Guía1 Act1 DairoCuintaco

Guía 1 - Actividad 1
Modelo de gobierno corporativo de las TIC en una organización
Por:
Arnol Filyp Garavito Ochoa
Carlos Enrique Sabalza Jiménez
Oscar Javier Sierra Rincón
Dairo Julián Cuintaco Venegas
Facultad de Estudios en Ambientes Virtuales

Maestría en gerencia de sistemas de información y proyectos tecnológicos
Agosto 2018
Copyright © 2018 por Arnol Filyp Garavito Ochoa, Carlos Enrique Sabalza Jiménez,
Oscar Javier Sierra Rincón y Dairo Julián Cuintaco Venegas.
Todos los derechos reservados.
Pág. 3
CONTENIDO
CONTENIDO ................................................................................................................................ 3
ÍNDICE DE FIGURAS ................................................................................................................. 5
ÍNDICE DE TABLAS ................................................................................................................... 6
1. INTRODUCCIÓN ................................................................................................................ 7
2. OBJETIVOS.......................................................................................................................... 8
2.1 General ............................................................................................................................ 8
2.2 Específicos ...................................................................................................................... 8
3. DESARROLLO DE LA ACTIVIDAD ................................................................................ 9

3.1 Organización ................................................................................................................... 9
3.1.1 Misión .................................................................................................................................................... 9
3.1.2 Visión ..................................................................................................................................................... 9
3.1.3 Mapa de procesos .................................................................................................................................. 9
3.1.4 Promesa de valor ................................................................................................................................. 11
3.2 Mapa de procesos y controles seleccionados ................................................................ 11
3.2.1 Administrar la inversión en TI (PO05) ................................................................................................ 14
3.2.1.1 Diagrama de flujo ............................................................................................................................................ 14
3.2.1.2 Métricas........................................................................................................................................................... 15
3.2.1.3 Puntos de control ............................................................................................................................................. 16
3.2.1.4 Estado actual de procesos y controles ............................................................................................................. 16
3.2.2 Evaluar y administrar los riesgos de TI (PO09) .................................................................................. 17
3.2.2.2 Métricas........................................................................................................................................................... 18
3.2.3 Adquirir recursos de TI (AI05) ............................................................................................................ 20
3.2.3.2 Métricas........................................................................................................................................................... 21
3.2.4 Administrar cambios (AI06) ................................................................................................................ 23
3.2.4.2 Métricas........................................................................................................................................................... 24
Pág. 4

3.2.5 Administrar servicios de terceros (DS02) ............................................................................................ 26
3.2.5.2 Métricas........................................................................................................................................................... 27
3.2.6 Garantizar la continuidad del servicio (DS04) .................................................................................... 29
3.2.6.2 Métricas........................................................................................................................................................... 31
3.2.7 Monitorear y evaluar el control interno (ME02) ................................................................................. 33
3.2.7.2 Métricas........................................................................................................................................................... 34
3.2.8 Proporcionar gobierno de TI (ME04) ................................................................................................. 36
3.2.8.2 Métricas........................................................................................................................................................... 37
3.3 Dificultades en la definición del modelo ...................................................................... 39
4. CONCLUSIONES .............................................................................................................. 40
5. RECOMENDACIONES .................................................................................................... 42
6. BIBLIOGRAFÍA ................................................................................................................ 44
Pág. 5
ÍNDICE DE FIGURAS
Figura 1. Mapa de procesos SIGA del SENA .............................................................................................................. 10

Figura 2. Promesa de valor SIGA del SENA ............................................................................................................... 11
Figura 3. Diagrama de flujo Administrar la inversión en TI ....................................................................................... 14
Figura 4. Diagrama de flujo Evaluar y administrar los riesgos de TI (PO09) ............................................................. 17
Figura 5. Diagrama de flujo Adquirir recursos de TI .................................................................................................. 20
Figura 6. Diagrama de flujo Administrar cambios ...................................................................................................... 23
Figura 7. Diagrama de flujo Administrar servicios de terceros ................................................................................... 26
Figura 8. Diagrama de flujo Garantizar la continuidad del servicio ............................................................................ 29
Figura 9. Diagrama de flujo Monitorear y evaluar el control interno .......................................................................... 33
Figura 10. Diagrama de flujo Proporcionar gobierno de TI ........................................................................................ 36
Figura 11. Cobertura de Cobit 5 de otros estándares y marcos de trabajo ................................................................... 42
Pág. 6
ÍNDICE DE TABLAS
Tabla 1. Procesos seleccionados .................................................................................................................................. 13

Tabla 2. Métrica: servicios costeados de TI................................................................................................................. 15
Tabla 3. Métrica: desviación del presupuesto en comparación con el presupuesto total ................................................ 15
Tabla 4. Métrica: riesgos críticos de TI identificados con un plan de acción elaborado ............................................. 18
Tabla 5. Métrica: evaluación de proveedores .............................................................................................................. 21
Tabla 6. Métrica: cumplimiento de entregas................................................................................................................ 21
Tabla 7. Métrica: cambios que generaron incidentes en su implementación ............................................................... 24
Tabla 8. Métrica: cambios rechazados ......................................................................................................................... 24
Tabla 9. Métrica: cumplimiento de contratos .............................................................................................................. 27
Tabla 10. Métrica: cumplimiento por indicador y tipo de grupo para cada servicio ................................................... 27
Tabla 11. Métrica: gestión de pruebas DRP ................................................................................................................ 31
Tabla 12. Métrica: cumplimiento controles DRP ........................................................................................................ 31
Tabla 13. Métrica: Cumplimiento de auditorías internas ............................................................................................. 34
Tabla 14. Métrica: impacto de las recomendaciones realizadas .................................................................................. 34
Tabla 15. Métrica: cumplimiento de regulaciones ....................................................................................................... 37
Tabla 16. Métrica: talleres plan de comunicaciones política de TIC ........................................................................... 37
Pág. 7
1. INTRODUCCIÓN
Hoy día, toda organización que utilice las TIC debería tener un gobierno corporativo y de
gestión de las TIC para ser más competitivo, rentable y sostenible.
En este sentido, el presente documento contiene los resultados del ejercicio académico de
definición de un modelo de gobierno corporativo de las TIC en el Servicio Nacional de
Aprendizaje (SENA), el cual incluye: la recopilación de documentos organizacionales (misión,
visión, objetivos, mapa de procesos y cadena de valor), la aplicación de criterios de priorización
de procesos de COBIT y la documentación mediante el uso de diagramas de flujo y métricas.
Finalmente, se exponen las principales conclusiones de la actividad realizada y

