_Estableciendo un Gobierno de TI1

GUÍA DE APRENDIZAJE
ESTABLECIENDO UN GOBIERNO DE TI
 _Estableciendo un Gobierno de TI2

Dirección de Planificación y Desarrollo Online - INACAP Online

Universidad Tecnológica de Chile - INACAP
www.inacap.cl
Santiago de Chile

Equipo de trabajo

Experto Disciplinar: Alejandro Corro Encina

Diseñador Instruccional: Sebastián Parraguez

Julio, 2018. Propiedad de INACAP

Versión: 1.0 (07/2018)
Palabras claves: gobierno, tecnología, información, cobit, administración.
FOLIO: INT-O2018-TIOL03-GA

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI3

Presentación
La presente unidad tiene como finalidad revisar y establecer el concepto de gobierno TI. En este contexto, y
específicamente, revisaremos qué es el gobierno de TI de manera conceptual y sus áreas, COBIT como modelo de
gobierno TI, otros estándares y los factores críticos de éxito para implementar un gobierno TI en las empresas junto
con las lecciones aprendidas dentro de dicha actividad.

Recuerda que este documento es una síntesis y guía de todos los contenidos y actividades que revisarás durante esta
primera unidad, por tanto, es sumamente importante que leas toda la bibliografía recomendada y los materiales de
profundización propuestos.

¡Mucho éxito!

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI4

Tema 1. Gobierno de TI
Actualmente, las empresas dependen de las tecnologías de información (TI) para su funcionamiento y desarrollo. Por
este motivo generan enormes esfuerzos e inversiones en TI con el objetivo de ser más eficientes, más seguras, cumplir
con su misión y con los aspectos claves de su planificación estratégica. Desafortunadamente, en muchas de ellas las
divisiones no se comunican y los esfuerzos de un área son desconocidos o entorpecidos por otras. Una de las áreas
claramente afectada por este fenómeno es TI, que muchas veces tiene objetivos claros, pero no están necesariamente
alineados con los objetivos del negocio. Otro problema que frecuentemente aparece es la pobre alineación estratégica
entre ambos, ya que los ritmos de desarrollo del área de TI y los ritmos del negocio son diferentes (Ross & Weil, 2002).

Debido a la propia naturaleza de la tecnología, en muchos casos otras dependencias declaran su ignorancia en el tema,
lo que contribuye a aislar aún más el área de TI. El gran problema del gobierno de TI es alinear los objetivos estratégicos
de TI con los de la organización, lo que puede parecer un simple problema de planificación estratégica, pero no solo
se debe tomar en cuenta este aspecto; las áreas de TI están sometidas a diferentes presiones pues deben apoyar la
marcha del negocio, soportar además presiones regulatorias, técnicas y comerciales. La respuesta rápida a estas
presiones puede llevar fácilmente a perder el alineamiento con la organización y dedicarse a resolver problemas
puntuales (Weill, Subramani & Broadbent, 2002).

Las TI en muchas organizaciones son percibidas como un gasto o un mal necesario y debido al carácter demasiado
técnico de sus directores, el área de TI es incapaz de demostrar el valor agregado que entrega a la organización, al
punto que, si este no fuera demasiado evidente, la unidad desaparecería. Por otro lado, aparecen nuevas tecnologías
y procesos de negocio que hacen que las TI deban responder a otras necesidades u operar bajo otros esquemas, como
por ejemplo los procesos de outsourcing de TI en todos los niveles, la computación en la nube (Cloud Computing), etc.
Estas nuevas tendencias marcan nuevos retos para el desarrollo de los procesos y servicios que debe proveer la unidad
de TI dentro de una empresa. No importando el modelo utilizado, las TI deben estar presentes para el apoyo de la
organización. Producir el concepto de gobierno de TI y todo lo relacionado para lograr la alineación e integración con
el gobierno corporativo ha sido un gran esfuerzo para organizaciones de diversa índole a nivel mundial (academia,
firmas consultoras, asociaciones de investigación, organizaciones de estándares y entidades reguladoras).

