tesis de sedapar
TRANSCRIPT
Facultad de Ingeniería
E s c u e l a d e I n g e n i e r í a d e S i s t e m a s
Departamento de Metodología de la Investigación
Informe de tesis para optar el título de Ingeniero de Sistemas
"PERFIL DE LA ADQUISICIÓN E
IMPLEMENTACIÓN DE LAS TECNOLOGÍAS
DE INFORMACIÓN Y COMUNICACIONES
(TIC) EN LA EMPRESA PRESTADORA DE
SERVICIOS E.P.S. SEDAPAR S.A. DE LA
CIUDAD DE AREQUIPA EN EL AÑO 2011"
Presentado por:
Bach. César Andre Ccarcasi Esquivias
A s e s o r :
Mg. Ing. José Plasencia Latour
AREQUIPA - P E R U
ii
DEDICATORIA
A ti DIOS TODO PODEROSO por no abandonarme y darme la
oportunidad de vivir y de regalarme una familia tan maravillosa.
Gracias por ayudarme a levantarme en mis fracasos, por aprender de
ellos y principalmente por permitirme cumplir con este gran objetivo.
César Andre
iii
AGRADECIMIENTOS Con mucho cariño a mis padres, abuelos y hermano quienes han estado
conmigo en todo momento. Gracias por todo, por creer en mí, aunque
hemos pasado momentos difíciles siempre han estado apoyándome y
brindándome todo su amor, por todo esto les agradezco de todo corazón
el que estén conmigo y siempre a mi lado.
Al Mg. Ing. José Plasencia Latour, por haber tenido la paciencia al
guiarme y orientarme durante el desarrollo y culminación del presente
trabajo, demostrando en todo momento su calidad humana y entrega
como docente.
A la Universidad Católica Los Ángeles de Chimbote – ULADECH, donde
terminé de formarme profesionalmente y me apoyó a cumplir con este
gran objetivo.
A la empresa E.P.S. SEDAPAR S.A. por proporcionarme la información
necesaria para esta investigación.
César Andre
iv
RESUMEN
El presente informe de tesis de investigación se deriva de la línea de
investigación en tecnologías de la información y comunicaciones, en
adelante (TIC), de la Escuela Profesional de Ingeniería de Sistemas de la
Universidad Católica los Ángeles de Chimbote (ULADECH), se realizó con
la finalidad de medir el perfil de la adquisición e implementación de las
tecnologías de información y comunicaciones (TIC) en la Empresa
Prestadora de Servicios en adelante (E.P.S.) Sedapar S.A. de la ciudad
de Arequipa en el año 2011 en donde se midió el nivel en que se
encontraba la gestión de los procesos de: Identificar soluciones
automatizadas, adquirir y mantener el software aplicativo, adquirir y
mantener infraestructura tecnológica, facilitar la operación y el uso,
adquirir recursos de TI, administrar cambios, instalar y acreditar
soluciones y cambios; el cual partió como propuesta de investigación para
describir la realidad en que se encuentra dicha empresa referente a este
dominio.
El estudio fue de tipo descriptivo no experimental y de corte transversal
para responder a la hipótesis planteada y cumplir con los objetivos del
estudio.
La población estuvo constituida por 655 trabajadores, de los cuales se
seleccionó aleatoriamente una muestra constituida por un total de 155
trabajadores que laboran en las diferentes áreas de la E.P.S. Sedapar
S.A. de la ciudad de Arequipa. Se eligió la encuesta como técnica y como
instrumentos la entrevista y cuestionario semiestructurado de acuerdo al
modelo Cobit para cada uno de los procesos del estudio.
Los resultados reportan que para el proceso de identificar soluciones
automatizadas el 46.19% de los trabajadores encuestados considera que
v
se encuentra en un nivel de madurez 1: Inicial, según los estándares del
Cobit; en el proceso adquirir y mantener el software aplicativo el 49.35%
de los trabajadores encuestados considera que el proceso se encuentra
en un nivel de madurez 1: Inicial, según los estándares del Cobit; en el
proceso adquirir y mantener infraestructura tecnológica el 37.85% de los
trabajadores encuestados considera que el proceso se encuentra en un
nivel de madurez 1: Inicial , según los estándares del Cobit; en el proceso
facilitar la operación y el uso el 40.13% de los trabajadores encuestados
considera que el proceso se encuentra en un nivel de madurez 1: Inicial,
según los estándares del Cobit; en el proceso adquirir recursos de TI el
31.35% de los trabajadores encuestados considera que el proceso se
encuentra en un nivel de madurez 2: Repetible, según los estándares del
Cobit; en el proceso administrar cambios el 50.65% de los trabajadores
encuestados considera que el proceso se encuentra en un nivel de
madurez 1: Inicial, según los estándares del Cobit y en el proceso instalar
y acreditar soluciones y cambios el 47.04% de los trabajadores
encuestados considera que el proceso se encuentra en un nivel de
madurez 1: Inicial, según los estándares del Cobit.
Palabras clave: Gestión de TIC, Cobit, identificar soluciones
automatizadas, adquirir y mantener el software aplicativo, adquirir y
mantener infraestructura tecnológica, facilitar la operación y el uso,
adquirir recursos de TI, administrar cambios, instalar y acreditar
soluciones y cambios.
vi
ABSTRACT
The present report of research thesis in information technologies and
communications in the future (TIC), in the Professional School of Systems
Engineering from the Catholic University of Los Ángeles in Chimbote
(ULADECH), it was conducted with the object of measuring the profile of
the acquisition and implementation of information technologies and
communications (TIC) in the Service Provider Company, hereinafter
(E.P.S.) Sedapar S.A. in the city from Arequipa in 2011, where it
measured the level at which was the management of the processes of:
Identify automated solutions, acquire and maintain the application
software, acquire and maintain technological infrastructure, facilitate the
operation and use, acquire TI resources, manage changes, install and
accredit solutions and changes; which it departed as research proposal to
describe the reality in which is the company concerning this domain.
The study was descriptive non-experimental and cross-sectional, to
respond the hypothesis and comply with the objectives of the study.
The population was composed of 655 workers, of whom was randomly
selected a sample for a total of 155 workers working in different areas of
the E.P.S. Sedapar S.A. from Arequipa city. We chose the survey as
technical and as instruments the interview and semistructured
questionnaire, according to the Cobit model for each of the processes of
the study.
The results reported that for the process of identifying automated solutions
the 46,19 % of the workers surveyed believes that it is in a maturity level
1: Initial, according to the standards of the Cobit; in the process acquire
and maintain the application software the 49.35 % of the workers surveyed
considered that the process is currently at a level of maturity 1: Initial,
according to the standards of the Cobit; in the process acquire and
vii
maintain technological infrastructure the 37.85 % of the workers surveyed
believes that the process is located in a level of maturity 1: Initial,
according to the standards of the Cobit; in the process facilitate the
operation and use the 40.13 % of the workers surveyed considered that
the process is currently at a level of maturity 1: Initial, according to the
standards of the Cobit; in the process acquire TI resources the 31.35 % of
the workers surveyed considered that the process is currently at a level of
maturity 2: repeatable, according to the standards of the Cobit; in the
process manage changes the 50.65 % of the workers surveyed
considered that the process is currently at a level of maturity level 1: Initial,
according to the standards of the Cobit and in the process install and
accredit solutions and changes the 47,04% of the workers surveyed
considered that the process is currently at a level of maturity level 1: Initial,
according to the standards of the Cobit.
Key Words: Management of TIC, Cobit, identify automated solutions,
acquire and maintain the application software, acquire and maintain
technological infrastructure, facilitate the operation and use, acquire TI
resources, manage changes, install and accredit solutions and changes.
viii
ÍNDICE
DEDICATORIA ......................................................................................... ii
AGRADECIMIENTOS .............................................................................. iii
RESUMEN ............................................................................................... iv
ABSTRACT .............................................................................................. vi
ÍNDICE ................................................................................................ viii
ÍNDICE DE TABLAS .................................................................................x
INDICE DE GRAFICOS ........................................................................... xi
INDICE DE ANEXOS .............................................................................. xii
INTRODUCCIÓN ..................................................................................... 1
1.- MARCO REFERENCIAL .................................................................... 4
1.1.-Planteamiento del problema .......................................................... 4
1.2.- Antecedentes ............................................................................... 7
1.2.1. Antecedentes a nivel internacional ............................................ 7
1.2.2 Antecedentes a nivel nacional ................................................ 10
1.3.- Bases teóricas ............................................................................ 14
1.3.1.- La E.P.S. Sedapar S.A. ........................................................ 14
1.3.1.1.- Definición ....................................................................... 14
1.3.1.2.- Orígenes y expansión de la E.P.S. Sedapar S.A. .......... 15
1.3.1.3.- Áreas de actividad de la E.P.S. Sedapar S.A ................ 16
1.3.1.4.- Características de la E.P.S. Sedapar S.A. ..................... 16
1.3.2.- Las tecnologías de información y comunicaciones (TIC) ..... 17
1.3.2.1.- Áreas de aplicación de las TIC ...................................... 17
1.3.2.2.- Beneficios que aportan las TIC ...................................... 18
1.3.2.3.- Principales TIC utilizadas en las empresas .................... 20
ix
1.3.3. Las TIC en la E.P.S. Sedapar S.A. ........................................ 21
1.3.3.1.- Perfil de uso de las TIC en la E.P.S. Sedapar S.A. ......... 22
1.3.3.2.- Utilidad de las TIC en la E.P.S. Sedapar S.A. ................ 24
1.3.3.3.- Criterios para incorporar las TIC en la gestión de la
E.P.S. Sedapar S.A. ....................................................... 25
1.3.3.4.- Las TIC y su importancia estratégica para la E.P.S.
Sedapar S.A. en la globalización .................................... 26
1.3.4.- El gobierno de las TIC – COBIT ........................................... 28
1.3.4.1.- Cobit (Los objetivos de control para la información y la
tecnología relacionada) ................................................... 28
1.3.4.2.- Dominio y procesos ....................................................... 30
1.3.5.- Modelo de madurez de Cobit ............................................... 52
1.4.- Justificación de la investigación.................................................. 54
1.5.- Formulación de objetivos ............................................................ 55
1.6.- Sistema de hipótesis .................................................................. 56
1.6.1.- Hipótesis general ..................................................................... 56
1.6.2.- Hipótesis específicas ............................................................... 57
2.- METODOLOGÍA ............................................................................... 59
2.1.- Tipo y nivel de investigación ....................................................... 59
2.1.-Diseño de la investigación ........................................................... 60
2.2.- Población y muestra ................................................................... 60
2.3.- Definición y operacionalización de las variables ........................ 62
2.4.- Técnicas e instrumentos ............................................................. 63
2.5.- Procedimientos de recolección de datos .................................... 63
2.7.- Plan de análisis de los datos ...................................................... 63
3. RESULTADOS .................................................................................. 64
4. DISCUSIÓN ....................................................................................... 79
CONCLUSIONES .................................................................................. 82
RECOMENDACIONES .......................................................................... 85
x
ÍNDICE DE TABLAS
Tabla Nº1. Distribución del proceso de madurez de Identificar
Soluciones Automatizadas en la E.P.S. Sedapar
S.A., durante el año 2011……………………….......... 64
Tabla Nº2. Distribución del proceso de Adquirir y Mantener
Software Aplicativo en la E.P.S. Sedapar S.A.,
durante el año 2011…………………………………… 66
Tabla Nº3. Distribución del proceso de Adquirir y Mantener
Infraestructura tecnológica en la E.P.S. Sedapar
S.A., durante el año
2011……….…….……….……………………………… 68
Tabla Nº4. Distribución del proceso de Facilitar la Operación y
uso en la E.P.S. Sedapar S.A., durante el año
2011………………………………............................... 70
Tabla Nº5. Distribución del proceso de Adquirir Recursos de
TI en la E.P.S. Sedapar S.A., durante el año
2011………………..................................................... 72
Tabla Nº6. Distribución del proceso de Administrar Cambios
en la E.P.S. Sedapar S.A., durante el año
2011………………………………………..………….. 74
Tabla Nº7. Distribución del proceso de Instalar y acreditar
soluciones y cambios en la E.P.S. Sedapar S.A.,
durante el año 2011.…………………………..............
76
Tabla Nº8. Distribución del nivel de madurez de los procesos
de Identificar Soluciones automatizadas, Adquirir y
Mantener Software Aplicativo, Adquirir y Mantener
Infraestructura tecnológica, Facilitar la Operación y
Uso, Adquirir Recursos de TI, Administrar Cambios
e Instalar y acreditar soluciones y cambios.
……….……………………………………………..……. 78
xi
INDICE DE GRAFICOS
Gráfico Nº1. Porcentaje del nivel de madurez del proceso de
Identificar Soluciones automatizadas en la E.P.S.
Sedapar S.A., durante el año 2011………………… 65
Gráfico Nº2. Porcentaje del nivel de madurez del proceso de
Adquirir y mantener Software aplicativo en la E.P.S.
Sedapar S.A., durante el año 2011………………… 67
Gráfico Nº3. Porcentaje del nivel de madurez del proceso de
Adquirir y mantener Infraestructura tecnológica en
la E.P.S. Sedapar S.A., durante el año 2011……….. 69
Gráfico Nº4. Porcentaje del nivel de madurez del proceso de
Facilitar la Operación y uso en la E.P.S. Sedapar
S.A., durante el año 2011…………...……...………… 71
Gráfico Nº5. Porcentaje del nivel de madurez del proceso de
Adquirir Recursos de TI en la E.P.S. Sedapar S.A.,
durante el año 2011……………………………………. 73
Gráfico Nº6. Porcentaje del nivel de madurez del proceso de
Administrar Cambios en la E.P.S. Sedapar S.A.,
durante el año 2011……………………………………. 75
Gráfico Nº7. Porcentaje del nivel de madurez del proceso de
Instalar y acreditar soluciones y cambios en la
E.P.S. Sedapar S.A., durante el año 2011………… 77
xii
INDICE DE ANEXOS
ANEXO A. CRONOGRAMA DE ACTIVIDADES………………... 96
ANEXO B. PRESUPUESTO…………………………………...….. 97
ANEXO C. FINANCIAMIENTO…………………………………… 97
ANEXO D. CUESTIONARIOS…………………………………….. 98
1
INTRODUCCIÓN
En la actualidad, las organizaciones exitosas entienden los beneficios de
las tecnologías de información TI y usan este conocimiento para conducir
el valor de sus beneficiarios.
El presente trabajo de tesis denominado: ―Perfil de la adquisición e
implementación de las tecnologías de información y comunicaciones (TIC)
en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011‖,
cobró importancia porque logró identificar y describir factores que afectan
los procesos de la adquisición e implementación de TIC, con el objetivo
de determinar el perfil de este dominio en la E.P.S. Sedapar S.A. y
contribuir al direccionamiento del uso de las TIC y de buenas prácticas,
por otro lado permitió conocer las TIC a un nivel aceptable por parte de la
empresa.
Para la realización de esta investigación en la E.P.S. Sedapar S.A. de la
ciudad de Arequipa en el año 2011, se tomó como marco de referencia la
deficiencia existente en la adquisición e implementación de TI en esta
institución.
En base a esta problemática se planteó la siguiente pregunta de
investigación:
¿Cuál es el perfil de la adquisición e implementación de las TIC en la
E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año 2011?
Asimismo se menciona las investigaciones previas que se han realizado
sobre el tema, además se describe las bases teóricas que sustentan el
estudio de la investigación.
Se basó entre otros en el proyecto ―Auditoría de la gestión de las
tecnologías de la información en el gobierno municipal de San Miguel de
Urcuquí, utilizando como modelo de referencia Cobit 4.0―, en el cual
concluyó que para el proceso de identificar soluciones automatizadas
2
considera que se encuentra en un nivel de madurez 1: Inicial, en el
proceso adquirir y mantener el software aplicativo considera que el
proceso se encuentra en un nivel de madurez 2: Repetible, en el proceso
adquirir y mantener infraestructura tecnológica considera que el proceso
se encuentra en un nivel de madurez 1: Inicial, en el proceso facilitar la
operación y el uso considera que el proceso se encuentra en un nivel de
madurez 1: Inicial, en el proceso adquirir recursos de TI considera que el
proceso se encuentra en un nivel de madurez 4: Administrado, en el
proceso administrar cambios considera que se encuentra en un nivel de
madurez 1: Inicial y en el proceso instalar y acreditar soluciones y
cambios considera que se encuentra en un nivel de madurez 1: Inicial,
según los estándares del Cobit.