recomendaciones para facilitar la implementación del modelo en cualquier organización.
Pág. 8
2. OBJETIVOS
2.1 General
Identificar, comprender y definir un modelo de gobierno corporativo de las TIC en el
Servicio Nacional de Aprendizaje (SENA) a través del desarrollo de la guía 1, actividad 1 de la
unidad de estudio Gobernabilidad, estándares y buenas prácticas en tecnología.
2.2 Específicos
- Realizar lectura de: ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control,
directrices gerenciales, modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.
- Obtener información corporativa (misión, visión, objetivos, mapa de procesos y cadena

de valor) del SENA que permita la correcta relación con las metas de negocio de COBIT 4.1.
- Seleccionar ocho (08) procesos para gestión de las TIC, dos (02) por cada dominio de
COBIT, y justificar su elección.
- Definir mediante diagramas de flujo las entradas, actividades, salidas y actores para cada
proceso de COBIT seleccionado.
- Definir métricas para cada proceso de COBIT seleccionado.
- Describir los puntos de control a implementar y el estado actual de cada proceso de

COBIT seleccionado.
- Generar mínimo diez (10) conclusiones sobre la actividad realizada y cinco (05)
recomendaciones para facilitar la implementación del modelo.
- Utilizar la norma APA para la presentación de trabajos escritos y referenciación

bibliográfica.
Pág. 9
3. DESARROLLO DE LA ACTIVIDAD
3.1 Organización
En reuniones de grupo de trabajo, se discutieron las opciones de empresa y el nivel de
acceso a la información que tenía cada uno de los integrantes, como resultado el Servicio
Nacional de Aprendizaje (SENA) fue la organización seleccionada para realizar las actividades
de la guía, por su excelente nivel de documentación y procesos.
3.1.1 Misión
“El SENA está encargado de cumplir la función que le corresponde al Estado de invertir
en el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la
formación profesional integral, para la incorporación y el desarrollo de las personas en
actividades productivas que contribuyan al desarrollo social, económico y tecnológico del país”.
Servicio Nacional de Aprendizaje (SENA, s.f.a).
3.1.2 Visión
“En el 2018 el SENA será reconocido por la efectividad de su gestión, sus aportes al
empleo decente y a la generación de ingresos, impactando la productividad de las personas y de
las empresas; que incidirán positivamente en el desarrollo de las regiones como contribución a
una Colombia educada, equitativa y en paz” (SENA, s.f.a).
3.1.3 Mapa de procesos

La Figura 1 muestra el mapa de procesos del Sistema Integrado de Gestión y Autocontrol
(SIGA) del SENA.
Pág. 10
Figura 1. Mapa de procesos SIGA del SENA
Fuente: (SENA, s.f.b)

Pág. 11
3.1.4 Promesa de valor
Figura 2. Promesa de valor SIGA del SENA
Fuente: (SENA, s.f.b)
3.2 Mapa de procesos y controles seleccionados

Con el fin de establecer un mecanismo de selección de procesos, se utilizó la cascada de
metas de COBIT 4.1 que consiste en traducir metas de negocio a una o varias metas de TI que la
soporten. A su vez, cada meta de TI se logra por un proceso o la interacción de varios procesos
(ISACA, 2007).
Por lo anterior, a continuación se listan los objetivos corporativos del SENA incluidos en
el plan estratégico 2015-2018:
Pág. 12
“Objetivo 1: Contribuir a la vinculación laboral mejorando las condiciones de

empleabilidad de las personas y su impacto a la productiva de las empresas” (SENA, 2017, p. 3).
“Objetivo 2: Desarrollar formación profesional integral con calidad, pertinencia y
cobertura” (SENA, 2017, p. 4).
“Objetivo 3: Conectar a las personas certificadas por competencias laborales con el
trabajo” (SENA, 2017, p. 20).
“Objetivo 4: Fortalecer el proceso de emprendimiento y empresarismo” (SENA, 2017, p. 26).
“Objetivo 5: Fortalecer la gestión del contrato de aprendizaje” (SENA, 2017, p. 31).
“Objetivo 6: Contribuir en la ubicación laboral de personas mediante el proceso de
intermediación laboral” (SENA, 2017, p. 35).
“Objetivo 7: Consolidar y fortalecer el sistema de gestión que garantice la excelencia en
el cumplimiento de la misión y los servicios de alta calidad de la Entidad” (SENA, 2017, p. 39).
A continuación, se relacionaron los objetivos corporativos con las metas de negocio

estándar y, posteriormente, se realizó el mapeo de las metas de negocio hacia metas de TI
teniendo en cuenta el apéndice I de COBIT. Estos son los objetivos de TI resultantes:
“Asegurar la transparencia y comprensión de costes de TI, beneficios, estrategia, políticas
y niveles de servicio.
Proteger el logro de los objetivos de TI.
Adquirir y mantener sistemas de aplicación integrados y estandarizados.
Adquirir y mantener una infraestructura de TI integrada y estandarizada.
Asegurar el mínimo impacto de negocio en caso de una interrupción de servicios de TI o
cambios.
Asegurar que TI cumple con la legislación, regulación y contratos” (ISACA, 2007, p.
179).
Finalmente, la priorización de los procesos se realizó evaluando los de más impacto

estratégico y los de menor madurez. La Tabla 1 muestra los procesos seleccionados.
Pág. 13
Tabla 1. Procesos seleccionados
Dominio Proceso Controles

