIL para
lograr efectividad y eficiencia en los servicios TI y COBIT para verificar la conformidad
en cuanto a disponibilidad, rendimiento, eficiencia y riesgos asociados de dichos
servicios con los objetivos y estrategias de la compañía, usando para ello métricas
claves y cuadros de mando que reporten dicha información.

VAL IT Vs. COBIT

Val IT está muy fuertemente integrado con COBIT. En realidad Val IT extiende y
complementa a COBIT, el cual provee un marco de trabajo completo para el gobierno y
control de las TI. Particularmente, Val IT se enfoca en la decisiones de inversión
(responde a la pregunta: “¿Estamos haciendo las cosas correctas?”) y la obtención de
beneficios (responde a la pregunta: “¿Estamos consiguiendo los beneficios
esperados?”), mientras que COBIT se enfoca en la calidad y la ejecución (responde a
las preguntas:”¿Estamos haciendo estas cosas de la manera correcta?” y “¿Las
estamos haciendo bien?”).

Por ello, ambos estándares son complementarios: Use COBIT para controlar y medir
los servicios e infraestructura de TI y Val IT para complementar dichas mediciones
desde el punto de vista financiero.
Resumiendo…
La única razón para usar estos estándares y realizar una integración entre ellos, es
para ayudar a la organización a cumplir sus objetivos de negocio.
Hay muchos estándares, y la lista seguirá creciendo; no todas pueden usarse en
conjunto; esto crea retos de integración por resolver. Pero se pueden adaptar piezas
de cada estándar y usarlo de manera personalizada en cada organización.
Por otro lado, no hay una manera única de hacerlo; no hay recetas mágicas para
decidir que usar y como usarlo pero si hay guía y mucha documentación de ayuda y
soporte. Cada compañía deberá elegir su propia “mix” de buenas prácticas según sus
políticas, experiencia y capacidad.
Gobierno de TI
Donde se ubica el Buen Gobierno de TI respecto a estos estándares
Tal como se mostró en el gráfico anterior, se puede ver que cada uno de los estándares
se entrelaza entre sí dentro del contexto de la gestión del bueno gobierno corporativo
y buen gobierno del negocio, que como un todo se denomina “Gobierno Empresarial”

El Buen Gobierno Corporativo está enfocado en buscar la conformidad entre las

necesidades del negocio, las estrategias de negocio y los objetivos de TI de la
compañía; mientras que el Buen Gobierno de Negocio se enfoca en determinar cómo
dichos objetivos son cumplidos mediante iniciativas de proyectos (de TI o no),
realizando controles y mediciones.
El Buen Gobierno de TI abarca tareas de ambos, desde la definición de los objetivos de
negocio hasta el control del rendimiento y cumplimiento de dichos objetivos.

Qué es el Buen Gobierno de TI

La capacidad de TI de una compañía han tomado tal relevancia para el éxito de una
compañía que ya no puede ser una caja negra en donde solo los técnicos y
especialistas puedan observan que está ocurriendo.
El clásico involucramiento que han tenido los ejecutivos de la Alta Gerencia respecto a
los temas de TI ha sido siempre la de dejar las decisiones de TI a los técnicos y
profesionales de TI de la organización. Pero esto puede generar un divorcio entre las
decisiones de dichos profesionales y los objetivos de la compañía.
Por ello, un buen Gobierno de TI permite tener un sistema en el cual todos los
involucrados, incluyendo a los miembros de la Alta Gerencia, empleados y
responsables de los demás departamentos de la compañía tengan el input necesario
en el proceso de toma de decisiones. Esto previene el divorcio entre objetivos de TI y
objetivos de negocio. Además previene que usuarios críticos de los servicios TI
protesten por no tener un sistema que rinda según sus expectativas.
Entonces, para definir lo que es Gobierno de TI, se pueden ensayar con varios
conceptos propuestos por distintas instituciones:

Para ITGI: “Es el proceso de administración que asegura la obtención de los

beneficios esperados de la tecnología de información (TI) de manera controlada
para acrecentar el éxito sostenido de una empresa a largo plazo”
Para ISACA: “Es el uso eficiente de los recursos de TI para apoyar el cumplimiento de
los objetivos del negocio”

Para el Australian Standard for Corporate Governance : “Sistema por el cual el uso
presente y futuro de las TI es controlado . Involucra evaluar y dirigir planes del uso de
las TI que soporten a la organización, así como monitorear el uso de estos planes.
Incluye además políticas y estrategias de uso de TI en la organización.”