Este estudio se justifica y es de interés para la E.P.S. Sedapar S.A., al
proporcionar información lograda de los cuestionarios aplicados sobre el
estado y evaluación del dominio adquirir e implementar, siguiendo un
marco de referencia reconocido y aceptado internacionalmente como es
el modelo Cobit, porque su misión es precisamente investigar, desarrollar,
hacer público y promover un marco de control de gobierno de TI
autorizado, actualizado y aceptado internacionalmente para la adopción
por parte de las empresas y el uso diario por parte de gerentes de
negocio, profesionales de TI y profesionales de aseguramiento y saber su
capacidad para gobernar efectivamente las TI, posibilitando la planeación
de acciones para lograr los valores de madurez que habilitan una
verdadera gobernabilidad sobre la tecnología de información.
La hipótesis de la investigación consideró que el perfil de la adquisición e
implementación de las TIC en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 es Inicial, según los niveles de madurez del
Cobit.
Los procesos identificar soluciones automatizadas, adquirir y mantener el
software aplicativo, adquirir y mantener infraestructura tecnológica,
facilitar la operación y el uso, administrar cambios, instalar y acreditar
3
soluciones y cambios coinciden con la hipótesis de investigación inicial de
acuerdo al modelo Cobit. Y el proceso adquirir recursos de TI no coincide
con la hipótesis de investigación en un nivel inicial de acuerdo al modelo
Cobit.
En la primera parte del trabajo se caracteriza la situación problemática y
se plantea la pregunta de investigación. Asimismo se menciona las
investigaciones previas que se han realizado sobre el tema y se describe
las bases teóricas que sustentan el estudio. Posteriormente se justifica la
investigación, formulando los objetivos generales y específicos de la
misma y definiendo la hipótesis de investigación.
En la segunda parte se explica la metodología utilizada, describiendo el
tipo nivel y diseño utilizado. Se define la población y muestra, realizando
la operacionalización de las variables y definiendo las técnicas e
instrumentos de recolección de datos, para finalmente describir el
procedimiento de recolección y análisis de datos utilizado.
En la tercera parte, se presentan detalladamente cada uno de los
resultados de la investigación, estructurados en tablas y gráficos.
En la cuarta parte, se realiza la discusión de los resultados obtenidos en
la etapa anterior comparándolo con los antecedentes y las bases teóricas
de la investigación.
Finalmente, se presentan las conclusiones y se enuncian las
recomendaciones generadas como resultado de la investigación para que
puedan ser tomadas en cuenta por la E.P.S. Sedapar S.A., se cita las
referencias bibliográficas siguiendo las normas de Vancouver,
concluyendo el informe con los anexos que le sirven de complemento.
4
1.- MARCO REFERENCIAL
1.1.-Planteamiento del problema
Las tecnologías de la información le posibilitan a las personas que
forman parte de determinado sistema a tener un acceso mucho
más rápido a los datos y a la información, para poder convertirlos
en conocimiento útil, permitiéndole de esta forma al sistema
potenciar sus recursos estratégicos y obtener un mayor
rendimiento en sus procesos (1).
Toda implementación de nuevas tecnologías se basa en procesos
que normalmente impacta la forma de trabajar de las personas, lo
cual genera cambio y a su vez produce temor. La implementación
de proyectos requiere apoyo adicional, comunicación entre
departamentos y tiempo para poder adaptarse (2).
La globalización de la economía, el conocimiento y uso intensivo de
las TIC, tanto en lo social, educativo, político y empresarial, son
rasgos esenciales de esta nueva era económica caracterizada
porque sus fuentes principales de riqueza son el conocimiento y la
comunicación. Actualmente, las nuevas tecnologías ofrecen efectos
positivos que benefician a diferentes sectores productivos y de
servicios, y por ende a la sociedad entera (3).
La gestión de las tecnologías ha tomado diversos matices en
función de la disponibilidad de las mismas, actualmente el
quehacer empresarial se soporta en ellas y se requiere por lo tanto
modelos adecuados para gestionar la información con criterios de
eficiencia, eficacia, confidencialidad, integridad, disponibilidad y
fiabilidad cumpliendo la normativa tanto interna como externa a la
empresa (4).
La E.P.S. Sedapar S.A. se ha posicionado como una empresa
pública consolidada, que cada vez más la alta dirección se está
5
dando cuenta del impacto que la información tiene en el éxito de
una empresa. Sin embargo, es necesario que los directivos de la
empresa comprendan y cuenten con un conocimiento básico de los
riesgos que introduce la incorporación y utilización de la tecnología
informática, para así proveer una dirección eficaz y poner en
práctica todos los mecanismos necesarios para la puesta en
marcha de los controles adecuados.
Las empresas públicas no son ajenas a las oportunidades y retos
que las TIC generan; no solo es importante implementar las TIC en
las empresas estatales sino evaluar el nivel en el que se
encuentran implantados los procesos de tecnologías de la
información, utilizando para tal efecto los objetivos de control de
tecnologías de información y comunicaciones relacionadas (Cobit)
ya que es un estándar reconocido y aceptado internacionalmente,
para las buenas prácticas de gobernabilidad de tecnología de
información sin embargo, cada empresa, en función de su tamaño
y actividad, deberá adoptar soluciones diferentes en este campo.
En la actividad de adquirir e implementar de las TIC en las
empresas estatales quedan aún muchas insuficiencias, sobre todo
existe carencia de conocimiento explícito para la determinación del
nivel en el que se encuentran implantados los diferentes procesos
de tecnologías de la información.
Esta problemática no es ajena a la E.P.S. Sedapar S.A., por lo que
existe la necesidad de conocer en qué nivel de gestión se
encuentran los procesos de TIC que tienen implantados,
prioritariamente los inconvenientes referentes al dominio adquirir e
implementar cuyos procesos de estudio son: Identificar soluciones
automatizadas, adquirir y mantener software aplicativo, adquirir y
mantener infraestructura tecnológica, facilitar la operación y el uso,
adquirir recursos de TI, administrar cambios, instalar y acreditar
soluciones y cambios.
6
Existen problemas generados por falta de métricas y metodología
que pueda medir el impacto evaluativo de las adquisiciones antes y
después de una compra, es decir no existe manera de saber que
tanto ha mejorado la empresa con estas adquisiciones ni identificar
la variación de la producción, o que mejoras y errores de
adquisición e implementación existen para los procesos de la
empresa, así como saber el ciclo de vida del producto adquirido al
no haber una planificación adecuada ya que esto tiene que estar
proyectado.
Ante la falta de esta información debidamente documentada, es
necesario generarla para que sirva como mecanismo de
retroalimentación para el sistema organizacional, con esta
información se puede hacer modificaciones al sistema y se puede
mejorar la toma de decisiones en lo que respecta la adquisición e
implementación dentro de la infraestructura en las TIC.
Entre los diferentes responsables en la gestión de TI en la
organización existe consenso en que la gobernanza en TI es clave
y estratégica dentro de la empresa.
Por lo expuesto anteriormente, la presente tesis se centra en
resolver el problema de no contar con datos correspondientes a la
evaluación de los procesos mencionados.
De lo mencionado anteriormente se planteó el siguiente problema
de investigación:
¿Cuál es el perfil de la adquisición e implementación de las
tecnologías de información y comunicaciones (TIC) en la E.P.S.
Sedapar S.A. de la ciudad de Arequipa en el año 2011?
7
1.2.- Antecedentes
1.2.1. Antecedentes a nivel internacional
En el año 2010, Llumihuasi en su proyecto denominado
―Auditoría de la gestión de las tecnologías de la información
en el gobierno municipal de san Miguel de Urcuquí, en
adelante (GMU) utilizando como modelo de referencia Cobit
4.0―, este trabajo apuntó a auditar el estado de la gestión de
TI utilizando los cuatro dominios existentes en Cobit. Los
resultados indicaron que el proceso identificar soluciones
automatizadas se encuentra en un nivel de madurez 1:
Inicial; para el proceso adquirir y mantener software
aplicativo se encuentra en un nivel de madurez 2: Repetible;
para el proceso adquirir y mantener infraestructura
tecnológica se encuentra en un nivel de madurez 1: Inicial;
para el proceso facilitar la operación y el uso se encuentra
en un nivel de madurez 1 Inicial; para el proceso adquirir
recursos de TI se encuentra en un nivel de madurez 4:
Administrado; para el proceso administración de cambios se
encuentra en un nivel de madurez 1: Inicial; mientras que
para el proceso instalar y acreditar soluciones y cambios se
encuentra en un nivel de madurez 1: Inicial. Los resultados
de este estudio respecto al dominio adquirir e implementar
han sido evaluados con gran rigor, de tal forma que nos
servirá para la comparación con los resultados que
obtendremos (5).
En el 2008, Corrales en su estudio ―Evaluación del nivel de
madurez de la gestión de las TIC en la empresa Astap‖,
concluyeron que la herramienta Cobit permitió definir el nivel
de madurez de los procesos de gestión de TI. Al evaluar el
nivel de madurez actual y el nivel de madurez recomendado.
Los resultados indicaron que el proceso identificar
8
soluciones automatizadas se encuentra en un nivel de
madurez 0: No existente; para el proceso adquirir y
mantener software aplicativo se encuentra en un nivel de
madurez 0: No existente; para el proceso adquirir y
mantener infraestructura tecnológica se encuentra en un
nivel de madurez 0: No existente; para el proceso facilitar la
operación y el uso se encuentra en un nivel de madurez 1
Inicial; para el proceso adquirir recursos de TI se encuentra
en un nivel de madurez 0: No existente; para el proceso
administración de cambios se encuentra en un nivel de
madurez 0: No existente; mientras que para el proceso
instalar y acreditar soluciones y cambios se encuentra en un
nivel de madurez 0: No existente (6).
COBIT/IT Governance en el caso de estudio: El honorable
tribunal de cuentas de la provincia de Mendoza - Argentina,
después de llevar a cabo un proceso de evaluación,
determinó que necesitaba mejorar la gobernabilidad sobre la
tecnología de información, para asegurarle a los residentes
de Mendoza, que la administración de los fondos públicos
estaba bien monitoreada y segura, para ello expertos en
sistemas de información, dentro del honorable tribunal
recomendaron el uso de los objetivos de control de
tecnología de información y tecnologías relacionadas a
Cobit, ya que es un estándar reconocido y aceptado
internacionalmente, para buenas prácticas de gobernabilidad
de tecnología de información (7).
En el año 2009 el banco Supervielle - Argentina lanzó un
proyecto denominado ―Gobierno de TI‖, como primera tarea,
se realizó una medición de nivel de madurez de los procesos
actuales basados en Cobit, mejores prácticas (ITIL, ISO,
IRAM, etc.) y normativas locales, se identificaron los niveles
9
de madurez actuales. Para dicho trabajo se utilizaron
formularios y se plasmaron en un resultado resumen para un
mejor entendimiento (8).
En el año 2006 en el informe ―Hacia la sociedad de la
información y el conocimiento en Costa Rica‖ indica que es
importante recordar que las TIC son un medio para la
promoción del buen gobierno y no un objetivo en sí mismas,
por lo que su uso inteligente requiere en primer lugar, que
las autoridades políticas y administrativas definan objetivos
claros en relación con su utilización y que orienten en este
sentido los esfuerzos de los distintos actores dentro del
gobierno; en segundo lugar, que se promueva a nivel de las
autoridades políticas, funcionarios públicos y ciudadanía en
general la percepción de que las TIC pueden constituir
excelentes aliadas para profundizar la democracia, al facilitar
la conexión entre ciudadanos y gobierno. Finalmente, es
fundamental el desarrollo del liderazgo político y
administrativo para la motivación y articulación de las
iniciativas que se desarrollen en materia de gobierno
electrónico (9).
En el año 2010, Gallardo en su tema ―La implementación de
TIC en las organizaciones públicas de turismo en Argentina‖
comenta que la planificación, implementación y transferencia
tecnológica en muchos proyectos sólo es concebida y
abordada desde el enfoque ortodoxo que versa únicamente
sobre la razón instrumental del acto, sin partir de la premisa
que el saber tecnológico está llamado a interactuar con otros
saberes para re-significarse y lograr algún grado de
resultado que realice un aporte al cambiante contexto por el
que atraviesa hoy la Argentina (10).
En el año 2003 Batista en su trabajo ―TIC y Buen Gobierno:
10
La contribución de las TIC al gobierno local en América
Latina‖, es un estudio de las condiciones para el uso
de TIC en cinco países de América Latina: Brasil, Uruguay,
Perú, Ecuador y México (11).
1.2.2 Antecedentes a nivel nacional
En el 2010, Velarde H. en su tesis para optar el título
profesional de Ingeniero de Sistemas ―Evaluación de los
procesos de tecnologías de la información definidos dentro
de los dominios de planear y organizar y entregar y dar
soporte del modelo genérico de madurez Cobit en la
Municipalidad Distrital de Cerro Colorado durante el año
2010‖, el cual centra sus objetivos en medir en qué grado de
la escala de madurez se encuentran implantados los
procesos administrativos de tecnologías de la información.
Se adopto el diseño de investigación descriptivo,
observacional y trasversal. Los resultados muestran los
siguientes niveles: 1 Inicial / Ad Hoc para ―definir un plan
estratégico de TI‖, 1 Inicial / Ad Hoc para ―definir la
arquitectura de la información‖, 0 No Existe para ―determinar
la dirección tecnológica‖, 1 Inicial / Ad Hoc para ―definir los
procesos, organización y relaciones de TI‖, 1 Inicial / Ad Hoc
para ―administrar la inversión en TI‖, 2 repetible pero intuitivo
para ―definir y administrar niveles de servicio‖, 2 repetible
pero intuitivo para ―administrar desempeño y capacidad‖, 2
repetible pero intuitivo para ―garantizar la continuidad del
servicio‖, 1 inicial / Ad Hoc para ―garantizar la seguridad de
los sistemas‖ y 2 repetible pero intuitivo para ―identificar y
asignar costos‖ (12).
En el 2010, Torres M. en su tesis titulada ―Perfil de gestión
de las tecnologías de información y comunicaciones:
Identificación de soluciones automatizadas, adquisición y
11
mantenimiento de software aplicativo, y de infraestructura
tecnológica, facilitación de la operación y el uso en la
empresa Green Awakening de la ciudad de Winter Park,
Florida, Estados Unidos en el año 2010‖. Los resultados
indicaron que el 100% del personal entrevistado considera
que la variable ―Identificación de soluciones automatizadas‖
se encuentra en el nivel 1 (Inicial). El 100% del personal
entrevistado considera que la variable ―Software aplicativo‖
se encuentra en el nivel 1 (Inicial). Asimismo, el 60% del
personal entrevistado considera que la variable ―Adquisición
y mantenimiento de infraestructura tecnológica‖ se encuentra
en el nivel 1 (Inicial). Y el 80% del personal entrevistado
considera que la variable ―Facilitación de operación y uso‖ se
encuentra en el nivel 2 (Intuitivo) (13).
En el año 2010, Sillipú C. en su informe de tesis titulado
―Nivel de madurez de mantenimiento de soluciones
automatizadas, mantenimiento de software aplicativo,
infraestructura de TI, operación y uso de TI y administración
de cambios de TI en la Municipalidad Distrital de Suyo,
provincia Ayabaca, departamento Piura durante el año
2010‖, busco describir la realidad en que se encuentra tal
municipalidad, el estudio fue de tipo no experimental,
descriptivo y de corte transversal. Donde los resultados del
estudio arrojan que los empleados involucrados con la
variable de mantenimiento de soluciones automatizadas es
de 50% ubicándola en un proceso inicial (nivel de madurez:
1) con respecto a los niveles de madurez de Cobit, en la
variable de operación y uso de TI tiene un 70% ubicándola
en un proceso inicial (nivel de madurez: 1) con respecto a
los niveles de madurez de Cobit, en la variable de
infraestructura de TI tiene un 70% ubicándola en un proceso
inicial (nivel de madurez: 1) con respecto a los niveles de
12
madurez de Cobit, en la variable de mantenimiento de
software aplicativo tiene un 60% ubicándola en un proceso
inicial (nivel de madurez: 1) con respecto a los niveles de
madurez de Cobit, y en la variable de administración de
cambios de TI tiene un 40% ubicándola en un proceso Inicial
(nivel de madurez: 1) con respecto a los niveles de madurez
de Cobit (14).