Planear y Organizar PO05 - Administrar la inversión en TI Administracion de costo de TI
(PO) PO09 - Evaluar y administrar los riesgos Establecimiento del contexto del
de TI riesgo
Evaluacion del riesgo TI
Mantenimiento y monitoreo de un
plan de accion de riesgo
Adquirir e Implementar AI05 - Adquirir recursos de TI Control de adquisición
(AI) Administración de contratos con
proveedores
Selección de proveedores
Adquisición de recursos de TI
AI06 - Administrar cambios Estándares y procedimientos para
cambios
Evaluación de impacto,
priorización y autorización
Cambios de emergencia
Seguimiento y reporte del estatus
de cambio
Cierre y documentación del
cambio
Entregar y dar Soporte DS02 - Administrar servicios de terceros Administración de riesgos del
(DS) proveedor
Monitoreo del desempeño del
proveedor
DS04 - Garantizar la continuidad de Marco de trabajo de continuidad
servicio de TI
Planes de continuidad de TI
Recuperación y reanudación de
los servicios de TI
Monitorear y Evaluar ME02 - Monitorear y evaluar el control Aseguramiento del control interno
(ME) interno
ME04 - Proporcionar gobierno de TI Establecimiento de un marco de
gobierno
En las siguientes secciones se describe en detalle cada uno de los procesos relacionados
en la Tabla 1, incluyendo diagrama de flujo, métricas, puntos de contro y el estado actual del
proceso.
Pág. 14
3.2.1 Administrar la inversión en TI (PO05)
3.2.1.1 Diagrama de flujo
Figura 3. Diagrama de flujo Administrar la inversión en TI
El diagrama de flujo incluye las entradas del proceso, actividades, salidas y actores. Los recuadros sombreados en
color gris representan los puntos de control del proceso.
Pág. 15
3.2.1.2 Métricas
Tabla 2. Métrica: servicios costeados de TI
Nombre Porcentaje de servicios costeados de TI

Objetivo Asegurar que TI demuestre una calidad de servicio rentable, mejora continua y
disposición para cambios futuros
Forma de medición Con referencia al porcentaje de gasto de TI expresado en impulsores de valor
del negocio
Fórmula SC = (IV/SMC)*100
Variables SC: Servicios costeados
IV: Incremento en ventas
SMC: Servicios a la mejora continua
Responsable Gestor de relaciones con el negocio
Frecuencia Anual
Valoración Excelente  SC ≤ 10%
Satisfactorio  10% < SC ≤ 50%
No satisfactorio  SC > 50%
Tabla 3. Métrica: desviación del presupuesto en comparación con el presupuesto total
Nombre Porcentaje de valor de desviación del presupuesto en comparación con el

presupuesto total
Objetivo Establecer y hacer seguimiento al presupuesto de TI de acuerdo a la estrategia
de TI y a las decisiones de inversión en TI
Forma de medición Bajo el análisis del porcentaje del valor de la desviación respecto al presupuesto
en comparación con el presupuesto total
Fórmula VD = (NPV/ROI)*100
Variables VD: Porcentaje del valor de la desviación
NPV: Valor presente neto
ROI: Retorno de inversión
Responsable Jefe de administración de TI
Frecuencia Anual
Valoración Excelente  VD ≤ 10%
Satisfactorio  10% < VD ≤ 30%
No satisfactorio  VD > 30%
Pág. 16
3.2.1.3 Puntos de control

Evaluar proyecto comité directivo: para las modificaciones al alcance de los servicios o
acuerdos de niveles de servicios, el comité directivo evalúa y toma las decisiones con respecto a
los cambios a efectuar, sean servicios o del portafolio.
3.2.1.4 Estado actual de procesos y controles

Cuando se diseña un proceso o un servicio con controles, es imperativa la definición clara
de los roles que hacen parte de estos y las responsabilidades que cada uno tiene en su ciclo de
vida, por esto se hace necesaria la conformación de una matriz que represente la asignación de
estas responsabilidades.
Actualmente, el SENA ha implementado el conjunto de buenas prácticas de ITIL, donde

se encuentran definidas las actividades, roles y controles.
El estado actual del proceso cuenta con las entradas y salidas recomendadas por las
prácticas de gestión de Cobit. Sin embargo, los controles son mínimos al quedar en manos de un
comité, lo que hace que la administracion y los procesos de inversion frente a los servicios este
centralizado bajo una sola responsabilidad.
Pág. 17
3.2.2 Evaluar y administrar los riesgos de TI (PO09)
Figura 4. Diagrama de flujo Evaluar y administrar los riesgos de TI (PO09)
Pág. 18
3.2.2.2 Métricas
Tabla 4. Métrica: riesgos críticos de TI identificados con un plan de acción elaborado
Nombre Porcentaje de riesgos críticos de TI identificados con un plan de acción

elaborado
Objetivo Realizar evaluaciones de riesgo periódicas con los gerentes senior y con el
personal clave
Forma de medición Mediante la medición de los riesgos que iniciaron tratamiento en el mismo mes
Fórmula RITM = (RIT/RRP)*100
Variables RITM: Riesgos que iniciaron tratamiento en el mismo mes
RIT: Riesgos que iniciaron tratamiento
RRP: Riesgos registrados
Responsable Gestor de riesgo
Frecuencia Mensual
Valoración RITM ≥ 90%

¿Es un nuevo riesgo?: el Gestor de riesgos compara el riesgo identificado con el
registrado en la matriz de riesgos para revisar si las condiciones han cambiado. Si el riesgo no se
encuentra en la matriz, se registra y se prioriza.
¿Se debe cambiar la información de la matriz de riesgos?: el Gestor de riesgos revisa si

las condiciones del riesgo han cambiado. Si se requiere actualizar la información de la matriz de
riesgos, se registra y prioriza, en caso contrario se analizan los riesgos.
¿Se requiere plan de acción?: con base en el análisis de riesgos, se decide si requiere un
plan de acción o, por el contrario, se convivirá con el riesgo por la naturaleza del mismo. En el
primer caso se crea el plan de acción, si no se requiere, se monitorean los riesgos y los planes
ejecutados.
Pág. 19
Al realizar el análisis de impacto y riesgo se cuantifica el impacto de la pérdida de

servicios y activos para el SENA y se determina la probabilidad de una amenaza o la
vulnerabilidad ante la misma. El resultado de este proceso es el registro de riesgos priorizado.
El enfoque del proceso de evaluación y administración de riesgos del SENA cumple con
las prácticas recomendadas por Cobit, aunque se podrían establecer y/o mejorar puntos de
control para la identificación, evaluación y gestión de riesgos, así como el monitoreo y
seguimiento a los planes de acción.
Pág. 20
3.2.3 Adquirir recursos de TI (AI05)
Figura 5. Diagrama de flujo Adquirir recursos de TI
Pág. 21
3.2.3.2 Métricas
Tabla 5. Métrica: evaluación de proveedores
Nombre Porcentaje de evaluación de proveedores