De estos conceptos podemos rescatar los siguientes puntos que determinan un bueno
gobierno de TI:

· Es un proceso
· Asegura la obtención de los beneficios esperados de las TI
· Mediante el uso de los recursos de TI
· Que involucren planes que soporten a la organización
· Para acrecentar el éxito sostenido de la misma
Se recalca entonces al bueno Gobierno de TI como un proceso para obtener beneficios
que incrementen el éxito de la compañía, usando la infraestructura de TI adecuada con
los planes y proyectos adecuados.
Con un buen gobierno de TI, la organización puede dar respuesta a las siguientes
interrogantes:

• Como puede la Alta Gerencia lograr que su organización TI devuelva valor de negocio
a la compañía?
• Como puede la Alta Gerencia lograr que su organización TI no invierta en proyectos
equivocados?
• Como puede la Alta Gerencia controlar su organización TI?

Dominios de un Buen Gobierno de TI

Entendido ya el concepto de Buen Gobierno de TI, se debe acotar ahora sobre las
dimensiones sobre las cuales gira un Buen Gobierno de TI:

· Entrega de valor:
Todos los esfuerzos para lograr un buen Gobierno de TI dentro de la empresa se
realizan para generar valor a sus accionistas, que les permita ser una compañía exitosa
y perdurable en el tiempo

· Manejo del riesgo:

De igual manera, dichos esfuerzos de TI se deben realizar con el mínimo riesgo posible
que la organización determine. Así, se logra minimizar las posibilidades de que algo
salga mal en la implantación de soluciones proyectos TI

· Alineamiento estratégico:
Pero el manejo del riesgo y la entrega de valor solo es posible si es que desde un inicio
se tiene claro cuáles son las necesidades de la compañía y cuáles son los objetivos que
persigue. Sólo con esta información se puede generar un plan de TI (alineado a dichos
objetivos) que genere el valor requerido para la empresa.

· Gestión de recursos
De la misma manera, manejar adecuadamente los recursos con los que se cuenta es un
elemento importante para poder minimizar los riesgos y entregar valor de las
iniciativas de TI a la compañía.
· Medición de rendimiento
Finalmente, el manejo de todos estos elementos deben de ser monitoreados y
medibles, basado en métrica de rendimiento establecidas por la compañía, y sobre las
cuales se realizarán las evaluaciones y valoraciones de recursos, proyectos e
inversiones.

Estas dimensiones son cinco, las cuales dan un enfoque holístico a la práctica de un
buen Gobierno de TI:

Gobierno de TI Vs. Gestión y control de TI

El problema con el Gobierno de las TI es que usualmente se confunde con marcos de
trabajo de buenas prácticas de administración y control de TI. La ISO 38500 ha
ayudado a clarificar esta confusión describiendo el buen Gobierno de TI como el
sistema de gestión usado por la Alta Dirección. En otras palabras, el buen Gobierno de
TI trata acerca de la administración de los recursos de TI para satisfacer a los
involucrados, quienes esperan un retorno de su inversión. Los responsables de esta
administración mirarán a la Alta Gerencia para implementar los sistemas y controles
de TI necesarios para lograr dicho retorno de inversión.

Por otro lado, los marcos de trabajo de gestión y control de TI brindan modelos para la
gestión de riesgos y control de objetivos, que si bien es cierto, son componentes
esenciales de un buen Gobierno de TI, es mucho más importante para dicho Gobierno
de TI enfocarse en la entrega de valor.

