tesis jl torres
TRANSCRIPT
FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA
DE SISTEMAS
NIVEL DE GESTIÓN DEL PROCESO DE
PLANIFICACIÓN Y ORGANIZACIÓN DE LAS
TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES (TIC) EN LA EMPRESA
ESTACIÓN DE SERVICIOS SAN JOSÉ SAC. DE LA
PROVINCIA DE PIURA - DEPARTAMENTO DE PIURA
EN EL AÑO 2012
TESIS PARA OPTAR EL TÍTULO PROFESIONAL
DE INGENIERO DE SISTEMAS
AUTOR:
Bach. Ing. JOSÉ LUIS TORRES VIGIL
ASESOR:
MG. ING. VÍCTOR ÁNGEL ANCAJIMA MIÑAN
PIURA – PERU
2012
ii
HOJA DE FIRMA DE JURADO Y ASESOR
“NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y
ORGANIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES (TIC) EN LA EMPRESA ESTACIÓN DE
SERVICIOS SAN JOSÉ SAC. DE LA PROVINCIA DE PIURA -
DEPARTAMENTO DE PIURA EN EL AÑO 2012”
Autor: Bach. Ing. JOSE LUIS TORRES VIGIL.
Presidente:
__________________________
DR. ING. JOSÉ SALDAÑA TIRADO
Secretario:
__________________________
Dr. ING. JORGE GUTIERREZ GUTIERREZ
Miembro:
__________________________
MG. ING. ANDRES EPIFANIA HUERTAS
iii
DEDICATORIA
Esta tesis está dirigida con todo mi amor y cariño: A Dios, por darme la
oportunidad de vivir y por estar conmigo en cada paso que doy, por fortalecer mi
corazón e iluminar mi mente y por haberme puesto en mi camino a aquellas
personas que han sido mi soporte y mi compañía durante todo mi periodo de vida
y de estudios.
A mis padres por ser el pilar fundamental en todo lo que soy y he logrado hasta
ahora, en toda mi educación, tanto académica, como de la vida, gracias por su
incondicional apoyo perfectamente mantenido a través del tiempo.
A mis hermanos, por haber compartido conmigo las muchas alegrías y tristezas en
el transcurso de nuestras vidas y por haberme guiado, enseñado, aconsejado y
apoyado en toda mi formación, los quiero y respeto mucho y nunca los
defraudare.
A mis sobrinos para que en el futuro vean en mí un ejemplo a seguir.
A mí mismo por haber perseverado y sacrificado constantemente en el transcurso
de toda mi formación y periodo de estudios universitarios.
Y a toda mi familia, porque gracias a ellos y sus buenos deseos de superación y
motivación constante, he sido capaz de llegar alcanzar muchas cosas y siempre
estaré muy agradecido.
José Luis Torres Vigil
iv
AGRADECIMIENTO
A Dios nuestro señor, por darnos la vida y porque gracias a él que nos cuida y nos
protege de todas las adversidades y nunca nos abandonara si le pedimos de
corazón que nos cuide y nos proteja y nos ayude a encaminarnos por el sendero
del buen camino.
A toda mi familia por su constante apoyo en todo este tiempo de estudios, por
apoyarme constantemente y darme ánimos de seguir adelante.
A mis padres Sr. Luis Rolando Torres Bellodas, Sra. Rosa Irma Vigil Achutegui,
por haberme inculcado desde niño muy buenos valores y enseñarme a ser buen
hijo y no dejarme ir por el mal camino.
A mis hermanos, Juan Carlos, María Violeta, Zully Margorie, Marcia Jacqueline,
quienes han estado siempre conmigo apoyándome en casi todo, gracias por
compartir con migo las alegrías y las tristezas que hemos pasado juntos en el
transcurso de nuestras vidas, ustedes son mi todo y mi esperanza y nunca los
defraudare ni los abandonaré.
A mí querida hermana Zully Margorie, porque gracias a ella y su apoyo
incondicional que me ha brindado desde un principio de mi formación
universitaria, y por ese empuje que siempre me ha dado de seguir siempre hacia
adelante y por sus deseos de superación que ha tenido asía mi persona, por al gran
amor y cariño que me tienes, hoy soy lo que soy gracias a ti mi querida hermana.
No tengo palabras para agradecerte infinitamente por la oportunidad que me has
dado y tu generosidad que has tenido con migo, siempre te estaré eternamente
agradecido y espero algún día poder recompensarte.
Agradezco de manera muy en especial a mi asesor el Mg. Ing. Víctor Ángel
Ancajima Miñán por ser nuestro guía en el transcurso de nuestra vida universitaria
y brindarnos su orientación durante el desarrollo de esta investigación, y así
mismo por brindarnos sus buenos consejos de cómo ser mejores personas y
buenos profesionales y por siempre motivarnos a seguir adelante y a cumplir con
nuestras metas muchas gracias ingeniero.
A todos mis amigos y compañeros de clases, muchas gracias por haber
compartido en este periodo de tiempo momentos de alegrías, angustias y tristezas
y también por ayudarnos y empujarnos a seguir adelante y no dejarnos vencer para
llegar a alcanzar nuestras metas.
José Luis Torres Vigil
v
RESUMEN
Esta tesis pertenece a la línea de investigación en tecnologías de información y
comunicación (TIC) de la Escuela Profesional de Ingeniería de Sistemas de la
Universidad Católica los Ángeles de Chimbote, el cual busca determinar el
Nivel de Gestión del proceso de Planificación y Organización de las
tecnologías de información y comunicaciones (TIC) en la empresa Estación de
Servicios San José SAC. de la provincia de Piura - Departamento de Piura del
año 2012.
El estudio es de tipo cuantitativo, descriptivo, no experimental, de corte
transversal y en él se analiza el nivel de perfil de estas diez variables: plan
estratégico, arquitectura de información, dirección tecnológica , procesos
organización y relaciones , inversión de TI, nivel de comunicación entre los
miembros , recursos humanos, calidad de TI, riesgos de TI, proyectos de
TI.
Para la medición y control de las variables de estudio se utilizaron encuestas,
las cuales fueron remitidas a través de documentos físicos a la Gerencia de
Estación de Servicios San José SAC y a su vez al Jefe del área de
informática, responsables de cada área administrativa, se aplicaron
diferentes encuestas con opciones del 0 al 5 , también se utilizó la
observación de cada área que cuente con tecnologías de información y
que estén involucradas al tema de investigación.
Se trabajó con una muestra conformada por 40 trabajadores de esta empresa,
seleccionados tomando en cuenta su involucramiento con los procesos de TIC de
la empresa.
Los resultados del estudio arrojaron que el plan estratégico de la empresa Estación
de Servicios San José SAC. de la provincia de Piura en tecnologías de
información y comunicación, donde el 67.5% de las encuestas aplicadas
demuestran que el proceso de definición del plan estratégico de TIC se
encuentra en un nivel repetible, mientras que el 27.5% se encuentra en
un nivel definido , el 2.5% en un nivel Administrado y con el mismo
vi
porcentaje se encuentra en un nivel Inicial según el modelo de referencia
COBIT versión 4.1, estos resultados no coinciden con la hipótesis formulada
sobre el nivel de madurez de este proceso; por lo que la hipótesis se
rechaza.
En cuanto a la arquitectura de información, el 62.5% de los empleados
encuestados consideran que el proceso de arquitectura de información se
encuentra en un nivel repetible, mientras que el 25% se encuentra en un
nivel definido, el 10% posee el nivel inicial, y con 2.5% se encuentra en un
nivel administrado según el modelo de referencia COBIT versión 4.1, estos
resultados no concuerdan con la hipótesis formulada sobre el nivel de
madurez de este proceso; por lo que la hipótesis se rechaza.
El 40% del personal encuestado considera que el proceso de dirección
tecnológica se encuentra en un nivel repetible, el 35% se encuentra en un
nivel definido , el 22. 5% en un nivel Inicial, y con el 2.5% se encuentra
en un nivel Administrado según el modelo de referencia COBIT versión 4.1,
estos resultados no concuerdan con la hipótesis formulada sobre el nivel de
madurez de este proceso; por lo que la hipótesis se rechaza.
Además el 47.5% de las encuestas aplicadas determinan que el proceso de
organizaciones y relaciones de TI se encuentra en un nivel Definido, el
32.5% se ubica en el nivel Repetible, el 17.5% se encuentra en un nivel
Inicial , y con el 2.5% se encuentra en un nivel administrado según el
modelo de referencia COBIT versión 4.1, estos resultados concuerdan con la
hipótesis formulada sobre el nivel de madurez de este proceso; por lo que
la hipótesis queda aceptada.
Asimismo el 42.5% del personal encuestado considera que el proceso de
inversión de TI se encuentra en un nivel Repetible, el 40% se ubica en
un nivel Definido y con el 17.5% se encuentra en un nivel Inicial según el
modelo de referencia COBIT versión 4.1, estos resultados no concuerdan con la
hipótesis formulada sobre el nivel de madurez de este proceso; por lo que
la hipótesis se rechaza.
vii
Por lo tanto el 50% de los trabajadores encuestados consideran que el
proceso de nivel de comunicación de TI se encuentra en un nivel
Repetible , el 32.5% se encuentra en un nivel Definido, seguido del 10% se
encuentra en un nivel Inicial y con el 7.5% se ubica en el nivel
Administrado según el modelo de referencia COBIT versión 4.1, estos resultados
no coinciden con la hipótesis formulada sobre el nivel de madurez de este
proceso; por lo que la hipótesis se rechaza.
También el 47.5% del personal encuestado considera que el proceso de
recursos humanos de TI se encuentra en un nivel repetible , el 30% se
encuentra en un nivel Definido , además del 15% se encuentra en un nivel
Administrado y por último el 7.5% se encuentra en un nivel Inicial según
el modelo de referencia COBIT versión 4.1, estos resultados no concuerdan con
la hipótesis formulada sobre el nivel de madurez de este proceso; por lo
que esta hipótesis se rechaza.
El 57.5% de los trabajadores encuestados estiman que el proceso de
calidad de TI se encuentra en un nivel repetible , el 30% se encuentra
en un nivel Definido y con el 12.5% se encuentra en un nivel
administrado según el modelo de referencia COBIT versión 4.1, estos resultados
no concuerdan con la hipótesis formulada sobre el nivel de madurez de este
proceso; por lo que esta hipótesis se rechaza.
Contando con un 65% del personal encuestado consideran que el proceso
de riesgos de TI se encuentra en un nivel Definido , el 27.5% se
encuentra en un nivel Repetible y el 7.5% se encuentra en un nivel inicial
según el modelo de referencia COBIT versión 4.1, estos resultados coinciden con
la hipótesis formulada sobre el nivel de madurez de este proceso; por lo que
la hipótesis se acepta.
Por último el 45% del personal encuestado estima que el proceso de
proyectos de TI se encuentra en un nivel repetible , con el 40% se
encuentra en un nivel definido el 10% se encuentra en un nivel inicial y
con el 5% se encuentra en un nivel administrado según el modelo de referencia
viii
COBIT versión 4.1, estos resultados no coinciden con la hipótesis formulada
sobre el nivel de madurez de este proceso; por lo que la hipótesis se
rechaza.
Palabras clave: Tecnologías de información y comunicaciones, plan estratégico
de TI, arquitectura de la información, dirección tecnológica, procesos,
organización y relaciones de TIC, evaluar y administrar los riesgos de TIC,
modelo de referencia COBIT versión 4.1, grifo, empresa.
ix
ABSTRACT
This thesis is part of the research in information and communication technologies
(ICT) of the Professional School of Systems Engineering at the Catholic
University of Chimbote Angels, which seeks to determine the level Planning
Process Management and Organization information and communications
technologies (ICT) Services Company San Jose Station SAC in the province of
Piura - Piura in 2012.
The study is quantitative, descriptive, non-experimental, cross-sectional and it is
analyzed the profile level of these ten variables: strategic plan, information
architecture, technological direction, processes, organization and relationships, IT
investment, level of communication between members, human resources, quality
of IT, IT risk, IT projects.
To measure and control variables study used surveys, which were sent via
physical documents to the Management of San Jose Service Station SAC. and in
turn to the Head of IT Department, responsible for each administrative area, we
applied different surveys with options from 0 to 5, also used the observation of
each area that has technologies information and are involved in the research topic.
We worked with a sample consisting of 40 employees of this company, selected
taking into account their involvement with ICT processes of the company.
The results of the study showed that the company's strategic plan Service Station
San José SAC. in the province of Piura in information and communication
technologies, where 67.5% of the surveys show that the process of defining the
ICT strategic plan is in a repeatable level, while 27.5% is in a defined level, 2.5%
at a level Managed and at the same percentage level is in a modeled initial COBIT
version 4.1, these results do not match the assumption made about the level of
maturity of this process, so the hypothesis is rejected.
As for the information architecture, the 62.5% of employees surveyed believe the
information architecture process is in a repeatable level, while 25% is in a defined
x
level, 10% have the initial level, and 2.5% is at a level that was administered
according to the COBIT reference model version 4.1, these results are consistent
with the hypothesis formulated on the level of maturity of this process, so the
hypothesis is rejected.
40% of staff surveyed think that the process of technological leadership is in a
repeatable level, 35% at a level Meeting on defined, 22. 5% initial level, and the
2.5% level is in a Managed as COBIT model version 4.1, these results are
consistent with the hypothesis formulated on the level of maturity of this process
so that the hypothesis rejected.
In addition 47.5% of the surveys determined that the process of IT organizations
and relations at a level is defined, 32.5% are located in the Repeatable level,
17.5% were in initial level, and to 2.5% is at a level that was administered
according to the COBIT reference model version 4.1, these results are consistent
with the hypothesis formulated on the level of maturity of this process, so the
hypothesis is accepted.
Also, 42.5% of staff surveyed think that the IT investment process is in a
Repeatable level, 40% is located in a defined level and 17.5% were in initial level
according to the COBIT reference model version 4.1 These results are not
consistent with the hypothesis formulated on the level of maturity of this process,
so the hypothesis is rejected.
Thus 50% of workers surveyed believe that the process of IT communication level
is in a Repeatable level, 32.5% is in a defined level, followed by 10% is in an
initial level and the 7.5% fall in the level Managed by model COBIT version 4.1,
these results are consistent with the hypothesis formulated on the level of maturity
of this process, so the hypothesis is rejected.
Also, 47.5% of staff surveyed think that the process of IT human resources in a
repeatable level, 30% is in a defined level, and 15% is in a Managed level and
xi
finally the 7.5% is Start at a level according to the COBIT reference model
version 4.1, these results are consistent with the hypothesis formulated on the
level of maturity of this process so this hypothesis is rejected.
The 57.5% of workers surveyed estimate that IT quality process is in a repeatable
level, 30% is in a defined level and 12.5% at one level is administered according
to the COBIT reference model version 4.1 These results are not consistent with
the hypothesis formulated on the level of maturity of this process so this
hypothesis is rejected.
Counting with 65% of staff surveyed believe that the process of IT risks in a
defined level, 27.5% are at a level 7.5% Repeatable and is at an initial level as the
reference model version 4.1 COBIT These results are consistent with the
hypothesis formulated on the level of maturity of this process so that the
hypothesis is accepted.
Finally, 45% of staff surveyed estimated that the process of IT projects in a
repeatable level, with 40% is in a defined level of 10% is in the initial level and
5% are in given level as COBIT model version 4.1, these results do not match the
hypothesis made about the level of maturity of this process so that the hypothesis
is rejected.
Keywords: information and communication technologies, IT strategic plan,
information architecture, technological direction, processes, organization and
relationships ICT, assess and manage the risks of ICT, COBIT reference model
version 4.1, tap, company.
xii
INDICE DE CONTENIDOS
Título de la tesis………………………………………………...………………....i
Dedicatoria……………………………………………………………………......iii
Agradecimiento………………………………………………………………...…iv
Resumen………...………………………………………………………………....v
Abstract………………………………………………………..……………….....ix
Índice de Contenido……………………………………………………………..xii
Índice de Tablas y Cuadros……………………………………………………..xv
Índice de Gráficos……………………………………………………………...xvi
I. Introducción……………………………………………………………………..1
I.1 Planteamiento el Problema……………………………………………………..4
I.2 Objetivos de la Investigación………………………………………………...7
I.3 Justificación de la Investigación…………………………………………….9
II. Revisión de Literatura……………………………………………….............10
2. Marco teórico y conceptual…………………………………...........................10
2.1 Antecedentes………………………………………………………………...10
2.1.1 Antecedentes a nivel Internacional………………………………………..10
2.1.2 Antecedentes a nivel Nacional…………………………………………12
2.1.3 Antecedentes a nivel Local………………………………………………..13
2.2. Bases teóricas……………………………………………………………….14
2.2.1. Definición de Empresa……………………………………………………14
2.2.1.1 Clasificación de las empresas……………………………………………14
2.2.2 Tecnologías de Información y Comunicación………………………...16
2.2.2.1 Definición…………………………………………………………....….16
2.2.2.2 Las TIC como herramienta a la gestión empresarial…………………….16
2.2.2.3 Principales TIC utilizadas en las empresas……………………………....17
2.2.2.4 Utilidad de las TIC en las empresas……………………………..17
2.2.2.5 Las TIC en las empresas………………………………………..……18
2.2.2.6 Importancia de las TIC en las empresas………………………...18
2.2.2.7 Características Principales de las TIC………………………………..18
xiii
2.2.2.8 Beneficios que aportan las TIC……………………………………....19
2.2.3 COBIT…………………………………………………………………….20
2.2.3.1 Definición de COBIT………………………………………………….20
2.2.3.2 Características de COBIT……………………………………………...20
2.2.3.3 Ventajas de COBIT………………………………………………….....21
2.2.3.4 Aceptabilidad General de COBIT……………………………………….21
2.2.3.5 Modelo de madurez según COBIT……………………………………....22
2.2.4 Planificación y Organización………………………………………….......24
2.2.4.1 Definir un Plan Estratégico de TI………………………………………...24
2.2.4.2 Definir la Arquitectura de la Información………………………………..25
2.2.4.3 Determinar la Dirección Tecnológica………………………………….....25
2.2.4.4 Definir los Procesos, Organización y Relaciones de TI………………....25
2.2.4.5 Administrar la Inversión en TI…………………………………………...25
2.2.4.6 Comunicar las Aspiraciones y la Dirección de la Gerencia……………...26
2.2.4.7 Administrar los Recursos Humanos de TI…………………………….....26
2.2.4.8 Administrar la Calidad…………………………………………………...26
2.2.4.9 Evaluar y Administrar los Riesgos de TI…………………………….….27
2.2.4.10 Administrar Proyectos……………………………………………….....27
2.3 Empresa………………………………………………………………………29
2.3.1 Historia……………………………………………………………………..29
2.3.2 Áreas de la Empresa………………………………………………………..30
2.3.3 Visión...…………………………………………………………………….30
2.3.4 Misión…….………………………………………………………………...30
2.4 Hipótesis……………………………………………………………………...32
2.3.1 Hipótesis General………………………………………………………......32
2.3.2 Hipótesis Específica…………………………………………………….....32
III Metodología………………………………………………………………......34
3.1 Tipo y nivel de investigación……………………………………………..34
3.1.1 Tipo de Investigación……………………………………………………..34
3.1.2 Nivel de Investigación………....................................................................34
3.2 Diseño de Investigación…………………………………………………....34
3.3 Población y Muestra………………...............................................................35
xiv
3.4 Técnicas e instrumentos...................................................................................35
3.4.1 Procedimiento de recolección de datos.........................................................35
3.4.2 Operacionalización de variables....................................................................36
3.4.3 Plan de Análisis…………………………………………………………....45
IV. Resultados.......................................................................................................46
4.1 Resultados……………………………………………………………………46
4.2 Análisis de Resultados………………….…………………………………..66
4.3 Propuesta de mejora…………………………………………………………69
V. Conclusiones.....................................................................................................70
VI. Recomendaciones............................................................................................72
5. Referencias Bibliográficas………………….………………………………....74
Anexos………………………………………………………………………....…79
Anexo I: Cronograma de Actividades……….………………………………….80
Anexo II: Presupuesto………………………….………………………...………81
Anexo III: Cuestionario para medir el nivel de gestión del
proceso de planificación y organización de las TIC…………………………82
xv
INDICE DE TABLAS Y CUADROS
Tabla Nº 01 Definición de plan estratégico de TIC……………………………...46
Tabla Nº 02 Arquitectura de la información…………………………...…...........48
Tabla Nº 03 Dirección Tecnológica TIC…………………….………….………..50
Tabla Nº 04 Procesos, organización, relaciones TIC…………………………….52
Tabla Nº 05 Inversión de TI……………...…………………………………..54
Tabla Nº 06 Nivel de Comunicación entre los miembros de
TI……………...………………………………………………………………….56
Tabla Nº 07 Recursos humanos de TI………………………………............58
Tabla Nº 08 Calidad de TI……………...…………………………………...60
Tabla Nº 09 Riesgos de TI……………...…………………………………..62
Tabla Nº 10 Proyectos de TI……………...…………………………............64
xvi
INDICE DE GRAFICOS
Grafico Nº 01 Representación Gráfica de los Modelos de Madurez……….24
Grafico Nº 02 Marco de Trabajo COBIT……………………………………..28
Grafico Nº 03 Mapa geográfico de la ciudad de Piura…………………………..31
Grafico Nº 04 Definición de plan estratégico de TIC…………………………..47
Grafico Nº 05 Arquitectura de la información…………………………...….......49
Grafico Nº 06 Dirección Tecnológica TIC…………………….………….……..51
Grafico Nº 07 Procesos, organización, relaciones TIC……………………….….53
Grafico Nº 08 Inversión de TI……………...………………………………...55
Grafico Nº 09 Nivel de Comunicación entre los miembros de TI……....57
Grafico Nº 10 Recursos humanos de TI………………………………….....59
Grafico Nº 11 Calidad de TI……………...………………………………..61
Grafico Nº 12 Riesgos de TI……………...………………………………..63
Grafico Nº 13 Proyectos de TI……………...……………………………....65
1
I. INTRODUCCIÓN
Las organizaciones exitosas de hoy, han entendido y aceptado los beneficios
que proporciona el uso adecuado de las tecnologías de información
y comunicaciones (TIC) y utilizan este conocimiento para impulsar el
valor de sus acciones. Ellas reconocen la dependencia crítica de muchos de los
procesos de negocio de las tecnologías de información y comunicaciones, así
como la necesidad de cumplir con las crecientes demandas de cumplimiento
normativo y los beneficios de la gestión eficaz de riesgos.