Objetivo Medir el rendimiento de los proveedores para identificar oportunidades de
mejora
Forma de medición Mediante la aplicación de criterios de decisión, p.ej., nivel de calidad de los
productos/servicios, grado de adaptabilidad a los cambios de la organización,
cercanía geográfica del proveedor, etc.
Fórmula EP = (PE/PA)*100
Variables EP: Porcentaje de evaluación de proveedores
PE: Número de proveedores aprobados
PA: Número de proveedores evaluados
Responsable Director de informática
Frecuencia Semestral
Valoración Excelente  EP ≥ 90%
Satisfactorio  70% ≤ EP < 90%
No satisfactorio  EP < 70%
Tabla 6. Métrica: cumplimiento de entregas
Nombre Porcentaje de cumplimiento de entregas

Objetivo Medir el nivel de fiabilidad en la entrega de recursos de TI
Forma de medición - Mediante la aplicación de criterios de decisión, p. ej., cantidades completas,
fecha de entrega estipulada, estado de los productos en buenas condiciones,
documentación completa, etc.
- Mediante reportes de cumplimiento de contrato del proveedor.
Fórmula CP = (CEC/CER)*100
Variables CP: Porcentaje de cumplimiento de entregas
CEC: Cantidad de entregas completas y a tiempo
CER: Cantidad de entregas realizadas
Frecuencia Mensual
Valoración Excelente  CP ≥ 95%
Satisfactorio  75% ≤ CP < 95%
No satisfactorio  CP < 75%
Pág. 22

Evaluar proveedores: el Director de informática evalúa y compara periódicamente el
rendimiento de los proveedores (actuales y alternativos) para identificar oportunidades de mejora
o la necesidad de suspender los contratos con los proveedores actuales. Para ello emplea los
criterios de evaluación establecidos que permitan una revisión general del rendimiento de los
proveedores de manera objetiva y consistente.
Evaluar y seleccionar proveedores a través de RFP: el Director de informática revisa las

solicitudes de peticiones de propuestas (RFP), evalúa los proveedores de acuerdo con los
criterios y el proceso de decisión aprobado, selecciona el mejor proveedor que cumpla la RFP y,
documenta y comunica la decisión alcanzada.
Supervisar y revisar la entrega de recursos de TI: el Director de informática gestiona,

mantiene y supervisa los contratos y la entrega de recursos de TI. Además, revisa periódicamente
el rendimiento de los proveedores y el cumplimiento con los requisitos contractuales y el valor
de lo pagado y trata las incidencias identificadas.

En la actualidad, el SENA ha adoptado el conjunto de buenas prácticas de ITIL. En
términos generales, cuenta con un proceso de Gestión de proveedores que está orientado a
actividades de identificación, evaluación, selección y gestión de las relaciones y contratos con
proveedores con cuatro indicadores de desempeño.
Sin embargo, el proceso no deja ver claramente controles para supervisar el cumplimiento
y rendimiento del proveedor y, aún más relevante, no existen actividades para gestionar el riesgo
en el suministro, lo que permitiría mejorar el proceso para asegurar la entrega de recursos de TI
de forma eficiente, eficaz, segura, fiable y continua, tal como se recomienda en el diagrama de
flujo de la Figura 5.
Pág. 23
3.2.4 Administrar cambios (AI06)
Figura 6. Diagrama de flujo Administrar cambios
Pág. 24
3.2.4.2 Métricas
Tabla 7. Métrica: cambios que generaron incidentes en su implementación
Nombre Porcentaje de cambios que generaron incidentes en su implementación

Objetivo Medir el nivel de confiabilidad de las evaluaciones de impacto en los procesos
de negocio y los servicios de TI de la organización.
Forma de medición - Reporte de estatus de cambio de RFC
- Estadística de incidentes por solicitudes de cambio
Fórmula ICC = (CINC/CI)*100
Variables ICC: Porcentaje de cambios que generaron incidentes en su implementación
CINC: Cantidad de cambios que generaron incidentes
CI: Total de cambios implementados
Frecuencia Mensual
Valoración Excelente  ICC ≤ 5%
Satisfactorio  5% ≤ ICC < 15%
No satisfactorio  ICC > 15%
Tabla 8. Métrica: cambios rechazados
Nombre Porcentaje de cambios rechazados

Objetivo Medir en qué grado se están realizando solicitudes de cambio que podrían
afectar negativamente al entorno operativo de la organización
Forma de medición - Reunión mensual del Comité de cambios para aprobar/rechazar RFC
- Reporte de estatus de cambio de RFC
Fórmula CRE = (CR/CCE)*100
Variables CRE: Porcentaje de cambios rechazados
CR: Cantidad de cambios rechazados
CCE: Total de cambios presentados al Comité de cambios
Frecuencia Mensual
Valoración Excelente  CRE ≤ 10%
Satisfactorio  10% < CRE ≤ 30%
No satisfactorio  CRE > 30%
Pág. 25

Evaluar impacto: el Jefe de operaciones TI evalúa las solicitudes de cambio (normal,
emergencia) para determinar el impacto en los procesos de negocio y los servicios de TI. Analiza
si el cambio afecta negativamente al entorno operativo o si introduce un riesgo inaceptable. Para
realizar la evaluación se apoya en la encuesta de impacto configurada en la herramienta de
gestión.
Evaluar solicitud de cambio: el Comité de cambios, conformado por los propietarios de

los procesos de negocio, gestores de servicio y demás partes interesadas de los departamentos de
TI, aprueban o rechazan formalmente la solicitud de cambio con base en las evaluaciones de
impacto.
Actualizar estado de RFC aprobados: el Director de informática hace seguimiento e

informa los cambios de estado de RFC, p.ej., en proceso, completado, rechazado. Elabora
reportes de cambio de estado que incluyen métricas de rendimiento para facilitar la revisión por
la Dirección.