Beneficios de un buen Gobierno de TI

Los beneficios que un Buen Gobierno de TI proporciona están íntimamente

relacionados a las dimensiones que éste abarca:
• Mayor alineamiento estratégico
• Menores riesgos
• Mejor calidad de los servicios TI
• Menores costes
• Menores tiempos de entrega y respuesta
Una lección fundamental a aprender es que la inversión en TI ya no se trata de
implementar soluciones de TI, sino que se trata de implementar el cambio impulsado
por TI. El valor de negocio lo genera lo que hacen las organizaciones con TI y no la
tecnología en sí. Esto implica mayor complejidad y mayor riesgo que en el pasado.
Adicionalmente, cabe mencionar que el uso de de TI será el principal conductor de
riqueza económica en el siglo XXI. Mientras que la TI ya es fundamental para el éxito
de una empresa, lo será aun más en el futuro al servir como una ventaja competitiva y
ofrecer una manera de aumentar la productividad.
Invertir con éxito en la TI para transformar la empresa y crear productos y servicios con
valor agregado se ha convertido en una habilidad universal en el mundo de los
negocios.

Actividades de un buen Gobierno de TI

Las actividades y tareas involucradas para lograr un buen Gobierno de TI son muchas y
estas deben ser realizadas por diversas personas o comités.
Las actividades propias de TI, cuyo responsable principal es el CIO y CTO de la
compañía, se puede resumir en los siguientes puntos:
— Orientar TI a dar valor a los interesados
— Adoptar un marco de trabajo para el buen Gobierno de TI
— Enfocarse en
— El alineamiento de TI con el negocio
— Entregar valor
— Administrar riesgos
— Medir los resultados

Las actividades propias de la Alta Gerencia deben estar a cargo de uno de sus
miembros, y se pueden resumir en los siguientes puntos:

— Alinear la estrategia de TI con los objetivos de negocio

— Aterrizar en la organización las estrategias y objetivos
— Definir estructuras organizacionales que faciliten la implementación de la estrategia
— Adoptar un marco de trabajo para el manejo de riesgo, control y gobierno
— Brindar la infraestructura TI que ayude a crear y compartir información del negocio
— Asignar responsables de la gestión de riesgos en la organización
— Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del
negocio
— Medir el desempeño (Balance Scorecard)

Como se puede apreciar, las actividades de la Alta Gerencia están más enfocadas en
asegurar que tanto la compañía como su organización TI vayan en el mismo sentido
estratégico y para conseguir los mismos objetivos. Por otro lado, las actividades
propias de TI están más centradas en dar soporte a dicho alineamiento mediante la
conformación de un marco de trabajo adecuado para la entrega de valor de las TI y la
reducción de los riesgos.
Es indispensable la conformación de comités que realicen ambos tipos de actividades y
que ambos comités estén constantemente en comunicación. Algunas organizaciones,
por su envergadura pueden crear más comités, cada uno con un enfoque de
responsabilidades distinta (Por ej. Comité de Seguridad de las TI, Comité de Riesgos,
etc.)

Cambio cultural

Lograr un buen Gobierno de TI implica realizar cambios en la compañía. Estos cambios

pueden llegar incluso a re-estructuraciones generales. Pero siempre se requerirá en
mayor o menor medida un cambio cultural en la empresa. Para ello, hay ciertas
herramientas que se pueden usar para lograr dicho cambio cultural:

• Análisis de requisitos de comunicaciones

Es indispensable comunicar correctamente y a quien corresponda las nuevas

directivas, políticas y normativas derivadas de la implementación de un buen Gobierno
de TI en la compañía. Este es el primer paso para lograr una institucionalización de
dichas directrices y evitar la resistencia al cambio que se podría generar.

• Métodos de distribución de la información

Se debe decidir además como se comunicará esta información a los involucrados

(empleados, clientes, accionistas, ejecutivos, etc.). Los medios de distribución puede
ser diversos: e-mails, reuniones, eventos, conferencias, cartas, memos, fax, teléfono,
etc. Se debe decidir la mejor manera de comunicarse con cada grupo de involucrados.