La presente investigación es importante y necesaria ya que responde a
la necesidad de mejoramiento de la Planificación y Organización de las
tecnologías de información y comunicaciones en la empresa Estación de
Servicios San José SAC. del departamento de Piura, y el interés por
brindar una mejor atención a sus clientes en sus diferentes servicios , y
así contribuir con sus objetivos de negocio de manera exitosa.
En la actualidad existen marcos de gestión de tecnologías de
información y herramientas de apoyo como COBIT que permiten a los
administradores reducir la brecha entre las necesidades de control , las
cuestiones técnicas y los riesgos del negocio. Asimismo permite el
desarrollo de políticas de desarrollo claras y buenas prácticas para el control
de tecnologías de información en las organizaciones, estos marcos
enfatizan el cumplimiento de las normas, ayudan a las organizaciones
a aumentar el valor de tecnologías de información permitiendo la
alineación y simplifican la implementación del marco de gestión de
tecnologías de información.
El estudio usa un diseño de investigación no experimental, de corte
transversal - descriptivo.
2
La investigación consta de seis capítulos, el cual se detalla a continuación:
En el primer capítulo se sitúa la problemática en un marco teórico,
sintetizándolo en una interrogante que es denominada el enunciado del
problema , donde se precisa y orienta lo que se busca responder con este
estudio, también se define los objetivos y justificación a la que se
quiere llegar con este informe de investigación.
En el segundo capítulo se realiza la revisión de la literatura de
antecedentes que mencionan resultados de investigaciones previas, las
bases teóricas constituyen la recopilación de los enfoques teóricos .Y por
último la hipótesis con respuestas tentativas y provisorias a la
interrogante presentada en el enunciado del problema.
En el tercer capítulo se describe la metodología empleada en el estudio
como el diseño de investigación es no experimental, de corte
transversal, lo cual define la población y muestra que estará conformada
por 40 trabajadores , realizando la definición operacional y conceptual de
las variables, luego sigue la técnica e instrumentos en donde se utilizó la
técnica de la encuesta con opciones del 0 al 5, aplicada a cada uno de
los empleados que constituyen la muestra, seguido del procedimiento de
recolección de datos. Por último se encuentra el plan de análisis en el cual se
explica el tratamiento realizado a los datos obtenidos.
En el cuarto capítulo se presentan los resultados analizados e interpretados de
la investigación, en un análisis de resultados obtenidos en ambas variables
y la propuesta de mejora a la que se quiere llegar; En el quinto capítulo
se presenta las conclusiones a los que llegó el estudio; En el sexto y ultimo
capítulo se enuncian las recomendaciones, generadas como resultado de la
investigación y que deberían implementarse para mejorar los procesos de
negocio de la empresa.
3
Se citan las referencias bibliográficas utilizadas en el estudio, siguiendo las
normas de Vancouver.
Finalmente se presentan los anexos, en los cuales se consigna el
cronograma de actividades, presupuesto y financiamiento utilizados en el
proceso de recolección de datos, y las distintas encuestas para medir el
perfil de la planificación y organización de las tecnologías de
información y comunicación (TIC) según el modelo de referencia COBIT
versión 4.1.
4
I.1 Planteamiento del problema
Las Tecnologías de la Información y las Comunicaciones se convierten en
la base de desarrollo social y económico de la comunidad. No hay duda de
que se trata de un sector transversal a todas las áreas de la economía y
segmentos sociales. Teniendo esto en cuenta, la interconexión de las
empresas TIC con todos los sectores económicos y sociales del entorno se
convierte en indispensable. El uso creciente de las tecnologías de la
información y las comunicaciones (TIC) han tenido un impacto
determinante en diferentes ámbitos, sobre todo en el mundo laboral.
Debiendo considerarlas como una herramienta que permite una
diferenciación con los competidores, usándolas en procesos estimados clave
para la empresa (1)
.
Hoy en día no se concibe la subsistencia de una empresa sin la disposición,
adopción y uso correcto de las TIC, puesto que sea donde opere, se torna
cada vez necesario el uso de ellas. Tanto las tradicionales y las innovadoras,
como el fenómeno el Internet, que le han dado un amplio nivel competitivo
a las empresas, que usan estas herramientas para estar a la vanguardia y
mejorar o elevar su productividad. Todas las empresas evolucionan, y es
más, necesitan evolucionar, para adaptarse a un entorno cambiante y crecer,
entonces resulta fundamental aprovechar las posibilidades que ofrecen las
herramientas basadas en las TIC, las cuales han demostrado en sobradas
ocasiones su eficacia en la mejora de la productividad y competitividad de
las empresas, tanto a nivel de gestión, como de producción, servicios o de
apoyo a ventas, entre otros, aunque pocas veces se les saca el máximo
partido al no considerarlas de manera integrada en la estrategia empresarial
(2).
Estación de Servicios San José S.A.C, es una empresa piurana que viene
operando por más de 19 años en el territorio nacional, en el rubro de venta
de combustibles, lubricantes, llantas, servicio de lavado y engrase y de
alquiler de vehículos, dentro del cual destaca el alquiler de camionetas
5
cerradas, doble cabina, doble tracción, totalmente equipadas, para la
actividad de exploraciones, perforación y explotación de yacimientos
mineros. Dentro de la actividad turística, por el equipamiento que tienen
nuestros vehículos nos hemos especializado en el turismo de aventura y
ecológico; liderando de esta manera, el mercado local y nacional por la
eficiencia, calidad de nuestros servicios y porque contamos con la flota más
moderna de la región Piura. Cuenta actualmente con varios equipos de
cómputo en cada área , y ordenadores portátiles para el uso de
gerencia, teléfonos fijos y móviles. Cuenta con sistema de alquileres,
facturación, ventas y monitoreo de flotas ; algunos de los procesos
se hacen de forma manual y luego se ingresan al sistema , no
teniendo aun un sistema de gestión empresarial que esté integrado
a todas las áreas de la empresa.
Cuenta con su página web para dar información a sus clientes,
además cuenta con Internet, un servidor, correo electrónico para
establecer una comunicación e información, debido a estas carencias
se ha determinado que la empresa no ha implantado en su totalidad
las tecnologías de información útiles en su ámbito empresarial que le
ayuden a mejorar sus procesos de negocio en su entidad.
El problema de la empresa Estación de Servicios San José SAC. cuenta
con ciertas debilidades en el nivel de gestión del proceso de
planificación y organización, dividido en sus procesos o variables
mencionadas.
En el plan estratégico aún no se realiza una buena gestión de
recursos de tecnología de información a fin de cumplir con sus
objetivos de negocio y lineamiento estratégico que se comparta con
la gerencia y se documente, con referente a la arquitectura de
información no cuenta con un sistema recomendable con mayor
seguridad y confiable y no existe un plan formal de entrenamiento
en el área de informática.
6
En la dirección tecnológica no se ha creado un plan de
infraestructura tecnológica que cumpla con los estándares definidos y
documentados ya que se aplican de manera inconsistente . Los
procesos, organización y relaciones de TIC, en la empresa falta tomar en
cuenta los requerimientos del personal, no existe la transparencia como el
involucramiento de la gerencia para llevar a cabo sus funciones y
responsabilidades de manera eficiente.
También aún no se realiza una buena inversión de TI en cuanto a
las necesidades del negocio de la empresa. En cuanto al nivel de
comunicación la empresa no siempre da a conocer los objetivos del negocio
y de TI a los interesados apropiados y a los usuarios de toda la empresa, el
cumplimiento de estas políticas y estándares es inconsistente.
En el proceso de administración de recursos humanos si hay un
patrón regular pero aun con errores de los implementos o personal del
que van a disponer. De la calidad de TI aún no se utilizan estándares
y métricas para mejorar la calidad tecnológica.
Sobre la administración de riesgos la empresa no cuenta con un marco de
trabajo de administración de los riesgos con una alta responsabilidad,
muchas veces los encargados toman decisiones de la evaluación , el
cual debe ser concreto y adecuado. En la administración de proyectos
no se formula aun planes detallados del proyecto y poco participación
de los usuarios involucrados, atrasando la demora del proyecto a
ejecutar.
Debido a esta problemática se planteó la siguiente pregunta general:
¿Cuál es el nivel de gestión del proceso de planificación y organización de
las tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC., de la provincia de Piura
Departamento de Piura en el año 2012?
7
Como consecuencia a la pregunta en general planteada y para establecer los
objetivos de la investigación realizada en la empresa se planteó como
Objetivo General:
Determinar el nivel de gestión del proceso de Planificación y Organización
de las tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC, de la provincia de Piura -
Departamento de Piura en el año 2012.
De acuerdo al objetivo general planteado en la investigación realizada se
plantearon los siguientes Objetivos Específicos:
1. Determinar el nivel de madurez del proceso definición del plan
estratégico de las tecnologías de información y comunicaciones (TIC)
en la empresa Estación de Servicios San José SAC. de la provincia
de Piura - Departamento de Piura en el año 2012.
2. Determinar el nivel de madurez del proceso Definición de
Arquitectura de la Información de las tecnologías de información y
comunicaciones (TIC) en la empresa Estación de Servicios San José
SAC. de la provincia de Piura - Departamento de Piura en el año 2012.
3. Determinar el nivel de madurez del proceso Dirección
Tecnológica de las tecnologías de información y comunicaciones
(TIC) en la empresa Estación de Servicios San José SAC. de la
provincia de Piura - Departamento de Piura en el año 2012.
4. Determinar el nivel de madurez del proceso Definición de
Procesos organización y relaciones de las tecnologías de información
y comunicaciones (TIC) en la empresa Estación de Servicios San José
SAC. de la provincia de Piura - Departamento de Piura en el año
2012.
5. Determinar el nivel de madurez del proceso Inversión de las
tecnologías de información y comunicaciones (TIC) en la empresa
8
Estación de Servicios San José SAC. de la provincia de Piura -
Departamento de Piura en el año 2012.
6. Determinar el nivel de madurez del proceso Comunicación de las
aplicaciones y la dirección de la gerencia sobre las tecnologías
de información y comunicaciones (TIC) en la empresa Estación de
Servicios San José SAC. de la provincia de Piura - Departamento de
Piura en el año 2012.
7. Determinar el nivel de madurez del proceso Administración de
recursos humanos de las tecnologías de información y comunicaciones
(TIC) en la empresa Estación de Servicios San José SAC. de la
provincia de Piura - Departamento de Piura en el año 2012.
8. Determinar el nivel de madurez del proceso Administración de
calidad de las tecnologías de información y comunicaciones (TIC) en
la empresa Estación de Servicios San José SAC. de la provincia de
Piura - Departamento de Piura en el año 2012.
9. Determinar el nivel de madurez del proceso Evaluación y
administración de riesgos sobre las tecnologías de información y
comunicaciones (TIC) en la empresa Estación de Servicios San José
SAC. de la provincia de Piura - Departamento de Piura en el año 2012.
10. Determinar el nivel de madurez del proceso Administración de
proyectos de las tecnologías de información y comunicaciones (TIC) en
la empresa Estación de Servicios San José SAC. de la provincia de
Piura - Departamento de Piura en el año 2012.
11. Realizar una propuesta de mejora para el nivel de gestión del proceso de
Planificación y Organización de las tecnologías de información y
comunicaciones (TIC) en la empresa Estación de Servicios San José
SAC. de la provincia de Piura - Departamento de Piura.
9
I.3 Justificación de la investigación
Esta investigación es importante y necesaria para la empresa Estación de
Servicios San José SAC, en general y particularmente, ya que permitirá
determinar el Nivel de Gestión del proceso de Planificación y Organización
de las tecnologías de información y comunicaciones (TIC) en cada una de las
funciones y actividades, contribuyendo a los objetivos de negocio y al
buen direccionamiento de la empresa; permitiéndoles tomar conciencia del
uso de las TIC dentro del proceso de Planificar y Organizar.
Este estudio también se justifica y es de interés de muchas empresas que
se dedican al rubro de servicios de venta de combustibles y alquileres de
vehículos, ya que proporciona datos estadísticos de la evaluación de los
procesos de Tecnologías de la Información implantados, siguiendo un marco
de referencia reconocido y aceptado internacionalmente como es el modelo
COBIT. Específicamente los datos generados de la Evaluación de los
procesos:
1. PO1: Definir un Plan Estratégico de TI.
2. PO2: Definir la Arquitectura de la Información.
3. PO3: Determinar la Dirección Tecnológica.
4. PO4: Definir los procesos, organización y relaciones de TI.
5. PO5: Administrar la inversión en TI.
6. PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia.
7. PO7: Administrar Recursos Humanos de TI.
8. PO8: Administrar la Calidad.
9. PO9: Evaluar y administrar los riesgos de TI.
10. PO10: Administrar Proyectos.
Estos procesos permiten la planeación de acciones para lograr los valores de
madurez que habilitan una verdadera gobernabilidad sobre las tecnologías de
información.
10
II. Revisión de Literatura.
2. Marco teórico y conceptual
2.1. Antecedentes
2.1.1 Antecedentes a nivel Internacional.
Juan Marín, Socio Director de Servicios Financiero en España
realizo un estudio de investigación sobre, Costes de Tecnologías de
la Información en las Entidades Financieras Españolas en 2006. En
el presente estudio han colaborado 22 entidades entre Bancos y
Cajas de Ahorro que en conjunto representan el 64% de los activos
totales del sistema bancario español. Todos los datos se refieren a
las entidades operativas en España y se excluyen los
correspondientes a las filiales o participadas extranjeras de las
entidades españolas. Donde se demostró en el estudio que los
gastos de inversiones totales en Tecnologías de la Información (TI),
en el sector bancario han aumentado un 8,4%, en términos
nominales respecto al año anterior. Ello contrasta claramente con
los crecimientos mínimos, de 1% o 2%, de años anteriores y
supone el fin de la estabilización de costes imperante desde 2003.
Las nuevas adquisiciones crecen de manera importante un 9,6%, el
mantenimiento de infraestructura se mantiene estable y el
desarrollo de mantenimiento de aplicaciones crece un 7,9%. El
desarrollo y mantenimiento evolutivo crece un 8,6%, mientras que
el correctivo y normativo lo hace en un 4,8%. El ritmo de
crecimiento es similar al de 2005. El estudio de Costes de
Tecnologías de la Información en las Entidades Financieras
Españolas en 2006, nació con el objetivo de proporcionar al sector
financiero Español un informe que permita una mejor comprensión
de sus costes y del empleo de la tecnología en el sector (3)
.
11
Díaz Toledano realizo un estudio sobre la arquitectura de
sistemas de información empresariales donde se presenta una
serie de patrones, componentes y arquitectura, también se
presenta ventajas y desventajas las cuales son de mayor coste
de mantenimiento(4)
.
Asimismo Novo(5)
baso su estudio sobre la dirección
tecnológica de las TIC sobre el crecimiento y productividad
empresarial, presentado un resultado del 70% de crecimiento de
productividad en el uso de las TIC, pero también hay
resultados por parte de la empresa que generan en numerosas
ocasiones insatisfacción, a falta de un perfil profesional que
responda al rol muchas veces requerido en la empresa española: un
gestor técnico que comprenda plenamente el negocio, un gestor de
la innovación que reúna profundos conocimientos tanto
tecnológicos como de empresa.
En el 2012(6)
se realizó un informe sobre la inversión de
TIC en compañías chilenas , las cuales se destinaron 4,370
millones de dólares en inversión dentro del país latinoamericano,
dando un resultado negativo de que aun este país está lejos
de ser un sector tecnológico ya que cuenta con un 2% de
crecimiento en inversión.
Carpio (7)
realizo un estudio sobre la administración de
proyectos de tecnología de información , los resultados
obtenidos son que los gerentes de proyectos de tecnología de
información deberían dedicar más recursos a la generación de un
plan coherente para identificar y enfrentar adecuadamente los
riesgos.
12
2.1.2 Antecedentes a nivel Nacional
Retamozo(8)
, en su trabajo monográfico “Planificación
estratégica de la automatización de procesos administrativos.
Caso: oficina de servicio social de la oficina general de bienestar
universitario de la Universidad Nacional de San Marcos”
concluye que la jefatura de la Oficina de Servicio Social ha
considerado positivamente el proceso de Planificación
Estratégica, aceptándolo como una herramienta de análisis de su
contexto y un proceso participativo, para establecer su visión a
largo plazo, su misión, objetivos y considerar estrategias.