En el año 2010, Machuca J. en su tesis titulada ―Nivel de
madurez de mantenimiento de soluciones automatizadas,
mantenimiento de software aplicativo, infraestructura de TI,
operación y uso de TI y administración de cambios de TI en
la institución del gobierno regional de Piura durante el año
2010‖, surge a causa de haberse presentado inconvenientes
con los procesos mantenimiento de soluciones
automatizadas, como darle el mantenimiento de software
aplicativo, no le dan la debida importancia en la
infraestructura en TIC, la operación y el debido uso que le
daban en tecnologías de información y la debida
administración de cambios de TI en la institución gobierno
regional de Piura. Los resultados del estudio indicaron que
los trabajadores involucrados con la variable mantenimiento
de soluciones automatizadas es de 46.67% ubicándola en
un proceso repetible (nivel de madurez: 2) con respecto a los
niveles de madurez de Cobit, en la variable mantenimiento
de software aplicativo tiene un 60.00% ubicándola en un
proceso inicial (nivel de madurez: 1) con respecto a los
niveles de madurez de Cobit, en la variable Infraestructura
de TI tiene un 60.00% ubicándola en un proceso inicial (nivel
de madurez: 1) con respecto a los niveles de madurez de
Cobit, en la variable operación y uso de TI tiene un 40.00%
ubicándola en un proceso repetible (nivel de madurez: 2) con
respecto a los niveles de madurez de Cobit, en la variable
13
administración de cambios de TI tiene un 53.33% ubicándola
en un proceso inicial (nivel de madurez: 1) con respecto a
los niveles de madurez de Cobit (15).
En el año 2009, la red americana de investigación e
información y comunicación de México realizó un estudio
denominado ―Estudio de uso y aplicaciones de las TIC de
autoridades y funcionarios en dos municipios rurales del
Perú‖. Las recomendaciones para la implementación de
gobierno electrónico en municipios rurales, el cual determinó
que el acceso a internet es menos del 40% de los municipios
distritales cuentan con dicho servicio. Respecto al acceso a
equipos de fax el porcentaje es inferior al 30% para el caso
de los municipios distritales. Respecto al acceso a teléfono
fijo, señala que el 45% de municipios distritales cuenta con
ello, y el 100% de los municipios provinciales utiliza al
teléfono fijo. Respecto al teléfono móvil señala que menos
del 30% de los municipios distritales lo utiliza, mientras que
los municipios provinciales lo utilizan más del 30%. Respecto
a utilización de la computadora los municipios tanto
distritales y provinciales el 100% utiliza computadoras.
Además determinó el uso de las TIC para la gestión del
gobierno municipal, el cual señaló que el 61.54% de los
municipios usa el internet mientras que el 38.46% utiliza el
internet 1 a 2 horas por semana. Asimismo entre sus
conclusiones afirmó que en los municipios existe un nivel
básico de conocimiento en el uso de TIC e internet y que se
debe proponer los temas de capacitación para el uso de
internet en las gestiones locales (16).
En la publicación ―Desarrollo Rural y Tecnologías de
Información y Comunicación‖ nos indica que si la inversión
en tecnología e infraestructura no es acompañada con
14
capacitación, generación de contenidos adecuados,
participación de los beneficiarios y concertación con actores
locales a fin de garantizar la apropiación de la tecnología y la
sostenibilidad de los proyectos, entonces dicha inversión
tendrá un impacto limitado en el desarrollo rural (17).
El crecimiento y desarrollo de las TIC y de las
infraestructuras en que se sustentan, ha estado
acompañado, a su vez, por un aumento de sus aplicaciones
y de la difusión de su uso en las economías desarrolladas y
subdesarrolladas. La necesidad de disponer de información
estadística sobre la sociedad de la información se ha
incrementado notablemente en estos últimos años. Se trata
de requerimientos de una información que es variada y
variable a lo largo del tiempo (18).
.
1.3.- Bases teóricas
1.3.1.- La E.P.S. Sedapar S.A.
1.3.1.1.- Definición
Empresa estatal de derecho privado. Se encarga de la
captación, almacenamiento y distribución de agua para
uso doméstico, industrial y comercial, servicio de
alcantarillado sanitario y pluvial, servicio de disposición
sanitaria de excretas y acciones de protección del
medio ambiente vinculada a los proyectos para el
cumplimiento de su actividad principal.
Las acciones que realiza están declaradas como de
utilidad y necesidad pública y de preferente interés
nacional cuya finalidad es proteger la salud de la
15
población y del ambiente. La jurisdicción de sus
operaciones abarca a la provincia de Arequipa.
1.3.1.2.- Orígenes y expansión de la E.P.S. Sedapar S.A.
La E.P.S. Sedapar S.A. es una empresa de servicios de
agua potable y alcantarillado de Arequipa, cuya misión
es suministrar servicios de agua potable y alcantarillado
de calidad, preservando el medio ambiente,
contribuyendo a mejorar el nivel de vida de toda la
población dentro del ámbito de SEDAPAR.
La E.P.S. Sedapar S.A. inició sus operaciones el 1 de
octubre de 1961, habiendo pasado por varias
administraciones durante sus 50 años.
Con la resolución 025-95-PRES/VMI/SSS (02/03/95),
Sedapar S.A. fue reconocida como E.P.S. de
saneamiento el 28 de Febrero de 1995.
Es propiedad de las municipalidades donde tiene
competencia la región Arequipa y está sujeta a la ley
general de servicios de saneamiento y su reglamento
así como a la ley general de sociedades.
Se ciñe, en lo sectorial a las políticas emanadas del
ministerio de vivienda, construcción y saneamiento,
como ente rector, asimismo, se sujeta al control de
calidad de servicios y de regulación de precios
dispuestos por la superintendencia nacional de servicios
de saneamiento (SUNASS), como ente regulador. En el
aspecto de gestión empresarial y de presupuesto se
sujeta a las disposiciones de la dirección general de
presupuesto público, lo que respecta al control de
legalidad esto corresponde a la contraloría general de la
16
república (19).
1.3.1.3.- Áreas de actividad de la E.P.S. Sedapar S.A
El objeto de la E.P.S. Sedapar S.A., es la prestación de
los servicios de saneamiento y alcantarillado, los cuales
están constituidos por los siguientes servicios, sistemas
y actividades:
a) Servicio de agua potable:
Sistema de producción que comprende: captación,
tratamiento, almacenamiento y conducción de agua
cruda; tratamiento y conducción de agua tratada.
Sistema de distribución que comprende:
almacenamiento, redes de distribución y
dispositivos de entrega al usuario; conexiones
domiciliarias, medición, unidad sanitaria u otros.
b) Servicio de alcantarillado sanitario:
Sistema de recolección que comprende:
conexiones domiciliarias, sumideros, redes y
emisores.
Sistema de tratamiento y disposición de las aguas
servidas.
1.3.1.4.- Características de la E.P.S. Sedapar S.A.
La organización de la E.P.S. Sedapar S.A. es una
entidad integrada por dos o más individuos con el fin de
alcanzar metas y objetivos empresariales y sociales
17
teniendo como soporte sus normas, procedimientos y
métodos que las rige. Asimismo, cada componente que
conforman los proyectos, equipos y gerencias, tiene
características individuales que difieren de las grupales.
Sin embargo, la E.P.S. Sedapar S.A. por ser un
organismo estatal, tiene una formación rígida bajo un
esquema vertical de cargos y puestos que no permite
una dinámica desde el trabajador hasta la gerencia, ni
una adecuada interrelación entre los equipos de trabajo.
1.3.2.- Las tecnologías de información y comunicaciones
(TIC)
Las Tecnologías de la Información y la Comunicación,
también conocidas como TIC, son el conjunto de
tecnologías desarrolladas para gestionar información y
enviarla de un lugar a otro. Abarcan un abanico de
soluciones muy amplio. Incluyen las tecnologías para
almacenar información y recuperarla después, enviar y
recibir información de un sitio a otro, o procesar
información para poder calcular resultados y elaborar
informes (20).
Las TIC son un conjunto de servicios, redes, software,
aparatos que tienen como fin el mejoramiento de la calidad
de vida de las personas dentro de un entorno, y que se
integran a un sistema de información interconectado y
complementario. Esta innovación servirá para romper las
barreras que existen entre cada uno de ellos (21).
1.3.2.1.- Áreas de aplicación de las TIC
En la actualidad, las TIC son un factor determinante en
18
la productividad de las empresas, sea la empresa que
sea y tenga el tamaño que tenga.
Las TIC se aplican en las siguientes áreas de una
empresa (22):
a) Administrativa: Contable, financiera, procedimientos,
ERP.
b) Procesos productivos: CAD, CAM, entrega de
productos.
c) Relaciones externas: Mercadeo y CRM, proveedores
y SChM, aliados, confidencialidad.
d) Control y evaluación gerencial: Sistemas de
información y MIS, gestión de calidad, formación del
equipo humano.
1.3.2.2.- Beneficios que aportan las TIC
Las TIC han transformado nuestra manera de trabajar y
gestionar recursos. Las TIC son un elemento clave para
hacer que nuestro trabajo sea más productivo:
agilizando las comunicaciones, sustentando el trabajo en
equipo, gestionando las existencias, realizando análisis
financieros, y promocionando nuestros productos en el
mercado.
Bien utilizadas, las TIC permiten a las empresas producir
más cantidad, más rápido, de mejor calidad, y en menos
tiempo. Nos permiten ser competitivos en el mercado, y
disponer de tiempo libre para nuestra familia (23).
Otros beneficios:
19
Ayudan a implementar trámites en línea.
Impulsan la conexión, integración e interconexión de
los sistemas de información de las entidades
públicas, optimizando su comunicación para brindar
información de calidad y accesibilidad a la
ciudadanía.
Masificar la aplicación de los servicios en línea, a la
relación empresa ciudadano.
Optimizan el uso y estandarización de la información
geo - referenciada producida por las entidades
públicas.
Identificar, dentro de cada sector, pero también
dentro de cada empresa, formas de usar las TIC
que produzcan aumento de ingresos o reducción
de costos; es decir, mejora de la competitividad.
Desarrollar una oferta de servicios y aplicaciones
electrónicas.
Recordar que donde suelen estar más claros los
beneficios de aplicación de las TIC es en los
procesos internos de empresa. Hasta las empresas
más tradicionales pueden conseguir mejoras de
productividad por esta vía y seguramente se verán
obligadas a hacerlo por sus competidores.
Convencer a las personas de que el uso de las
nuevas tecnologías no sólo será inevitable, sino
también beneficioso para ellos mismos y conseguir
que todas ellas adquieran la formación mínima para
usar las nuevas herramientas, optimizará su trabajo
20
y evitará tareas de poco valor añadido.
1.3.2.3.- Principales TIC utilizadas en las empresas
Las principales TIC que utiliza una empresa son:
Internet, comercio electrónico, telecomunicaciones
básicas, aplicación de las TIC en la industria y, por
último gestión de la innovación (21).
a) ERP herramientas de planeación, los ERP
(Enterprise Resource Planning), son sistemas de
información gerenciales que integran y manejan
muchos de los negocios asociados con las
operaciones de producción y de los aspectos de
distribución de una compañía en la producción de
bienes o servicios (24).
b) Internet ha supuesto una revolución sin precedentes
en el mundo de la informática y de las
comunicaciones.
Desde el punto de vista técnico, se puede definir
internet como un inmenso conjunto de redes de
ordenadores que se encuentran interconectadas
entre sí, dando lugar a la mayor red de redes de
ámbito mundial.
c) El comercio electrónico incluye actividades muy
diversas como el intercambio de bienes y
servicios, el suministro online de contenido digital, la
transferencia electrónica de fondos, las compras
públicas, los servicios postventa, actividades de
promoción y publicidad de productos y servicios,
campañas de imagen de las organizaciones,
marketing en general, facilitación de los contactos
21
entre los agentes de comercio, seguimiento e
investigación de mercados, concursos electrónicos
y soporte para la compartición de negocios (25).
1.3.3. Las TIC en la E.P.S. Sedapar S.A.
El impacto de las TIC es claramente visible en el mundo
empresarial en la que la E.P.S. Sedapar S.A. no es ajena,
donde internet y las demás TIC, con su capacidad
prácticamente ilimitada de obtener, almacenar, procesar y
compartir información, están configurando un nuevo
entorno competitivo en el que:
Los tiempos de respuesta se acortan, lo que hace
necesario contar con una mayor capacidad y velocidad
en el procesamiento de la información y en la
generación y compartición de conocimiento.
Las barreras geográficas se difuminan, facilitando la
comunicación empresarial y el acceso a un mercado
más amplio pero favoreciendo también una mayor
presión competitiva.
Los clientes son cada vez más exigentes y esperan un
servicio más rápido y personalizado.
La posibilidad y necesidad de colaborar con otros
agentes económicos se acrecienta.
En este contexto, las TIC ofrecen grandes oportunidades
para mejorar la eficiencia y diferenciación de las
empresas, que éstas deben saber aprovechar (26).
De este modo, las TIC ofrecen, entre otras, la posibilidad
de:
22
Ampliar la base del negocio, en la medida que la
información este más integrada.
Reducir costes y tiempos, aprovechando la capacidad
de las nuevas tecnologías de automatizar los procesos
internos (almacén, gestión comercial, etc.).
Mejorar la calidad del servicio ofrecido, a través de una
mayor disponibilidad y velocidad del mismo.
Agilizar la relación con las jefaturas, áreas respectivas,
etc.
Las empresas prestadoras de servicio no son ajenas a
las oportunidades y retos que las TIC generan. Sin
embargo, cada empresa, en función de su tamaño y
actividad, deberá adoptar soluciones diferentes en este
campo.
1.3.3.1.- Perfil de uso de las TIC en la E.P.S. Sedapar S.A.
Se presentan los siguientes perfiles de uso de las
TIC, cada uno con características precisas:
a) Ofimática
Utilización de las TIC clásicas (teléfono y fax)
en la comunicación con nuestros clientes,
proveedores, la administración pública, etc.
El computador personal, con sus aplicaciones
básicas (procesador de textos y hoja de
cálculo) es la herramienta de trabajo para las
tareas de administración.
Internet como canal para dar a conocer la
23
compañía y facilitar la obtención de información
y el correo electrónico como un canal de
relación o comunicación.
b) Información
Los sistemas de información internos se
desarrollan en las áreas comerciales,
contabilidad, logística y de gestión de personal
a través del ERP
Para el trámite documentario se utiliza el
workflow.
c) Interacción
Las TIC se utilizan para entablar un diálogo
con todas las estaciones de la red.
Existe por lo tanto un intercambio de
información.
La empresa va avanzando en su
automatización e integración, incorporando el
sistema de gestión empresarial ERP.
Sin embargo no se miden el impacto
logrado con estas adquisiciones.
d) Transacción
La empresa avanza en la integración de sus
sistemas de información internos.
Adicionalmente existe cierta integración entre
los sistemas internos y externos, pese a que
todavía persisten ―islas‖ de información.
24
e) Digitalización
Se puede hablar en esta fase de una
organización en tiempo real, que es capaz de
entender y anticiparse a las necesidades de
sus clientes, personalizando sus servicios y
entregándolos en el menor tiempo posible o en
fechas programadas.
En nuestro trabajo proponemos definir un
perfil de la adquisición e implementación
basado en el modelo Cobit que prioriza el
enfoque de procesos y los criterios de
madurez en el uso de las TIC.
1.3.3.2.- Utilidad de las TIC en la E.P.S. Sedapar S.A.
Las TIC pueden mejorarse e incorporarlas al propio
proceso productivo y servicio de la E.P.S. Sedapar
S.A. haciendo de las TIC el centro mismo del
servicio en la gestión de las empresas prestadoras
de servicio permitiendo mejorar la eficiencia de la
misma y además debe permitirle establecer una mejor
y ágil relación con los usuarios y clientes.
En la E.P.S. Sedapar S.A., las TIC pueden ser usadas
para:
Trabajar bajo una metodología convenida para el
control y medida del impacto antes y después de
las adquisiciones de TIC que realiza.
Control de inventarios y mantenimientos.