En la actualidad, el SENA ha adoptado el conjunto de buenas prácticas de ITIL. En
términos generales, cuenta con tres procesos de Gestión de cambios según el tipo de solicitud,
p.ej., cambios normales, cambios de emergencia y cambios estándar. Además, cuenta con siete
indicadores de desempeño, por lo cual, se infiere que el proceso de gestión de cambios del SENA
es uno de los más desarrollados y cubre todos los objetivos de control: evaluar, priorizar y
autorizar peticiones de cambio, gestionar cambios de emergencia, hacer seguimiento e informar
de cambios de estado y cerrar y documentar los cambios.
Pág. 26
3.2.5 Administrar servicios de terceros (DS02)
Figura 7. Diagrama de flujo Administrar servicios de terceros
color azul representan los puntos de control del proceso.
Pág. 27
3.2.5.2 Métricas
Tabla 9. Métrica: cumplimiento de contratos
Nombre Porcentaje de cumplimiento de contratos

Objetivo Determinar el cumplimiento de los proveedores de servicios TIC, con base a los
incidentes escalados y cerrados
Forma de medición El gestor de proveedores realiza el monitoreo y medición de los incidentes
escalados y resueltos con el fin de efectuar la medición de este indicador. Este
monitoreo se realiza a cada uno de los contratos de terceros
Fórmula ICEPEL = (CIR/CIE)*100
Variables ICEPEL: Cumplimineto de contratos
CIR: Cantidad de incidentes de tercero resueltos cumpliendo por ANS
CIE: Cantidad de incidentes escalados a terceros y cerrados en el periodo
Responsable Gestor de proveedores
Frecuencia Frecuencia de medición: mensual
Frecuencia de reporte: mensual
Valoración ICEPEL ≥ 90%
Tabla 10. Métrica: cumplimiento por indicador y tipo de grupo para cada servicio
Nombre Porcentaje de cumplimiento por indicador y tipo de grupo para cada servicio
Objetivo Revisar el número contratos de los proveedores de los servicios TIC
Forma de medición El gestor de proveedores se encarga de revisar cada uno de los contratos con
terceros, verificando la relación entre los contratos planeados para revisión y
los contratos revisados
Fórmula RC = (CR/CP)*100
Variables RC: Revisiones de contrato
CR: Cantidad de contratos revisados
CP: Cantidad de contratos planeados para revisión
Responsable Gestor de proveedores
Frecuencia Frecuencia de medición: anual
Frecuencia de reporte: anual
Valoración RC ≥ 90%
Pág. 28

Evaluar y calificar al proveedor y documentar: después de contar con la información de
los reportes de cumplimiento de contrato del proveedor, se debe verificar y asegurar que la
documentación cumpla con las condiciones pactadas en el contrato.
Evaluar las acciones correctivas y tomar decisiones: de haberse seleccionado y tener

registrado el proveedor, se deberá proceder con el seguimiento correspondiente a todas aquellas
acciones correctivas que se hayan detectado para la mejora del servicio y proceder a tomar las
decisiones de contrato que sean necesarias.

Este proceso en el SENA se ocupa de la relación con los proveedores de servicios, su
principal objetivo es alcanzar la calidad. Este proceso sirve como base para seleccionar y
administrar terceros, efectuando seguimiento a los contratos. El proceso se encuentra con
evidencias de documentación, con actividades definidas y puntos de controles que permiten
realizar seguimiento y monitoreo.
Pág. 29
3.2.6 Garantizar la continuidad del servicio (DS04)
Figura 8. Diagrama de flujo Garantizar la continuidad del servicio

Pág. 30
Figura 8. (Continuación)
color azul representan los puntos de control del proceso.
Pág. 31
3.2.6.2 Métricas
Tabla 11. Métrica: gestión de pruebas DRP
Nombre Porcentaje de gestión de pruebas DRP (Plan de Recuperación de Desastre)

Objetivo Medir la respuesta del plan de gestión de recuperación de desastre
Forma de medición El gestor de continuidad relaciona el numero de pruebas planeadas con el
número de pruebas exitosas realizadas al plan de recuperación de desastre
Fórmula GP = (CPE/CPP)*100
Variables GP: Gestión de pruebas DRP
CPE: Cantidad de pruebas exitosas
CPP: Cantidad de pruebas planeadas
Responsable Gestor de continuidad
Frecuencia Frecuencia de medición: semestral
Frecuencia de reporte: semestral
Valoración GP ≥ 95%
Tabla 12. Métrica: cumplimiento controles DRP
Nombre Porcentaje de cumplimiento controles DRP

Objetivo Medir el cumplimiento de los controles implementados para DRP
Forma de medición El gestor de continuidad se encarga de realizar seguimiento a los controles
implementados para el cumplimiento del DRP, relacionando los controles
implementados con la cantidad de controles a implementar según el análisis de
riesgos
Fórmula CC = (CCI/CC) *100
Variables CC: Cumplimiento controles DRP
CCI: Cantidad de controles implementados
CC: Cantidad de controles a implementar según análisis de riesgos de
continuidad
Responsable Gestor de continuidad
Frecuencia Frecuencia de medición: semestral
Frecuencia de reporte: semestral
Valoración CC ≥ 95%
Pág. 32

Evaluar el impacto de la afectación: una vez se presente la interrupción de los servicios
TIC considerados como críticos, el líder de cada servicio involucrado debe valorar el impacto del
incidente; para aquellos cuyo impacto sea mayor e implique un evento de continuidad o desastre,
deberá reportar a la Gestión de continuidad. Cuando la naturaleza del impacto sea menor, según
la valoración, deberá tratarse en la Gestión de disponibilidad.
Mediante procedimientos de evaluación de impactos y técnicos, cada líder del equipo

coordinador del DRP, en conjunto con su equipo de trabajo, deberá rápidamente evaluar el
impacto de los daños que ocasionó el desastre y proceder de acuerdo con los planes definidos
con el objetivo de recuperar el servicio dentro de los plazos establecidos y acordados como
resultado del BIA. Se debe convocar a Mesa de Trabajo y/o Comité de Continuidad, para su
validación y pronunciamiento de aplicabilidad.
Validar plan de pruebas del DPR: las mesas de trabajo debe validar y aprobar los planes
de pruebas y cronogramas de ejecución de los mismos.