• Plan de gestión de comunicaciones

Determinar la frecuencia de comunicación, la direccionalidad de la misma y el manejo

son elementos que completan el ciclo de comunicación

• Técnicas de formación

Finalmente, realizar la capacitación adecuada a los involucrados respecto a los nuevos

sistemas y procedimientos derivados de la implantación de un buen Gobierno de TI es
un factor decisivo para evitar futuros conflictos
Pero no siempre se logra un cambio sin problemas, y al contrario pueden haber
situaciones donde la resistencia al cambio es grande. Hay muchas razones para ello:

• Racionalidad: Las personas ven que el cambio no es bueno para ellos. Lo consideran
como amenaza a su seguridad
• Miedo: Las personas experimentan incertidumbre y ansiedad por lo que pueda pasar.
• Incomodidad: Las personas ven al cambio como algo que le exige comportarse en
formas que no se ajustan a sus paradigmas personales
• Escepticismo: Este es el factor más destructivo en cuanto a personas que se resisten.
Estas personas no creen que algo vaya a cambiar y lo expresarán abiertamente
Que hacer contra la resistencia al cambio:
Las medidas a tomar en situaciones de resistencia al cambio se pueden resumir en las
siguientes:

• A veces para cambiar a la gente que tienes, tienes que cambiar a la gente
• Aplicar liderazgo situacional: manejo de personas según su nivel de desarrollo (o de
resistencia al cambio)
• Aplicar el modelo “Negación / Ira / Negociación / Tristeza / Aceptación”, que implica
esperar que el cambio se realice sólo, esperando que las aguas de calmen siguiendo su
propio curso. Se debe analizar en que escenarios es factible aplicar este modelo.
• Apoyo de la Alta Gerencia: estas medidas sólo son posibles con el soporte de la Alta
Gerencia

Preocupaciones finales sobre el bueno Gobierno de TI

Para concluir con el tema de buen Gobierno de TI es importante recordar la situación
actual de las organizaciones en cuanto a buen Gobierno de TI se refiere.
Históricamente, los factores limitantes de un bueno Gobierno de TI que se han dado
en las compañías a nivel global eran en su mayoría por no darle la importancia debida
al tema:

— Las empresas no trataban a TI como un socio o la Alta Dirección no presta atención

a las TI
— No se realizaban la medición del desempeño de las TI desde el punto de vista
financiero- Solo unos pocos son capaces de medir el valor que TI retorna
— No había un alineamiento estratégico adecuado – Solo 4 de cada 10 compañías han
integrado sus planes de negocio y de TI en alguna forma

Considerando que el 85% del valor de mercado de una empresa reside en bienes
intangibles, y que la parte más grande de ello es información, era indudablemente
pertinente darle la debida importancia a la implantación de un buen Gobierno de TI.
Por ello, en la encuesta global anual del 2008 del ITGI (IT Governance Institute), se
obtuvo el siguiente resultado respecto a los principales problemas que los CIOs
esperan resolver en sus compañías:
Estos resultados nos muestra claramente la preocupación actual que existe en lograr
en alineamiento de TI con el negocio, en lograr manejar los riesgos, entregar valor de
negocio y de medir el rendimiento de la infraestructura TI; es decir hay una clara
preocupación hoy en día por lograr buenas prácticas en cada una de las dimensiones
de un buen Gobierno de TI.
En reporte global general de esta misma encuesta del 2008, estos resultados se
resumen y se pueden apreciar las siguientes tendencias

Como se podrá observar del 100% de la comunidad de TI, el 92% es consciente de los
problemas relacionados al manejo de las TI, el 88% reconocen que la implantación de
las prácticas del buen Gobierno de TI dará soluciones a esos problemas. Además, el
80% conoce a potenciales proveedores de soluciones para un buen Gobierno de TI, y
29% reconoce a ISACA y al ITGI como potenciales proveedores. Finalmente solo el 16&
a adoptado COBIT como marco global para el buen Gobierno de TI.
La reflexión a que este informe final nos lleva es que la comunidad TI es ahora más
consciente del problema, y que reconoce en el buen Gobierno de TI como las prácticas
que darán soluciones a esos problema; pero la implantación de estas prácticas si bien
se está dando, aun es lenta.
Como implantar los estándares