Simplificar las operac iones de pago . Se
puede ingresar a las páginas de los proveedores
25
y ordenar ciertos productos pagando a través del
propio internet.
Mejorar el servicio: vía web, correo electrónico,
tele marketing, etc.
Facturación, de manera que se tenga al día el flujo
de ingresos y egresos.
Mejorar y establecer nuevos canales de
comunicación con los u s u a r i o s clientes (fax,
correo electrónico, teléfono).
Las aplicaciones están en aumento y pueden llegar
a marearnos si no establecemos claramente
algunos criterios para su incorporación en el
negocio. En algunos casos la incorporación de las
TIC deberá contar con la intermediación o
asistencia técnica de especialistas, pero en
muchos casos son de directa y fácil aplicación.
1.3.3.3.- Criterios para incorporar las TIC en la gestión de la
E.P.S. Sedapar S.A.
Los criterios que se deben tomar en cuenta para
incorporar las TIC en la gestión de la E.P.S. Sedapar
S.A. son:
Identificar una necesidad / problema. Hay que
adoptar una solución sabiendo antes cual es la
necesidad o problema que se quiere atender. Es
muy caro adoptar tecnología por moda.
Buscar la tecnología apropiada. No siempre lo más
avanzado en tecnología responderá mejor a una
26
necesidad concreta. Hay que asesorarse respecto
de cuál es la tecnología más adecuada para los
fines perseguidos.
Planificar su incorporación. Adoptar una solución
tecnológica requiere de un proceso de adopción que
debe ser planificado, de manera que no pierda su
capacidad de operación y servicio. Hay que prever
un periodo de entrenamiento en el uso, un periodo
de aplicación de prueba y luego incorporarla
definitivamente en la gestión.
Evaluar y comparar los resultados. En cada etapa
de la adopción hay que tener claridad respecto de
que resultados se esperan alcanzar. De esa forma
podremos evaluar cuan positiva ha sido la adopción
y si se está resolviendo el problema o no. Es
importante es esta etapa comparar los resultados
obtenidos por otras empresas y aprender de ellas.
Darle continuidad a la aplicación. Si se ha obtenido
éxito o se está obteniendo, es muy importante
mantener la aplicación de manera que se incorpore
definitivamente en la práctica de gestión de la
empresa . Si se ha establecido un nuevo canal
de comunicación con los usuarios a través del
correo electrónico, ese canal no se debe descuidar,
pues a la primera falla se pondrá en riesgo todos los
beneficios obtenidos (27).
1.3.3.4.- Las TIC y su importancia estratégica para la E.P.S.
Sedapar S.A. en la globalización
Actualmente es conocida la importancia que tienen las
27
TIC y el uso que se hace de ellas en todas las
organizaciones, independientemente de que sean
estas pequeñas, medianas o grandes empresas. La
importancia trasciende en la medida en que las
organizaciones, por su tamaño, giro y sector, son
capaces de incorporar a su estrategia competitiva,
TIC como ERP, wordf low, ecommerce y
ebusiness.
Las TIC representan un área de oportunidad para la
E.P.S. Sedapar S.A.
El desafío consiste en que necesariamente esta
empresa tendrá que adoptar e incorporar de manera
estratégica esta tecnología a su organización (28).
Por lo que para tener éxito en el siglo XXI, la empresa
tiene que aprovechar la tecnología de la información,
especialmente la Internet. Con internet surge una
herramienta para forjar una relación más cercana con el
cliente y los procesos (29).
Dentro de las ventajas específicas que se generan
con las TIC, se mencionan los aumentos a la
productividad como resultado de la mejora de
procesos, la creación de valor para clientes y
empleados de la organización y la creación de mejoras
en el servicio (30).
En los tiempos actuales ninguna empresa puede
estancarse y vivir del éxito del pasado, cada día debe
emprender una investigación acerca de su nuevo
ambiente para competir y brindar servicios con bases
sólidas.
28
De allí la importancia por aceptar y comprender el
efecto de la globalización en la E.P.S. Sedapar S.A. a
fin de que desarrollen un mejor desempeño en el
entorno global.
1.3.4.- El gobierno de las TIC – COBIT
El gobierno de las TIC es una estructura de relaciones y
procesos para dirigir y controlar la empresa con el objeto de
alcanzar los objetivos de la empresa y añadir valor mientras
se balancean los riesgos versus el retorno sobre TI y sus
procesos (27).
1.3.4.1.- Cobit (Los objetivos de control para la información
y la tecnología relacionada)
Cobit es una herramienta que permite a los gerentes
comunicarse y salvar la brecha existente entre los
requerimientos de control, aspectos técnicos y riesgos
de negocio.
Fue desarrollada por ISACA e ITGI, está orientada a la
administración, auditoria de sistemas, control y
seguridad. Define lo que es necesario hacer para
implementar una efectiva estructura de control.
Cobit habilita el desarrollo de una política clara y de
buenas prácticas de control de TI a través de
organizaciones, a nivel mundial.
El objetivo de Cobit es proporcionar estos objetivos de
control, dentro del marco referencial definido, y
obtener la aprobación y el apoyo de las entidades
comerciales, gubernamentales y profesionales en todo
el mundo.
29
Por lo tanto, Cobit está orientado a ser la herramienta
de gobierno de TI que ayude al entendimiento y a la
administración de riesgos asociados con tecnología de
información y con tecnologías relacionadas (30).
Cobit se orienta tanto a la gestión como al control y
auditoria de TIC.
Cobit satisface las necesidades que tiene la
organización en lo referente a las TI de la siguiente
manera:
Tomando en cuenta los requerimientos del
negocio.
Mediante el modelo de procesos organiza las
actividades de TI.
Identifica los recursos de TI prioritarios a ser
utilizados.
Definiendo los controles de TI.
Este conjunto de las mejores prácticas permiten
evaluar la seguridad, eficacia, calidad y eficiencia de
las TI., mediante esto se determinan los riesgos, tener
una gestión efectiva de los recursos, medir el
desempeño y cumplimiento de metas, y de manera
principal medir el nivel de madurez de los procesos de
la organización
Cobit es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios y la seguridad IT y
que abarca controles específicos de IT desde una
perspectiva de negocios (31).
30
Desde el punto de vista de gestión, Cobit provee un
conjunto de directrices gerenciales que son
genéricas y que están orientadas a la acción con el
fin de resolver los tipos siguientes de preocupaciones
de la administración:
Medición del desempeño - ¿Cuáles son los
indicadores de un buen desempeño?
Determinación del perfil de control de TI —
¿Qué es importante? ¿Cuáles son los
factores críticos de éxito para el control?
Conocimiento/concientización — ¿Cuáles son
los riesgos de no alcanzar nuestros
objetivos?
Benchmarking — ¿Qué hacen los demás? ¿Cómo
medimos y comparamos?
El marco referencial de Cobit está estructurado en 04
dominios, 34 procesos y 300 objetivos de control.
Del cual aplicaremos el dominio adquirir e
implementar que consta de siete procesos en el
presente estudio (29).
1.3.4.2.- Dominio y procesos
Los procesos del estudio realizado corresponden a una
de las dimensiones del modelo Cobit:
Dominio: Adquirir e implementar.
En este dominio se explica que para llevar a cabo la
estrategia de TI, las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas así como la
31
implementación e integración en los procesos del
negocio. Además, el cambio y el mantenimiento de los
sistemas existentes están cubiertos para garantizar que
las soluciones sigan satisfaciendo los objetivos del
negocio.
Este dominio, por lo general, cubre los siguientes
cuestionamientos de la gerencia:
¿Es probable que los nuevos proyectos generan
soluciones que satisfagan las necesidades del
negocio?
¿Es probable que los nuevos proyectos sean
entregados a tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una
vez sean implementados?
¿Los cambios no afectarán a las operaciones actuales
del negocio?
Tiene los siguientes procesos:
AI1.- Identificar soluciones automatizadas. La
necesidad de una nueva aplicación o función requiere
de análisis antes de la compra o desarrollo para
garantizar que los requisitos del negocio se satisfacen
con un enfoque efectivo y eficiente. Este proceso cubre
la definición de las necesidades, considera las fuentes
alternativas, realiza una revisión de la factibilidad
tecnológica y económica, ejecuta un análisis de
riesgo y de costo-beneficio y concluye con una
32
decisión final de ―desarrollar‖ o ―comprar‖. Todos estos
pasos permiten a las organizaciones minimizar el costo
para adquirir e implementar soluciones, mientras que al
mismo tiempo facilitan el logro de los objetivos del
negocio.
Control sobre el proceso TI de: Identificar soluciones
automatizadas.
Que satisface el requerimiento del negocio de TI
para:
Traducir los requerimientos funcionales y de control a
un diseño efectivo y eficiente de soluciones
automatizadas.
Enfocándose en:
La identificación de soluciones técnicamente factibles y
rentables.
Se logra con:
La definición de los requerimientos técnicos y de
negocio.
Realizar estudios de factibilidad como se define en
los estándares de desarrollo.
Aprobar (o rechazar) los requerimientos y los
resultados de los estudios de factibilidad.
Y se mide con:
Número de proyectos donde los beneficios
establecidos no se lograron debido a suposiciones
de factibilidad incorrectas.
33
Porcentaje de estudios de factibilidad autorizados
por el dueño del proceso.
Porcentaje de usuarios satisfechos con la
funcionalidad entregada.
OBJETIVOS DE CONTROL
AI1.1 Definición y mantenimiento de los
requerimientos técnicos y funcionales del negocio
Identificar, dar prioridades, especificar y acordar los
requerimientos de negocio funcionales y técnicos que
cubran el alcance completo de todas las iniciativas
requeridas para lograr los resultados esperados de los
programas de inversión en TI.
AI1.2 Reporte de análisis de riesgos
Identificar, documentar y analizar los riesgos asociados
con los requerimientos del negocio y diseño de
soluciones como parte de los procesos
organizacionales para el desarrollo de los
requerimientos.
AI1.3 Estudio de factibilidad y formulación de
cursos de acción alternativos
Desarrollar un estudio de factibilidad que examine la
posibilidad de implementar los requerimientos. La
administración del negocio, apoyada por la función de
TI, debe evaluar la factibilidad y los cursos alternativos
de acción y realizar recomendaciones al patrocinador
del negocio.
34
AI1.4 Requerimientos, decisión de factibilidad y
aprobación
Verificar que el proceso requiere al patrocinador del
negocio para aprobar y autoriza los requisitos de
negocio, tanto funcionales como técnicos, y los
reportes del estudio de factibilidad en las etapas clave
predeterminadas. El patrocinador del negocio tiene la
decisión final con respecto a la elección de la solución
y al enfoque de adquisición.
AI2.- Adquirir y mantener software aplicativo
Las aplicaciones deben estar disponibles de acuerdo
con los requerimientos del negocio. Este proceso cubre
el diseño de las aplicaciones, la inclusión apropiada de
controles aplicativos y requerimientos de seguridad, y
el desarrollo y la configuración en sí de acuerdo a los
estándares. Esto permite a las organizaciones apoyar
la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas.
Control sobre el proceso TI de: Adquirir y dar
mantenimiento a software aplicativo.
Que satisface el requerimiento del negocio de TI
para:
Construir las aplicaciones de acuerdo con los
requerimientos del negocio y haciéndolas a tiempo y a
un costo razonable.
Enfocándose en:
Garantizar que exista un proceso de desarrollo
oportuno y confiable.
35
Se logra con:
La traducción de requerimientos de negocio a
especificaciones de diseño.
La adhesión a los estándares de desarrollo para
todas las modificaciones.
La separación de las actividades de desarrollo, de
pruebas y operativas.
Y se mide con:
Número de problemas en producción por aplicación,
que causan tiempo perdido significativo.
Porcentaje de usuarios satisfechos con la
funcionalidad entregada.
OBJETIVOS DE CONTROL
AI2.1 Diseño de alto nivel:
Traducir los requerimientos del negocio a una
especificación de diseño de alto nivel para la
adquisición de software, teniendo en cuenta las
directivas tecnológicas y la arquitectura de información
dentro de la organización. Tener aprobadas las
especificaciones de diseño por gerencia para
garantizar que el diseño de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan
discrepancias significativas técnicas o lógicas durante
el desarrollo o mantenimiento.
AI2.2 Diseño detallado:
Preparar el diseño detallado y los requerimientos
36
técnicos del software de aplicación. Definir el criterio de
aceptación de los requerimientos. Aprobar los
requerimientos para garantizar que corresponden al
diseño de alto nivel. Realizar reevaluaciones cuando
sucedan discrepancias significativas técnicas o lógicas
durante el desarrollo o mantenimiento.
AI2.3 Control y posibilidad de auditar las
aplicaciones:
Implementar controles de negocio, cuando aplique, en
controles de aplicación automatizados tal que el
procesamiento sea exacto, completo, oportuno,
autorizado y auditable.
AI2.4 Seguridad y disponibilidad de las
aplicaciones:
Abordar la seguridad de las aplicaciones y los
requerimientos de disponibilidad en respuesta a los
riesgos identificados y en línea con la clasificación de
datos, la arquitectura de la información, la arquitectura
de seguridad de la información y la tolerancia a riesgos
de la organización.
AI2.5 Configuración e implantación de software
aplicativo adquirido:
Configurar e implementar software de aplicaciones
adquiridas para conseguir los objetivos de negocio.
AI2.6 Actualizaciones importantes en sistemas
existentes:
En caso de cambios importantes a los sistemas
existentes que resulten en cambios significativos al
37
diseño actual y/o funcionalidad, seguir un proceso de
desarrollo similar al empleado para el desarrollo de
sistemas nuevos.
AI2.7 Desarrollo de software aplicativo:
Garantizar que la funcionalidad de automatización se
desarrolla de acuerdo con las especificaciones de
diseño, los estándares de desarrollo y documentación,
los requerimientos de calidad y estándares de
aprobación. Asegurar que todos los aspectos legales y
contractuales se identifican y direccionan para el
software aplicativo desarrollado por terceros.
AI2.8 Aseguramiento de la calidad del software:
Desarrollar, Implementar los recursos y ejecutar un
plan de aseguramiento de calidad del software, para
obtener la calidad que se especifica en la definición de
los requerimientos y en las políticas y procedimientos
de calidad de la organización.
AI2.9 Administración de los requerimientos de
aplicaciones:
Seguir el estado de los requerimientos individuales
(incluyendo todos los requerimientos rechazados)
durante el diseño, desarrollo e implementación, y
aprobar los cambios a los requerimientos a través de
un proceso de gestión de cambios establecido.
AI2.10 Mantenimiento de software aplicativo:
Desarrollar una estrategia y un plan para el
mantenimiento de aplicaciones de software.
38
AI3.- Adquirir y mantener infraestructura
tecnológica.
Las organizaciones deben contar con procesos para
adquirir, implementar y actualizar la infraestructura
tecnológica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de
acuerdo con las estrategias tecnológicas convenidas y
la disposición del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnológico
continuo para las aplicaciones del negocio.
Control sobre el proceso TI de: Adquirir y dar
mantenimiento a la infraestructura tecnológica
Que satisface el requerimiento del negocio de TI
para:
Adquirir y dar mantenimiento a una infraestructura
integrada y estándar de TI.
Enfocándose en:
Proporcionar plataformas adecuadas para las
aplicaciones del negocio, de acuerdo con la
arquitectura definida de TI y los estándares de
tecnología.
Se logra con:
El establecimiento de un plan de adquisición de
tecnología que se alinea con el plan de
infraestructura tecnológica.
La planeación de mantenimiento de la
infraestructura.
39
La implantación de medidas de control interno,
seguridad y auditabilidad.
Y se mide con:
El porcentaje de plataformas que no se alinean con
la arquitectura de TI definida y los estándares de
tecnología.
El número de procesos de negocio críticos
soportados por infraestructura obsoleta (o que
pronto lo será).
El número de componentes de infraestructura que ya
no se pueden soportar (o que ya no se podrán en el
futuro cercano).
OBJETIVOS DE CONTROL
AI3.1 Plan de adquisición de infraestructura
tecnológica:
Generar un plan para adquirir, Implementar y mantener
la infraestructura tecnológica que satisfaga los
requerimientos establecidos funcionales y técnicos del
negocio, y que esté de acuerdo con la dirección
tecnológica de la organización. El plan debe considerar
extensiones futuras para adiciones de capacidad,
costos de transición, riesgos tecnológicos y vida útil de
la inversión para actualizaciones de tecnología. Evaluar
los costos de complejidad y la viabilidad comercial del
proveedor y el producto al añadir nueva capacidad
técnica.