El gobierno de TI es parte del gobierno empresarial y puede definirse como la estructura de relaciones y procesos para
dirigir y controlar la empresa hacia el logro de sus objetivos, por medio de agregar valor, al tiempo que se obtiene un
balance entre el riesgo y el retorno sobre las TI y sus procesos. El gobierno de TI integra e institucionaliza las buenas
prácticas para garantizar que TI en la empresa soporta los objetivos del negocio. Facilita que la empresa aproveche al
máximo su información, maximiza los beneficios, capitaliza las oportunidades y gana ventajas competitivas (Palao,
2010).

Tanto la Junta Directiva como la Gerencia Ejecutiva son responsables del gobierno de TI. Según el IT Governance
Institute, el gobierno de TI tiene cuatro principios fundamentales (ITGI, 2007):
1. Dirigir y controlar.
2. Responsabilidad.
3. Rendición de cuentas.
4. Actividades.

El gobierno de TI tiene interesados internos y externos, con diversas necesidades, a las que el gobierno de TI tiene que
darles respuesta. Entre los interesados internos se puede mencionar el gerente de TI, la junta directiva y los gerentes
ejecutivos y de negocios, el gerente de riesgo y cumplimiento y el auditor de TI.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI5

Los interesados externos son fundamentalmente los auditores externos, los clientes, los reguladores y los proveedores,
cada uno con preguntas e inquietudes particulares.

Otro concepto de gobierno de TI se plantea como: definir los derechos de decisión y el marco de rendición de cuentas
para alentar una conducta deseable en el uso de TI (Weill & Ross, 2004).

También podría definirse como: “Es el uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos
del negocio” (ITGI, 2008).

Así como un buen gobierno corporativo es fundamental para asegurar y alinear las decisiones claves del negocio, con
la visión y estrategia de la compañía, un buen gobierno de TI es crítico para asegurar que las decisiones de TI estén
alineadas a los objetivos de la compañía (Garbarino, 2010).

1.1. Áreas del gobierno de TI

Figura 1. Áreas de enfoque del gobierno de TI. Fuente: ITGI (2007).

Las actividades del gobierno de TI se pueden agrupar en cinco áreas de enfoque ilustradas en la figura anterior:
 Alineamiento estratégico.
 Entrega de valor.
 Administración de riesgos.
 Administración de recursos.
 Medición del desempeño.

A continuación se describen brevemente las cinco áreas del gobierno de TI ya especificadas:

Área de gobierno Descripción

Las TI deben diseñarse desde el principio para apoyar y soportar la estrategia de la organización,
estableciendo prioridades que enlacen claramente los planes de TI con los objetivos estratégicos
de la compañía, identificando responsabilidades y tareas. Esta área se enfoca en asegurar el
enlace de los planes del negocio y de TI; en definir, mantener y validar la proposición de valor
Alineamiento de TI y en alinear las operaciones de TI con las operaciones de la empresa.
estratégico Según el informe IT Governance Broad Briefing del ITGI (ITGI, 2003) la pregunta clave es si la
inversión de una empresa de TI está en armonía con sus objetivos estratégicos (la intención, la
estrategia actual y objetivos de la empresa) y por lo tanto la construcción de las capacidades
necesarias para ofrecer un valor empresarial. Este estado de la armonía que se conoce como “la
alineación” es complejo, multifacético y nunca del todo logrado.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI6

Área de gobierno Descripción

Se refiere a ejecutar la proposición de valor a través de todo el ciclo de entrega, asegurando que
TI entrega los beneficios acordados alineados con la estrategia, concentrándose en la
optimización de costos, y demostrando el valor intrínseco de TI. Se enfoca en validar y demostrar
que TI está efectivamente ofreciendo beneficios a la organización, también habla de la
Entrega de valor optimización de compras, pero aquí desde el punto de vista estratégico, es decir, no se trata
solo de que el gasto sea óptimo, sino de validar si este es el necesario, de forma razonada.
Según el informe IT Governance Broad Briefing del ITGI (ITGI, 2003) la entrega de valor de las TI
se traduce en entregar a tiempo y dentro del presupuesto. “El valor de IT está en el ojo del
espectador”.