Las más grandes empresas ya tienen en su mayoría una
presencia en Internet, según cifras de la revista virtual
opinamos.com las empresas Peruanas gastaron en el 99 unos 5
millones de dólares en Internet y en el 2005 prevén gastar unos
164 millones de dólares una cifra nada despreciable que nos
muestra un buen augurio para el fortalecimiento del Internet en
el país, actualmente más del 80% en transacciones comerciales
en Latinoamérica excluyendo a Estados Unidos la realizan
Brasil, México y Argentina (9)
.
En el año 2005, el Centro de Promoción de la Pequeña y
Mediana Microempresa (PROMPyme) (10)
, realizó en el Perú un
estudio denominado “Identificación de necesidades de las
Mypes con respecto a las Tecnologías de la Información y
Comunicación (TIC)”, el cual tuvo como uno de sus objetivos
determinar la utilización de los sistemas de información y del
equipamiento informático de la MYPE, como herramientas para
la gestión empresarial. Este estudio llegó a la conclusión de que
el 50% del personal de las MYPES tiene un nivel bajo (básico)
de conocimiento de las TIC.
13
En el año 2011 el Bach. Víctor Hugo Venturo López realizo
un estudio sobre el Perfil de la planificación y organización
de las tecnologías de información y comunicación (TIC):
Definición de plan estratégico, arquitectura de la información,
dirección tecnológica, procesos, organización y relaciones de TI,
evaluar y administrar riesgos de TIC en la Empresa Agrícola y
Ganadera Chavín de Huantar S.A., de la ciudad de Casma –
Ancash en el año 2011 dando resultados favorables en cada
una de sus variables del estudio(11)
.
2.1.3 Antecedentes a nivel Local
En el año 2012 se realizó un plan de tesis de
“Propuesta de Mejora del Nivel de Gestión de la Planificación y
Organización de las Tecnologías de Información y
Comunicaciones (TIC) en la Empresa Servicios Cobranza e
Inversiones S.A.C (SCI) de la Provincia de Piura y Sullana -
Departamento de Piura en el año 2012", lo cual servirá de
base en el estudio de investigación(12)
.
14
2.2. Bases teóricas
2.2.1. Definición de Empresa
Una empresa es una unidad económica - social, integrada por
elementos humanos, materiales y técnicos, que tiene el objetivo de
obtener utilidades a través de su participación en el mercado de bienes
y servicios (13)
.
Es un sistema que interacciona con su entorno materializando una
idea, de forma planificada, dando satisfacción a unas demandas y
deseos de clientes, a través de una actividad económica. Requiere de
una razón de ser, una misión, una estrategia, unos objetivos, unas
tácticas y unas políticas de actuación. Se necesita de una visión previa
y de una formulación y desarrollo estratégico de la empresa. Se debe
partir de una buena definición de la misión.
2.2.1.1 Clasificación de las empresas
Existen numerosas diferencias entre unas empresas y otras. Sin
embargo, según en qué aspecto nos fijemos, podemos clasificarlas de
varias formas. Dichas empresas, además cuentan con funciones,
funcionarios y aspectos disímiles, a continuación se presentan los
tipos de empresas según sus ámbitos y su producción (14)
.
Según la actividad o giro Las empresas pueden clasificarse, de
acuerdo con la actividad que desarrollen, en:
1. Industriales. La actividad primordial de este tipo de empresas es
la producción de bienes mediante la transformación de la materia o
extracción de materias primas. Las industrias, a su vez, se clasifican
en:
1. Extractivas. Cuando se dedican a la explotación de recursos
naturales, ya sea renovable o no renovable. Ejemplos de este tipo
15
de empresas son las pesqueras, madereras, mineras, petroleras,
etc.
2. Manufactureras: Son empresas que transforman la materia prima
en productos terminados, y pueden ser:
a) De consumo final. Producen bienes que satisfacen de manera
directa las necesidades del consumidor. Por ejemplo: prendas de
vestir, muebles, alimentos, aparatos eléctricos, etc.
b) De producción. Estas satisfacen a las de consumo final.
Ejemplo: maquinaria ligera, productos químicos, etc.
c) Comerciales. Son intermediarias entre productor y
consumidor; su función primordial es la compra/venta de
productos terminados. Pueden clasificarse en:
c.1). Mayoristas: Venden a gran escala o a grandes rasgos.
c.2). Minoristas (detallistas): Venden al menudeo.
c.3).Comisionistas: Venden de lo que no es suyo, dan a
consignación. Servicio. Son aquellas que brindan servicio a la
comunidad que a su vez se clasifican en:
c.3.1).Transporte
c.3.2).Turismo
c.3.3).Instituciones financieras
c.3.3.1).Servicios públicos (energía, agua, comunicaciones)
c.3.3.2).Servicios privados (asesoría, ventas, publicidad,
contable, administrativo)
c.3.3.3).Educación
c.3.3.4).Finanzas
16
c.3.3.5).Salubridad (14)
.
2.2.2 Tecnologías de Información y Comunicación
2.2.2.1 Definición
Las Tecnologías de la Información y la Comunicación,
también conocidas como TIC, son el conjunto de tecnologías
desarrolladas para gestionar información y enviarla de un lugar a
otro. Las Tecnologías de la Información y la Comunicación
han transformado nuestra manera de trabajar liberándonos de las
cargas más pesadas, optimizando nuestros recursos y haciéndonos
más productivos (15)
.
2.2.2.2 Las TIC como herramienta a la gestión empresarial
Las TIC agregan valor a las actividades operacionales y de
gestión empresarial en general y permite a las empresas obtener
ventajas competitivas, permanecer en el mercado y centrarse en
su negocio.
Las tecnologías de información y comunicación son una parte de
las tecnologías emergentes que habitualmente suelen identificarse
con las siglas TICS y hacen referencia a la utilización de medios
informáticos para almacenar, procesar y difundir todo tipo de
información en las distintas unidades o departamentos de
cualquier organización.
En pocas palabras, las TIC tratan sobre el empleo de
computadoras y aplicaciones informáticas para transformar,
almacenar, gestionar, proteger, difundir y localizar los datos
necesarios para cualquier actividad humana.
17
La instrumentación tecnológica es una prioridad en la
comunicación de hoy en día, este importante cambio tecnológico
marcan la diferencia entre una civilización desarrollada y otra en
vías de. Este gran cambio no ha sido ajeno a nuestras
organizaciones humanas, especialmente en las empresas. Es
imposible hoy día ignorar el potencial de las TIC y especialmente
el de Internet. Con el paso de un mundo hecho de átomos a otro
hecho de bits, asistimos a la aparición de la Sociedad de la
Información y a su expansión mediante el desarrollo de redes
informáticas que permiten que los ciudadanos tengan acceso a
fuentes de información inmensas, consolidándose no solamente
como consumidores de información y conocimiento, sino también
como creadores de fuentes de información y conocimiento mismo
(16).
2.2.2.3 Principales TIC utilizadas en las empresas.
Las principales tecnologías de la información y comunicaciones
que utilizan las empresas son: Internet, comercio electrónico,
telecomunicaciones básicas, aplicación de las TIC en la Industria
(17).
2.2.2.4 Utilidad de las TIC en las empresas
El papel de las TIC en el desarrollo se basa en que son buenas
herramientas para manejar la información.
Si la información es un recurso esencial para el desarrollo humano,
entonces las TIC tienen el potencial de formar parte del kit de
herramientas básicas para el desarrollo humano. Por tanto, la
utilidad de las TIC para el desarrollo humano se deriva
fundamentalmente del valor de la información para actores y
procesos de desarrollo (18)
.
18
2.2.2.5 Las TIC en las empresas
Las Tecnologías de la Información y la Comunicación han
transformado nuestra manera de trabajar y gestionar recursos. Las
TIC son un elemento clave para hacer que nuestro trabajo sea más
productivo: agilizando las comunicaciones, sustentando el trabajo en
equipo, gestionando las existencias, realizando análisis financieros, y
promocionando nuestros productos en el mercado. Bien utilizadas,
las TIC permiten a las empresas producir más cantidad, más rápido,
de mejor calidad, y en menos tiempo (19)
.
2.2.2.6 Importancia de las TIC en las empresas
Las empresas que usan las TIC se han beneficiado de su
implementación de diferentes maneras, tanto en lo que respecta al
incremento de su eficiencia y productividad, como en la calidad de
sus productos y por tanto en el aumento de la competitividad (20)
.
2.2.2.7 Características Principales de las TIC
Las tecnologías de información y comunicación tienen como
características principales las siguientes (21)
:
1. Son de carácter innovador y creativo, pues dan acceso a nuevas
formas de comunicación.
2. Tienen mayor influencia y beneficia en mayor proporción al
área educativa ya que la hace más accesible y dinámica.
3. Son considerados temas de debate público y político, pues su
utilización implica un futuro prometedor.
4. Se relacionan con mayor frecuencia con el uso de la Internet y la
informática.
19
5. Afectan a numerosos ámbitos de las ciencias humanas como la
sociología, la teoría de las organizaciones o la gestión.
2.2.2.8 Beneficios que aportan las TIC
Las TIC nos aportan distintos beneficios como son (22)
:
I. Fácil acceso a todo tipo de información: Los sistemas informáticos
nos proporcionan programas para poder procesar todo tipo de
información.
II. Canales de comunicación: e-mails, foros, chats, blogs, mensajería
instantánea y videoconferencias.
III. Almacenamiento de grandes cantidades de información a través de
diferentes dispositivos como son los Cds, DvDs, diskettes,
pendriver, etc.
IV. Interactividad con los programas que posee la computadora. El uso
de estos beneficios, aportan transformaciones en todos los aspectos
de la vida cotidiana.
20
2.2.3 COBIT
2.2.3.1 Definición de COBIT
COBIT es un acrónimo para Control Objectives for Information and
related Technology (Objetivos de Control para tecnología de la
información y relacionada); desarrollada por la Information Systems
Audit and Control Association (ISACA) y el IT Governance Institute
(ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado
control de proyectos de tecnología, los flujos de información y los
riesgos que éstas implican. La metodología COBIT se utiliza para
planear, implementar, controlar y evaluar el gobierno sobre TIC;
incorporando objetivos de control, directivas de auditoría, medidas
de rendimiento y resultados, factores críticos de éxito y modelos de
madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos
asociados a proyectos tecnológicos. Ello a partir de parámetros
generalmente aplicables y aceptados, para mejorar las prácticas de
planeación, control y seguridad de las Tecnologías de Información
(23).
2.2.3.2 Características de COBIT
COBIT se creó para satisfacer las siguientes características (24)
:
Orientado a negocios.
Orientado a procesos.
Basado en controles.
Impulsado por mediciones.
21
2.2.3.3 Ventajas de COBIT
Entre las ventajas que se presentan en el uso de COBIT, podemos
mencionar (25)
:
El ciclo de vida de costos de TI será más transparente y predecible.
Entrega de información de mayor calidad y en menor tiempo.
Brindar servicios con mayor calidad y todos los proyectos
apoyados en TI serán más exitosos.
Los requerimientos de seguridad y privacidad serán más
fácilmente identificados, y su implementación podrá ser más fácil
monitorearla
Todos los riesgos asociados a TI serán gestionados con mayor
efectividad.
El cumplimiento de la normatividad relacionada con TI serán una
práctica normal dentro de su gestión.
2.2.3.4 Aceptabilidad General de COBIT.
COBIT se basa en el análisis y armonización de estándares y
mejores prácticas de TI existentes y se adapta a principios de
gobierno generalmente aceptados. Está posicionado a un nivel alto,
impulsado por los requerimientos del negocio, cubre el rango
completo de actividades de TI, y se concentra en lo que se debe
lograr en lugar de cómo lograr un gobierno, administración y
control efectivos. La implantación de las mejores prácticas debe ser
consistente con el gobierno y el marco de control de la empresa,
debe ser apropiada para la organización, y debe estar integrada con
otros métodos y prácticas que se utilicen. La gerencia y el equipo
deben entender qué hacer, cómo hacerlo y porqué es importante
hacerlo para garantizar que se utilicen las prácticas. Para lograr la
alineación de las mejores prácticas con los requerimientos del
negocio, se recomienda que COBIT se utilice al más alto nivel,
brindando así un marco de control general basado en un modelo de
22
procesos de TI que debe ser aplicable en general a toda empresa.
COBIT resulta de interés a distintos usuarios: dirección ejecutiva,
gerencia del negocio, gerencia de TI y auditores (26)
.
2.2.3.5 Modelo de madurez según COBIT
Los niveles de madurez están diseñados como perfiles de procesos
de TI que una empresa reconocería como descripciones de estados
posibles actuales y futuros. No están diseñados para ser usados como
un modelo limitante, donde no se puede pasar al siguiente nivel
superior sin haber cumplido todas las condiciones del nivel inferior.
Con los modelos de madurez de COBIT, a diferencia de la
aproximación del CMM original de SEI, no hay intención de medir
los niveles de forma precisa o probar a certificar que un nivel se ha
conseguido con exactitud. Una evaluación de la madurez de COBIT
resultara en un perfil donde las condiciones relevantes a diferentes
niveles de madurez se han conseguido (27)
.
0 No existente. Carencia completa de cualquier proceso reconocible.
La empresa no ha reconocido siquiera que existe un problema a
resolver.
1 Inicial/Ad Hoc. Existe evidencia que la empresa ha reconocido
que los problemas existen y requieren ser resueltos. Sin embargo; no
existen procesos estándar, en su lugar existen enfoques ad hoc que
tienden a ser aplicados de forma individual o caso por caso. El
enfoque general hacia la administración es desorganizado.
2 Repetible pero intuitiva. Se han desarrollado los procesos hasta
el punto en el que se siguen procedimientos similares en diferentes
áreas que realizan la misma tarea. No hay entrenamiento o
comunicación formal de los procedimientos estándar, y se deja la
23
responsabilidad al individuo. Existe un alto grado de confianza en el
conocimiento de los individuos y, por tanto, los errores son muy
probables.
3 Proceso definido. Los procedimientos se han estandarizado y
documentado y se han difundido a través de entrenamiento. Sin
embargo, se deja que el individuo decida utilizar estos procesos, y es
poco probable que se detecten desviaciones. Los procedimientos en
si no son sofisticados pero formalizan las prácticas existentes.
4 Administrado y medible. Es posible monitorear y medir el
cumplimiento de los procedimientos y tomar medidas cuando los
procesos no estén trabajando de forma efectiva. Los procesos están
bajo constante mejora y proporcionan buenas prácticas. Se usa la
automatización y herramientas de una manera limitada o
fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor
práctica, se basan en los resultados de mejoras continuas y en un
modelo de madurez con otras empresas. TI se usa de forma integrada
para automatizar el flujo de trabajo, brindando herramientas para
mejorar la calidad y la efectividad, haciendo que la empresa se
adapte de manera rápida. La ventaja de un modelo de madurez es
que es relativamente fácil para la dirección ubicarse a sí misma en la
escala y evaluar qué se debe hacer si se requiere desarrollar una
mejora. La escala del 0 al 5 se basa en una escala de madurez simple
que muestra como un proceso evoluciona desde una capacidad no
existente hasta una capacidad optimizada.
24
Gráfico Nº 01: Representación Gráfica de los Modelos de Madurez
2.2.4 Planificación y Organización
Planificar está relacionado con el diseño de un modelo de gestión de TIC
que tenga como objetivo estratégico el de apoyar al logro de objetivos
institucionales o empresariales. En este sentido este estudio determinara
en que medida las tecnologías están orientadas a soportar los objetivos
estratégicos empresariales en el marco de la gestión de calidad, donde se
enfoca las siguientes variables (28):
2.2.4.1 Definir un Plan Estratégico de TI.
La planeación estratégica de TI es necesaria para gestionar y dirigir
todos los recursos de TI en línea con la estrategia y prioridades del
negocio. La función de TI y los interesados del negocio son
responsables de asegurar que el valor óptimo se consigue desde los
proyectos y el portafolio de servicios. El plan estratégico mejora la
comprensión de los interesados clave de las oportunidades y
limitaciones de TI, evalúa el desempeño actual, identifica la
capacidad y los requerimientos de recursos humanos, y clarifica el
nivel de investigación requerido.
25
2.2.4.2 Definir la Arquitectura de la Información.
La función de sistemas de información debe crear y actualizar de
forma regular un modelo de información del negocio y definir los
sistemas apropiados para optimizar el uso de esta información. Esto
incluye el desarrollo de un diccionario corporativo de datos que
contiene las reglas de sintaxis de los datos de la organización, el
esquema de clasificación de datos y los niveles de seguridad.
2.2.4.3 Determinar la Dirección Tecnológica.
La función de servicios de información debe determinar la dirección
tecnológica para dar soporte al negocio. Esto requiere de la creación
de un plan de infraestructura tecnológica y de un comité de
arquitectura que establezca y administre expectativas realistas y
claras de lo que la tecnología puede ofrecer en términos de
productos, servicios y mecanismos de aplicación.
2.2.4.4 Definir los Procesos, Organización y Relaciones de TI.
Una organización de TI se debe definir tomando en cuenta los
requerimientos de personal, funciones, rendición de cuentas,
autoridad, roles, responsabilidades y supervisión. La organización
está embebida en un marco de trabajo de procesos de TI que asegure
la transparencia y el control, así como el involucramiento de los altos
ejecutivos y de la gerencia del negocio.
2.2.4.5 Administrar la Inversión en TI.
Establecer y mantener un marco de trabajo para administrar los
programas de inversión en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y
26
administración contra ese presupuesto. Los interesados
(stakeholders) son consultados para identificar y controlar los costos
y beneficios totales dentro del contexto de los planes estratégicos y
tácticos de TI, y tomar medidas correctivas según sean necesarias.
2.2.4.6 Comunicar las Aspiraciones y la Dirección de la Gerencia.
La dirección debe elaborar un marco de trabajo de control empresarial
para TI, y definir y comunicar las políticas. Un programa de
comunicación continua se debe implementar para articular la misión,
los objetivos de servicio, las políticas y procedimientos, etc.,
aprobados y apoyados por la dirección. La comunicación apoya el
logro de los objetivos de TI y asegura la concienciación y el
entendimiento de los riesgos de negocio y de TI.
2.2.4.7 Administrar los Recursos Humanos de TI.
Adquirir, mantener y motivar una fuerza de trabajo para la creación y
entrega de servicios de TI para el negocio. Esto se logra siguiendo
prácticas definidas y aprobadas que apoyan el reclutamiento,
entrenamiento, la evaluación del desempeño, la promoción y la
terminación. Este proceso es crítico, ya que las personas son activos
importantes, y el ambiente de gobierno y de control interno depende
fuertemente de la motivación y competencia del personal.
2.2.4.8 Administrar la Calidad.
Se debe elaborar y mantener un sistema de administración de calidad,
el cual incluya procesos y estándares probados de desarrollo y de
adquisición. Esto se facilita por medio de la planeación, implantación
y mantenimiento del sistema de administración de calidad,
proporcionando requerimientos, procedimientos y políticas claras de
27
calidad. Los requerimientos de calidad se deben manifestar y
documentar con indicadores cuantificables y alcanzables.
2.2.4.9 Evaluar y Administrar los Riesgos de TI.
Crear y dar mantenimiento a un marco de trabajo de administración de
riesgos. El marco de trabajo documenta un nivel común y acordado
de riesgos de TI, estrategias de mitigación y riesgos residuales.
Cualquier impacto potencial sobre las metas de la organización,
causado por algún evento no planeado se debe identificar, analizar y
evaluar. Se deben adoptar estrategias de mitigación de riesgos para
minimizar los riesgos residuales a un nivel aceptable.