40
AI3.2 Protección y disponibilidad del recurso de
infraestructura:
Implementar medidas de control interno, seguridad y
auditabilidad durante la configuración, integración y
mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y garantizar
su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar
componentes de infraestructura sensitivos por todos
aquellos que desarrollan e integran los componentes
de infraestructura. Se debe monitorear y evaluar su
uso.
AI3.3 Mantenimiento de la infraestructura:
Desarrollar una estrategia y un plan de mantenimiento
de la infraestructura y garantizar que se controlan los
cambios, de acuerdo con el procedimiento de
administración de cambios de la organización. Incluir
una revisión periódica contra las necesidades del
negocio, administración de parches y estrategias de
actualización, riesgos, evaluación de vulnerabilidades y
requerimientos de seguridad.
AI3.4 Ambiente de prueba de factibilidad: Establecer
el ambiente de desarrollo y pruebas para soportar la
efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura, en las
primeras fases del proceso de adquisición y desarrollo.
Hay que considerar la funcionalidad, la configuración
de hardware y software, pruebas de integración y
desempeño, migración entre ambientes, control de la
versiones, datos y herramientas de prueba y seguridad.
41
AI4.- Facilitar la operación y el uso.
El conocimiento sobre los nuevos sistemas debe estar
disponible. Este proceso requiere la generación de
documentación y manuales para usuarios y para TI, y
proporciona entrenamiento para garantizar el uso y la
operación correctos de las aplicaciones y la
infraestructura.
Control sobre el proceso TI de: Facilitar la operación
y el uso
Que satisface el requerimiento del negocio de TI
para:
Garantizar la satisfacción de los usuarios finales
mediante ofrecimientos de servicios y niveles de
servicio, y de forma transparente integrar las
soluciones de aplicación y tecnología dentro de los
procesos del negocio.
Enfocándose en:
Proporcionar manuales efectivos de usuario y de
operación y materiales de entrenamiento para transferir
el conocimiento necesario para la operación y el uso
exitosos del sistema.
Se logra con:
El desarrollo y la disponibilidad de documentación
para transferir el conocimiento.
Comunicación y entrenamiento a usuarios y a la
gerencia del negocio, al personal de apoyo y al
personal de operación.
42
La generación de materiales de entrenamiento.
Y se mide con:
El número de aplicaciones en que los
procedimientos de TI se integran en forma
transparente dentro de los procesos de negocio.
El porcentaje de dueños de negocios satisfechos
con el entrenamiento de aplicación y los materiales
de apoyo.
El número de aplicaciones que cuentan con un
adecuado entrenamiento de apoyo al usuario y a la
operación.
OBJETIVOS DE CONTROL
AI4.1 Plan para soluciones de operación:
Desarrollar un plan para identificar y documentar todos
los aspectos técnicos, la capacidad de operación y los
niveles de servicio requeridos, de manera que todos los
interesados puedan tomar la responsabilidad
oportunamente por la producción de procedimientos de
administración, de usuario y operativos, como resultado
de la introducción o actualización de sistemas
automatizados o de infraestructura.
AI4.2 Transferencia de conocimiento a la gerencia
del negocio:
Transferir el conocimiento a la gerencia de la empresa
para permitirles tomar posesión del sistema y los datos
y ejercer la responsabilidad por la entrega y calidad del
servicio, del control interno, y de los procesos
43
administrativos de la aplicación. La transferencia de
conocimiento incluye la aprobación de acceso,
administración de privilegios, segregación de tareas,
controles automatizados del negocio,
respaldo/recuperación, seguridad física y archivo de la
documentación fuente.
AI4.3 Transferencia de conocimiento a usuarios
finales:
Transferencia de conocimiento y habilidades para
permitir que los usuarios finales utilicen con efectividad
y eficiencia el sistema de aplicación como apoyo a los
procesos del negocio. La transferencia de conocimiento
incluye el desarrollo de un plan de entrenamiento que
aborde al entrenamiento inicial y al continuo, así como
el desarrollo de habilidades, materiales de
entrenamiento, manuales de usuario, manuales de
procedimiento, ayuda en línea, asistencia a usuarios,
identificación del usuario clave, y evaluación.
AI4.4 Transferencia de conocimiento al personal de
operaciones y soporte:
Transferir el conocimiento y las habilidades para
permitir al personal de soporte técnico y de
operaciones que entregue, apoyen y mantenga la
aplicación y la infraestructura asociada de manera
efectiva y eficiente de acuerdo a los niveles de servicio
requeridos. La transferencia del conocimiento debe
incluir al entrenamiento inicial y continuo, el desarrollo
de las habilidades, los materiales de entrenamiento, los
manuales de operación, los manuales de
procedimientos y escenarios de atención al usuario.
44
AI5.- Adquirir recursos de TI.
Se deben suministrar recursos TI, incluyendo personas,
hardware, software y servicios. Esto requiere de la
definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de
arreglos contractuales y la adquisición en sí. El hacerlo
así garantiza que la organización tenga todos los
recursos de TI que se requieren de una manera
oportuna y rentable.
Control sobre el proceso TI de: Adquirir recursos de
TI.
Que satisface el requerimiento del negocio de TI
para:
Mejorar la rentabilidad de TI y su contribución a la
utilidad del negocio.
Enfocándose en:
Adquirir y mantener las habilidades de TI que
respondan a la estrategia de entrega, en una
infraestructura TI integrada y estandarizada, y reducir
el riesgo de adquisición de TI.
Se logra con:
La obtención de asesoría profesional legal y
contractual.
La definición de procedimientos y estándares de
adquisición.
La adquisición de hardware, software y servicios
45
requeridos de acuerdo con los procedimientos
definidos.
Y se mide con:
El número de controversias en relación con los
contratos de adquisición.
La reducción del costo de compra.
El porcentaje de interesados clave satisfechos con
los proveedores.
OBJETIVOS DE CONTROL
AI5.1 Control de adquisición:
Desarrollar y seguir un conjunto de procedimientos y
estándares consistente con el proceso general de
adquisiciones de la organización y con la estrategia de
adquisición para adquirir infraestructura relacionada
con TI, instalaciones, hardware, software y servicios
necesarios por el negocio.
AI5.2 Administración de contratos con
proveedores:
Formular un procedimiento para establecer, modificar y
concluir contratos para todos los proveedores. El
procedimiento debe cubrir, como mínimo,
responsabilidades y obligaciones legales, financieras,
organizacionales, documentales, de desempeño, de
seguridad, de propiedad intelectual y responsabilidades
de conclusión, así como obligaciones (que incluyan
cláusulas de penalización). Todos los contratos y las
modificaciones a contratos las deben revisar asesores
46
legales.
AI5.3 Selección de proveedores:
Seleccionar proveedores de acuerdo a una práctica
justa y formal para garantizar la mejor viable y
encajable según los requerimientos especificados. Los
requerimientos deben estar optimizados con las
entradas de los proveedores potenciales.
AI5.4 Adquisición de recursos de TI:
Proteger y hacer cumplir los intereses de la
organización en todo los contratos de adquisiciones,
incluyendo los derechos y obligaciones de todas las
partes en los términos contractuales para la adquisición
de software, recursos de desarrollo, infraestructura y
servicios.
AI6.- Administrar cambios.
Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formalmente y
controladamente. Los cambios (incluyendo
procedimientos, procesos, sistema y parámetros del
servicio) se deben registrar, evaluar y autorizar previo a
la implantación y revisar contra los resultados
planeados después de la implantación. Esto garantiza
la reducción de riesgos que impactan negativamente la
estabilidad o integridad del ambiente de producción.
Control sobre el proceso TI de: Administrar cambios.
Que satisface el requerimiento del negocio de TI
47
para:
Responder a los requerimientos del negocio de
acuerdo con la estrategia de negocio, mientras se
reducen los defectos y la repetición de trabajos en la
prestación del servicio y en la solución.
Enfocándose en:
Controlar la evaluación de impacto, autorización e
implantación de todos los cambios a la infraestructura
de TI, aplicaciones y soluciones técnicas, minimizando
errores que se deben a especificaciones incompletas
de la solicitud y detener la implantación de cambios no
autorizados.
Se logra con:
La definición y comunicación de los procedimientos
de cambio, que incluyen cambios de emergencia.
La evaluación, la asignación de prioridad y
autorización de cambios.
Seguimiento del estatus y reporte de los cambios
Y se mide con:
El número de interrupciones o errores de datos
provocados por especificaciones inexactas o una
evaluación de impacto incompleta.
La repetición de aplicaciones o infraestructura
debida a especificaciones de cambio inadecuadas.
El porcentaje de cambios que siguen procesos de
control de cambio formales
48
OBJETIVOS DE CONTROL
AI6.1 Estándares y procedimientos para cambios:
Establecer procedimientos de administración de
cambio formales para manejar de manera estándar
todas las solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones, procedimientos,
procesos, parámetros de sistema y servicio, y las
plataformas fundamentales.
AI6.2 Evaluación de impacto, priorización y
autorización:
Garantizar que todas las solicitudes de cambio se
evalúan de una estructurada manera en cuanto a
impactos en el sistema operacional y su funcionalidad.
Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo a la migración hacia
producción, los interesados correspondientes autorizan
los cambios.
AI6.3 Cambios de emergencia:
Establecer un proceso para definir, plantear, evaluar y
autorizar los cambios de emergencia que no sigan el
proceso de cambio establecido. La documentación y
pruebas se realizan, posiblemente, después de la
implantación del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio:
Establecer un sistema de seguimiento y reporte para
mantener actualizados a los solicitantes de cambio y a
los interesados relevantes, acerca del estatus del
cambio a las aplicaciones, a los procedimientos, a los
49
procesos, parámetros del sistema y del servicio y las
plataformas fundamentales.
AI6.5 Cierre y documentación del cambio:
Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de
usuario y procedimientos correspondientes. Establecer
un proceso de revisión para garantizar la implantación
completa de los cambios.
AI7.- Instalar y acreditar soluciones y cambios.
Los nuevos sistemas necesitan estar funcionales una
vez que su desarrollo se completa. Esto requiere
pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e
instrucciones de migración, planear la liberación y la
transición en sí al ambiente de producción, y revisar la
post-implantación. Esto garantiza que los sistemas
operativos estén en línea con las expectativas
convenidas y con los resultados.
Control sobre el proceso TI de: Instalar y acreditar
soluciones y cambios.
Que satisface el requerimiento del negocio de TI
para:
Contar con sistemas nuevos o modificados que
trabajen sin problemas importantes después de la
instalación.
Enfocándose en:
Probar que las soluciones de aplicaciones e
50
infraestructura son apropiadas para el propósito
deseado y estén libres de errores, y planear las
liberaciones a producción.
Se logra con:
El establecimiento de una metodología de prueba.
Realizar la planeación de la liberación (release).
Evaluar y aprobar los resultados de las pruebas por
parte de la gerencia del negocio.
Ejecutar revisiones posteriores a la implantación
Y se mide con:
Tiempo perdido de la aplicación o problemas de
datos provocados por pruebas inadecuadas.
Porcentaje de sistemas que satisfacen los beneficios
esperados, medidos en el proceso posterior a la
implantación.
Porcentaje de proyectos con plan de prueba
documentado y aprobado.
OBJETIVOS DE CONTROL
AI7.1 Entrenamiento:
Entrenar al personal de los departamentos de usuario
afectados y al grupo de operaciones de la función de TI
de acuerdo con el plan definido de entrenamiento e
implantación y a los materiales asociados, como parte
de cada proyecto de sistemas de la información de
desarrollo, implementación o modificación.
51
AI7.2 Plan de prueba:
Establecer un plan de pruebas basado en los
estándares de la organización que define roles,
responsabilidades, y criterios de entrada y salida.
Asegurar que el plan está aprobado por las partes
relevantes.
AI7.3 Plan de implantación:
Establecer un plan de implantación y respaldo y vuelta
atrás. Obtener aprobación de las partes relevantes.
AI7.4 Ambiente de prueba:
Definir y establecer un entorno seguro de pruebas
representativo del entorno de operaciones planeado
relativo a seguridad, controles internos, practicas
operativos, calidad de los datos y requerimientos de
privacidad, y cargas de trabajo.
AI7.5 Conversión de sistemas y datos:
Plan de conversión de datos y migración de
infraestructuras como parte de los métodos de
desarrollo de la organización, incluyendo pistas de
auditoría, respaldo y vuelta atrás.
AI7.6 Pruebas de cambios:
Pruebas de cambios independientemente en acuerdo
con los planes de pruebas definidos antes de la
migración al entorno de operaciones. Asegurar que el
plan considera la seguridad y el desempeño.
52
AI7.7 Prueba de aceptación final:
Asegurar que el dueño de proceso de negocio y los
interesados de TI evalúan los resultados de los
procesos de pruebas como determina el plan de
pruebas. Remediar los errores significativos
identificados en el proceso de pruebas, habiendo
completado el conjunto de pruebas identificadas en el
plan de pruebas y cualquier prueba de regresión
necesaria. Siguiendo la evaluación, aprobación
promoción a producción.
AI7.8 Promoción a producción:
Seguimiento a pruebas, controlar la entrega de los
sistemas cambiados a operaciones, manteniéndolo en
línea con el plan de implantación. Obtener la
aprobación de los interesados clave, tales como
usuarios, dueño de sistemas y gerente de operaciones.
Cuando sea apropiado, ejecutar el sistema en paralelo
con el viejo sistema por un tiempo, y comparar el
comportamiento y los resultados.
AI7.9 Revisión posterior a la implantación:
Establecer procedimientos en línea con los estándares
de gestión de cambios organizacionales para requerir
una revisión posterior a la implantación como conjunto
de salida en el plan de implementación.
1.3.5.- Modelo de madurez de Cobit
El modelo de madurez de Cobit, es usado más frecuentemente
por los directivos de empresas corporativas y públicas para poder
determinar qué tan bien se está administrando las TI (31).
53
La ventaja de un modelo de madurez es que es relativamente fácil
para la dirección ubicarse a sí misma en la escala y evaluar qué
se debe hacer si se requiere desarrollar una mejora. La escala
incluye al 0 ya que es muy posible que no existan procesos en lo
absoluto.
Para la medición del nivel de gestión en el domino adquirir e
implementar de las TIC en la E.P.S. Sedapar S.A. se utilizaron
cuestionarios obtenidos de la estructura del modelo Cobit.
Los mencionados cuestionarios no requieren ser validados por
cuanto Cobit constituye una buena práctica de reconocimiento
mundial. Los perfiles de gestión de las TIC se establecerán
tomando como referencia el modelo de madurez propuesto por
Cobit que considera de manera general desde un nivel de no-
existente (0) hasta un nivel de optimizado (5):
0. Inexistente. No se aplican procesos administrativos en lo
absoluto para gestionar las TIC.
1. Inicial / Ad hoc. Los procesos de TIC son Ad hoc y
desorganizados. Son informales.
2. Repetible pero intuitivo. Los procesos de TIC siguen un
patrón regular. Siguen técnicas tradicionales no
documentadas.
3. Definido y documentado. Los procesos de TIC se
documentan y comunican.
4. Administrado y medible. Los procesos de TIC se
monitorean y miden.
5. Optimizado. Las buenas prácticas se siguen y automatizan.
54
Figura Nº 1
Representación gráfica de los modelos de madurez
FUENTE: Cobit4.1 2007 IT Governance Institute
1.4.- Justificación de la investigación
La investigación fue importante para la E.P.S. Sedapar S.A.,
porque permitió identificar, conocer y describir los factores que
afectan los procesos de la adquisición e implementación de las
TIC en la ciudad de Arequipa en el año 2011, con el objetivo de
contribuir al direccionamiento del uso de las TIC y de buenas
prácticas que actualmente es utilizada por el personal
administrativo, funcionarios, gerente, dentro de la empresa, por
otro lado permitió conocer las TIC a un nivel aceptable por la
empresa.
Las TIC, se han convertido en una valiosa herramienta de
transformación y desarrollo de los niveles de bienestar de
diferentes ámbitos de la sociedad, habiendo cambiado la forma de
vivir de la gente, su forma de comunicación, trabajo, nuevas
modalidades de crear conocimientos, educación, nuevas formas
de hacer negocios, y de conducir la administración pública.