Las principales regulaciones obligan (legalmente) a la alta dirección a conocer el riesgo operativo
al que se enfrenta la organización, y de aceptar los riesgos residuales según las decisiones que
se tomen (afrontando las consecuencias de su materialización). Esta área, entonces, se enfoca
en los componentes TI del riesgo operativo y busca asegurar que las TI cumplen tanto con las
regulaciones y leyes aplicables como con las políticas internas vigentes, que la organización
Administración de dispone del nivel oportuno de transparencia y que las responsabilidades en esta materia se
riesgos encuentran asignadas y se conocen. Requiere:
- Conciencia de riesgo por parte de los directores superiores de la empresa.
- Un claro entendimiento del apetito de riesgo de la empresa.
- Un entendimiento de los requerimientos de cumplimiento.
- Transparencia sobre los riesgos significativos de la empresa.
- Implementar las responsabilidades de la administración de riesgos dentro de la organización.

Esta área se enfoca en la definición y gestión eficiente de los recursos de TI, lo que suele incluir
aplicaciones, información, infraestructuras y por supuesto, personas. En este punto también se
Administración de presta especial atención a algunos elementos clave, como la optimización del conocimiento y
recursos de las infraestructuras.
En resumen, se refiere a la inversión óptima y a la adecuada administración de los recursos
críticos de TI tales como: aplicaciones, información, infraestructura, datos.

Esta área se enfoca en medir y conocer en todo momento el estado y grado de implementación
de la estrategia o plan definido, de acuerdo a las cambiantes necesidades de la organización.
Para ello se deben monitorizar de forma regular elementos como el estado de los proyectos,
rendimiento de los procesos, uso de recursos y aspectos económicos o entrega del servicio, por
Medición del
lo que da seguimiento y supervisa la estrategia de implementación, la finalización de proyectos,
desempeño
el desempeño de procesos y la entrega de servicio.
Si no hay forma de medir y evaluar las actividades de TI, no es posible gobernarlas ni asegurar
el alineamiento, la entrega de valor, la administración de riesgos y el uso efectivo de los
recursos.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI7

1.2. COBIT como estándar de gobierno TI

La necesidad del aseguramiento del valor de las TIC, la administración de los riesgos asociados a las TIC, así como el
incremento de requerimientos para controlar la información, se entienden como elementos clave del gobierno de la
empresa. El valor y el riesgo se definen como la posibilidad que un evento adverso, desgracia o contratiempo pueda
manifestarse produciendo una pérdida, de ahí lo crítico del control para el gobierno de TIC (Pressman, 2010).

El enfoque de COBIT subdivide las TIC en procesos de acuerdo a las áreas de responsabilidad: planear, construir,
ejecutar y monitorear; ofreciendo una visión de extremo a extremo de las TIC. Los conceptos de arquitectura
empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones,
información, infraestructura y personas. COBIT da soporte al gobierno de TIC, al brindar un marco de trabajo que
garantiza que: las TIC están alineadas con el negocio, las TIC capacitan el negocio y maximizan los beneficios, los
recursos de TIC se usan de manera responsable y los riesgos de TIC se administran apropiadamente.

Figura 2. Procesos COBIT 5. Fuente: ISACA (2012).

Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a: administración y consejos
ejecutivos; administración del negocio y de las TIC; profesionales en gobierno, aseguramiento, control y seguridad.

Figura 3. Productos COBIT 5. Fuente: ISACA (2012).

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI8

1.2.1. Procesos COBIT

COBIT define las actividades de TIC en un modelo genérico de procesos organizados dentro de cuatro dominios, estos
son planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar. Los dominios se pueden
asimilar a las áreas tradicionales de TIC de planear, construir, ejecutar y monitorear.