2.2.4.10 Administrar Proyectos.
Establecer un marco de trabajo de administración de programas y
proyectos para la administración de todos los proyectos de TI
establecidos. El marco de trabajo debe garantizar la correcta
asignación de prioridades y la coordinación de todos los proyectos. El
marco de trabajo debe incluir un plan maestro, asignación de recursos,
definición de entregables, aprobación de los usuarios, un enfoque de
entrega por fases, aseguramiento de la calidad, un plan formal de
pruebas, revisión de pruebas y post-implantación después de la
instalación para garantizar la administración de los riesgos del
proyecto y la entrega de valor para el negocio.
29
2.3 Empresa Estación de Servicios San José SAC. (GRIFO - RENT A CAR
San José SAC)
2.3.1 Historia de Estación de Servicios San Jose SAC.
Estación de Servicios San Jose SAC, es una empresa piurana que viene
operando por más de 19 años en el territorio nacional, en el rubro de venta
de combustibles, lubricantes, venta de llantas, servicio de lavado y
engrase y alquiler de vehículos, dentro del cual destaca el Alquiler de
Camionetas cerradas, doble cabina, doble tracción, totalmente
equipadas, para la actividad de exploraciones, perforación y
explotación de yacimientos mineros.
Nuestra meta principal es mantener el prestigio logrado y continuar con
nuestro crecimiento manteniéndonos como la número uno en la zona norte.
Dentro de la actividad Turística, por el equipamiento que tienen nuestros
vehículos nos hemos especializado en el turismo de aventura y ecológico;
Liderando de esta manera, el mercado local y nacional por la eficiencia,
calidad de nuestros servicios y porque contamos con la flota más moderna
de la región.
La ubicación geográfica de la empresa “Estación de Servicios San Jose
SAC”, se ubica en el Departamento de Piura, exactamente con su domicilio
fiscal ubicado en prolongación Av. Grau 1602 Piura. Empresa fundada el
28 de diciembre de 1993 en la ciudad de Piura por empresarios piuranos;
Está orientada a ofrecer múltiples servicios como son: Distribuidor de
llantas Michelin, venta de combustibles, lubricantes, lavado y engrase y
servicio de RENT A CAR.
Su fin primordial es brindar un servicio diferenciado al cliente, basado en
ofrecer calidad y un personal altamente capacitado que ofrece una atención
personalizada.
30
2.3.2 Áreas de la Empresa
Las áreas de la Empresa Estación de Servicios San Jose SAC son:
1. Gerencia
2. Secretaria
3. Administración y Finanzas
4. Rent a Car
5. Taller de Mantenimiento
6. Almacén
2.3.3 Visión
Nuestra meta principal es mantener el prestigio logrado y continuar con
nuestro crecimiento manteniéndonos como la número uno en la zona norte.
2.3.4 Misión
Nuestro fin primordial es brindar un servicio diferenciado al cliente, basado
en ofrecer calidad y un personal altamente capacitado que ofrece una
atención personalizada, y porque contamos con la flota más moderna de la
región.
El Departamento de Piura no tiene definidas sus estaciones, todo el año hay
sol; el verano va desde diciembre a abril y se caracteriza porque es muy
caluroso y más húmedo que el resto de los meses, con temperaturas muy
altas y las lluvias son comunes durante esta época, especialmente durante
las noches.
31
GRAFICO Nª 03: MAPA GEOGRÁFICO DE LA CIUDAD DE PIURA.
Límites
Por el Norte con el departamento de Tumbes y la República del Ecuador
Por el Este con la República del Ecuador y la región de Cajamarca
Por el Sur con el departamento de Lambayeque
Por el Oeste limita con el Océano Pacífico.
32
2.4. Hipótesis
2.4.1 Hipótesis General
El nivel de gestión del proceso de planificación y organización
de las tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC. es Definido, según el modelo de
referencia COBIT versión 4.1.
2.3.2 Hipótesis Específica
1. El nivel de madurez de la definición de plan estratégico de
las tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC. es Repetible, según el modelo
de referencia COBIT versión 4.1 para el dominio de planificar y
organizar.
2. El nivel de madurez de la definición de arquitectura de la
información de las tecnologías de información y comunicaciones (TIC)
en la empresa Estación de Servicios San José SAC. es Repetible,
según el modelo de referencia COBIT versión 4.1 para el dominio de
planificar y organizar.
3. El nivel de madurez de la dirección tecnológica de las
tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC. es Repetible, según el modelo
de referencia COBIT versión 4.1 para el dominio de planificar y
organizar.
4. El nivel de madurez de la definición de procesos organización
y relaciones de las tecnologías de información y comunicaciones (TIC)
en la empresa Estación de Servicios San José SAC. es Definido,
según el modelo de referencia COBIT versión 4.1 para el dominio de
planificar y organizar.
33
5. El nivel de madurez de la inversión de las tecnologías de
información y comunicaciones (TIC) en la empresa Estación de
Servicios San José SAC. es Repetible, según el modelo de referencia
COBIT versión 4.1 para el dominio de planificar y organizar.
6. El nivel de madurez en la comunicación de las aplicaciones
y la dirección de la gerencia sobre las tecnologías de información y
comunicaciones (TIC) en la empresa Estación de Servicios San José
SAC. es Repetible, según el modelo de referencia COBIT versión 4.1
para el dominio de planificar y organizar.
7. El nivel de madurez sobre la administración de recursos
humanos de las tecnologías de información y comunicaciones (TIC) en
la empresa Estación de Servicios San José SAC. es Repetible, según
el modelo de referencia COBIT versión 4.1 para el dominio de
planificar y organizar.
8. El nivel de madurez en la administración de calidad de las
tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC. es Repetible, según el modelo
de referencia COBIT versión 4.1 para el dominio de planificar y
organizar.
9. El nivel de madurez en la evaluación y administración riesgos
sobre las tecnologías de información y comunicaciones (TIC) en la
empresa Estación de Servicios San José SAC. es Definido, según el
modelo de referencia COBIT versión 4.1 para el dominio de planificar
y organizar.
10. El nivel de madurez de la administración de proyectos de
las tecnologías de información y comunicaciones (TIC) en la empresa
Estación de Servicios San José SAC. es Repetible, según el modelo
de referencia COBIT versión 4.1 para el dominio de planificar y
organizar.
34
III. Metodología
3.1 El tipo y nivel de la investigación
3.1.1 Tipo de Investigación
El tipo de investigación es aplicada, que tiene por finalidad la
búsqueda y consolidación del saber y la aplicación de los
conocimientos (29)
.
3.1.2 Nivel de Investigación
El nivel de la investigación es descriptivo, pues el objetivo
es determinar las variables del perfil del proceso de
planificación y organización de las tecnologías de información
y comunicaciones (TIC) en la empresa Estación de Servicios
San José SAC. (29).
3.2 Diseño de la investigación
El diseño de este trabajo es no experimental, descriptivo y de corte
transversal.
Es no experimental porque se trata de observar las características de los
hechos, en los cuales no se interviene o manipula deliberadamente los
fenómenos de estudio.
Es de corte transversal porque se intenta analizar el fenómeno en un
periodo de tiempo determinado (30).
Este diseño se grafica de la siguiente manera:
M O
M = Muestra
O = Observación
35
3.3 Población y muestra
Para el dominio planificación y organización
Población: La población está compuesta por 60 trabajadores de la
empresa Estación de Servicios San José SAC.
Muestra: La muestra que se tomó para el presente trabajo de
investigación está conformada por 40 trabajadores de la empresa
Estación de Servicios San José SAC.
3.4 Técnicas e instrumentos
Para determinar el perfil del proceso de planificación y
organización de las tecnologías de información y comunicaciones (TIC)
en la empresa Estación de Servicios San José SAC. se aplicó como
técnica la entrevista y como instrumento se utilizó un cuestionario con
opciones del 0 al 5 donde 0 es el nivel inexistente y 5 el nivel
optimizado según el modelo de referencia COBIT versión 4.1.
3.4.1 Procedimiento de recolección de datos
Se realizó una entrevista con el jefe del personal , encargado de
cada área y gerente de la empresa donde se le dio a conocer la
finalidad del estudio, así como los beneficios que se lograron con
los resultados del mismo.
Se concertaron varias visitas a las instalaciones de la empresa, para
aplicar el cuestionario y así obtener información cuantitativa que
nos permitió hacer un análisis más técnico y simple para analizar el grado
de aceptación de planeación y organización de TIC, en cada uno de
los trabajadores, indicándoles que está acción es parte de un proyecto de
investigación.
36
3.4.2 Operacionalización de variables
Variable Definición Conceptual Dimensiones Definición Conceptual Indicadores
Plan
estratégico de TI
Es un proceso de
planeación estratégica
emprendido en intervalos
regulares dando lugar a
planes a largo plazo. Los
planes a largo plazo
deberán ser traducidos
periódicamente en
planes operacionales
estableciendo metas
claras y concretas a
corto plazo
1. Director General.
2. Director de Operaciones.
3. Director de Finanzas.
4. Director de TI.
5. Miembros del comité
planeador de la función
de servicios de información.
El Plan estratégico de TI será
medida a través de los niveles de
madurez de COBIT :
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado y medible
5: Optimizado
a. Elabora plan estratégico de TI.
b. Elabora plan táctico de TI.
c. Elabora portafolios de
proyectos de TI.
d. Elabora portafolios de servicios
de TI.
e. Define estrategia de
contratación externa de TI.
f. Define estrategia de adquisición
de TI.
37
Arquitectura de
la Información
Es la creación y
mantenimiento de un
modelo de información
de negocios y
asegurando que se
definan
sistemas apropiados para
optimizar la utilización
de esta información
Arquitectura de la
información:
- Software
-Hardware
- Base de datos
- Redes y comunicaciones
La arquitectura de la información
será medida a través de los
niveles de madurez de COBIT :
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4:Administrado y medible
5: Optimizado
1. Tiene esquema de clasificación
de datos
2. Elabora plan de sistemas del
negocio optimizado.
3. Define diccionario de datos
4. Define arquitectura de la
información.
5. Asigna clasificación de datos.
6. Define procedimientos y
herramientas de clasificación.
38
Dirección
Tecnológica
La determinación de la
dirección tecnológica
aprovecha la tecnología
disponible o tecnología
emergente. Se hace
posible con la creación
Plan de infraestructura
tecnológica
La dirección tecnológica será
medida a través de los niveles de
madurez de COBIT :
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado y medible
5: Optimizado
1. Busca oportunidades
tecnológicas.
2. Utiliza estándares tecnológicos.
3. Realiza actualizaciones del
estado de la tecnología
4. Tiene plan de infraestructura
tecnológica.
5. Define requerimientos de
Infraestructura.
Procesos,
organización y
Relaciones de
TI.
La definición de la
organización y de las
relaciones de TI es una
organización conveniente
en
número y habilidades,
con tareas y
responsabilidades
definidas y comunicadas
- Sistemas
documentados
- Relaciones de TI
- Procesos
documentados
Los Procesos,
organización y
Relaciones de TI. será medida a
través de los niveles de madurez
de COBIT :
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado y medible
1. Define marco de trabajo de TI.
2. Asigna dueños de sistemas
documentados.
3. Reglamenta la organización y
relaciones de TI.
4. Define marco de procesos, roles
y responsabilidades documentados.
39
5: Optimizado
Administrar
Inversión de
TI
El manejo de la
inversión es asegurar
el financiamiento y el
control de desembolsos
de recursos financieros
se hace posible a través
de presupuestos
periódicos sobre
inversiones y
operación establecidos y
aprobados por el
negocio.
-Documento que contiene
las inversiones a realizarse
para TI.
-Presupuesto de TI
La Administración Inversión de TI
será medida a través de los
niveles de madurez de COBIT :
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado y medible
5: Optimizado
1. Genera reportes de
costo/ beneficio.
2. Mantiene presupuestos de
TI.
3. Porcentaje del valor de
desviación respecto al presupuesto
en comparación con el presupuesto
total.
40
Comunicación
de las
aplicaciones y
la dirección de
la gerencia
La comunicación de
la dirección y
aspiraciones de la
gerencia es asegurar el
conocimiento y
comprensión del usuario
sobre dichas
aspiraciones se hace
posible a través de
políticas establecidas y
transmitidas a la
comunidad de usuarios
-Define un marco de control
empresarial para TI
-Declara políticas para TI
La comunicación de las
aplicaciones y la dirección de la
gerencia será medida a través de
los niveles de madurez de COBIT
:
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado y medible
5: Optimizado
- Comunicación en la
dirección de la gerencia.
- Políticas de TI
- Comunicación de las
aplicaciones.
- Define un marco de
control empresarial para TI.
- Declara políticas para TI.
41
Administración
de Recursos
Humanos
La administración de
recursos humanos es
maximizar las
contribuciones del
personal a los procesos de
TI. Se hace posible a
través de técnicas
sólidas para
administración de
personal.
-Reclutamiento
-Entrenamiento
-Evaluación del
desempeño
-Motivación
-Competencia del personal
La Administración de Recursos
Humanos será medida a través de
los niveles de madurez de COBIT
:
0: No existente
1: Inicial/Ad hoc
2: Repetible pero intuitivo
3: Proceso definido
4: Administrado
5: Optimizado
-Declara políticas y define
procedimientos de recursos
humanos de TI
-Utiliza una matriz de habilidades
de
TI
-Describe los puestos de trabajo
-Evalúa aptitudes y habilidades de
los usuarios
-Establece los requerimientos de
entrenamiento
-Define los roles y
responsabilidades.
42
Administración
de calidad de
TI
Este proceso es la de
satisfacer los
requerimientos del
cliente se hace posible
a través de la
planeación,
implementación y
mantenimiento de
estándares y sistemas
de administración de
calidad por parte de la
Organización
1. Director General.
2. Miembros del comité
de planeación de la función
de servicios de información
3. Director de TI
Funcionario de Seguridad.
4. Administrador de la
Calidad de la
Organización.
La Administración de Calidad
medido a través de un cuestionario a
través de de los niveles de
madurez de COBIT :
0 - No existente o inexistente
1 - Inicial / Ad Hoc
2 - Repetible pero Intuitivo
3 - Proceso Definido
4 -Administrado y medible
5 - Optimizado
1. Utiliza estándares de
adquisición.
2. Utiliza estándares de desarrollo.
3. Define requerimientos de
estándares y métricas de calidad.
4. Adopta medidas para la mejora
de la calidad.
43
Evaluación y
administración
de riesgos de
TI
La evaluación de
riesgos de TI es
asegurar el logro de los
objetivos de TI y
responder a las
amenazas hacia la
provisión de servicios de
TI, tomando medidas
económicas para mitigar
los riesgos.
Riesgo en:
A.-Datos
B.-Software
C.-Hardware
La Evaluación y administración de
riesgos de TI medido a través de un
cuestionario a través de de los
niveles de madurez de COBIT :
0 - No existente o inexistente
1 - Inicial / Ad Hoc
2 - Repetible pero Intuitivo
3 - Proceso Definido
4 -Administrado y medible
5 – Optimizado
1. Realiza evaluación de riesgos.
2. Genera reportes de riesgos
3. Formula directrices de
administración de riesgos de TI.
4. Formula planes de acciones
correctivas para riesgos de TI.
44
Administración
de Proyectos
Establecer un marco de
trabajo de
administración de
programas y proyectos
para la administración de
todos los proyectos de
TI establecidos
-Revisión de pruebas
-Implantación
-Entrega de valor para el
negocio
Administración de proyectos
medido a través de un cuestionario: a
través de los niveles de madurez
de COBIT :
0 - No existente o inexistente
1 - Inicial / Ad Hoc
2 - Repetible pero Intuitivo
3- Proceso Definido
4- Administrado y Medible
5- Optimizado
-Genera reportes de desempeño de
proyectos
-Formula el plan de administración
de riesgos del proyecto
-Propone directrices de
administración del proyecto
-Formula planes detallados del
proyecto
-Mantiene actualizado el portafolio
de proyectos de TI
45
3.4.3 Plan de análisis
Se realizó el análisis de datos para establecer las frecuencias y la
distribución de dichas frecuencias, incluyendo la tabulación de datos, con
Excel 2007. No se realizó ningún otro análisis.
46
IV. Resultados
4.1 Resultados
Tabla N° 1
Distribución de frecuencias del nivel de gestión del proceso de determinación
del plan estratégico de TI en la empresa de Estación de Servicios San José
SAC
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 1 2,5
2 – Repetible 27 67,5
3 – Definido 11 27,5
4 – Administrado 1 2,5
5 – Optimizado 0 0
Total 40 100
La tabla Nº 01, reporta que el 67.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez repetible según su plan estratégico de TI, el 27.5% respondieron que
se encuentra en un nivel de madurez definido, el 2.5 % se encuentra en un
nivel de madurez Administrado, y con el mismo porcentaje de 2.5% se
encuentra en un nivel Madurez Inicial.
47
GRAFICO N°04
Porcentaje de empleados según Plan Estratégico de TI. Por nivel de
madurez en COBIT. Empresa de Estación de Servicios San José SAC
0%
2%
67%
28%
3%
0%
Plan Estrategico de TI.
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
48
Tabla N° 2
Distribución de frecuencias del nivel de gestión del proceso de determinación de
arquitectura de la Información en la empresa de Estación de Servicios San
José SAC
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 4 10
2 – Repetible 25 62,5
3 – Definido 10 25
4 – Administrado 1 2,5
5 – Optimizado 0 0
Total 40 100
En la tabla Nº 02, reporta que el 62.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez repetible según la variable arquitectura de la información , el 25%
respondieron que se encuentra en un nivel de madurez definido, el 10 % se
encuentra en un nivel de madurez Inicial, el 2.5% se encuentra en un nivel
madurez Administrado.
49
GRAFICO N°05
Porcentaje de empleados según arquitectura de la Información. Por nivel de
madurez en COBIT. Empresa Estación de Servicios San José SAC
0%
10%
62%
25%
3%
0%
ARQUITECTURA DE LA INFORMACION
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
50
Tabla N° 3
Distribución de frecuencias del nivel de gestión del proceso de determinación de
dirección tecnológica en la empresa Estación de Servicios San José SAC
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 11 27,5
2 – Repetible 18 45
3 – Definido 10 25
4 – Administrado 1 2,5
5 – Optimizado 0 0
Total 40 100
La tabla Nº 03, reporta que el 45% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez repetible según la variable dirección tecnológica , el 27.5%
respondieron que se encuentra en un nivel de madurez Inicial, el 25 % se
encuentra en un nivel de madurez Definido, y el 2.5% se encuentra en un
nivel madurez Administrado.
51
GRAFICO N°06
Porcentaje de empleados según Dirección Tecnológica. Por nivel de madurez
en COBIT. Empresa Estación de Servicios San José SAC
0%
27%
45%
25%
3%0%
DIRECCION TECNOLOGICA
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
52
Tabla N° 4
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Procesos, Organizaciones en la empresa Estación de Servicios San José SAC
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 7 17,5
2 – Repetible 13 32,5
3 – Definido 19 47,5
4 – Administrado 1 2,5
5 – Optimizado 0 0
Total 40 100
En la tabla Nº 04, reporta que el 47.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Definido según la variable procesos y organizaciones, el 32.5%
respondieron que se encuentra en un nivel de madurez Repetible, el 17.5 % se
encuentra en un nivel de madurez Inicial, y por último el 2.5% se
encuentra en un nivel madurez Administrado.
53
GRAFICO N°07
Porcentaje de empleados según Procesos, Organizaciones. Por nivel de
madurez en COBIT. Empresa Estación de Servicios San José SAC
0%
17%
32%
48%
3%
0%
PROCESOS Y ORGANIZACIONES
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
54
Tabla N° 5
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Inversión de TI de la Información en la empresa Estación de Servicios San
José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 7 17,5
2 – Repetible 17 42,5
3 – Definido 16 40
4 – Administrado 0 0
5 – Optimizado 0 0
Total 40 100
La tabla Nº 05, reporta que el 42.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Repetible según Inversión de TI, el 40% respondieron que se
encuentra en un nivel de madurez Definido ,y el 17.5 % se encuentra en un
nivel de madurez Inicial.