Se consideró el modelo Cobit para este trabajo porque su misión
55
es precisamente ―Investigar, desarrollar, hacer público y promover
un marco de control de gobierno de TI autorizado, actualizado,
aceptado internacionalmente para la adopción por parte de las
empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento.‖
Es así, que la E.P.S. Sedapar S.A. debe prepararse para hacer
frente a los cambios que el gobierno propone y la ciudadanía nos
requiere, para la cual nos ha dado una serie de normas a poner en
ejecución, así como tomar las mejores prácticas que existen en
materia de tecnologías de la información y comunicaciones, por tal
motivo las soluciones que se den, deben estar basados en las
normas dadas por organismos del estado como la ONGEI, normas
de control de la contraloría general de la república, normas dadas
por organismos internacionales y buenas prácticas reconocidas en
el mercado.
Los resultados obtenidos para conocer el perfil de la adquisición e
implementación se facilitaron por la factibilidad y apoyo que dio la
E.P.S. Sedapar S.A. para el desarrollo de esta investigación,
brindando colaboración y predisposición por parte del personal
durante las entrevistas para el llenado de los cuestionarios
desarrollados para obtener los resultados de esta investigación.
1.5.- Formulación de objetivos
1.5.1. Objetivo general
Determinar el perfil de la adquisición e implementación de las
tecnologías de información y comunicaciones (TIC) en la
Empresa Prestadora de Servicios E.P.S. Sedapar S.A. de la
ciudad de Arequipa en el año 2011.
56
1.5.2. Objetivos específicos
Describir el perfil de gestión del proceso de identificar
soluciones automatizadas en la E.P.S. Sedapar S.A. de la
ciudad de Arequipa en el año 2011.
Describir el perfil de gestión del proceso de adquirir y
mantener software aplicativo en la E.P.S. Sedapar S.A.
de la ciudad de Arequipa en el año 2011.
Describir el perfil de gestión del proceso de adquirir y
mantener infraestructura tecnológica en la E.P.S. Sedapar
S.A. de la ciudad de Arequipa en el año 2011.
Describir el perfil de gestión del proceso de facilitar la
operación y uso en la E.P.S. Sedapar S.A. de la ciudad
de Arequipa en el año 2011.
Describir el perfil de gestión del proceso de adquirir
recursos de TI en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011.
Describir el perfil de gestión del proceso de administrar
cambios en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011.
Describir el perfil de gestión del proceso de instalar y
acreditar soluciones y cambios en la E.P.S. Sedapar S.A.
de la ciudad de Arequipa en el año 2011.
1.6.- Sistema de hipótesis
1.6.1.- Hipótesis general
El perfil de la adquisición e implementación de las
57
tecnologías de información y comunicaciones (TIC) en la
empresa prestadora de servicios E.P.S. Sedapar S.A. de la
ciudad de Arequipa en el año 2011 es Inicial, según los
niveles de madurez del Cobit.
1.6.2.- Hipótesis específicas
El perfil de del proceso de identificar soluciones
automatizadas en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 es inicial, según los niveles de
madurez de la norma Cobit para el dominio de adquirir e
implementar.
El perfil del proceso de adquirir y mantener software
aplicativo en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 es inicial, según los niveles de
madurez de la norma Cobit para el dominio de adquirir e
implementar.
El perfil del proceso de adquirir y mantener infraestructura
tecnológica en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 es inicial, según los niveles de
madurez de la norma Cobit para el dominio de adquirir e
implementar.
El perfil del proceso de facilitar la operación y el uso en la
E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año
2011 es inicial, según los niveles de madurez de la norma
Cobit para el dominio de adquirir e implementar.
El perfil del proceso de adquirir recursos de TI en la
E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año
2011 es inicial, según los niveles de madurez de la norma
Cobit para el dominio de adquirir e implementar.
58
El perfil del proceso de administrar cambios en la E.P.S.
Sedapar S.A. de la ciudad de Arequipa en el año 2011 es
inicial, según los niveles de madurez de la norma Cobit
para el dominio de adquirir e implementar.
El perfil del proceso de instalar y acreditar soluciones y
cambios en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 es inicial, según los niveles de
madurez de la norma Cobit para el dominio de adquirir e
implementar.
59
2.- METODOLOGÍA
Para la realización de este estudio se toma como marco de referencia
la metodología Cobit, que es un marco de gobernabilidad de TI y un
conjunto de herramientas de ayuda que permite a los administradores
tener en cuenta y asociar los conceptos de requerimientos de control,
consideraciones técnicas y riesgos del negocio
La aplicación de Cobit en la E.P.S. Sedapar S.A. nos permitió evaluar
y mejorar los procesos de gestión de TI. La evaluación de los
procesos de gestión de TI consistió en realizar un análisis de la
situación actual de la organización que determine el nivel de madurez
del proceso adquirir e implementar de la empresa con respecto a la
metodología y así poder emitir recomendaciones que expliquen qué
hacer para que este proceso mejore.
2.1.- Tipo y nivel de investigación
El tipo de estudio utilizado es no experimental, descriptivo y de
corte transversal. El estudio es no experimental porque las
variables fueron estudiadas en su estado natural, sin realizar
ningún tipo de manipulación. Es descriptivo porque el objetivo es
examinar y describir el perfil de la adquisición e implantación de
las TIC en la E.P.S. Sedapar S.A.de la ciudad de Arequipa en el
año 2011 y de corte transversal porque se analizó el fenómeno en
un período determinado (32).
Nivel de la Investigación
Reunió por su nivel las características de un estudio descriptivo
porque el objetivo fue examinar y describir las variables en un
período determinado (32).
60
2.1.-Diseño de la investigación
Este diseño es de una sola casilla porque el investigador solo mide
el estado de los procesos, y se grafica de la siguiente manera:
Dónde: M = Muestra O = Observación
2.2.- Población y muestra
Población: Estuvo constituida por 655 personas que actualmente
vienen laborando en la E.P.S. Sedapar S.A. en la región
Arequipa.
Muestra
Formula: Para la estimación de la población muestra se
siguió los siguientes criterios:
Seguridad = 95%; Precisión = 3%: Proporción esperada =
asumimos que puede ser próxima al 5%:
Donde:
N = Total de la población
Za2 = 1.962 (si la seguridad es del 95%)
p = proporción esperada (en este caso 5% = 0.05)
q = 1 – p (en este caso 1-0.05 = 0.95)
d = precisión (en este caso deseamos un 3%).
M O
61
El criterio de elección fue un muestreo no probabilístico, por
conveniencia de la investigación de los 655 trabajadores de la
empresa, se trabajó con un tamaño de muestra de 155
trabajadores para cada uno de los procesos en estudio del manual
de Cobit 4.1 (33).
Total de la población (N) 655
Nivel de confianza o seguridad (1-α) 95%
Precisión (d) 3%
Proporción (valor aproximado del parámetro que queremos medir) 5%
TAMAÑO MUESTRAL (n) 155
ESTIMACIÓN DE LA PROPORCIÓN
(Si la población es infinita, dejar la casilla en blanco)
(Si no tenemos dicha información p=0.5 que maximiza el tamaño muestral)
62
2.3.- Definición y operacionalización de las variables
MATRIZ DE OPERACIONALIZACIÓN DE LA VARIABLE ADQUISICIÓN E IMPLEMENTACIÓN
VARIABLES DEFINCIÓN CONCEPTUAL
DIMENSIONES INDICADOR ESCALA DE MEDICIÓN
DEFINICIÓN OPERACIONAL
Adquisición e implementación de TI
Es la identificación de las soluciones de TI que deben ser desarrolladas o adquiridas, implementadas y actualizadas e integradas en los procesos del negocio.
Soluciones automatizada s
-Elabora un estudio de factibilidad de los requerimientos del negocio
Ordinal
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Software aplicativo
-Especifica los controles de seguridad de la aplicación
-Conoce la aplicación y el paquete de software
-Toma decisiones para la adquisición -Tiene SLAS planeados
anticipadamente -Especifica la disponibilidad,
continuidad y recuperación.
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Infraestructura tecnológica
-Toma decisiones de adquisición -Tiene un sistema configurado para
realizar prueba/instalación -Define requerimientos de ambiente
físico -Mantiene actualizados la tecnología
en base a estándares. -Define requerimientos de monitoreo
del sistema -Conoce la infraestructura -Tiene OLAS planeados
anticipadamente
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Operación y uso.
-Utiliza manuales de usuario, de operación, de soporte, técnicos y de administración
-Define requerimientos de transferencia de conocimiento para implantación de soluciones
-Materiales de entrenamiento
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Recursos de TI.
-Define requerimientos de administración de la relación con terceros
-Identifica artículos provistos -Reglamenta los arreglos
contractuales
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Cambios. -Describe el proceso de cambio -Genera reporte de estatus de cambio -Define la autorización de cambio
Inexistente Inicial Intuitivo Definido Administrado Optimizado
Instalación de soluciones
-Registra los componentes de configuración liberados
-Registra los errores conocidos y aceptados
-Registra la liberación a producción -Registra la liberación de software y
plan de distribución -Realiza revisiones posteriores a la
liberación -Monitorea el control interno
Inexistente Inicial Intuitivo Definido Administrado Optimizado
63
2.4.- Técnicas e instrumentos
Para determinar el perfil de la adquisición e implementación de las
TIC en la E.P.S. Sedapar S.A. de la ciudad de Arequipa en el año
2011 se aplicó la entrevista y se utilizó como instrumento de
medición un cuestionario obtenido de la estructura del modelo
Cobit para cada proceso que no requirió ser validado por cuanto
Cobit constituye una buena práctica de reconocimiento mundial, el
cuestionario fue semi-estructurado de 10 preguntas para los
procesos identificar soluciones automatizadas, adquirir y mantener
software aplicativo, facilitar la operación y el uso, adquirir recursos
de TI, administrar cambios, de 9 preguntas para el proceso adquirir
y mantener infraestructura tecnológica y de 11 preguntas para el
proceso instalar y acreditar soluciones y cambios, todas con seis
alternativas.
2.5.- Procedimientos de recolección de datos
Charla informativa con los encargados de la empresa.
Visitas a las instalaciones de la empresa, para aplicar los
cuestionarios y realizar las observaciones.
Estos instrumentos fueron aplicados al personal de las diferentes
áreas de la E.P.S. Sedapar S.A. que conformaron la muestra.
2.7.- Plan de análisis de los datos
Los datos obtenidos fueron codificados, ingresados y
analizados en una hoja de cálculo del programa Open Office
Calc para evaluar el grado de confiabilidad y validez con el
cual se obtuvieron los cuadros y gráficos de los procesos en
estudio.
64
3. RESULTADOS
TABLA Nº 01
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable Identificar soluciones
automatizadas por nivel de madurez en Cobit en la E.P.S. Sedapar
S.A. – 2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 46.19% de los trabajadores
encuestados considera que el proceso de identificar soluciones
automatizadas en la E.P.S. Sedapar S.A. se encuentra en un nivel de
madurez Inicial, mientras que el 21.94% considera que se encuentra en
un nivel de madurez Repetible, el 14.13% que se encuentra en un nivel
de madurez No Existe, el 12.90% que se encuentra en un nivel de
madurez Definido, el 4.26% que se encuentra en un nivel de madurez
Administrado y el 0.58% que se encuentra en un nivel de madurez
Optimizado, según los estándares del Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº01: AI01 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Nivel de madurez Nº Trab. %
No existe 22 14.13%
Inicial 72 46.19%
Repetible 34 21.94%
Definido 20 12.90%
Administrado 7 4.26%
Optimizado 1 0.58%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
65
FIGURA Nº 02
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº01
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable identificar soluciones automatizadas
por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº01
66
TABLA Nº02
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable adquirir y mantener software
aplicativo por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. –
2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 49.35% de los trabajadores
encuestados considera que el proceso de adquirir y mantener el software
aplicativo en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez
Inicial, mientras que el 20.52% considera que se encuentra en un nivel de
madurez Repetible, el 18.32% que se encuentra en un nivel de madurez
No Existe, el 5.74% que se encuentra en un nivel de madurez Definido,
el 5.29% que se encuentra en un nivel de madurez Administrado y el
0.77% que se encuentra en un nivel de madurez Optimizado, según los
estándares del Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº02: AI02 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Nivel de madurez Nº Trab. %
No existe 28 18.32%
Inicial 77 49.35%
Repetible 32 20.52%
Definido 9 5.74%
Administrado 8 5.29%
Optimizado 1 0.77%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
67
FIGURA Nº 03
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº02
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable adquirir y mantener software
aplicativo por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº02
18.32%
49.35%
20.52%
5.74% 5.29% 0.77%
AI02 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
No existe
Inicial
Repetible
Definido
Administrado
Optimizado
68
TABLA Nº03
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable adquirir y mantener
infraestructura tecnológica por nivel de madurez en Cobit de la
E.P.S. Sedapar S.A. – 2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 37.85% de los trabajadores
encuestados considera que el proceso de adquirir y mantener
infraestructura tecnológica en la E.P.S. Sedapar S.A. se encuentra en un
nivel de madurez Inicial, mientras que el 35.63% considera que se
encuentra en un nivel de madurez Repetible, el 12.83% que se encuentra
en un nivel de madurez Definido, el 7.31% que se encuentra en un nivel
de madurez No existe, el 6.38% que se encuentra en un nivel de
madurez Administrado, según los estándares del Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº03: AI03 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
Nivel de madurez Nº Trab. %
No existe 11 7.31%
Inicial 59 37.85%
Repetible 55 35.63%
Definido 20 12.83%
Administrado 10 6.38%
Optimizado 0 0.00%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
69
FIGURA Nº 04
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº03
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable adquirir y mantener infraestructura
tecnológica por nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº 03
70
TABLA Nº04
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable facilitar la operación y uso
por nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 40.13% de los trabajadores
encuestados considera que el proceso de facilitar la operación y el uso en
la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Inicial,
mientras que el 22.39% considera que se encuentra en un nivel de
madurez Repetible, el 15.87% que se encuentra en un nivel de madurez
No Existe, el 13.23% que se encuentra en un nivel de madurez Definido,
el 8.39% que se encuentra en un nivel de madurez Administrado, según
los estándares del Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº04: AI04 FACILITAR LA OPERACIÓN Y EL USO
Nivel de madurez Nº Trab. %
No existe 25 15.87%
Inicial 62 40.13%
Repetible 35 22.39%
Definido 21 13.23%
Administrado 13 8.39%
Optimizado 0 0.00%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
71
FIGURA Nº 05
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº04
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable facilitar la operación y el uso. Por
nivel de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº 04
15.87%
40.13%22.39%
13.23%
8.39% 0.00%
AI04 FACILITAR LA OPERACIÓN Y EL USO
No existe
Inicial
Repetible
Definido
Administrado
Optimizado
72
TABLA Nº05
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable adquirir recursos de TI por
nivel de madurez en Cobit de la E.P.S. Sedapar S.A. – 2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 31.35% de los trabajadores
encuestados considera que el proceso de adquirir recursos de TI en la
E.P.S. Sedapar S.A. se encuentra en un nivel de madurez Repetible,
mientras que el 27.74% considera que se encuentra en un nivel de
madurez Inicial, el 20.65% que se encuentra en un nivel de madurez
Definido, el 14.26% que se encuentra en un nivel de madurez
Administrado, el 6.00% que se encuentra en un nivel de madurez No
existe, según los estándares del Cobit.
Estos resultados discrepan con la respectiva hipótesis específica
formulada.
TABLA Nº05: AI05 ADQUIRIR RECURSOS DE TI
Nivel de madurez Nº Trab. %
No existe 9 6.00%
Inicial 43 27.74%
Repetible 49 31.35%
Definido 32 20.65%
Administrado 22 14.26%
Optimizado 0 0.00%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
73
FIGURA Nº 06
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT
GRAFICO Nº05
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable adquirir recursos de TI. por nivel de
madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº05
74
TABLA Nº06
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable cambios por nivel de
madurez en Cobit de la E.P.S. Sedapar S.A. – 2011
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 50.65% de los trabajadores
encuestados considera que el proceso administrar cambios en la E.P.S.