Para gobernar efectivamente las TIC es importante determinar las actividades y los riesgos que requieren ser
administrados. Estos se pueden resumir como sigue:

Dominio Descripción

Este dominio cubre las estrategias y las tácticas identificando la manera en que las TIC puedan
contribuir de la mejor manera al logro de los objetivos del negocio. Además de la realización de
Planear y organizar (PO) la visión estratégica, se requiere planear, comunicar y administrar desde diferentes
perspectivas. Finalmente, se debe implementar una estructura organizacional y tecnológica
apropiada.

Para llevar a cabo la estrategia de TIC, las soluciones de TIC necesitan ser identificadas,
desarrolladas o adquiridas, así como la implementación e integración en los procesos del
Adquirir e implementar (AI)
negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por
este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del
Entregar y dar soporte (DS) servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administración de los datos y de las instalaciones operacionales.

Todos los procesos de TIC deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Este dominio abarca la administración del
Monitorear y evaluar (ME)
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno.

1.2.2. Medición del desempeño

COBIT define métricas y metas en tres niveles:
 Las metas y métricas de TIC que definen lo que el negocio espera de estas (lo que el negocio usaría para medir
las TIC).
 Metas y métricas de procesos que definen lo que el proceso de TIC debe generar para dar soporte a los
objetivos de TIC (cómo sería medido el propietario del proceso de TIC).
 Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para indicar si es
probable alcanzar las metas).

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI9

1.3. Otros modelos de referencia

1.3.1. ISO 38500

La norma ISO/IEC 38500:2008 se publicó en junio de 2008, basándose en la norma australiana AS8015:2005. Es la
primera de una serie sobre el gobierno de TI.

El gobierno de TI es el alineamiento de las tecnologías de la información y la comunicación (TIC) con la estrategia del
negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y proporciona el mejor uso de la
tecnología y de sus estructuras organizativas para alcanzarlas.

El objetivo de la ISO 38500 es proporcionar un marco de principios para que la dirección de cualquier organización
pueda utilizarlos al evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI). También ayuda a los
miembros de altos niveles de una organización a entender y cumplir cabalmente sus obligaciones legales, regulatorias
y éticas respecto del uso de TI en las organizaciones.

Está alineada con los principios de gobierno corporativo recogidos en el "Informe Cadbury" y en los "Principios de
Gobierno Corporativo de la OCDE". Esta norma se aplica al gobierno de los procesos de gestión de las TI en todo tipo
de organizaciones que utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación
objetiva del gobierno de TI.

1.3.2. ISO 20000

La ISO 20000-1 fue creada por la International Organization for Standardization (ISO) y es la norma utilizada para la
certificación. Ha reemplazado a la norma BS 15000 y proporciona una norma internacionalmente reconocida de
sistema de gestión de servicios de TI. Comprende gran parte del contenido de la BS 15000, pero el material se ha
reorganizado para alinearlo y armonizarlo con otras normas internacionales.

La ISO 20000 utiliza un enfoque exhaustivo de la gestión de servicios de TI y define un conjunto de procesos necesarios
para ofrecer un servicio efectivo. Recoge desde procesos básicos relacionados con la gestión de la configuración y la
gestión del cambio, hasta procesos que recogen la gestión de incidentes y problemas. La norma adopta un enfoque de
proceso para el establecimiento, la implementación, operación, monitorización, revisión, mantenimiento, y mejora del
sistema de gestión de servicios de TI.

1.3.3. ITIL
ITIL son las siglas de la metodología desarrollada por iniciativa del gobierno del Reino Unido, por la OGC (Office of
Government Commerce). Las siglas de ITIL significan Information Technology Infrastructure Library o Librería de
Infraestructura de Tecnologías de Información, incluyendo redes de computadores y comunicación, hardware,
software y documentación. Esta metodología es una aproximación a la gestión de servicios de tecnologías de
información en todo el mundo.