55
GRAFICO N°08
Porcentaje de empleados según Procesos de Inversión de TI. Por nivel de
madurez en COBIT. Empresa Estación de Servicios San José SAC.
0%
17%
43%
40%
0%
0%
INVERSION DE TI
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
56
Tabla N° 6
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Nivel de Comunicación entre los miembros de TI en la empresa Estación de
Servicios San José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 4 10
2 – Repetible 20 50
3 – Definido 13 32,5
4 – Administrado 3 7,5
5 – Optimizado 0 0
Total 40 100
La tabla Nº 06, reporta que el 50% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Repetible según Nivel de Comunicación entre los miembros de TI,
el 32.5% respondieron que se encuentra en un nivel de madurez Definido, el 10
% se encuentra en un nivel de madurez Inicial, y por último el 7.5 % se
encuentra en un nivel de madurez Administrado.
57
GRAFICO N° 09
Porcentaje de empleados según Nivel de Comunicación entre los miembros
de TI. Por nivel de madurez en COBIT. Empresa Estación de Servicios San
José SAC.
0%
10%
50%
32%
8%
0%
NIVEL DE COMUNICACION
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
58
Tabla N° 7
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Recursos Humanos de TI. Entre los miembros de TI en la empresa Estación
de Servicios San José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 3 7,5
2 – Repetible 19 47,5
3 – Definido 12 30
4 – Administrado 6 15
5 – Optimizado 0 0
Total 40 100
En la tabla Nº 07, reporta que el 47.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Repetible según Recursos Humanos de TI. entre los miembros de
TI., el 30% respondieron que se encuentra en un nivel de madurez
Definido, el 15 % se encuentra en un nivel de madurez Administrado, y por
último el 7.5 % se encuentra en un nivel de madurez Inicial.
59
GRAFICO N°10
Porcentaje de empleados según Recursos Humanos de TI entre los miembros
de TI. Por nivel de madurez en COBIT. Empresa Estación de Servicios San
José SAC.
0%
7%
48%30%
15%
0%
RECURSOS HUMANOS DE TI
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
60
Tabla N° 8
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Calidad de TI. entre los miembros de TI en la empresa Estación de
Servicios San José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 0 0
2 – Repetible 23 57,5
3 – Definido 12 30
4 – Administrado 5 12,5
5 – Optimizado 0 0
Total 40 100
La tabla Nº 08, reporta que el 57.5% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Repetible según Calidad de TI. entre los miembros de TI., el 30%
respondieron que se encuentra en un nivel de madurez Definido, y el 12.5
% se encuentra en un nivel de madurez Administrado.
61
GRAFICO N°11
Porcentaje de empleados según Calidad de TI. Entre los miembros de TI.
Por nivel de madurez en COBIT. Empresa Estación de Servicios San José
SAC
0% 0%
57%30%
13%
0%
CALIDAD DE TI
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
62
Tabla N° 9
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Riesgos de TI. entre los miembros de TI en la empresa Estación de
Servicios San José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 3 7,5
2 – Repetible 11 27,5
3 – Definido 26 65
4 – Administrado 0 0
5 – Optimizado 0 0
Total 40 100
La tabla Nº 09, reporta que el 65% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Definido según Riesgos de TI. entre los miembros de TI., el 27.5%
respondieron que se encuentra en un nivel de madurez Repetible, y el 7.5
% se encuentra en un nivel de madurez Inicial.
63
GRAFICO N°12
Porcentaje de empleados según Riesgos de TI. Entre los miembros de TI.
Por nivel de madurez en COBIT. Empresa Estación de Servicios San José
SAC.
0%
7%
28%
65%
0%
0%
RIESGOS DE TI
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
64
Tabla N° 10
Distribución de frecuencias del nivel de gestión del proceso de determinación de
Proyectos de TI. entre los miembros de TI en la empresa Estación de
Servicios San José SAC.
Encuestados 40
Nivel N° %
0 – No existente 0 0
1 – Inicial 4 10
2 – Repetible 18 45
3 – Definido 16 40
4 – Administrado 2 5
5 – Optimizado 0 0
Total 40 100
La tabla Nº 10, reporta que el 45% de los empleados mencionaron que la
empresa Estación de Servicios San José SAC se encuentra en un nivel de
madurez Repetible según Proyectos de TI. entre los miembros de TI., el
40% respondieron que se encuentra en un nivel de madurez Definido, el
10 % se encuentra en un nivel Inicial, y por ultimo el 5% se encuentra en un
nivel de madurez Administrado.
65
GRAFICO N°13
Porcentaje de empleados según Proyectos de TI. Entre los miembros de TI.
Por nivel de madurez en COBIT. Empresa Estación de Servicios San José
SAC.
0%
10%
45%
40%
5%
0%
PROYECTOS DE TI
0 – No existente
1 – Inicial
2 – Repetible
3 – Definido
4 – Administrado
5 – Optimizado
66
4.2 Análisis de Resultados
El estudio nos permitió describir el nivel de gestión del proceso de
definición del plan estratégico de TIC, arquitectura de la información,
dirección tecnológica, de los procesos organización y relaciones de TIC,
inversión de TI, nivel de comunicación y dirección de la gerencia ,
recursos humanos, calidad de TI, administración de riesgos TI y
administración de proyectos TI en la empresa Estación de Servicios San
José SAC, para poder establecer una buena propuesta de mejora.
El 67.5% del personal encuestado estima que el proceso de definición
del plan estratégico de TIC se encuentra en un nivel repetible, el
27.5% se encuentra en un nivel definido , el 2.5% en un nivel
Administrado y con el mismo porcentaje se encuentra en un nivel
inicial según el modelo de referencia COBIT versión 4.1, es decir existe un
plan estratégico dentro de la organización pero aun no esta definido y
documentado. Resultados contradictorios con el estudio realizado por
Retamozo sobre la Planificación estratégica de la automatización de
procesos administrativos donde los resultados obtenidos fueron
favorables en cuanto al nivel alcanzado en la variable (8).
El 62.5% del personal encuestado opina que el proceso de arquitectura
de información se encuentra en un nivel repetible, el 25% se
encuentra en un nivel definido , el 10% en un nivel inicial y el 2.5%
se encuentra en un nivel administrado según el modelo de referencia
COBIT versión 4.1, es decir aun no existe un cumplimiento de
políticas, estándares y herramientas no tan sofisticada en la arquitectura
de información, similitud con el estudio de Díaz Toledano sobre las
ventajas y desventajas de la arquitectura de información en las
empresas(4)
.
El 45% del personal encuestado observa que el proceso de dirección
tecnológica se encuentra en un nivel repetible, el 27.5% se encuentra en
un nivel Inicial , mientras que el 25% se encuentra en un nivel
67
Definido y el 2.5% en un nivel administrado según el modelo de
referencia COBIT versión 4.1, todavía existe la necesidad de contar con
un plan de infraestructura definida y documentada, contradiciendo el
estudio realizado por Novo(5)
basándose en resultados favorables al
crecimiento tecnológico de la empresa.
El 47.5% del personal encuestado tiene en cuenta que el proceso de
organizaciones y relaciones de TI se encuentra en un nivel
Definido, el 32.5% se encuentra en un nivel Repetible, el 17.5% se
encuentra en un nivel Inicial y el 2.5% se encuentra en un nivel
administrado según el modelo de referencia COBIT versión 4.1, es decir
existe evidencia que la empresa ha reconocido que los problemas existen
en las y relaciones de cada área TIC, resultados similares con el
estudio realizado por el Centro de Promoción de la Pequeña y Mediana
Microempresa (PROMPyme) (10)
El 42.5% del personal encuestado valora que el proceso de inversión
de TI se encuentra en un nivel Repetible, el 40% se encuentra en un
nivel Definido y el 17.5% se encuentra en un nivel Inicial según el
modelo de referencia COBIT versión 4.1, la empresa reconoce que se
debe establecer mas presupuestos en las TIC que se implementan en
los procesos de negocio, similitud con el estudio realizado en las
compañías chilenas que invierten poco en TIC (6)
.
El 50% del personal encuestado considera que el proceso de nivel de
comunicación de TI se encuentra en un nivel Repetible, el 32.5% se
encuentra en un nivel Definido, el 10% se encuentra en un nivel Inicial,
y el 7.5 % se encuentra en un nivel administrado según el modelo de
referencia COBIT versión 4.1, es decir que aun no se establecido un
buen nivel de comunicación entre el personal y terceras
personas(proveedores) de la empresa, resultados contradictorios con el
estudio basado por el Bach. Víctor Hugo Venturo López realizo un
estudio sobre el Perfil de la planificación y organización de las tecnologías
de información y comunicación (TIC): Definición de plan estratégico,
68
arquitectura de la información, dirección tecnológica, procesos, organización
y relaciones de TI, evaluar y administrar riesgos de TIC en la Empresa
Agrícola y Ganadera Chavín de Huantar S.A., de la ciudad de Casma –
Ancash (11)
.
El 47.5% del personal encuestado opina que el proceso de recursos
humanos de TI se encuentra en un nivel repetible , el 30% se
encuentra en un nivel Definido, el 15% se encuentra en un nivel
administrado, y con el 7.5% se encuentra en un nivel Inicial según el
modelo de referencia COBIT versión 4.1, resultados contradictorios con el
estudio realizado en la Empresa Servicios Cobranza e Inversiones S.A.C
(SCI) de la Provincia de Piura y Sullana - Departamento de Piura (12)
.
El 57.5% del personal encuestado examina que el proceso de calidad
de TI se encuentra en un nivel repetible, el 30% se encuentra en un
nivel Definido y el 12.5% se encuentra en un nivel Administrado según
el modelo de referencia COBIT versión 4.1.
El 65% del personal encuestado estima que el proceso de riesgos de
TI se encuentra en un nivel Definido, el 27.5% se encuentra en un
nivel Repetible y el 7.5% se encuentra en un nivel Inicial según el
modelo de referencia COBIT versión 4.1, es decir existe un marco de
trabajo de análisis de riesgos de TIC en las áreas claves de la empresa.
El 45% del personal encuestado valora que el proceso de proyectos de
TI se encuentra en un nivel Repetible, el 40% se encuentra en un
nivel Definido, el 10% se encuentra en un nivel Inicial, y con el 5% se
encuentra en un nivel Administrado según el modelo de referencia COBIT
versión 4.1, es decir que no se establece un marco de proyectos
establecidos de TIC, contradiciendo el estudio realizado por Carpio (7)
los
gerentes de proyectos de tecnología de información deberían dedicar más
recursos a la generación de un plan coherente para identificar y enfrentar
adecuadamente los riesgos.
69
4.3 Propuesta de mejora
En esta sección se pretende elaborar un plan o propuesta de mejora sobre
la Planificación y organización de las TIC en la empresa Estación de
Servicios San José SAC , que permita elevar el nivel de madurez de
COBIT en las 10 variables evaluadas de forma exitosa, asimismo
realizando un análisis de sensibilidad en las necesidades que se puedan
presentar así como el establecimiento de estrategias y tácticas
definidas, estandarizadas que se evalúen dentro del cronograma
establecido del personal de la organización.
La empresa Estación de Servicios San José SAC es una institución
privada , que encamina sus esfuerzos al éxito empresarial, para ello se
ha realizado la siguiente propuesta de mejora como el destinar un
presupuesto para encaminar esfuerzos en mejorar el proceso de
planificación e implementación de las TIC, para ello una propuesta sería
desarrollar sistemas de gestión empresarial para poder mejorar la
eficiencia de cada una de las áreas de la institución, así como desarrollar
aplicaciones web en línea aumentando la eficiencia y reduciendo costos y
tiempo, también el establecimiento del plan de infraestructura tecnológica,
donde se implemente medidas de control interno y externa, se debe realizar
monitoreos sobre los riesgos que se presenten en el área de informática.
70
V. Conclusiones
1. El 67.5% de las encuestas aplicadas demostraron que el proceso de
definición del plan estratégico de TIC se encuentra en un nivel
Repetible, mientras que el 27.5% se encuentra en un nivel Definido,
el 2.5% en un nivel Administrado y con el mismo porcentaje se
encuentra en un nivel Inexistente. Con lo que la hipótesis formulada
queda DESCARTADA.
2. El 62.5% de los empleados encuestados estima que el proceso de
arquitectura de información se encuentra en un nivel Repetible,
mientras que el 25% se encuentra en un nivel Definido, y 10% se
encuentra en nivel Inicial, y con el 2.5% se encuentra en un nivel
Administrado . Con lo que la hipótesis formulada queda
DESCARTADA.
3. El 45% del personal encuestado valoran que el proceso de dirección
tecnológica se encuentra en un nivel Repetible, el 27.5% se encuentra
en un nivel Inicial, el 25% en un nivel Definido, y con el 2.5% se
encuentra en un nivel Administrado, con lo que la hipótesis formulada
queda DESCARTADA.
4. El 47.5% de las encuestas aplicadas determinan que el proceso de
organizaciones y relaciones de TI se encuentra en un nivel
Definido, el 32.5% se ubica en el nivel Repetible, el 17.5% se
encuentra en un nivel Inicial , y con el 2.5% se encuentra en un nivel
Administrado, con lo que la hipótesis formulada queda ACEPTADA.
5. El 42.5% del personal encuestado estima que el proceso de inversión
de TI se encuentra en un nivel Repetible, el 40% se ubica en un
nivel Definido y el 17.5% se encuentra en un nivel Inicial. Con lo
que la hipótesis formulada queda DESCARTADA.
6. El 50% de los trabajadores encuestados tiene en cuenta que el proceso
de nivel de comunicación de TI se encuentra en un nivel
71
Repetible, el 32.5% se encuentra en un nivel Definido, seguido del 10%
se encuentra en un nivel Inicial y el 7.5% se ubica en el nivel
Administrado . Con lo que la hipótesis formulada queda
DESCARTADA.
7. El 47.5% del personal encuestado estima que el proceso de recursos
humanos de TI se encuentra en un nivel Repetible, el 30% se
encuentra en un nivel Definido, además del 15% se encuentra en un
nivel Administrado y por último el 7.5% se encuentra en un nivel
Inicial . Con lo que la hipótesis formulada queda DESCARTADA.
8. El 57.5% de los trabajadores encuestados estiman que el proceso de
calidad de TI se encuentra en un nivel Repetible, el 30% se
encuentra en un nivel Definido, el 12.5% se encuentra en un nivel
Administrado . Con lo que la hipótesis formulada queda
DESCARTADA.
9. El 65% del personal encuestado opina que el proceso de riesgos de
TI se encuentra en un nivel Definido, el 27.5% se encuentra en un
nivel Repetible y el 7.5% se encuentra en un nivel Inicial . Con lo
que la hipótesis formulada queda ACEPTADA.
10. El 45% del personal encuestado estima que el proceso de proyectos
de TI se encuentra en un nivel Repetible, el 40% se encuentra en un
nivel Definido, el 10% se encuentra en un nivel Inicial, y con el 5% se
encuentra en un nivel Administrado . Con lo que la hipótesis formulada
queda DESCARTADA.
72
VI. Recomendaciones
1. Poner mayor énfasis en las actualizaciones de un plan estratégico
definido y documentado de acuerdo a los requerimientos del
negocio y alineándose con las necesidades actuales y futuras de la
empresa.
2. Considerar el reforzamiento de manera consistente el cumplimiento
de políticas básicas de arquitectura de información desarrolladas,
incluyendo algunos requerimientos estratégicos.
3. Elaborar un plan de infraestructura tecnológica que determine las
estrategias de la dirección tecnológica y se actualice constamente
buscando nuevas oportunidades tecnológicas, asimismo identificando
requerimientos y la importancia de evaluar estándares documentados
que permitan medir la calidad de las mismas hacia los objetivos
de la empresa.
4. Tomar en cuenta los requerimientos del personal, funciones,
rendición de cuentas, autoridad, roles, responsabilidades y supervisión
así como la comunicación con los proveedores estableciendo
estructuras organizacionales flexibles y responsables hacia los
procesos de negocio y de decisión.
5. Sugerir a la empresa que sigan invirtiendo más en Tecnologías de
Información pues con los beneficios que se obtienen con ellas es
considerable, tales como el mejoramiento del servicio de atención al
cliente como otros servicios a fin de obtener resultados sobresalientes.
6. Mejorar la comunicación de los objetivos y la dirección de la
gerencia sobre los planes estratégicos y tácticos de las TIC en la
empresa.
73
7. Incluir en la administración de recursos humanos mejores prácticas,
tales como: compensación, revisiones de desempeño, participación
en foros, buzón de sugerencia, entrenamiento y adiestramiento
periódicos.
8. Implantar la necesidad e importancia de la administración de la calidad,
alineada a la alta gerencia de TI de la empresa, con procedimientos
estandarizados y documentados.
9. Realizar una evaluación de riesgos para disminuir los riesgos que
se puedan presentar en cada área de la empresa.
10. Establecer un marco de trabajo para la administración y recursos
del proyecto, a fin de alcanzar sus objetivos y cumplimiento del
cierre del proyecto dentro de la empresa.
74
5. Referencias bibliográficas
1. Sin autor. Plan Estratégico del Sector TIC en Navarra [Internet].
[Consultado el 25 de Julio del 2012]. [114 pág.]. Disponible en:
http://www.cfnavarra.es/Observatoriosi/pdf/Plan_TIC_cap3.pdf
2. Identificación de necesidades de las MYPE con respecto a las Tecnologías
de Información y Comunicaciones - Informe final [internet]. Agosto-
2005 [Consultado el 26 de Julio del 2012]. 78 p. Disponible en:
www.eqsoft.net/documentos/estudio_necesidades_TIC_2005.pdf
3. Marín J. Estudio de Costes de Tecnologías de la Información en las
Entidades Financieras Españolas [internet]. España: Accenture; 2007
[Consultado el 26 de Julio del 2012]: 57p Disponible en:
http://www.financialtech-mag.com/_docum/141_Actualidad_01.pdf
4. Díaz Toledano, Moisés. Arquitectura de información de los sistemas
empresariales [internet]. [22 pantallas]. [Consultado el 27 de Julio del
2012]. Disponible en: http://www.moisesdaniel.com/es/wri/asieHtml.htm
5. Antonio Novo. A favor de una gran dirección tecnológica de la
4empresa [Internet].5 pantallas. [Consultado el 28 de Julio del 2012].
Disponible en: http://www.antonionovo.com/blog/2009/02/20/a-favor-de-
un-grado-en-direccion-tecnologica-de-la-empresa/
6. Sin autor. Inversión de TI [Internet].5 pantallas. [Consultado el 28 de
Julio del 2012]. Disponible en: http://www.altonivel.com.mx/19137-
inversion-en-ti-aumentara-en-chile.html
7. Del Carpio Gallegos. Javier. Gestión de riesgos en proyectos de
tecnología de información en el Perú Information technology project risk
75
management in Perú [Internet].18 pantallas. [Consultado el 29 de Julio
del 2012]. Disponible en:
http://www.scielo.org.pe/scielo.php?script=sci_arttext&pid=S1810-
99932008000200006
8. Retamozo P. Planificación estratégica de la automatización de procesos
administrativos. Caso: oficina de servicio social de la oficina general de
bienestar universitario de la UNMSM [monografía en internet]. Perú:
UNMSM – Oficina General del Sistema de Bibliotecas y Biblioteca
Central; 2002 [Consultado el 27 de Julio del 2012]. Disponible
desde:
http://sisbib.unmsm.edu.pe/bibvirtual/tesis/basic/retamozo_np/contenido.h
tm
9. Conexión Esan ¿En qué invierten las empresas peruanas cuando se trata de
TI? [Internet].02 pantallas. [Consultado el 30 de Julio del 2012].