Este proceso ha iniciado con el establecimiento de políticas de continuidad del servicio
TIC, análisis de los impactos generados en la interrupción de los servicios TIC, análisis de los
riesgos a los que están expuestos los servicios, adopción de medidas de prevención de riesgos en
los servicios TIC, diseño, pruebas y revisión de planes de contingencias, hasta la formación del
personal para la recuperación del servicio TIC.
Pág. 33
3.2.7 Monitorear y evaluar el control interno (ME02)
Figura 9. Diagrama de flujo Monitorear y evaluar el control interno
Pág. 34
3.2.7.2 Métricas
Tabla 13. Métrica: Cumplimiento de auditorías internas
Nombre Porcentaje de cumplimiento de auditorías internas

Objetivo Medir el cumplimiento de las auditorías internas
Forma de medición El director de control interno definirá un plan de auditorías con unas cantidades
mínimas por periodo. Se medirá cuántas de esas fueron realizadas
Fórmula CAI = (AIR/AIP)*100
Variables CAI: Cumplimiento de auditorías internas
AIR: Número de auditorías internas realizadas
AIP: Número de auditorías internas programadas
Responsable Director de control interno
Valoración CAI ≥ 90%
Tabla 14. Métrica: impacto de las recomendaciones realizadas
Nombre Porcentaje de impacto de las recomendaciones realizadas

Objetivo Permite medir la capacidad de los procesos auditados para autocontrolarse y
generar mejoras
Forma de medición Una vez realizadas las auditorías, se harán recomendaciones y en una segunda
medición se verificará cuántas de esas fueron acatadas
Fórmula IRR = (RA/RR)*100
Variables IRR: Impacto de las recomendaciones realizadas
RA: Número de recomendaciones acatadas
RR: Número de recomendaciones realizadas
Responsable Director de control interno
Valoración IRR ≥ 80%
Pág. 35

Recibe, clasifica, analiza, asigna: el director de informática o la oficina de tecnología
debe recibir, clasificar, analizar y asignar en su grupo de trabajo los resultados de la auditorías
realizadas con el fin de crear un plan de mejoramiento, definiendo un alcance y unos indicadores
para verificar su cumplimiento.
Monitoreo de los planes de mejora: el jefe de control interno deberá verificar

periódicamente que las actividades definidas en los planes de mejora se estén cumpliendo bajo
las condiciones definidas.
El SENA al ser una entidad pública, frecuentemente está en revisión de sus procesos y
controles, además de ser objeto de fiscalización por parte de los entes de control nacionales,
recibe, clasifica, analiza, asigna y define planes de mejoramiento de sus procesos por medio de la
definición de actividades que deben ser cumplidas en unos tiempos establecidos.
Pág. 36
3.2.8 Proporcionar gobierno de TI (ME04)
Figura 10. Diagrama de flujo Proporcionar gobierno de TI
Pág. 37
3.2.8.2 Métricas
Tabla 15. Métrica: cumplimiento de regulaciones
Nombre Porcentaje de cumplimiento de regulaciones

Objetivo Conocer las regulaciones y marcos normativos del país frente a la
implementación de políticas de TIC
Forma de medición Se tiene un documento con el marco normativo vigente y se procederá a
evidenciar cuántos se encuentran implementados
Fórmula CRTIC = (RIMP/RVIG)*100
Variables CRTIC: Cumplimiento de regulaciones TIC
RIMP: Regulaciones implementadas
RVIG: Regulaciones vigentes
Responsable Director de tecnología
Valoración CRTIC ≥ 75%
Tabla 16. Métrica: talleres plan de comunicaciones política de TIC
Nombre Porcentaje de talleres plan de comunicaciones política de TIC

Objetivo Dar a conocer la normatividad y el alcance de la política de TIC en la
organización
Forma de medición El plan de acción de comunicaciones definirá el mínimo necesario de talleres
para dar a conocer la política de TIC adoptada por la organización
Fórmula TPCTIC = (TPCR/TPCP)*100
Variables TPCTIC: Talleres plan de comunicaciones política de TIC
TPCR: Talleres plan de comunicaciones política de TIC realizados
TPCP: Talleres plan de comunicaciones política de TIC programados
Responsable Asesor de servicios TIC
Frecuencia Trimestral
Valoración TPCTIC ≥ 90%
Pág. 38

Revisar política de TI: el jefe de la oficina de tecnología debe hacer control sobre la
política en construcción o adecuación. Si requiere ajustes, hace las observaciones a la Política
elaborada de TI, continúa con la actividad ajustar política de TIC, de lo contrario, continúa con
la actividad aprobar la política de TIC.
Monitorear y actualizar la política de TI: el Asesor (Gestor de políticas de servicios TIC)

y el profesional universitario (analista de políticas TIC), monitorean que las políticas de TIC
estén alineadas con las políticas institucionales, su funcionalidad y aplicabilidad con el fin de
garantizar su operación. En los procesos de auditoría, hacer seguimiento a las acciones de mejora
para la actualización de las políticas.