ITIL proporciona una descripción detallada de una serie de buenas prácticas, con una amplia lista de roles, tareas,
procedimientos y responsabilidades que pueden adaptarse a cualquier organización de TIC.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI10

1.4. Factores críticos de éxito y lecciones aprendidas

La realidad que TI se ha vuelto crítica para el éxito y la sobrevivencia de las empresas, ha resultado en que TI está
presente en las reuniones de los directorios y ejecutivos. De esta forma, esto ha asegurado que TI se ha convertido en
un ítem de interés y ocupación dentro de la estrategia corporativa y su gobierno.

Dado lo anterior, se debe tener en cuenta algunos factores de éxito en la implementación del gobierno de TI que es
posible destacar:

Dominio Descripción

El comité de estrategia de TI funciona al nivel del directorio de la empresa guiando y

asegurando que TI está alineada a la estrategia corporativa. El comité de dirección
Formación de comités
funciona a los niveles directivos y ejecutivos, gestionan las prioridades y utilización de
de estrategia y dirección
recursos monitoreando el éxito y generación de valor de los programas más
importantes de TI.

Estableciendo las relaciones de TI con el negocio y haciendo que el negocio y TI sean

Alinear TI con la
co-responsables por los éxitos comerciales y técnicos de los programas de TI. Las
estrategia y las
estadísticas siguen mostrando que solo el 25% de las organizaciones tiene una
operaciones
estrategia de TI alineada con el negocio.

Comunicarlos a todos los niveles de la corporación y vincularlos a un sistema simple

Cascada de estrategia y
de medición de resultados que se distribuye por toda la organización y permite la
objetivos de TI
retroalimentación para mejorar los desempeños.

Dominio Descripción

Aplicar las buenas De sobremanera, aquellas que se centran en la entrega de valor con clarificación de
prácticas las métricas, costos, beneficios y medición del progreso con respecto a lo prometido.

COBIT, Val IT y Risk IT, han demostrado ser un marco completo de gobierno y control
Implementar un marco
de TI. La implantación de las prácticas contenidas en estos marcos es cada vez más
de gobierno y control
aceptada por las organizaciones y las regulaciones gubernamentales.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI11

Ideas fuerza
Para recapitular lo aprendido, se hará una revisión de los elementos más característicos de la ingeniería de
requerimientos. Veamos:

 Es importante utilizar algún modelo de desarrollo de gobierno TI, como los mencionados en esta guía, pero
siempre considerando los elementos esenciales de una organización.

 La implantación de cualquiera de los modelos de gobierno requiere del entendimiento de que las
organizaciones son un todo y que siempre lo que se realice tendrá algún efecto en la misma.

 El alineamiento, la transparencia y la medición soportada por un marco de control, son los factores claves de
gobierno de TI.

 Logrando alinear la TI con el negocio asegurará una mejor entrega contra la estrategia.

 La medición del desempeño soportará las responsabilidades de control de los ejecutivos y directores. Esto
podrá reducir el riesgo y producir mejor valor por el dinero destinado a TI, dos cuestiones fundamentales de
las responsabilidades del gobierno empresario.

Te invitamos a seguir conociendo y experimentando el mundo de la gobernabilidad de TI, realizando las actividades,
leyendo la bibliografía seleccionada y estudiando los materiales propuestos para esta unidad.

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI12

Referencias bibliográficas
Bernal, A. (2011). IT governance. Temas de management. Recuperado el 9 de octubre de 2018, de la Biblioteca de
INCAP [a la fecha 2020, ya no está disponible]

Fernández C., y Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las normas ISO. Recuperado el 9 de
octubre de 2018, de: https://www.compromisorse.com/upload/noticias/008/8829/libro.PDF

Garbarino, H. (2010). Gobierno de TI. Organización, administración y control de las TI, un encuadre en Pymes.
Recuperado el 9 de octubre de 2018, de:
http://www.ort.edu.uy/fi/pdf/investigaciontuteladagarbarinoort.pdf