Situación de las PYMES respecto a la implantación de un buen Gobierno de TI

Para implantar las prácticas de todo buen Gobierno de TI, las empresas no sólo se
enfrentan a los restos de elegir, integrar y armar un modelo adecuado para su negocio,
sino que también deben enfrentarse a las limitantes financieras, de tiempo y de
recursos necesarios para dicha implantación.
A continuación se listan las limitantes principales:

• Limitantes de Negocio:
Es común y normal que las empresas deseen implantaciones rápidas y sencillas, y que
deseen ver los resultados de las mismas rápidamente. Sin embargo, para implantación
de buen Gobierno de TI, por la magnitud y los cambios que comúnmente implican, se
debe dar un tiempo razonable para poder ver resultados. Por ello es conveniente
pronosticar un tiempo promedio de visibilidad, la cual satisfaga a los involucrados
• Personal:
Muchas veces es necesario también reorganizar los roles y funciones de los
involucrados para poder adaptarlos al modelo de buen Gobierno corporativo elegido.
Además, debe considerarse que los encargados de la implantación también deben de
cumplir con sus labores del día a día, propio de su trabajo. Se debe buscar un equilibrio
entre las labores del día a día y las nuevas responsabilidades que parten de la
implantación del buen Gobierno de TI.

• Recursos:
Por otro lado, hay que sopesar el factor económico del personal y demás recursos con
los requerimientos necesarios para la implantación del modelo de buen Gobierno de
TI.

• Cultura:
Finalmente, sin una cultura de equipo que permite un alto rendimiento, puede haber
problemas en la implantación. Por ello, se debe fomentar esta cultura de equipo, de
pensamiento en equipo y colaboración. Las compañías pasan muchas veces esto por
alto (por desconocimiento o por no darla la importancia debida), sin darse cuenta de
que es un factor preponderante y decisivo para obtener éxito.

Modo de implantación
Tomando en cuenta estas limitantes presentes en la mayoría de organizaciones, se
debe buscar un mecanismo de implantación que sopese estos factores limitantes y los
requerimientos de implantación.
Hay que recordar que cualquier iniciativa de mejora de procesos (como lo es la
implantación de un buen Gobierno de TI), utilizada inapropiadamente, puede causar
más perjuicio que beneficios.

Por ello, la clave para implementar un buen Gobierno de TI dentro del contexto de las
limitantes de toda compañía, es enfocarse en lo que más beneficia a la organización y
a los equipos. Es decir priorizar aquellas prácticas que más benefician a la empresa en
términos de resolver problemas reales. De esta manera se pueden resaltar los
siguientes elementos claves para una implantación exitosa:

· Enfocarse en atacar los problemas, no la solución

· Enfocarse en el tiempo libre de los Recursos
· Basar la implementación de los procesos en cambios tecnológicos, es decir, ayudarse
de las TI (software y hardware) para implantar estos procesos
· Realizar este proceso en varios ciclos o iteraciones, donde cada iteración resuelva un
problema real de negocio. Esto permitirá una mejora continua en la organización.
· Gestionar el cambio
El modelo por excelencia que soporta este ciclo iterativo y de mejora continua en la
implantación de mejores prácticas y procesos es el Ciclo de Deming (también llamado
ciclo PDCA). Este modelo no se circunscribe únicamente a implantaciones de buen
Gobierno de TI, sino que es usado para cualquier tipo de implantación de procesos.
Está basado en 4 fases: Planificar, Hacer, Chequear y Actuar. Este ciclo permite 3 cosas
fundamentales:
· Posibilita la mejora continua
En otras palabras, con cada iteración dentro del ciclo, se mejora algún aspecto dentro
de los procesos

· Lecciones aprendidas
Aprender de los errores y experiencias adquiridas en cada iteración posibilita
incrementar el nivel de conocimiento de la compañía. Esto conocimiento es el input
principal necesario para la mejora continua.