Disponible en:
http://www.esan.edu.pe/conexion/actualidad/2012/02/14/en-que-invierten-
las-empresas-peruanas-cuando-se-trata-de-ti/
10. Centro de Promoción de la Pequeña y Microempresa (PROMPyme),
realizó un estudio denominado “Identificación de necesidades de las
Mypes con respecto a las Tecnologías de la Información y Comunicación
(TIC)”; Perú: [Consultado el 31 de Julio del 2012]. 2005.
11. Bach. Víctor Hugo Venturo López. Perfil de la planificación y
organización de las tecnologías de información y comunicación (TIC)
[Archivo pdf. Proporcionada de la base de datos de la Facultad de
Ingeniería de Sistemas de la Universidad Católica Los Ángeles de
Chimbote].[Perú(Chimbote)].2012
76
12. Bardales Ruiz, Kildare.Propuesta de Mejora del Nivel de Gestión de la
Planificación y Organización de las Tecnologías de Información y
Comunicaciones (TIC) en la Empresa Servicios Cobranza e Inversiones
S.A.C (SCI) [Archivo pdf. Proporcionada de la base de datos de la
Facultad de Ingeniería de Sistemas de la Universidad Católica Los
Ángeles de Chimbote].[Perú(Piura)].
13. WIKIPEDIA.ORG. Empresa. [Consultada el 01 de Agosto del 2012].
Disponible en: http://es.wikipedia.org/wiki/Empresa
14. SPRI. Guía sobre Planificación y Formación de TIC [Internet]. Euskadi.
[92 pág.]. [Consultada el 01 de Agosto del 2012]. Disponible en:
http://www.usc.es/atpemes/IMG/pdf/g-apfc_PV_SpRI.pdf
15. Salazar C, Cristian. Las Tics como herramienta a la gestión empresarial.
[Artículo en internet]. 2008. [Consultada el 02 de Agosto del 2012].
Disponible desde: http://cibermundos.bligoo.com/content/view/145501
16. Centro Europeo de Empresas e innovación de Navarra. Las TIC,
herramientas estratégicas. [Artículo en internet]. 2008. [Consultada el 02
de Agosto de 2012]. Disponible desde:
http://www.cfnavarra.es/Observatoriosi/pdf/Plan_TIC_cap3.pdf
17. Gobierno de La Rioja. Planes de Implantación de TICs y Competitividad
en el Comercio [Internet]. [Consultado el 03 de Agosto del 2012]. [5
pantallas]. Disponible en:
http://www.larioja.org/npRioja/default/defaultpage.jsp?idtab=463508&Id
Doc=712811
18. Las TIC en las empresas [Internet]. [Consultado el 04 de Agosto del
2012]. [4 pantallas]. Disponible en: http://www.serviciostic.com/las-
tic/las-tic-en-las-empresas.html
77
19. La importancia de las TIC en las fusiones de empresas [Internet].
[Consultado el 05 de Agosto del 2012]. [1 pantalla]. Disponible
en:http://www.altonivel.com.mx/19501-la-importancia-de-las-tic-en-las-
fusiones-de-empresas.html
20. Uso estratégico de las TICs en las empresas del futuro empresas
[Internet]. [Consultado el 05 de Agosto del 2012]. [7 pantalla].
Disponible en: http://manuelgross.bligoo.com/content/view/693596/Uso-
estrategico-de-las-TICs-en-las-empresas-del-futuro.html
21. Sin autor. Características de las TICs [Internet].[Consultado el 06 de
Agosto del 2012].[3 pantallas]. Disponible en:
http://algosobretic.blogspot.com/2009/02/caracteristicas-de-las-
tics_9726.html
22. Yesica, Baranovich; Gabriela, Castillo; Manuela, López et al. TICS y
Sociedad[Internet].[Consultado el 07 de Agosto del 2012].[17
pantallas]. Disponible en:
http://informatikysociedad.blogspot.com/2007/10/las-tic-aplicadas-la-
sociedad.html
23. Sin autor. ¿Qué es COBIT?[Internet].[Consultado el 07 de Agosto del
2012].[1 pantalla]. Disponible en:
http://www.itera.com.mx/itinstitute/mails/chile/cobit.htm
24. Paola, Castro; Diana, Suarez. Principales Características de
COBIT[Internet] [Consultado el 07 de Agosto del 2012].2 pantallas
.Disponible en :
http://cobitv41.blogspot.com/2011/02/pricipales-caracteristicas-de-
cobit.html
25. Slideshare. Ventajas del COBIT Internet].[Consultado el 08 de Agosto
del 2012].[5 pantalla]. Disponible en:
http://www.buenastareas.com/ensayos/Ventajas-Del-Cobit/3499925.html
26. Sin autor. COBIT 4.1. Gobierno TI[Internet].[Consultado el 09 de
Agosto del 2012].[4 pantalla]. Disponible en:
http://www.overti.es/procesos-itsm/cobit.aspx
78
27. Serving IT Governance Professionals. COBIT 4.0 [Internet]. USA.; Junio
2006 [Citado el 09 de Agosto del 2012]; 207 p. Disponible en:
http://es.scribd.com/doc/47912529/Cobit-4-0-Espanol
28. IT Governance Institute: COBIT 4.1 en español [documento en internet];
2007 [Consultado el 10 de Agosto del 2012] [209 páginas].
Disponible en: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
29. Velásquez, Ángel R; Rey, Nérida G. Metodología de la Investigación
Científica. Lima: San Marcos; s/f. 311
30. Hernández, Roberto, Fernández, Carlos y Baptista, Pilar. Metodología de
la Investigación. 4 ed. México: Mc-Graw-Hill Inte
80
Anexo I: Cronograma de actividades
AÑO 2012
MES
JULIO AGOSTO SEPTIEMBRE OCTUBRE
ACTIVIDAD SEMANAS
N NOMBRE DE LA TAREA DUR. F. INIC F. FIN PR
1
Se
m
2
Se
m
3
Se
m
4
Se
m
5
Se
m
6
Se
m
7
Se
m
8
Se
m
9
Se
m
10
Se
m
11
Se
m
12
Se
m
13
Se
m
14
Se
m
15
Se
m
1 Presentación del Taller 7 D 15/07/12 21/07/12
2 Estructura del Plan de Tesis 6 D 22/07/12 27/07/12 1
3 Desarrollo de Plan de Tesis 18 D 29/07/12 18/08/12 2
4 Presentación de Plan de Tesis, Encuestas, 7 D 19/08/12 25/08/12 3
5 Recolección e Interpretación de datos del
proyecto 7 D 26/08/12 01/09/12 4
6 Aplicación de Encuestas (Trabajo de
Campo ) 12 D 02/09/12 15/09/12 5
7 Entrega de Encuestas, Tabulación y
Confiabilidad de datos 7 D 16/09/12 22/09/12 6
8 Presentación, análisis e interpretación de
resultados 7 D 23/09/12 29/09/12 7
9 Asesoría Presencial para Elaboración 7 D 30/09/12 06/10/12 8
10 Desarrollo del Informe Final, Redacción 12 D 07/10/12 20/10/12 9
11 Entrega del Informe Final (Tesis) 1 D 21/10/12 21/10/12 10
81
Anexo II: Presupuesto
Proyecto: "Nivel de gestión del proceso de planificación y organización de las tecnologías de
información y comunicaciones (TIC) en la empresa Estación de Servicios San José SAC.
de la provincia de Piura - Departamento de Piura en el año 2012".
Localidad: Piura
Ejecutado por: Bach. Ing. José Luis Torres Vigil.
RUBRO UNIDAD CANTIDAD COSTO
UNITARIO
COSTO
PARCIAL
COSTO
TOTAL
Movilidad Semanas 15 5.00 75.00 75.00
Asesoramiento Mes 3 500.00 1500.00 1500.00
Internet Mes 40.00 40.00 40.00
Material para aplicación de instrumentos de medición de encuestas
Hoja Bond
A4
Millar 1000 14.00 14.00 14.00
Sobre Manila
A4
Unidad 12 0.50 6.00 6.00
Impresiones Una 450 0.5 225.00 225.00
Otros 150.00
TOTAL: S/.2,010.00
Financiamiento
El financiamiento lo realizare de manera personal e individual, de mis propios recursos
económicos.
82
Anexo III. ENCUESTA PARA MEDIR EL PERFIL DE
GESTION DE TICS DOMINIO “PLANEAMIENTO
Y ORGANIZACION” SEGUN EL MODELO COBIT
INSTRUCCIONES:
1. Seleccione una opción marcando con una flecha la letra que corresponde a su respuesta.
2. Recuerde que COBIT mide la implementación del enfoque de procesos en la gestión de tecnologías, no
mide el grado de tecnología utilizado.
DOMINIO: Planeamiento y organización
PROCESO PO01. Plan estratégico
Nombres y apellidos: ……………………………………………………
Cargo que ocupa: ……………………………………………………..
Área: ………………………………………………………………………
1.Como se elabora el plan estratégico?
a)No se elabora b)La elaboración del plan estratégico se realiza de manera informal
c)La elaboración del plan estratégico con técnicas tradicionales y no es documentado.
d)La elaboración del plan estratégico está definido y es documentado
e)El proceso de elaboración del plan estratégico es monitoreado f) El proceso de elaboración del plan estratégico esta automatizado.
2. Están alineados los objetivos de TI, con los objetivos de la organización? a)No están alineados
b)Los objetivos de TI están alineados parcialmente.
c)Los objetivos de TI no son consistentes con la estrategia global de la organización.
d)Los objetivos de TI están definidos y se documentan
e)Los objetivos de TI son monitoreados f) Los objetivos de TI está alineado a los objetivos de la organización
3. Los sistemas de información contribuyen al logro de los objetivos del negocio?
a)Los Sistemas de Información no contribuyen. b)Los Sistemas de Información no están alineados a los objetivos del negocio.
c)Los Sistemas de Información son inconsistentes con los objetivos del negocio.
d)Los Sistemas de Información contribuyen parcialmente.
e)Los Sistemas de Información están alineados a los objetivos del negocio
f)Los Sistemas de Información contribuyen al cumplimiento de los objetivos del negocio.
4. Los procesos de TI garantizan que el portafolio de inversiones de TI contenga programas con casos de
negocio sólidos?
a)No garantiza b)El portafolio de inversiones de TI, se realiza de manera informal
c)El portafolio de inversiones de TI son inconsistentes y no se documentan
d)Los procesos de inversiones de TI están definidos y se documenta
e)Los procesos de inversiones TI se monitorean
f)Los procesos de inversiones TI están automatizados
83
5. Los planes tácticos de TI derivan del plan estratégico?
a)No derivan b)Los planes tácticos se realiza de manera informal
c)Los planes tácticos derivan parcialmente del plan estratégico y no se documentan
d)Los planes tácticos derivan del plan estratégico y está documentado
e)Los planes tácticos de TI se monitorea
f)Los planes tácticos de TI esta automatizado
6.El portafolio de inversiones de TI, garantiza que los objetivos de los programas den soporte al logro de los resultados?
a)No existe portafolio de inversiones de TI
b)El portafolio de inversiones de TI garantiza parcialmente el logro de los objetivos.
c)El portafolio de inversiones de TI no se documenta
d)Los procesos de inversiones TI utiliza procedimientos documentados
e)Los procesos de inversiones de TI son monitoreados.
f)Los procesos de inversiones de TI esta automatizado
7.Las iniciativas de TI dan soporte a la misión y metas de la organización? a)No existe iniciativas de TI
b)Las iniciativas de TI no están alineados las metas de la organización
c)Las iniciativas de TI no se sustentan con documentación
d)Las iniciativas de TI se sustentan con documentación
e)El proceso de las iniciativas de TI se monitorea
f)El proceso de las iniciativas de TI se automatizan
8.La reingeniería de las iniciativas de TI, reflejan cambios en la misión y metas de la organización?
a)No existe reingeniería de TI
b)La reingeniería de iniciativas de TI se realiza de manera informal
c)La reingeniería de iniciativas de TI no está documentada
d)La reingeniería de iniciativas de TI utiliza procedimientos documentados
e) La reingeniería de iniciativas de TI se monitorea f) La reingeniería de iniciativas de TI esta automatizado
9. La reingeniería de los procesos de negocio están siendo consideradas y dirigidas adecuadamente en el
proceso de planeación de TI?
a) No existe reingeniería de procesos
b) La reingeniería de procesos de TI se realiza de manera informal
c) La reingeniería de procesos de TI procedimientos no documentados
d) La reingeniería de procesos de TI se documentan y se comunican
e) La reingeniería de procesos de TI se monitorea
f) La reingeniería de procesos de TI esta automatizado
10. Existen puntos de revisión para asegurar que los objetivos de TI a corto y largo plazo continúan
satisfaciendo los objetivos de la organización?
a)No existe revisión b)Los puntos de revisión se realiza de manera informal
c) Los puntos de revisión se realiza siguiendo un patrón regular d) Los procesos de revisión de los objetivos de TI está documentado
e) Los proseos de revisión de los objetivos de TI es monitoreado
f) Los proseos de revisión de los objetivos de TI esta automatizado
11. Los planes de TI a corto y largo plazo, están dirigidos adecuadamente a los objetivos de la institución? a)No existen planes de TI
b)Los planes de TI se realiza de manera informal
84
c)Los planes de TI sigue un patrón regular, y no están alineados a los objetivos de la organización
d)Los planes de TI, solo se documentan, mas no están alineados a los objetivos de la organización
e)Los procesos de los planes de TI son monitoreados.
f)Los procesos de los planes de TI esta automatizado
12.Los propietarios de procesos de TI llevan a cabo revisiones y aprobaciones formales?
a)No se lleva acabo revisiones b)Las revisiones se realiza de manera informal
c)El plan de revisión y aprobación sigue un patrón regular
d)Los procesos de revisión y aprobación de TI es documentado
e)Los procesos de revisión y aprobación de TI es monitoreado f)Los procesos de revisión y aprobación de TI esta automatizado
PO02. Arquitectura de la Información
1.El modelo de arquitectura de información está alineado a los planes de TI.
a)No está alineado
b)El modelo de arquitectura de información está alineado parcialmente
c)El modelo de arquitectura de información utiliza técnicas tradicionales no documentadas
. d)El modelo de arquitectura de información utiliza procedimientos documentados.
e)El proceso del modelo de arquitectura de información es monitoreado
f)El proceso del modelo de arquitectura de información, está relacionado con los planes de TI.
2.Como se elabora el diccionario de datos de TI?
a)No se elabora
b)La elaboración del diccionario de datos ocurre de manera informal
. c)La elaboración del diccionario de dato sigue un patrón regular
d)Los procesos de elaboración del diccionario de dato se documentan e)Los procesos de elaboración del diccionario de dato es monitoreado
f)Los proceso de elaboración del diccionario de dato esta automatizado
3.Utiliza buenas prácticas para garantizar la integridad y consistencia de datos?
a)No se utiliza
b)Utilizan técnicas tradicionales
c)Los procedimientos están definidos por no documentados
d)Los procedimientos están definidos y documentados
e)Los procesos para garantizar la integridad de datos es monitoreado f)Los procesos para garantizar la integridad de datos esta automatizado
4.Utiliza niveles apropiados de seguridad y controles de protección?
a)No se utiliza
b)Se realiza de manera informal
c)Los niveles de seguridad sigue una patrón regular, no documentado
d)Los procesos de seguridad son documentados y se comunican
e)Los procesos de seguridad son monitoreados y se miden
f)Los procesos de seguridad esta automatizado
5.Se han definido sistemas apropiados para el tratamiento de la información, de tal forma que permita la consistencia de datos?
a)No se han definido
b)El proceso de consistencia de datos se realiza de manera informal
c)El proceso de consistencia de datos sigue un patrón regular
d)El proceso de consistencia de datos se documenta y comunica
85
e)El proceso de consistencia de datos es monitoreado
f)El proceso de consistencia de datos esta automatizado.
6.El modelo de arquitectura conserva consistencia con el largo plazo de las TI? a)No existe modelo de arquitectura
b)El modelo de arquitectura se realiza de manera informal
c)El modelo de arquitectura sigue un patrón regular
d)El modelo de arquitectura conserva consistencia y es documentado
e)El modelo de arquitectura es monitoreado
f)El modelo de arquitectura conserva consistencia, esta automatizado
7.Los servicios de información aseguran la creación y actualización de un diccionario de datos corporativo?
a)No existe
b)La actualización del diccionario de datos se realiza de manera informal
c)La actualización del diccionario sigue un patrón
d)El proceso de actualización del diccionario de datos se documenta
e)El proceso de actualización del diccionario de datos es monitoreado y medible
f)El proceso de actualización del diccionario de datos esta automatizado
8.Se han definido niveles de seguridad para la clasificación de datos identificados? a)No se han definido los niveles de seguridad
b)Los niveles de seguridad para la clasificación de datos se realiza de manera informal
c)Los niveles de seguridad para la clasificación de datos sigue un patrón
d)El proceso de los niveles de seguridad para la clasificación de datos se documenta
e)El proceso de los niveles de seguridad para la clasificación de datos se monitorea
f)El proceso de los niveles de seguridad para la clasificación de datos esta automatizado.
9.Los niveles de seguridad representan el conjunto de medidas de seguridad y control apropiado para cada
una de las clasificaciones?
a)No existe niveles de seguridad
b)Los niveles de seguridad se realiza de realiza de manera informal
c)Los niveles de seguridad no son apropiados
d)El proceso de niveles de seguridad se documentan
e)El proceso de niveles de seguridad se monitorea f)Los niveles de seguridad son los apropiados para cada una de las clasificaciones
10.Se utiliza algún medio para distribuir el diccionario de datos para asegurar que este sea accesible para las áreas de desarrollo?
a)No existe b)La distribución del diccionario de datos se realiza de manera informal
c)La distribución del distribución de datos sigue un patrón y no se documenta
d)El proceso de distribución del diccionario de datos se documenta
e)El proceso de distribución del diccionario de datos se monitorea f)El proceso de distribución del diccionario de datos esta automatizado
11.Existe un proceso de autorización que requiera que el propietario de los datos autorice todos los
accesos a éstos datos?
a)No existe
b)El proceso de autorización de datos se realiza de manera informal
c)El proceso autorización de datos sigue un patrón regular
d)El proceso de autorización de datos no utiliza procedimientos documentados
e)Los procesos de autorización de datos es monitoreado y se miden
f)Los procesos de autorización de datos esta automatizado
86
12.El acceso a datos delicados, requiere de la aprobación de los propietarios de la información? a)No existe
b)El acceso se realiza de manera informal.
c)Este proceso sigue un patrón regular.
d)Este proceso es documentado y medible
e)El acceso a los datos son monitoreados y se miden
f)Se implementa las mejores prácticas de acceso a los datos delicados.