Sedapar S.A. se encuentra en un nivel de madurez Inicial, mientras que
el 29.81% considera que se encuentra en un nivel de madurez Repetible,
el 15.81% que se encuentra en un nivel de madurez No Existe, el 3.48%
que se encuentra en un nivel de madurez Administrado, el 0.26% que se
encuentra en un nivel de madurez Definido, según los estándares del
Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº06: AI06 ADMINISTRAR CAMBIOS
Nivel de madurez Nº Trab. %
No existe 25 15.81%
Inicial 79 50.65%
Repetible 46 29.81%
Definido 0 0.26%
Administrado 5 3.48%
Optimizado 0 0.00%
TOTAL 155 100.00%
FUENTE: Encuesta realizada en el mes de Setiembre
Aplicado por: Ccarcasi, C, 2011
75
FIGURA Nº 07
Ubicación variable de inversión en los niveles de madurez de Cobit.
Fuente: COBIT.
GRAFICO Nº06
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable administración de cambios por nivel
de madurez en Cobit de la E.P.S. Sedapar S.A.
FUENTE: Tabla Nº06
76
TABLA Nº07
Distribución de frecuencias de la percepción de los trabajadores
sobre el nivel de madurez de la variable instalar y acreditar
soluciones y cambios por nivel de madurez en Cobit de la E.P.S.
Sedapar S.A. – 2011.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
Los resultados del estudio indicaron que el 47.04% de los trabajadores
encuestados considera que el proceso de instalar y acreditar soluciones y
cambios en la E.P.S. Sedapar S.A. se encuentra en un nivel de madurez
Inicial, mientras que el 33.61% considera que se encuentra en un nivel de
madurez Repetible, el 18.12% que se encuentra en un nivel de madurez
No Existe, el 0.88% que se encuentra en un nivel de madurez Definido,
el 0.35% que se encuentra en un nivel de madurez Administrado, según
los estándares del Cobit.
Estos resultados coinciden con la respectiva hipótesis específica
formulada.
TABLA Nº07: AI07 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Nivel de madurez Nº Trab. %
No existe 28 18.12%
Inicial 73 47.04%
Repetible 52 33.61%
Definido 1 0.88%
Administrado 1 0.35%
Optimizado 0 0.00%
TOTAL 155 100.00%
Aplicado por: Ccarcasi, C, 2011
FUENTE: Encuesta realizada en el mes de Setiembre
77
FIGURA Nº 08
Ubicación variable de inversión en los niveles de madurez de Cobit.
GRAFICO Nº07
Distribución gráfica de la percepción de los trabajadores sobre el
nivel de madurez de la variable instalación y acreditación de
soluciones y cambios por nivel de madurez en Cobit de la E.P.S.
Sedapar S.A.
FUENTE: Tabla Nº 07
78
TABLA Nº08
Cantidad de trabajadores encuestados y distribuidos según variables por niveles de madurez de Cobit E.P.S. Sedapar S.A.
Fuente: Encuesta realizada para medir este proceso Aplicado por: Ccarcasi, C; Setiembre 2011.
PROCESOS Nº % Nº % Nº % Nº % Nº % Nº % Nº %
AI01 IDENTIFICAR SOLUCIONES
AUTOMATIZADAS 22 14.13% 72 46.19% 34 21.94% 20 12.90% 7 4.26% 1 0.58% 155 100.00%
AI02 ADQUIRIR Y MANTENER
SOFTWARE APLICATIVO 28 18.32% 77 49.35% 32 20.52% 9 5.74% 8 5.29% 1 0.77% 155 100.00%
AI03 ADQUIRIR Y MANTENER
INFRAESTRUCTURA TECNOLOGICA 11 7.31% 59 37.85% 55 35.63% 20 12.83% 10 6.38% 0 0.00% 155 100.00%
AI04 FACILITAR LA OPERACIÓN Y EL
USO 25 15.87% 62 40.13% 35 22.39% 21 13.23% 13 8.39% 0 0.00% 155 100.00%
AI05 ADQUIRIR RECURSOS DE TI 9 6.00% 43 27.74% 49 31.35% 32 20.65% 22 14.26% 0 0.00% 155 100.00%
AI06 ADMINISTRAR CAMBIOS 25 15.81% 79 50.65% 46 29.81% 0 0.26% 5 3.48% 0 0.00% 155 100.00%
AI07 INSTALAR Y ACREDITAR
SOLUCIONES Y CAMBIOS28 18.12% 73 47.04% 52 33.61% 1 0.88% 1 0.35% 0 0.00% 155 100.00%
Aplicado por: Ccarcasi, C, 2011
NIVELES DE MADUREZ
No existe Inicial Repetible Administrado Optimizado TOTALDefinido
FUENTE: Encuesta realizada en el mes de Setiembre
79
4. DISCUSIÓN
Tras obtener los resultados del estudio realizado a la E.P.S. Sedapar
S.A. con el fin de determinar los niveles de madurez de los procesos de
la adquisición e implementación, podemos afirmar lo siguiente:
Los resultados indican que, para el proceso identificar soluciones
automatizadas determinan que en la E.P.S. Sedapar S.A., el 46.19%
de trabajadores encuestados consideran que el nivel de madurez de
este proceso es Inicial dentro del nivel de madurez de la norma Cobit
(nivel de madurez 1) tal como se ve reflejado en la Tabla Nº 01,
siguiendo los patrones regulares para el funcionamiento frente a este
proceso, esto coincide con los resultados obtenidos en la auditoría de
la gestión de las tecnologías de la información en el gobierno municipal
de San Miguel de Urcuquí, en donde este proceso se encuentra en el
nivel de madurez 1: Inicial puesto que existe la conciencia de la
necesidad de definir requerimientos y de identificar soluciones
tecnológicas, las necesidades son analizadas de manera informal y por
ciertos individuos.
Para el proceso adquirir y mantener software aplicativo, los resultados
obtenidos determinan que en la E.P.S. Sedapar S.A. el 49.35% de
trabajadores encuestados consideran que el nivel de madurez de este
proceso es Inicial dentro del nivel de madurez de la norma Cobit (nivel
de madurez: 1) tal como se ve reflejado en la Tabla Nº 02, siguiendo
los patrones regulares para el funcionamiento frente a este proceso,
esto discrepa con los resultados obtenidos en la auditoría de la gestión
de las tecnologías de la información en el gobierno municipal de San
Miguel de Urcuquí, en donde este proceso se encuentra en el nivel de
madurez 2: Repetible por cuanto existen procesos de adquisición y
mantenimiento de software aplicativo en base a la experiencia de TI, el
mantenimiento a menudo es problemático.
80
Para el proceso adquirir y mantener infraestructura tecnológica, los
resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el
37.85% de trabajadores encuestados indican que el nivel de madurez
de este proceso es Inicial dentro del nivel de madurez de la norma
Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 03,
siguiendo los patrones regulares para el funcionamiento frente a este
proceso, esto coincide con la auditoría de la gestión de las tecnologías
de la información en el gobierno municipal de San Miguel de Urcuquí,
en donde este proceso se encuentra en el nivel de madurez 1: Inicial,
ya que no se cuenta con un plan de adquisición de tecnología, por lo
tanto no se controlan los procesos de adquirir implementar y actualizar
infraestructura tecnológica.
Para el proceso facilitar la operación y el uso, los resultados obtenidos
determinan que en la E.P.S. Sedapar S.A. el 40.13% de trabajadores
encuestados indican que el nivel de madurez de este proceso es Inicial
dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal
como se ve reflejado en la Tabla Nº 04, siguiendo los patrones
regulares para el funcionamiento frente a este proceso, esto coincide
con la auditoría de la gestión de las tecnologías de la información en el
gobierno municipal de San Miguel de Urcuquí, indica que este proceso
se encuentra en el nivel de madurez 1:Inicial, puesto que no existe una
generación de documentación, ni políticas de generación de manuales,
pero se tiene la conciencia de que esto es necesario, la mayor parte de
la documentación y procedimientos ya se encuentran caducados o
desactualizados.
Para el proceso adquirir recursos de TI los resultados obtenidos
determinan que, en la E.P.S. Sedapar S.A. el 31.35% de trabajadores
encuestados indican que el nivel de madurez de este proceso es
Repetible dentro del nivel de madurez de la norma Cobit (nivel de
madurez: 2) tal como se ve reflejado en la Tabla Nº 05, siguiendo los
patrones regulares para el funcionamiento frente a este proceso, este
81
resultado discrepa con la auditoría de la gestión de las tecnologías de
la información en el gobierno municipal de San Miguel de Urcuquí, en
donde este proceso se encuentra en el nivel de madurez 4:
Administrado, ya que la adquisición de TI se integra totalmente con los
sistemas generales del gobierno, ya que se sigue el proceso de
compras públicas en la adquisición de algún recurso de TI.
Para el proceso administración de cambios, los resultados obtenidos
determinan que en la E.P.S. Sedapar S.A. el 50.65% de trabajadores
encuestados indican que el nivel de madurez de este proceso es Inicial
dentro del nivel de madurez de la norma Cobit (nivel de madurez: 1) tal
como se ve reflejado en la Tabla Nº 06, siguiendo los patrones
regulares para el funcionamiento frente a este proceso, esto coincide
con la auditoría de la gestión de las tecnologías de la información en el
gobierno municipal de San Miguel de Urcuquí, en donde este proceso
se encuentra en el nivel de madurez 1:Inicial, ya que no se establecen
estándares y procedimientos de cambios, a menudo se dan cambios
sin autorización.
Para el proceso instalar y acreditar soluciones y cambios, los
resultados obtenidos determinan que en la E.P.S. Sedapar S.A. el
47.04% de trabajadores encuestados indican que el nivel de madurez
de este proceso es Inicial dentro del nivel de madurez de la norma
Cobit (nivel de madurez: 1) tal como se ve reflejado en la Tabla Nº 07,
siguiendo los patrones regulares para el funcionamiento frente a este
proceso, esto coincide con la auditoría de la gestión de las tecnologías
de la información en el gobierno municipal de San Miguel de Urcuquí,
en donde este proceso se encuentra en el nivel de madurez 1: Inicial,
puesto que la verificación y confirmación de soluciones implementadas
se realiza para solo algunos proyectos y no de manera completa.
82
CONCLUSIONES
Tras los resultados obtenidos producto del personal encuestado
determinaron que el perfil de los procesos del dominio Adquirir e
Implementar del modelo Cobit en la E.P.S. Sedapar S.A. de la ciudad de
Arequipa en el año 2011 alcanzaron el siguiente nivel:
Según la Tabla Nº 01, el 46.19% de los empleados encuestados
consideró que el proceso de Identificar soluciones automatizadas se
encuentra en un nivel 1 Inicial, lo que significa que existe conciencia
de la necesidad de definir requerimientos y de identificar soluciones
tecnológicas. Grupos individuales se reúnen para analizar las
necesidades de manera informal y los requerimientos se documentan
algunas veces. Los individuos identifican soluciones con base en una
conciencia limitada de mercado o como respuesta a ofertas de
proveedores. Existe una investigación o análisis estructurado mínimo
de la tecnología disponible.
Según la Tabla Nº 02, el 49.35% de los empleados encuestados
consideró que el proceso Adquirir y mantener el software aplicativo se
encuentra en un nivel 1 Inicial lo que significa que existe conciencia de
la necesidad de contar con un proceso de adquisición y mantenimiento
de aplicaciones. Los enfoques para la adquisición y mantenimientos
de software aplicativo varían de un proyecto a otro. Es probable que
se hayan adquirido en forma independiente una variedad de
soluciones individuales para requerimientos particulares del negocio,
teniendo como resultado ineficiencias en el mantenimiento y soporte.
Se tiene poca consideración hacia la seguridad y disponibilidad de la
aplicación en el diseño o adquisición de software aplicativo.
Según la Tabla Nº 03, el 37.85% de los empleados encuestados
consideró que el proceso Adquirir y mantener infraestructura
tecnológica se encuentra en un nivel 1 Inicial lo que significa que se
realizan cambios a la infraestructura para cada nueva aplicación, sin
83
ningún plan en conjunto. Aunque se tiene la percepción de que la
infraestructura de TI es importante, no existe un enfoque general
consistente. La actividad de mantenimiento reacciona a necesidades
de corto plazo. El ambiente de producción es el ambiente de prueba.
Según la Tabla Nº 04, el 40.13% de los empleados encuestados
consideró que el proceso Facilitar la operación y el uso se encuentra
en un nivel 1 Inicial lo que significa que existe la percepción de que la
documentación de proceso es necesaria. La documentación se genera
ocasionalmente y se distribuye en forma desigual a grupos limitados.
Mucha de la documentación y muchos de los procedimientos ya
caducaron. Los materiales de entrenamiento tienden a ser esquemas
únicos con calidad variable. Virtualmente no existen procedimientos de
integración a través de los diferentes sistemas y unidades de negocio.
No hay aportes de las unidades de negocio en el diseño de programas
de entrenamiento.
Según la Tabla Nº 05, el 31.35% de los empleados encuestados
consideró que el proceso Adquirir recursos de TI se encuentra en un
nivel 2 Repetible lo que significa que existe conciencia organizacional
de la necesidad de tener políticas y procedimientos básicos para la
adquisición de TI. Las políticas y procedimientos se integran
parcialmente con el proceso general de adquisición de la organización
del negocio. Los procesos de adquisición se utilizan principalmente en
proyectos mayores y bastante visibles. Se determinan
responsabilidades y rendición de cuentas para la administración de
adquisición y contrato de TI según la experiencia particular del gerente
de contrato. Se reconoce la importancia de administrar proveedores y
las relaciones con ellos, pero se manejan con base en la iniciativa
individual. Los procesos de contrato se utilizan principalmente en
proyectos mayores o muy visibles.
84
Según la Tabla Nº 06, el 50.65% de los empleados encuestados
consideró que el proceso Administrar cambios se encuentra en un
nivel 1 Inicial lo que significa que se reconoce que los cambios se
deben administrar y controlar. Las prácticas varían y es muy probable
que se puedan dar cambios sin autorización. Hay documentación de
cambio pobre o no existente y la documentación de configuración es
incompleta y no confiable. Es posible que ocurran errores junto con
interrupciones al ambiente de producción, provocados por una pobre
administración de cambios.
Según la Tabla Nº 07, el 47.04% de los empleados encuestados
consideró que el proceso Instalar y acreditar soluciones y cambios se
encuentra en un nivel 1 Inicial lo que significa que existe la percepción
de la necesidad de verificar y confirmar que las soluciones
implantadas sirven para el propósito esperado. Las pruebas se
realizan para algunos proyectos, pero la iniciativa de pruebas se deja a
los equipos de proyectos particulares y los enfoques que se toman
varían. La acreditación formal y la autorización son raras o no
existentes.
La E.P.S. Sedapar S.A. tiene predisposición a implementaciones
adecuadas, en cuanto a infraestructura es buena, pero no existe una
metodología adecuada que la controle y mida sus procesos, sus
niveles de seguridad son bajos, el nivel de las conexiones y del
cableado de redes es inseguro, no se tiene un plan de seguridad de la
información, parte del software utilizado no cuenta con las licencias
respectivas.
Sin dudas, el buen uso de las TIC produce transformaciones muy
significativas en términos de herramientas para una mejor
gobernabilidad.
85
RECOMENDACIONES
En base a las conclusiones a las que se arribó en el presente estudio se
realizan las siguientes recomendaciones para ayudar a mejorar los
procesos del dominio adquirir e implementar de la E.P.S. Sedapar S.A.:
Para el proceso de identificar soluciones automatizadas (nivel de
madurez 1).
o Determinar de forma clara las soluciones de TI.
o Resaltar, priorizar, especificar los requerimientos funcionales y
técnicos de la E.P.S. Sedapar S.A., priorizando el desempeño, el
costo, la confiabilidad, la compatibilidad, la auditoría, seguridad,
disponibilidad, y continuidad, ergonomía, funcionalidad y la legislación
de la E.P.S. Sedapar S.A.
o Establecer procesos para administrar y garantizar la integridad,
exactitud y la validez de los requerimientos del negocio.
o Que exista el alineamiento con las estrategias de la E.P.S. Sedapar
S.A. y de TI.
o Identificar, documentar y analizar los riesgos relacionados con los
procesos del negocio para el desarrollo de los requerimientos.
o El patrocinador del negocio es el encargado de aprobar y autorizar los
requisitos del negocio, funcionales y técnicos así como los reportes de
estudio de factibilidad en las etapas clave.