· Estandarización gradual
En cada iteración se implanta nuevos procedimientos o se afinan o entonan
procedimientos ya existentes, lo cual conlleva a una institucionalización gradual de las
mejores prácticas para los procesos a implantar. La estandarización gradual permite
implementa de a pocos un modelo, para evitar tiempo y costos elevados y para evitar
la resistencia al cambio que devendría de una implantación total tipo “shock”.

Basado en el ciclo de Deming (PDCA), se tiene el modelo IDEAL. Este modelo de

implantación y mejora de proceso se enfoca también en posibilitar la mejora continua
y la estandarización gradual, pero esta vez en cinco fases:

· Iniciar
Es la fase donde se toma la decisión de implantación, se eligen el procedimiento
detallado de implantación y se asegura el compromiso y apoyo de la Alta Gerencia con
dicha implantación

· Diagnosticar
En esta fase, se hace una lluvia de ideas por cada proceso y/o estándar a implantar,
para poder identificar la situación actual de los procesos e identificar sus problemas
Se incorporan además mediciones para evaluar el comportamiento de los procesos

· Establecer
En esta fase, se selecciona por dónde empezar, es decir: se prioriza la acción. Se deben
revisar las buenas prácticas que ayuden a eliminar los problemas priorizados y se debe
establece un conjunto de acciones específico solucionar dichos problemas en esta
iteración de la mejora.

Es recomendable que estas iteraciones sean cortar y no duren más de un mes por
ejemplo, para obtener así una visibilidad gradual de cada mejorar implantada
· Actuar
En esta fase, se debe definir las herramientas necesarias para ejecutar las acciones
previamente definidas. Es aquí donde se debe involucrar a la gente con mayor
experiencia en el campo para ejecutar los procesos implantados.
Sin embargo, no se debe apuntar a un proceso perfecto la primera vez, esto se irá
mejorando en cada iteración. Cabe recalcar la importancia de la documentación que
debe realizarse para poder posteriormente aprender de las acciones ejecutadas.

· Lecciones aprendidas
En esta última fase, se debe recolectar los problemas relacionados al proceso u otros
procesos que serán direccionados en la siguiente iteración de mejora. Se debe recurrir
a la documentación de las acciones ejecutadas y los resultados de dichas acciones. Este
es el factor que genera un aprendizaje continuo en la organización y que sirve como
base de la mejora continua.

Puntos críticos de la implantación

En resumen, se puede decir que las siguientes tareas son las necesarias para toda
implantación de buen Gobierno de TI:
· Analizar y Diagnosticar la situación actual (grado de adecuación)
· Determinar objetivos y actividades prioritarias para la compañía
· Elegir las actividades y procesos a implantar en la metodología
· Elegir el grado de granularidad y las plantillas necesarias
· Definir roles y responsabilidades
· Institucionalizar el proceso: Capacitación y compromiso
· Monitorear y controlar
· Evaluar resultados
· Realizar ajustes
· Plan de mejora continua

Conclusiones

Luego de lo expuesto, se puede mencionar como conclusión final que existe una
problemática en la gestión de las TI en las empresas; los estándares ayudan a
solucionar dichos problemas. Sin embargo, estándares hay muchos, pero no todos se
tienen que usar; y hay que saber cuáles usar y de qué manera integrar los que se usan.
Estos estándares son la base para lograr un buen Gobierno de TI, que permitirá
asegurar la obtención de beneficios de las inversiones en TI, en base a la correcta
gestión de riesgos, recursos y alineamiento estratégico.
Adoptar un plan de implantación progresiva con foco en la mejora continua y en la
estandarización gradual suele ser el modelo de implantación que permite una
visibilidad relativamente rápida de los beneficios del buen Gobierno de TI y un mejor
manejo del cambio cultural en la organización.