PO03 Dirección tecnológica
1.Se analizan las tecnologías existentes y emergentes, para determinar la dirección tecnológica? a)No se analizan las tecnologías existentes
b)El desarrollo e implementación de tecnologías se realiza de manera informal
c)El desarrollo e implementación de tecnologías se delega a personas que siguen procesos intuitivos.
d)El proceso para definir la infraestructura tecnológica se documenta
e)El proceso para analizar las tecnólogas existentes y emergentes se monitorea f)El proceso para analizar las tecnólogas existentes y emergentes esta automatizado
2.El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de TI?
a)El plan de infraestructura no está alienado a los planes estratégicos de TI
b)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se realiza de manera informal.
c)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI utiliza procedimientos no documentados
d)La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se documenta e)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI se monitorea
f)El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI esta automatizado
3.Se utiliza estándares tecnológicos para el diseño de arquitectura de TI?
a)No se utiliza estándares para el diseño de la arquitectura de TI
b)El diseño e implementación de la arquitectura tecnológica se realiza de manera informal
c)El diseño de la arquitectura de TI utiliza procedimiento no documentados
d)El diseño de la arquitectura de TI se documenta
e)El proceso para el diseño de la arquitectura de TI se monitorea.
f)El proceso para el diseño de la arquitectura de TI se automatiza
4.Como elabora la arquitectura de TI?
a)No se elabora b)La arquitectura de TI se elabora de manera informal
c)La elaboración de la arquitectura de TI utiliza procedimientos no documentados d)La elaboración de la arquitectura de TI se documenta
e)El proceso del diseño de la arquitectura de TI, es monitoreado
f)El proceso del diseño de la arquitectura de TI esta automatizado
5.El plan de infraestructura tecnológica abarca la arquitectura de sistemas
a)No existe plan de infraestructura tecnológica
b)El plan de infraestructura tecnológica se considera en la arquitectura de sistemas de manera informal
c)El plan de infraestructura tecnológica y de sistemas no está documentado
d)El plan de infraestructura tecnológica y de sistemas se documenta
e)El plan de infraestructura tecnológica se monitorea
f)El plan de infraestructura tecnológica esta automatizado.
87
6.El plan de infraestructura tecnológica abarca aspectos como dirección tecnológica?
a)No existe plan de infraestructura tecnológica b)Los aspectos de dirección tecnológica se realiza de manera informal
c)El plan de infraestructura tecnológica abarca aspectos de dirección, pero no es documentado
d)El plan de infraestructura tecnológica abarca aspectos de dirección y se documenta
e)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección y es monitoreado
f)El proceso del plan de infraestructura tecnológica abarca aspectos de dirección, y esta automatizado
7.El plan de infraestructura tecnológica abarca las estrategias de migración? a)No existe plan de infraestructura tecnológica
b)Las estrategias de migración se realiza de manera informal
c)Las estrategias de migración utiliza procedimientos no documentados
d)Las estrategias de migración se documenta
e)El proceso de estrategias de migración se monitorea
f)El proceso de estrategias de migración esta automatizado.
8.Existe un plan de adquisición de hardware y software de tecnología de información?
a)No existe b)La adquisición de hardware y software se realiza de manera informal
c)La adquisición de hardware y software utiliza procedimientos no documentados
d)La adquisición de hardware y software se documenta
e)El procesos de adquisición de hardware y software se monitorea f)El procesos de adquisición de hardware y software esta automatizado
9.Existen políticas y procedimientos que aseguren que se considere la necesidad de evaluar el plan
tecnológico para aspectos de contingencia?
a)No existe políticas y procedimientos para evaluar el plan tecnológico
b)La evaluación del plan tecnológico se realiza de manera informal
c)La evaluación del plan tecnológico utiliza procedimientos no documentados
d)La evaluación del plan tecnológico se documenta.
e)El proceso de evaluación del plan tecnológico se monitorea f)El proceso de evaluación del plan tecnológico esta automatizado
10.Los planes de adquisición de hardware y software suelen satisfacer las necesidades identificadas en el plan
de infraestructura tecnológica?
a)No existe plan de adquisición b)El plan de adquisición de se realiza de manera informal
c)La adquisición de software y hardware utiliza procedimientos nos documentados
d)La adquisición de software y hardware se documenta
e)El proceso de adquisición de software y hardware se monitorea f)El proceso de adquisición de software y hardware esta automatizado.
11.Existe un ambiente físico adecuado para alojar el hardware y software actualmente instalado? a)No existe un ambiente adecuado
b)El ambiente para alojar el hardware se asigna de manera informal
c)La selección de los ambientes para alojar el hardware utiliza procedimientos no documentados.
d)La selección de los ambientes para alojar el hardware se documenta
e)El proceso de selección de ambientes para alojar el hardware se monitorea f)El proceso de selección de ambientes para alojar el hardware esta automatizado
88
PO04. Procesos, organización y relaciones de TI.
1.Se sigue un marco de trabajo para ejecutar el plan estratégico de TI? a)No sigue ningún patrón de trabajo
b)Para ejecutar el plan estratégico TI se realiza de manera informal
c)La ejecución del plan estratégico TI utiliza procedimientos no documentados.
d)La ejecución del plan estratégico TI se documenta
e)El proceso de ejecución del plan estratégico TI se monitorea
f)El proceso de ejecución del plan estratégico TI esta automatizado
2.Se asignan roles y responsabilidades para el personal de TI?
a)No se asignan b)Las responsabilidades se asignan de manera informal
c)Para la asignación de roles y responsabilidades de TI se utiliza procedimientos no documentados
d)La asignación de roles y responsabilidades de TI se documentan
e)El proceso de asignación de responsabilidades de TI se monitorea. f)El proceso de asignación de responsabilidades de TI esta automatizado
3.Están definidas las políticas y funciones de aseguramiento de la calidad?
a)No están definidas.
b)La definición de políticas de calidad se realiza de manera informal
c)La definición de las políticas de TI utiliza procedimientos no documentados
d)La definición de las políticas de TI se documenta
e)Los procesos de definición de políticas de calidad se monitorea. f)Los procesos de definición de políticas de calidad esta automatizado
4.Existen políticas y procedimientos que cubran la propiedad de los sistemas más importantes?
a)No existen
b)Las políticas para cubrir la propiedad de datos se realiza de manera informal
c)Las políticas para cubrir la propiedad de datos utiliza procedimiento no documentados
d)Las políticas para cubrir la propiedad de datos se documentan
e)El proceso de políticas para cubrir la propiedad de datos se monitorea f)El proceso de políticas para cubrir la propiedad de datos esta automatizado.
5.Existen funciones y responsabilidades para procesos claves? a)No existen responsabilidades para procesos claves
b)Las responsabilidades para procesos claves se realiza de manera informal
c)Las responsabilidades para procesos clave utiliza procedimientos no documentados.
d)Los procesos de funciones y responsabilidades se documentan y comunican
e)Las responsabilidades para los procesos claves se monitorea f)Las responsabilidades para los procesos claves esta automatizado
6.Existen políticas para controlar las actividades de consultores y demás personal por contrato?
a)No existen b)Las actividades de contratación se realiza de manera informal
c)Las actividades y políticas de contratación de consultores utiliza procedimientos no documentados
d)Las actividades y políticas de contratación de consultores se documenta
e)El proceso para controlar las actividades de consultores se monitorea
f)El proceso para controlar las actividades de consultores esta automatizado.
7.Se realiza revisiones de los logros organizacionales? a)No se realiza
b)Las revisiones de los logros institucionales se realiza de manera informal
89
c)Las revisiones de los logros institucionales utiliza procedimientos no documentados
d)Las revisiones de los logros institucionales se documenta
e)El proceso de revisión de los logros institucionales se monitorea f)El proceso de revisión de los logros institucionales esta automatizado?
8.Se informa al personal sobre sus funciones y responsabilidades en relación a los sistemas de información?
a)No se informa
b)La comunicación de las responsabilidades se realiza de manera informal
c)La comunicación de las responsabilidades utiliza procedimientos no documentados
d)Las funciones y responsabilidades se documentan y se comunican
e)El proceso de comunicación de las responsabilidades se monitorea.
f)El proceso de comunicación de las responsabilidades esta automatizado
9.Se realiza eventos para concientizar al personal respecto a la seguridad y control interno? a)No se realiza
b)Los eventos de concientización al personal con respecto a seguridad se realiza de manera informal
c)Los eventos de concientización al personal con respecto a seguridad utiliza procedimientos no documentados d)Los eventos de concientización al personal con respecto a seguridad se documenta
e)Los procesos de eventos de concientización al personal con respecto a seguridad se monitorea
f)Los procesos de eventos de concientización al personal con respecto a seguridad esta automatizado
10.Se asigna formalmente la responsabilidad lógica y física de la información aun gerente de seguridad
de información?
a)No existe
b)La responsabilidad física y lógica a los sistema se realiza de manera informal
c)La asignación de responsabilidad física y lógica a los sistemas de información utiliza procedimientos no
documentados
d)La asignación de responsabilidad física y lógica a los sistemas de información se documenta e)El proceso de asignación de responsabilidad física y lógica a los Sistemas se monitorea.
f)El proceso de asignación de responsabilidad física y lógica a los Sistemas esta automatizado
11.Existen procesos e indicadores de desempeño para determinar la efectividad y aceptación de la función de servicios de información?
a)No existe b)Los procesos e indicadores de desempeño se realiza de manera informal
c)Los indicadores de desempeño utiliza procedimientos no documentados
d)Los procesos e indicadores de desempeño se documentan
e)Los procesos e indicadores de desempeño se monitorean.
f)Los procesos e indicadores de desempeño esta automatizado
12.Existen políticas y funciones de aseguramiento de la calidad?
a)No existe
b)El aseguramiento de calidad se realiza de manera informal
c)El aseguramiento de calidad utiliza procedimientos no documentados
d)El proceso de aseguramiento de calidad se documenta.
e)El proceso de aseguramiento de calidad es monitoreada y se miden
f)El proceso de aseguramiento de calidad es monitoreada esta automatizado
90
PO05. Inversión en TI
1.El presupuesto de TI, es el adecuado para justificar el plan operativo anual?
a)No existe presupuesto de TI b)El presupuesto de TI se justifica de manera informal.
c)La justificación del presupuesto de TI utiliza procedimientos no documentados
d)La justificación del presupuesto de TI para el plan operativo se documenta
e)El proceso de justificación del presupuesto de TI para el plan operativo se monitorea
f)El proceso de justificación del presupuesto de TI para el plan operativo esta automatizado.
2.Los análisis de costo/beneficio llevados a cabo por la administración, son revisados adecuadamente? a)No existe análisis de costo/beneficio en TI
b)El análisis de costo beneficio de TI se realiza de manera informal
c)El análisis de costo beneficio de TI utiliza procedimientos no documentados
d)El análisis de costo beneficio de TI se documenta
e)El proceso de análisis de costo beneficio de TI se monitorea
f)El proceso de análisis de costo beneficio de TI esta automatizado.
3.El proceso de elaboración del presupuesto de la función de servicios de información es consistente con
el proceso de la organización?
a)No existe presupuesto para la función de servicios b)La elaboración del presupuesto para la función de servicios se realiza de manera informal
c)La elaboración del presupuesto para la función de servicios utiliza procedimientos no documentados
d)La elaboración del presupuesto para la función de servicios se documenta
e)El procesos de elaboración del presupuesto para la función de servicios se monitorea
f)El proceso de elaboración del presupuesto para la función de servicios esta automatizado.
4.Existe políticas y procedimientos para asegurar la preparación y la aprobación adecuada de un
presupuesto operativo anual?
a)No existe políticas ni procedimientos para elaborar el presupuesto de TI
b)La elaboración del presupuesto operativo anual de TI se realiza de manera informal
c)La elaboración del presupuesto operativo anual de TI utiliza procedimientos no documentados
d)La elaboración del presupuesto operativo anual de TI se documenta
e)El proceso de elaboración del presupuesto operativo anual de TI se monitorea f)El proceso de elaboración del presupuesto operativo anual de TI esta automatizado
5.Existe políticas y procedimientos para monitorear regularmente los costos reales y compararlos con los
costos proyectados?
a)Los costos no son monitoreados
b)El monitoreo de los costos reales se realiza de manera informal c)El monitoreo de los costos reales utiliza procedimientos no documentados
d)El monitoreo de los costos reales se documenta El proceso del monitoreo de los costos reales auditados y medibles
e)El proceso de monitoreo de los costos reales esta automatizado
6.El presupuesto de la TI es el adecuado para justificar el plan operativo anual?
a)No existe presupuesto de TI b)La justificación del plan operativo se realiza de manera informal
c)La justificación del plan operativo anual utiliza procedimientos no documentados
d)La justificación del plan operativo anual se documenta
e)El proceso de justificación del plan operativo anual se monitorea
f)El proceso de justificación del plan operativo anual esta automatizado
91
7.El análisis de costo beneficio es revisado adecuadamente? a)El análisis de costo beneficio no es revisado
b)El análisis de costo beneficio se revisa de manera informal
c)El análisis de costo beneficio utiliza procedimientos no documentados
d)El análisis de costo beneficio se documenta
e)El proceso de análisis costo beneficio se monitorea f)El proceso de análisis costo beneficio esta automatizado
8.Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente?
a)No existe uso de herramientas b)El uso de herramientas para monitorear los costos se realiza de manera informal
c)El uso de herramientas para monitorear los costos usa procedimientos no documentados
d)El uso de herramientas para monitorear los costos se documenta
e)El procesos de monitorear los costos se evalúa y es medible
f)El procesos de monitorear los costos esta automatizado.
9.Los beneficios derivados de TI son analizados? a)Los beneficios derivados de no son analizados
b)Los beneficios derivados de TI son analizados de manera informal
c)Los beneficios derivados de TI son analizados, pero no utiliza procedimientos documentados
d)Los beneficios derivados de TI son analizados, se documenta
e)El proceso de análisis de los beneficios de TI se monitorea f)El proceso de análisis de los beneficios de TI esta automatizado
10.El proceso de elaboración del presupuesto está vinculado con la administración de las unidades
más importantes que contribuyan a su preparación?
a)El presupuesto no está vinculado a las unidades más importantes
b)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se realiza de manera informal.
c)El proceso de elaboración del presupuesto para vincular con las unidades más importantes
utiliza procedimientos no documentados
d)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se
documenta.
e)El proceso de elaboración del presupuesto para vincular con las unidades más importantes se monitorea
f)El proceso de elaboración del presupuesto para vincular con las unidades más importantes esta automatizado
11.Se realiza una revisión detallada del presupuesto actual y del año inmediato anterior contra los resultados
reales?
a)No existe revisión
b)La revisión del presupuesto del año inmediato anterior se realiza de manera informal
c)La revisión del presupuesto del año inmediato anterior utiliza procedimientos no documentados
d)La revisión del presupuesto del año inmediato anterior se documenta
e)El proceso de revisión del presupuesto del año inmediato anterior se monitorea f)El proceso de revisión del presupuesto del año inmediato anterior esta automatizado
12.Existe políticas y procedimientos de TI relacionadas con la elaboración del presupuesto y las actividades
del costeo?
a)No existe b)La elaboración del presupuesto y las actividades de costeo se realiza de manera informal
c)La elaboración del presupuesto y las actividades de costeo utiliza procedimientos no documentados
d)La elaboración del presupuesto y las actividades de costeo se documenta
e)El proceso de elaboración del presupuesto y las actividades de costeo se monitorea
f)El proceso de elaboración del presupuesto y las actividades de costeo esta automatizado
92
PO06. Nivel de comunicación entre los miembros de TI
1.Se da a conocer los objetivos del negocio y de TI a los interesados apropiados y a los usuarios de toda
la organización?
a)Los objetivos del negocio y de TI no se da a conocer b)Los objetivos del negocio y de TI se da a conocer de manera informal
c)La comunicación de los objetivos del negocio y de TI, no se documenta
d)La comunicación de objetivos del negocio y de TI se documenta
e)Los procesos de comunicación de los objetivos de TI se monitorea
f)Los procesos de comunicación de los objetivos de TI esta automatizado
2.Las políticas de TI se comunican a todo el personal relevante, y se refuerzan de tal forma que estén incluidas y sean parte integral de las operaciones? a)El personal desconoce la existencia de políticas de TI
b)La comunicación de las políticas de TI al personal relevante se comunican de manera informal
c)Para la comunicación de las políticas de TI al personal relevante se utiliza procedimiento no documentados
d)La comunicación de las políticas de TI al personal relevante se documenta
e)El proceso de comunicación de las políticas de TI al personal relevante se monitorea f)El proceso de comunicación de las políticas de TI al personal relevante esta automatizado
3.La alta gerencia promueve un ambiente de control positivo a través del ejemplo?
a)No existe iniciativa para promover un ambiente positivo
b)Las iniciativas para promover un ambiente positivo se realiza de manera informal
c)Las iniciativas para promover un ambiente positivo no se documenta
d)Las iniciativas para promover un ambiente positivo se documenta
e)Los procesos para promover un ambiente positivo se monitorea
f)Los procesos para promover un ambiente positivo esta automatizado
4.Existe políticas y procedimientos organizacionales para asegurar que los recursos son asignados adecuadamente?
a)No existe políticas ni procedimientos para asegurar que los recursos son asignados adecuadamente
b)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se realiza
de manera informal
c)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente no se documenta d)Las políticas y procedimientos para asegurar que los recursos son asignados adecuadamente se documenta
e)Los procesos para asegurar que los recursos son asignados adecuadamente se monitorea
f)Los procesos para asegurar que los recursos son asignados adecuadamente esta automatizado
5.Existe procedimientos apropiados para asegurar que el personal comprende las políticas y procedimientos
implementadas?
a)No existe procedimientos apropiados
b)Los procedimientos para asegurar la comprensión de las políticas se realiza de manera informal
c)Los procedimientos para asegurar la comprensión de las políticas no se documenta
d)Los procedimientos para asegurar la comprensión de las políticas se documenta
e)Los procesos para asegurar la comprensión de las políticas se monitorea
f)Los procesos para asegurar la comprensión de las políticas esta automatizado
6.Existen procedimientos que consideren la necesidad de revisar y aprobar periódicamente estándares,
directivas, políticas relacionados con TI?
a)No existe procedimientos para revisar y aprobar las directivas relacionados con TI
b)Los procedimientos para revisar y aprobar las directivas relacionados con TI se realiza de manera informal
c)Los procedimientos para revisar y aprobar las directivas relacionados con TI no se documenta
d)Los procedimientos para revisar y aprobar las directivas relacionados con TI se documenta
e)Los procesos para revisar y aprobar las directivas relacionados con TI se monitorea
93
f)Los procesos para revisar y aprobar las directivas relacionados con TI esta automatiza
7.Las políticas de seguridad y control interno identifican el proceso de control de la revaluación de riesgos?
a)Las políticas de seguridad no identifican el proceso de control de revaluación de riesgos
b)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se realiza de manera
informal
c)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos no se documenta
d)Las políticas de seguridad que identifican el proceso de control de revaluación de riesgos se documenta
e)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos se monitorea
f)Los procesos de seguridad que identifican el proceso de control de revaluación de riesgos esta automatizado.
8.Existen políticas para asuntos especiales para documentar las decisiones administrativas sobre aplicaciones
y tecnologías particulares?
a)No existe políticas para asuntos especiales de TI b)Las políticas para asuntos especiales de TI se realiza de manera informal
c)Las políticas para asuntos especiales de TI no se documenta
d)Las políticas para asuntos especiales de TI se documenta
e)Las procesos para asuntos especiales TI se monitorean y miden
f)Los procesos para asuntos especiales de TI esta automatizado
9.Existe el compromiso de la administración en cuanto a los recursos para formular, desarrollar y promulgar
políticas? a)No existe compromiso por parte de la administración
b)El compromiso por parte de la administración en cuanto a los recursos se realiza de manera informal
c)El compromiso por parte de la administración en cuanto a los recursos no se documenta
d)El compromiso por parte de la administración en cuanto a los recursos se documenta e)Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas se monitorea
f)Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas esta automatizado
10.Existe procedimientos de medición para asegurar que los objetivos de la organización sean alcanzados?
a)No existe procedimientos de medición
b)Los procedimientos de medición de objetivos se realiza de manera informal
c)Los procedimientos de medición de objetivos no se documenta
d)Los procedimientos de medición de objetivos se documenta
e)Los procesos para medir los objetivos alcanzado se monitorea
f)Los procesos para medir los objetivos alcanzado esta automatizado
PO07. Recursos humanos de TI.