Hamidovic, H. (2011). Gobierno de TI: Fundamentos del Gobierno de TI basados en ISO/IEC 38500. Recuperado el 9 de
octubre de 2018, de:
https://www.researchgate.net/profile/Haris_Hamidovic/publication/254864701_Fundamentos_del_Go
bierno_de_TI_basados_en_ISOIEC_38500/links/0046351ff8df9e4a71000000/Fundamentos-del-
Gobierno-de-TI-basados-en-ISO-IEC-38500.pdf

Inaba, Y. (2016). Creating Value with an Enterprise IT Governance Implementation Model Using COBIT 5. Recuperado
el 9 de octubre de 2018, de la Biblioteca de INCAP [a la fecha 2020, ya no está disponible]

ISACA. (2012). Cobit 5. Disponible en: http://www.isaca.org/cobit/pages/default.aspx

ITGI. (2007). Cobit 4.1. Rolling Meadows, IL, Estadios Unidos.

ITGI. (2008). IT Governance, global status report 2008. Rolling Meadows, IL, Estados Unidos.

Marulanda E., C.E., López T., M. & Cuesta I., C.A. (2009). Modelos de desarrollo para Gobierno TI. Scientia et Technica,
XV(41). Universidad Tecnológica de Pereira. ISSN 0122-1701. Recuperado el 10 de junio de 2018, de:
https://dialnet.unirioja.es/servlet/articulo?codigo=4728957

Muñoz, I., y Ulloa, G. (2011). Gobierno de TI – Estado del arte. Sistemas & Telemática, 9(17), 23-53. Recuperado el 9
de octubre de 2018, de: http://www.redalyc.org/pdf/4115/411534384003.pdf

Palao, M. (2010). Reflexión sobre el Estado del Arte del Buen Gobierno TIC. Bogotá, Colombia: ISACA.

Pressman, R. S. (2010). Ingeniería de Software: Un Enfoque Práctico. México: McGraw-Hill Interamericana.

Quezada S., P., Chango C., P., Benavides C., V., Jumbo F., L., Barba G., L. & Calderón C., C. (2017). Marco de referencia
para gobernanza de TI utilizando estándares: COBIT 5 y ISO 38500. (Spanish). CISTI (Iberian Conference
On Information Systems & Technologies / Conferência Ibérica De Sistemas E Tecnologias De Informação)
Proceedings, 1313-318. Recuperado el 10 de junio de 2018, de: https://ezproxy.dnb-
inacap.cl/login?url=http://search.ebscohost.com/login.aspx?direct=true&db=aps&AN=127421237&lang
=es&site=eds-live&scope=site

Ross, J. y Weil, P. (2002). Six IT Decision Your IT People Shouldn’t Make. Harvard Business Review. Recuperado el 10
de junio de 2018, de: https://hbr.org/2002/11/six-it-decisions-your-it-people-shouldnt-make

_Guía de aprendizaje
 _Estableciendo un Gobierno de TI13

Velásquez, T., Puentes, A., y Pérez, Y. (2015). Un enfoque de buenas prácticas de gobierno corporativo de TI. Revista
Tecnura, 19, 159-169. doi: 10.14483/udistrital.jour.tecnura.2015.SE1.a14. Recuperado el 9 de octubre de
2018, de: http://www.scielo.org.co/pdf/tecn/nspe/nspea15.pdf

Weill, P. y Ross, J. (2004). IT Governance. How top performers manage IT decisión rights for superior results. Boston,
Estados Unidos: Harvard Business School Press.

Weill, P., Subramani, M. y Broadbent, M. (2002). Building IT Infrastructure for Strategic Agility. MIT SLOAN
Management Review, 27- 55.

NACAP Online cumple con indicar el lugar desde dónde se citó y sacó la información al momento de realizar el
material y no se hace responsable si a la fecha de lectura el enlace web no se encuentra disponible por caducidad de
licencias o diversas particularidades.

_Guía de aprendizaje