La Dirección de tecnologías y sistemas de la información o quien haga sus veces debe
realizar el monitoreo y evaluación de desempeño de la gestión de TI a partir de las mediciones de
los indicadores del macroproceso de gestión de TI.
La planeación y “gobierno de TI incluye la administración formal de los procesos que

mantienen actividades de TI, capacidades de servicio, y soluciones alineadas con las necesidades
del negocio. Gobierno guía de varios aspectos de las otras dimensiones de madurez, incluyendo
el cómo la administración es estructurada y los costos son asignados” (SENA, 2016, p. 127).
Pág. 39
3.3 Dificultades en la definición del modelo
A continuación, se resumen las principales dificultades presentadas en la definición del

modelo de gobierno corporativo de TI para el SENA.
1. La identificación y evaluación de los procesos del área de TI del SENA, debido a que los
procesos son gestionados en su gran mayoría desde la Oficina de Sistemas ubicada en la
Dirección General, al principio se presentaron dificultades para el acceso a la información.
2. Documentación deficiente de procesos en los dominios APO y MEA, e inexistentes en el

dominio EDM, ya que el SENA ha basado sus procesos en ITIL, se cuenta con una guía
operacional robusta sobre procesos en los dominios BAI y DSS (construcción y entrega de
servicios), por lo que para el ejercicio académico se debió definir y diseñar, casi desde cero, los
procesos utilizando las buenas prácticas de gestión de Cobit.
3. Con respecto a esto último, la definición y diseño de procesos, adicionalmente se

presentó dificultad para adaptarlo a las necesidades de la organización, debido a la falta de
información y obtención de respuestas.
Pág. 40
4. CONCLUSIONES
1. La implementación de un modelo de gobierno corporativo y de gestión de las TIC es un

factor diferenciador en organizaciones donde la tecnología informática cobra importancia en sus
operaciones. En este sentido, COBIT es una elección apropiada como framework para que las
organizaciones vinculen sus metas principales de negocio con los objetivos del departamento TI
y tengan la oportunidad de gestionar la tecnología de una manera conveniente, ya que contiene
objetivos de control, directivas de aseguramiento, métricas de desempeño y resultados, factores
críticos de éxito y modelos de madurez que permiten identificar cuáles son los aspectos que se
pueden potenciar para alcanzar un mejor rendimiento.
2. El marco de referencia Cobit es una guía y herramienta útil, que permitió identificar la
situación actual del entorno tecnológico del SENA, p.ej. con la implementación del modelo se
descubrió que no se tienen actividades de gestión de riesgos en el proceso de adquisición de
recursos de TI, lo que permitiría mejorar el proceso para asegurar la entrega de recursos de TI de
forma eficiente, eficaz, segura, fiable y continua. En conclusión, el desarrollo de la actividad
permite generar beneficios y optimizar la ejecución de procesos en la institución.
3. El uso de métricas o indicadores para medir el desempeño de los procesos sirve como
herramienta para capturar datos, transformarlos en información y, en base a ella, determinar
puntos de mejora para que el negocio sea más competitivo y sostenible, p.ej., la medición de
procesos puede proporcionar información para comparar el nivel de desempeño de un proceso
con el equivalente de la competencia o saber si la empresa evoluciona hacia un estado mejor, de
mayor eficiencia o todo lo contrario.
4. Es importante implementar procesos y actividades de identificación, evaluación y gestión

de los riesgos asociados a los componente de TI en una organización, ya que permite identificar
eventos y daños potenciales que podrían afectar negativamente la entidad, ayudando a minimizar
la cantidad de tiempo necesario para recuperar o restaurar las operaciones y las medidas
preventivas o controles para mitigar la probabilidad de que esos eventos vuelvan a ocurrir.
Pág. 41
5. El diagrama de flujo es una herramienta gráfica útil para el modelado de los procesos, ya
que ayuda a comprender mejor la relación que existe entre las entradas, actividades, salidas y
actores del proceso.
6. Es necesario definir con cuál estructura de Cobit se debe trabajar en pro de dar un valor
completo a la entidad, dado que Cobit 5 con respecto a su versión anterior (Cobit 4.1), muestra
procesos mas detallados a nivel de prácticas de gobierno, prácticas de gestión, actividades de
control y entradas y salidas del proceso, como también la mejora en la precision de las metas del
negocio.
7. Como futuros magister en gerencia de sistemas de información, es importante realizar

ejercicios de este tipo que permitan ver el alcance del gobierno corporativo de TI en cualquier
organización sin importar su tamaño.
8. Que los funcionarios y áreas de una organización conozcan los objetivos y metas
generales y las específicas de cada grupo (cascada de metas) permitirá que cada esfuerzo y
recurso consumido sume al alcance dichos objetivos y metas.
9. Por ser el SENA una entidad desconcentrada, el marco de referencia Cobit permite a la
institucion una mejor apropiacion e implementacion de los procesos, ya que involucra a las áreas
estrategicas, misionales y operativas de extremo a extremo en todo el territorio nacional.
10. Toda entidad debe establecer las relaciones con clientes y usuarios para la identificación
de sus necesidades, definiendo los debidos acuerdos para el desarrollo y entrega de los servicios,
basado en sus portafolios y criterios gubernamentales, con el fin de poder generar objetivos
claros y medibles que satisfagan la prestación de los servicios, para promover la mejora continua
de los procesos de TI.
Pág. 42
5. RECOMENDACIONES
1. Cobit es un marco de referencia flexible, esto significa que permite trabajar con otros
estándares, marcos de referencia o buenas prácticas como es el caso de ITIL, TOGAF, ISO
27000, PRINCE2, entre otros. En consecuencia, cuando se implemente un modelo de gobierno
corporativo de TIC, si se requiere un nivel más detallado sobre ciertas áreas de la organización,
es recomendable utilizar los marcos descritos en la Figura 11.
Figura 11. Cobertura de Cobit 5 de otros estándares y marcos de trabajo
Fuente: (COBIT, 2012, p. 61)
2. Para realizar la priorización de procesos, como parte de la implementación de un

gobierno corporativo y de gestión de las TIC, se recomienda emplear la cascada de metas COBIT
y evaluar los procesos de más impacto estratégico y los de menos madurez, por lo cual es
indispensable que haya un conocimiento de qué hace la empresa, cómo funciona, en qué
Pág. 43
momento se encuentra, hacia dónde quiere ir, cuáles son sus lineamientos principales, cómo es
su estructura internamente, en qué sector se encuentra, sus políticas y su entorno interno y
externo.
3. La participación de la alta gerencia de la organización es primordial para el éxito de la