1.Están definidos los procesos para reclutar y seleccionar personal? a)No están definidos
b)El reclutamiento y selección de personal se realiza de manera informal
c)El reclutamiento y selección de personal no se documenta
d)El reclutamiento y selección de personal se documenta e)El proceso de reclutamiento y selección de personal se monitorea
f)El proceso de reclutamiento y selección de personal esta automatizado.
2.La administración está comprometida con la capacitación y el desarrollo profesional de los empleados?
a)No existe compromiso por parte de la administración para la capacitación del personal
b)La administración capacita al personal de manera informal
c)La capacitación del personal no se documental
d)La capacitación del personal se documenta
94
e)Los procesos de capacitación al personal se monitorea f)Los procesos de capacitación al personal esta automatizado.
3.Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia?
a)No se realiza evaluaciones del desempeño al personal de TI.
b)Las evaluaciones se realiza de manera informal
c)Las evaluaciones se utiliza procedimientos no documentados
d)Las evaluaciones se documenta
e)Los procesos de evaluación del personal se monitorean
f)Los procesos de evaluación del personal esta automatizado
4.Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes?
a)No se utilizan criterios para seleccionar personal del TI
b)Los criterios utilizados para seleccionar personal de TI no son los adecuados
c)Los criterios utilizados para seleccionar personal de TI no se documenta
d)Los criterios utilizados para seleccionar personal de TI se documenta
e)El proceso para seleccionar personal para cubrir vacantes se monitorea
f)El proceso para seleccionar personal para cubrir vacantes esta automatizado
5.La administración y los empleados aceptan el proceso de competencia del puesto?
a)No aceptan
b)La aceptación del proceso de competencia del puesto se realiza de manera informal
c)El proceso de aceptación de competencia del puesto no se documenta
d)El proceso de aceptación de competencia del puesto se documenta
e)El proceso de aceptación de competencia del puesto se monitorea
f)El proceso de aceptación de competencia del puesto esta automatizado
6.Los programas de entrenamiento son consistentes con los requerimientos de la organización relacionados
con la educación?
a)No existe programas de entrenamiento
b)Los programas de entrenamiento se realiza de manera informal
c)Los programas de entrenamiento son consistentes con los requerimientos, pero no se documenta
d)Los programas de entrenamiento se documenta
e)El proceso de programas de entrenamiento se monitorea f)El proceso de programas de entrenamiento esta automatizado
7.Los empleados son evaluados tomando como base un conjunto estándar de perfiles de competencia para
la posición?
a)No existe evaluación
b)La evaluación de empleados se realiza de manera informal
c)La evaluación de los empleados no se documenta
d)La evaluación de los empleados se documenta e)El proceso de evaluación de empleados se monitorea
f)El proceso de evaluación de empleados esta automatizado
8.Las políticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables?
a)No existen políticas ni procedimientos b)Las políticas y procedimientos de recursos humanos no son coherentes con las leyes laborales
c)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales, pero no
se documenta
d)Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales y se documenta
e)Los procesos de recursos humanos concuerdan con las leyes laborales y se monitorea
f)Los procesos de recursos humanos esta automatizado
95
9.Se realiza talleres de pruebas de inteligencia emocional?
a)No se realiza
b)Los talleres de prueba de inteligencia emocional se realiza de manera informal
c)Los talleres de prueba de inteligencia emocional no se documenta
d)Los talleres de prueba de inteligencia emocional se documenta
e)Los procesos de prueba de inteligencia emocional se monitorea
f)Los procesos de prueba de inteligencia emocional esta automatizado
10.Se realiza instrucción y entrega de materiales a los empleados contratados para que cumplan sus obligaciones eficiente?
a)No se realiza ningún tipo de instrucción
b)La instrucción y entrega de materiales a los empleados se realiza de manera informal
c)La instrucción y entrega de materiales a los empleados no se documenta
d)La instrucción y entrega de materiales a los empleados se documenta e)El proceso de instrucción y entrega de materiales a los empleados se monitorea
f)El proceso de instrucción y entrega de materiales a los empleados esta automatizado
11.Se realiza orientación a los nuevos empleados mediante talleres de capacitación y entrega de documentación con las normativas?
a)No se realiza ningún tipo de orientación
b)La orientación a los nuevos empleados se realiza de manera informal
c)La orientación a los nuevos empleados no se documenta
d)La orientación a los nuevos empleados se documenta
e)El proceso de capacitación u orientación a los nuevos empleados se monitorea f)El proceso de capacitación u orientación a los nuevos empleados esta automatizad
PO08. Calidad
1.Existen políticas y procedimientos para asegurar las acciones correctivas, para asegurar un cumplimiento continuo?
a)No se revisa la calidad de los proyectos
b)Las acciones correctivas de los proyectos se realiza de manera informal
c)Las acciones correctivas de los proyectos no se documenta
d)Las acciones correctivas de los proyectos se documenta
e)El proceso para las acciones correctivas de los proyectos se monitorea f)El proceso para las acciones correctivas de los proyectos esta automatizado
2.En desarrollo de proyectos utilizan estándares de desarrollo de software?
a)No utilizan ningún estándar.
b)El desarrollo de proyectos de software se realiza de manera informal
c)Los proyectos de software no se documenta
d)Los proyectos de software se documenta
e)Los procesos de desarrollo de software se monitorea
f)Los procesos de desarrollo de software esta automatizado
3.Existe un sistema de gestión de calidad? a)No existe programas de calidad
b)Los sistemas de calidad se realiza de manera informal
c)Los sistemas de calidad no se documenta
d)Los sistemas de calidad se documenta e)Los procesos de gestión calidad se monitorea
f)Los procesos de gestión de calidad esta automatizado
96
4.Los proyectos son evaluados, monitoreados por el sistema de calidad.? a)No existe evaluación de proyectos
b)La evaluación de proyectos se realiza de manera informal
c)La evaluación de proyectos no se documenta
d)La evaluación de proyectos se documenta
e)Los procesos de evaluación de proyectos se monitorea
f)Los procesos de evaluación de proyectos esta automatizado
5.Existen políticas y procedimientos para asegurar las acciones correctivas de los requerimientos externos?
a)No existen requerimientos externos
b)Los procedimientos de los requerimientos externos se realiza de manera informal
c)Los procedimientos de los requerimientos externos no se documenta
d)Los procedimientos de los requerimientos externos se documenta e)Los procesos para asegurar los requerimientos externos se monitorea
f)Los procesos para asegurar los requerimientos externos esta automatizado
6.Existen políticas y procedimientos para asegurar que se proporcionan entrenamiento y educación en
seguridad y salud a todos los empleados?
a)No existe entrenamiento en seguridad y salud
b)Los procedimiento de entrenamiento y educación en seguridad se realiza de manera informal
c)Los procedimiento de entrenamiento y educación en seguridad no se documenta
d)Los procedimiento de entrenamiento y educación en seguridad se documenta e)Los procesos de entrenamiento y educación en seguridad se monitorea
f)Los procesos de entrenamiento y educación en seguridad esta automatizado
7.Existe políticas y procedimientos para monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad?
a)No se monitorea el cumplimiento de las layes y regulaciones de seguridad
b)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se realiza de manera informal.
c)El monitoreo del cumplimiento de las layes y regulaciones de seguridad no se documenta
d)El monitoreo del cumplimiento de las layes y regulaciones de seguridad se documenta
e)El proceso del cumplimiento de las layes y regulaciones de seguridad se monitorea f)El proceso del cumplimiento de las layes y regulaciones de seguridad esta automatizado
8.Existe políticas y procedimientos para proporcionar a la dirección un enfoque adecuado
sobre confidencialidad de tal manera que todos los requerimiento legales caigan dentro de este alcance?
a)No existe
b)Los procedimientos son ad-hoc y desorganizados
c)Los procedimientos siguen un patrón regular
d)Los procedimientos se documentan y comunican
e)Los procedimientos son monitoreados y se miden
f)Se implementa las mejores prácticas en la implementación de políticas y procedimientos
9.Existen políticas y procedimientos para asegurar el cumplimiento con los requerimientos de los contratos de seguros?
a)No existe
b)Los procedimientos son ad-hoc y desorganizados
c)Los procedimientos siguen un patrón regular d)Las políticas y procedimientos se documentan
e)Los procedimientos de contratos se monitorean y se miden f)Se implementa las mejores prácticas para asegurar el cumplimiento de los contratos de seguros
97
10.Existe políticas y procedimientos para asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un contrato de seguros nuevo/modificado?
a)No existe b)Los procedimientos son ad-hoc
c)Los procedimientos siguen un patrón regular
d)Los procedimientos se documentan y se comunican
e)Los procesos de actualización se monitorean y se miden
f)Se implementa las mejores prácticas para realizar la actualización de contratos de seguros
11.Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales? a)No existe
b)Los procedimientos de seguridad son ad-hoc
c)Los procedimientos de seguridad siguen un patrón
d)Los procedimientos de seguridad se documentan y se comunican
e)Los procedimientos de seguridad se monitorean y se miden
f)Se implementa las mejores prácticas de seguridad
PO09. Riesgos de TI
1.Existe un marco referencial para la evaluación sistemática de riesgos?
a)No existe
b)Los riesgos de TI se toman en cuenta de manera ad-hoc
c)Existe un enfoque de evaluación de riesgos en desarrollo y se implementa a discreción de los gerentes
del negocio
d)La metodología para la evaluación de riesgos es conveniente y solida.
e)Existe medidas estándares para evaluar los riesgos.
f)La evaluación de riesgos esta implementado en toda la organización y es bien administrado.
2.El personal asignado a evaluación de riesgos esta adecuadamente calificado?
a)No se realiza evaluación de riesgos
b)El personal no está calificado
c)Le evaluación de riesgos se realiza de manera empírica
d)El personal es capacitado parcialmente para el desempeño de dicha actividad
e)El personal asignado a evaluación de riesgos es evaluado constante
f)Se implementa las mejores prácticas de la industria
3.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas?
a)No se realiza planes de acción para mitigar los riesgos
b)Los riesgos se enfrenta de manera empírica
c)No existe planes de contingencia
d)Están definidos los planes de acción contra riesgos, pero son inconsistentes
e)Los planes de acciones contra riesgos son evaluados y monitoreados
f)Se implementan las mejores prácticas de la industria
4.El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas para mitigar los riesgos y amenazas?
a)No se realiza planes de acción para mitigar los riesgos
b)Los riesgos se enfrenta de manera empírica
c)No existe planes de contingencia
d)Están definidos los planes de acción contra riesgos, pero son inconsistentes
e)Los planes de acciones contra riesgos son evaluados y monitoreados
98
f)Se implementan las mejores prácticas de la industria
5.Los objetivos de toda la organización están incluidos en el proceso de identificación de riesgos? a)No están definidos
b)Los objetivos no están incluidos en la identificación de riesgos
c)Los procesos siguen un patrón regular
d)Los procesos se documentan y comunican
e)Los procesos son monitoreados y se miden
f)Se implementa las mejores prácticas en la identificación de riesgos
6.La documentación de riesgos incluye una descripción de la metodología de evaluación de riesgos?
a)No existe documentación
b)La documentación de riesgos se da de manera informal
c)La documentación de riesgos sigue un patrón regular
d)Los procesos de documentación de riesgos se documentan y se comunican e)Los procesos de documentación de riesgos se monitorean y se miden
f)Se implementa las mejores prácticas en la evaluación de riesgos
7.La documentación de riesgos incluye la identificación de exposiciones significativas y los
riesgos correspondientes?
a)No existe b)La documentación de riesgos es ad-hoc
c)La documentación de riesgos sigue patrón regular
d)Los procesos de documentación de riesgos se documentan y se comunican
e)Los procesos se monitorean y se miden
f)Se implementa las mejores prácticas en los procesos de la documentación de riesgos
8.Se incluye técnicas de probabilidad, frecuencia y análisis de amenazas en la identificación de riesgos? a)No existe
b)Los procesos son ad-hoc y desorganizados c)Los procesos de análisis de riesgos sigue un patrón regular
d)Los procesos de análisis de riesgos se documentan y se comunican
e)Los procesos de análisis de riesgos son monitoreados y se miden
f)Se implementa las mejores prácticas en el análisis de riesgos
9.Existe un enfoque cuantitativo y/o cualitativo formal para la identificación y medición de riesgos y amenazas?
a)No existe b)Los procesos son ad-hoc y desorganizados
c)Los procesos de identificación de riesgos siguen un patrón regular d)Los procesos de identificación de riesgos se documentan y comunican
e)Los procesos de identificación de riegos se monitorean y se miden f)Se implementa las mejores prácticas en la identificación de riesgos
10.La aceptación de riesgo toma en cuenta el costo y la efectividad de implementar salvaguardas y controles?
a)No existe
b)No se toma en cuenta en los costos
c)El proceso de aceptación de riesgos sigue un patrón regular
d)El proceso de aceptación de riesgos se documentan y se comunican
e)Los procesos de aceptación de riesgos son monitoreados y se miden
f)Se implementa las mejores prácticas en los procesos de aceptación de riegos
11.La aceptación de riesgo toma en cuenta la política organizacional?
a)No existe b)No se toma en cuenta en las políticas
99
c)El proceso de aceptación de riesgos sigue un patrón regular
d)El proceso de aceptación de riesgos se documentan y se comunican
e)Los procesos de aceptación de riesgos son monitoreados y se miden
f)Se implementa las mejores prácticas en los procesos de aceptación de riegos en las política organizacional
12.La aceptación de riesgo toma en cuenta la incertidumbre inherente al enfoque de evaluación de riesgos? a)No existe
b)No se toma en cuenta en los costos c)El proceso de aceptación de riesgos sigue un patrón regular
d)El proceso de aceptación de riesgos se documentan y se comunican
e)Los procesos de aceptación de riesgos son monitoreados y se miden
f)Se implementa las mejores prácticas en los procesos de identificación y medición de riegos
PO10. Proyectos de TI
1.Se define metodologías de administración de proyectos, para cada proyecto emprendido?
a)Desconocen el termino de metodologías b)Los proyectos se gestiona de manera empírica
c)El uso de metodologías se realiza de manera parcial
d)Los procesos se documentan y comunican
e)La selección de las metodologías son evaluados para la gestión de proyecto
f)Se implementan las mejores prácticas de la industria.
2.El compromiso, identificación de los miembros de TI, afecta la ejecución del proyecto dentro del
contexto global?
a)No existe compromiso con la institución
b)El personal de TI no se identifica con la organización c)No
existe programas de motivación para el personal TI
d)La ejecución de los proyectos se retrasan por falta de compromiso del personal e)El compromiso se da de forma parcial f)El personal se siente comprometida con la ejecución de los proyectos.
3.Existe procedimientos para documentar el alcance del proyecto, como se relaciona con otros proyectos dentro del programa global?
a)No existe b)Los proyectos no son planificados
c)El uso de metodologías para la gestión de proyectos se da de forma parcial.
d)Los procesos están definidos, pero son inconsistentes.
e)Los procedimientos están implementados y documentados
f)Se implementan las mejores prácticas de la industria
4.Existe procedimientos definidos para la obtención de servicios, productos requeridos para cada proyecto? a)No existe
b)La obtención de productos y servicios se da de manera ad-hoc
c)La obtención de productos se realiza de manera informal.
d)Los procedimientos son documentados y comunicado a los usuarios responsables.
e)Los procedimientos son evaluados y monitoreados
f)Se implementa las mejores prácticas de la industria.
5.Existen políticas y procedimientos relacionados con los métodos de aseguramiento de la calidad?
a)No existen b)No existe aseguramiento de la calidad de los proyectos
100
c)Los proyectos se desarrolla utilizando técnicas tradicionales.
d)Los políticas y procedimiento están definidos, pero aun no se implementan
e)Las políticas y procedimientos son evaluados y monitoreados
f)Se implementan las mejores prácticas en el aseguramiento de la calidad de los proyectos.
6.Existe un sistema de control de cambios para cada proyecto., de tal modo que todos los cambios al proyecto se revisen, aprueben e incorporen de manera apropiada al plan del proyecto.?
a)No existe. b)La gestión de cambios se realiza de manera informal
c)Existe ideas básicas de utilizar un sistema de control de cambios.
d)Las metodologías se documentan y se comunican.
e)Los proyectos son monitoreados, evaluados. f)Se implementan las mejores prácticas en la gestión de cambios.
7.Existen un plan de aseguramiento de la calidad del software?
a)No existe un plan de aseguramiento
b)El software es probado, madurado de forma empírica.
c)No se sigue ningún patrón de desarrollo
d)Se utiliza metodologías rígidas para el desarrollo
e)Las metodologías son evaluadas para su implementación
f)Se implementan las mejores prácticas de la industria, para el aseguramiento de la calidad del software
8.Se especifica la base sobre la cual los miembros del personal son asignados a los proyectos?
a)No existe una base para la asignación de personal a los proyectos.
b)La asignación del personal en los proyectos, no se realiza en forma organizada.
c)Se sigue un patrón para la asignación de personal.
d)Los procedimientos para la asignación de personal a los proyectos, se documentan y se comunican
e)Los procedimientos son evaluadas para su implementación
f)Se implementan las mejores prácticas de la industria, para la asignación de personal en los proyectos.
9.Se define las responsabilidades y la autoridad de los miembros del equipo del proyecto? a)No existe definición de responsabilidades.
b)La asignación de las responsabilidades de cada miembro del proyecto no son coherentes
c)La asignación de las responsabilidades sigue un patrón regular.
d)Los procedimientos para la definición de responsabilidades se documentan y se comunican
e)Los procedimientos son monitoreados para su implementación.
f)Se implementan las mejores prácticas de la industria, para la asignación de las responsabilidades de los miembros del proyecto.
10.Se asegura la creación de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo?
a)No existe.
b)La definición de la naturaleza y de los alcances del proyecto, se realizan en forma desorganizada.
c)Se sigue un patrón regular.
d)Los procedimientos se documentan y comunican.
e)Los procedimientos son evaluados y monitoreados para su implementación. f)Se implementan las mejores prácticas de la industria, para la definición de procedimientos.
11.Los estudios de factibilidad de los proyectos propuestos son preparados y aprobados por la presidencia
/gerencia?
a)No existe un estudio de factibilidad.
b)Los estudios de factibilidad se da de manera informal.
c)El estudio de factibilidad sigue un patrón definido.
d)Los procedimientos de estudios de factibilidad se documentan y comunican
101
e)Los estudios de factibilidad de los proyectos son monitoreados y se miden.
f)Se implementan las mejores prácticas de la industria, para el estudio de factibilidad de los
proyectos propuestos.
12.Existe documentación para cambios tecnológicos?
a)No existe.
b)Los procedimientos para los cambios tecnológicos son ad-hoc y desorganizados.
c)Los procedimientos para los cambios tecnológicos sigue un patrón regular.
d)Los procedimientos para los cambios tecnológicos se documentan y comunican. e)Los procedimientos para los cambios tecnológicos son monitoreados y medibles.
f)Se implementan las mejores prácticas de la industria, para los cambios tecnológicos.