implementación del modelo de gobierno corporativo de TI y, el liderazgo de un oficial o asesor
cuyo principal objetivo sea el de integrar a todos los colaboradores de la organización para
alcanzar los propósitos establecidos.
4. Durante el diseño de los procesos, se recomienda emplear puntos de control al comienzo,

en medio y al finalizar el proceso, de esta manera se logra un diagnóstico temprano de su
funcionamiento. Además, es importante realizar un análisis costo/beneficio acerca de la
implementación de puntos de control teniendo en cuenta el core de negocio y tamaño de la
organización.
5. Para efectuar y desarrollar un buen gobierno corporativo de TI se debe conocer y tener

claridad de qué función y servicios tiene la entidad, como también tener acceso a su información,
dado que construir los dominios y procesos con información incompleta puede ocasionar que las
estructuras no sean funcionales y confiables, por lo que cada área puede operar de manera
diferente y separada en su conjunto organizacional.
Pág. 44
6. BIBLIOGRAFÍA
ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control, directrices gerenciales,
modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.
ISACA. (2012). COBIT 5: Un marco de negocio para el gobierno y la gestión de las TI de la
empresa. Rolling Meadows, Estados Unidos: ISACA.
SENA. (2016). PETIC SENA 2015-2018. Recuperado de http://www.sena.edu.co/es-
co/Noticias/Documents/PLAN_ESTRATEGICO_PETIC_SENA.pdf
SENA. (2017). Informe de seguimiento: Plan estratégico “impactando el empleo decente, la
productividad y la generación de ingresos” 2015-2018. Recuperado de
http://www.sena.edu.co/es-
co/sena/planeacion/seguimiento_plan_estrategico_sena_2015_2018.pdf
SENA. (s.f.a). Misión y Visión SENA. Recuperado de http://www.sena.edu.co/es-
co/sena/Paginas/misionVision.aspx.
SENA. (s.f.b). Sistema Integrado de Gestión y Autocontrol SENA. Recuperado de
http://www.sena.edu.co/es-co/sena/Paginas/sig.aspx.

Guía1 Act1 DairoCuintaco

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Guía1 Act1 DairoCuintaco

Caricato da

Copyright:

Guía 1 - Actividad 1

Modelo de gobierno corporativo de las TIC en una organización

Facultad de Estudios en Ambientes Virtuales

ÍNDICE DE FIGURAS ................................................................................................................. 5

ÍNDICE DE TABLAS ................................................................................................................... 6

3. DESARROLLO DE LA ACTIVIDAD ................................................................................ 9

3.2.4.3 Puntos de control ............................................................................................................................................. 25

3.3 Dificultades en la definición del modelo ...................................................................... 39

Figura 1. Mapa de procesos SIGA del SENA .............................................................................................................. 10

Tabla 1. Procesos seleccionados .................................................................................................................................. 13

Finalmente, se exponen las principales conclusiones de la actividad realizada y

- Obtener información corporativa (misión, visión, objetivos, mapa de procesos y cadena

- Definir métricas para cada proceso de COBIT seleccionado.

- Describir los puntos de control a implementar y el estado actual de cada proceso de

- Utilizar la norma APA para la presentación de trabajos escritos y referenciación

3.1.3 Mapa de procesos

Figura 1. Mapa de procesos SIGA del SENA

Fuente: (SENA, s.f.b)

3.1.4 Promesa de valor

Figura 2. Promesa de valor SIGA del SENA

Fuente: (SENA, s.f.b)

3.2 Mapa de procesos y controles seleccionados

“Objetivo 1: Contribuir a la vinculación laboral mejorando las condiciones de

A continuación, se relacionaron los objetivos corporativos con las metas de negocio

Finalmente, la priorización de los procesos se realizó evaluando los de más impacto

Tabla 1. Procesos seleccionados

Dominio Proceso Controles

3.2.1 Administrar la inversión en TI (PO05)

3.2.1.1 Diagrama de flujo

Figura 3. Diagrama de flujo Administrar la inversión en TI

Tabla 2. Métrica: servicios costeados de TI

Nombre Porcentaje de servicios costeados de TI

Tabla 3. Métrica: desviación del presupuesto en comparación con el presupuesto total

Nombre Porcentaje de valor de desviación del presupuesto en comparación con el

3.2.1.3 Puntos de control

3.2.1.4 Estado actual de procesos y controles

Actualmente, el SENA ha implementado el conjunto de buenas prácticas de ITIL, donde

3.2.2 Evaluar y administrar los riesgos de TI (PO09)

3.2.2.1 Diagrama de flujo

Figura 4. Diagrama de flujo Evaluar y administrar los riesgos de TI (PO09)

Tabla 4. Métrica: riesgos críticos de TI identificados con un plan de acción elaborado

Nombre Porcentaje de riesgos críticos de TI identificados con un plan de acción

3.2.2.3 Puntos de control

¿Se debe cambiar la información de la matriz de riesgos?: el Gestor de riesgos revisa si

3.2.2.4 Estado actual de procesos y controles

Al realizar el análisis de impacto y riesgo se cuantifica el impacto de la pérdida de

3.2.3 Adquirir recursos de TI (AI05)

3.2.3.1 Diagrama de flujo

Figura 5. Diagrama de flujo Adquirir recursos de TI

Tabla 5. Métrica: evaluación de proveedores

Nombre Porcentaje de evaluación de proveedores

Tabla 6. Métrica: cumplimiento de entregas

Nombre Porcentaje de cumplimiento de entregas

3.2.3.3 Puntos de control

Evaluar y seleccionar proveedores a través de RFP: el Director de informática revisa las

Supervisar y revisar la entrega de recursos de TI: el Director de informática gestiona,

3.2.3.4 Estado actual de procesos y controles

3.2.4 Administrar cambios (AI06)

3.2.4.1 Diagrama de flujo

Figura 6. Diagrama de flujo Administrar cambios

Tabla 7. Métrica: cambios que generaron incidentes en su implementación

Nombre Porcentaje de cambios que generaron incidentes en su implementación

Tabla 8. Métrica: cambios rechazados

Nombre Porcentaje de cambios rechazados

3.2.4.3 Puntos de control

Evaluar solicitud de cambio: el Comité de cambios, conformado por los propietarios de