Para el proceso de adquirir y mantener software aplicativo (nivel de
madurez 1)
o Tener la validación y diseño de programas y recopilación de datos con
un patrón regular.
86
o Los requerimientos de procesamiento deben seguir un patrón
definido.
Para el proceso de adquirir y mantener infraestructura tecnológica
(nivel de madurez 1)
o Crear un plan de adquisición de infraestructura tecnológica.
o Garantizar la disponibilidad de la infraestructura tecnológica.
o Proteger la infraestructura tecnológica mediante medidas de control
interno, seguridad y auditabilidad durante la configuración, integración
y mantenimiento de hardware y software de la infraestructura
tecnológica.
o Desarrollar un plan de mantenimiento de la infraestructura y
garantizar el control de cambios de esta.
Para el proceso de facilitar la operación y el uso (nivel de madurez 1)
o Se debe desarrollar un plan para realizar soluciones de operación el
cual sirva para identificar y documentar todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos.
o Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitirá que estos tomen posesión del sistema y los datos.
o Mediante la transferencia de conocimientos a los usuarios finales se
logrará que estos usen los sistemas con efectividad y eficiencia para
el apoyo a los procesos de la E.P.S. Sedapar S.A.
Para el proceso de adquirir recursos de TI (nivel de madurez 2)
o Establecer políticas y procedimientos para la adquisición de TI.
o Las políticas y procedimientos tomarán como guía el proceso general
de adquisición de la organización.
87
o La adquisición de TI se integrará en gran parte con los sistemas
generales de adquisición del negocio.
o Los proveedores de recursos de TI se integrarán dentro de los
mecanismos de administración de proyectos de la organización desde
una perspectiva de administración de contratos.
o La administración de TI comunicará la necesidad de contar con una
administración adecuada de adquisiciones y contratos en toda la
función de TI.
Para el proceso de administrar cambios (nivel de madurez 1)
o Realizar procedimientos de la administración de cambios formales.
o Manejar todas las solicitudes de cambio incluyendo mantenimiento y
parches, para aplicaciones, procesos, parámetros de sistemas,
servicios, plataformas.
o Evaluar las solicitudes de impacto enfocándose al impacto,
priorización y autorización de estas.
o Tomar muy en cuenta un proceso para atender cambios de
emergencia.
o Realizar un seguimiento de cambios así como un reporte del estatus
de los cambios realizados.
o Realizar un cierre y documentación una vez realizado un cambio, y
garantizar un proceso de revisión de este cambio.
Para el proceso de instalar y acreditar soluciones y cambios (nivel
de madurez 1)
o Se debe entrenar al personal afectado por los cambios, de acuerdo al
plan de entrenamiento e implementación.
88
o Realizar un plan de pruebas de los sistemas implantados.
o Establecer un plan de implementación.
o Garantizar que los usuarios se encuentren satisfechos con los
cambios generados.
o Distribuir el sistema o el cambio según procedimientos de control.
o Mantener un registro y rastreo de cambios.
En forma general ayudaría mucho realizar un Cobit completo, con todos
sus respectivos dominios y procesos para tener información completa del
estado de todos los aspectos de la empresa.
89
REFERENCIAS BIBLIOGRÁFICAS
1.- MIK Fredy Eduardo Vásquez Rizo - La adquisición de tecnología para
la gestión y la administración de información No es cuestión de
cantidad, es cuestión de utilidad [Internet]. [Citada 2011 Octubre 06].
Disponible desde:
http://colombiadigital.net/b2e/blogs/index.php/2011/04/05/la-
adquisicion-de-tecnologia-para-la-gestion-y-la-administracion-de-
informacion-no-es-cuestion-de-cantidad-es-cuestion-de-
utilidad?blog=22
2.- Articulo.tv - Simplementación: 10 consejos para facilitar la
implementación De CRM Parte1 [Internet]. ]. [Citada 2011 Octubre
06]. Disponible desde:
http://www.articulo.tv/?Simplementacion-10-consejos-para-facilitar-
implementacion-crm-parte-1&id=1210
3.- Fajardo, Raúl - Propuesta de la estrategia de desarrollo de las TIC en
Nicaragua [Internet] Nicaragua: Sin editorial; sin fecha. ]. [Citada
2011 Octubre 07]. Disponible desde:
http://unpan1.un.org/intradoc/groups/public/documents/un/unpan0200
38.pdf
4.- KUN2006 Horacio Kuna - asistente para la realización de auditoría de
sistemas en organismos públicos o privados. Tesis para optar el
grado académico de magister en Ing. del software. Universidad
Politécnica. Madrid. 2006.
5.- Llumihuasi Quispe Juan Miguel, en su proyecto previo a La obtención
del título de Ingeniero en sistemas informáticos y de computación de
la Escuela Politécnica Nacional del Ecuador con el tema: ―Auditoría de
la gestión de las tecnologías de la información en el gobierno
90
municipal de san Miguel de Urcuquí utilizando como modelo de
referencia Cobit 4.0.
6.- Corrales Hidalgo Carla Tatiana, Vallejo Ayala Diana Jeanneth, en su
proyecto previo a la obtención del título de Ingeniero en sistemas
informáticos y de computación de la escuela politécnica nacional del
Ecuador con el tema: ―Evaluación del nivel de madurez de la gestión
de las TIC’s en La empresa ASTAP‖.
7.- COBIT/IT Governance case study: Honorable tribunal de cuentas de la
provincia de Mendoza, Argentina [Internet]. [Citada 2011 Octubre 07].
Disponible desde:
http://www.itgi.org/Template_ITGI5087.html?Section=Case_Studies1&
CONTENTID=15743&TEMPLATE=/ContentManagement/ContentDisp
lay.cfm
8.- COBIT: Caso de estudio banco Supervielle S.A., Argentina. [Internet].
[Citada 2011 Octubre 07].
Disponible desde:
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Caso-de-
Estudio-Banco-Supervielle-SA-Argentina.aspx
9.- PROSIC Programa de la sociedad de la información y el conocimiento.
Universidad de Costa Rica Informe: Hacia la Sociedad de la
Información y el conocimiento Agosto 2006. [Internet]. [Citada 2011
Octubre 08].
Disponible desde:
http://prosic.ucr.ac.cr/Informe%202006/08CapFinal.pdf
91
10.- Claudio Gallardo: La implementación de tecnologías de información y
comunicación en las organizaciones públicas de turismo en Argentina.
[Internet]. [Citada 2011 Octubre 08].
Disponible desde:
http://pensardenuevo.org/la-implementacion-de-tecnologias-de-
informacion-y-comunicacion-en-las-organizaciones-publicas-de-
turismo-en-argentina/
11.- TIC y un buen gobierno. La contribución de las tecnologías de la
información y la comunicación al gobierno local en América Latina.
[Internet]. [Citada 2011 Octubre 08].
Disponible desde:
http://usuarios.trcnet.com.ar/denise/repositorio/TICsbuengobierno.pdf
12.- Velarde Bedregal Héctor Raúl, ―Evaluación de los procesos de
tecnologías de la información definidos dentro de los dominios de
planear y organizar y entregar y dar soporte del modelo genérico de
madurez Cobit en la municipalidad distrital de Cerro Colorado durante
el año 2010‖. Trabajo para optar el título de Ingeniero de sistemas-
Arequipa: Universidad Católica Los Ángeles de Chimbote 2010
13.- Torres Villanueva Marcelino, ―Perfil de gestión de las tecnologías de
información y comunicaciones: Identificación de soluciones
automatizadas, adquisición y mantenimiento de software aplicativo, y
de infraestructura tecnológica, facilitación de la operación y el uso en
la empresa Green Awakening de la ciudad de Winter Park, Florida,
Estados Unidos en el año 2010‖. Trabajo para optar el título de
Ingeniero de sistemas- Piura: Universidad Católica Los Ángeles de
Chimbote 2010
14.- Silupú Cruz César Chris, ―Nivel de madurez de mantenimiento de
soluciones automatizadas, mantenimiento de software aplicativo,
92
infraestructura de TI, operación y uso de TI y administración de
cambios de TI en la municipalidad distrital de Suyo, provincia
Ayabaca, departamento Piura durante el año 2010‖. Trabajo para
optar el título de Ingeniero de sistemas- Piura: Universidad Católica
Los Ángeles de Chimbote 2010
15.- Machuca Alemán Jefferson José, ―Nivel de madurez de
mantenimiento de soluciones automatizadas, mantenimiento de
software aplicativo, infraestructura de TI, operación y uso de TI y
administración de cambios de TI en la institución del gobierno regional
de Piura durante el año 2010‖. Trabajo para optar el título de
Ingeniero de sistemas- Piura: Universidad Católica Los Ángeles de
Chimbote 2010
16.- Villafuerte, D. Estudio de uso y aplicaciones de las tecnologías de
información y comunicación de autoridades y funcionarios en dos
municipios rurales del Perú. Recomendaciones para la
implementación de gobierno electrónico en municipios rurales.
[Internet]. México: ACORN - REDECOM conference; 2009. [Citada
2011 Octubre 08]. Disponible desde:
http://www.acorn-redecom.org/papers/Dante_Villafuerte.pdf
17.- Bossio, Juan Fernando; López Valverde, Javier; Saravia, Miguel et al.
Desarrollo rural y tecnologías de información y comunicación.
[Internet].Perú: [Citada 2011 Octubre 08].
Disponible desde:
http://www.landcoalition.org/pdf/cepes_desarrolloytic.pdf
18.- INEI 2011 - Perú: Tecnologías de información y comunicaciones en
las empresas, IV censo nacional económico 2008 Julio 2007 – Junio
2008 [Internet]. [Citada 2011 Octubre 20].
Disponible desde:
93
http://www.inei.gob.pe/biblioineipub/bancopub/Est/Lib0953/libro.pdf
19.- Sedapar S.A. Misión – Visión, objetivos, jurisdicción, base legal, plan
estratégico. [Internet]. [Citada 2011 Octubre 20].
http://www.sedapar.com.pe/
20.- ServiciosTIC, Definición de TIC. [Internet]. [Citada 2011 Octubre 20].
Disponible desde:
http://www.serviciostic.com/las-tic/definicion-de-tic.html
21.- Gtic. Introducción a las telecomunicaciones. [Internet] varios autores.
Concepto de Tecnologías de la Información y las Comunicaciones.
[Citada 2011 Octubre 20].
Disponible desde:
http://www.gtic.ssr.upm.es/telefoni/curtic/1tl101.htm
22.- José I. Cómo maximizar el impacto de las TICs en la competitividad
[internet]. Costa Rica: Fundación CAATEC; 2007. [Citada 2011
Octubre 20].
Disponible desde:
http://www.google.com/url?sa=t&source=web&cd=1&ved=0CBoQFjAA
&url=http%3A%2F%2Fcatde.org%2Fweb%2Findex.php%3Foption%3
Dcom_docman%26task%3Ddoc_download%26gid%3D2%26Itemid%
3D10&rct=j&q=%C1reas%20de%20aplicacion%20de%20una%20tics
%2C%20Administrativa%2C%20procesos%20productivos%2C%20rel
aciones%20externas%2C%20control%20y%20Evaluaci%F3n%20Ger
encial.&ei=JtrwTZX7L8XegQfeu_S6BA&usg=AFQjCNHjENO6bXHL81
J2lCATA-Mmkk2pPQ&cad=rja
94
23.- ServiciosTIC En su boletín las TIC en las empresas [Internet]. [Citada
2011 Octubre 20].
Disponible desde:
http://www.serviciostic.com/las-tic/las-tic-en-las-empresas.html
24.- Wikipedia ERP - Enciclopedia libre, planificación de recursos
empresariales. [Internet]. [Citada 2011 Octubre 20].
Disponible desde:
http://es.wikipedia.org/wiki/Planificaci%C3%B3n_de_recursos_empres
ariales
25.- Stallman R 2004 - Software Libre para una Sociedad Libre. 1 ed.
España: Editores traficantes de sueños; 2004.
26. - Slywotzky A, Morrison D. 2001 - Becoming a digital business: it's not
about technology. Strategy & Leadership. Southwestern college. 2001;
1(17): 4.
27. - Cobit - Comité directivo de Cobit y el IT Governance Institute.
Resúmen ejecutivo. 3ra. Edición. Copyright 1996, 1998, 2000, de la
information systems audit and control foundation (ISACF).
28. - Comité directivo de COBIT y el IT Governance Institute. Directrices
gerenciales. 3ra. Edición. Julio 2000. Copyright de la information
systems audit and control foundation (ISACF).
29.- Comité directivo de COBIT y el IT Governance Institute -. COBIT 4.1.
Copyright 2007 de la information systems audit and control foundation
(ISACF).
30.- An introductory overview of ITIL V3. Alison Cartlidge y otros. The UK
chapter of the it SMF. 2007 Comité directivo de COBIT y el IT
Governance Institute. Directrices de auditoría. 2ra. Edition. Abril
95
1998. Copyright de la information systems audit and control
foundation (ISACF).
31.- Boletín 54, 10de mayo 2007: COBIT: Modelo para auditoría y control
de sistemas de información. [Internet]. [Citada 2011 Octubre 20].
Disponible desde:
http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
32.- Hernández R, Fernández C, Baptista P. - Metodología de la
investigación. 4 ed. México: McGraw – Hill interamericana; 2006.
33.- IT Governance Institute. Manual de Cobit 4.0 traducido al español.
1996,1198, 2000, 2005 ed. México.
96
ANEXOS
A.-Cronograma de trabajo
97
B.- PRESUPUESTO
Proyecto: "Perfil de la adquisición e implementación de las
tecnologías de información y comunicaciones (TIC) en
la empresa prestadora de servicios E.P.S. Sedapar
S.A. de la ciudad de Arequipa en el año 2011".
Localidad: Arequipa.
Ejecutor: Bach. César Andre Ccarcasi Esquivias.
RUBRO UNID. CANT. COSTO UNIT.
COSTO PARCIAL
COSTO TOTAL
VIATICOS Y ASIGNACIONES 800
Movilidad Días 40 10 400
Asignaciones Días 40 10 400
ALIMENTOS POR PERSONA 200
Refrigerio Días 15 5 75
Almuerzo Días 25 5 125
SERVICIOS 452.5
Copias Unidad 155 0.5 77.5
Copias otros Unidad 5 75 375
MATERIAL DE ESCRITORIO 24
Hojas bond A4
Millar 2 12 24
OTROS 400
TOTAL INVERSIÓN S/.1876.5
C.- FINANCIAMIENTO
Con recursos propios.
98
D.- CUESTIONARIOS
Facultad de Ingeniería
E s c u e l a d e I n g e n i e r í a d e S i s t e m a s
INSTRUCCIONES:
A.- Seleccione una opción marcando con una flecha la letra que
corresponde a su respuesta. Ejemplo:
1. Existe un método de monitoreo?
a) No existe método de monitoreo.
b) El método de monitoreo se utiliza de manera informal
c) Existe un método de monitoreo con técnicas tradicionales no
documentadas
--> d) El método de monitoreo está definido en un procedimiento
documentado
e) El proceso del método de monitoreo es controlado y auditado
f) El proceso del método de monitoreo está automatizado
B.- Recuerde que COBIT mide la implementación del enfoque de
procesos en la gestión de tecnologías, no mide el grado de
tecnología utilizado.
99
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI01. Identificación de Soluciones Automatizadas
1. Se identifican claramente los requerimientos de soluciones.
a) No se identifican
b) Se identifican por intuición.
c) Se usa técnicas tradicionales para identificar
d) Utiliza procedimientos documentados
e) El proceso de identificación es monitoreado
f) Se implementan las mejores técnicas de identificación de acuerdo
a las normas, estándares y buenas prácticas. Está automatizado.
2. Se cuenta con un plan de soluciones alternativas.
a) No existen planes alternativos
b) Los planes son ad hoc o se improvisan
c) Las soluciones alternativas se aplican en forma desordenada y no
están alineados a los objetivos de la organización.
d) Las soluciones se define con procesos documentados.
e) Las soluciones alternativas están monitoreados.
f) Las soluciones están dentro de las buenas prácticas. Está
automatizado.
3. Se cuenta con una estrategia de adquisiciones.
a) No existen estrategias de adquisiciones
b) Las estrategias son ad hoc o se improvisan
c) Las estrategias se aplican en forma desordenada y no están
alineados a los objetivos de la organización.
d) Las estrategias se definen con procesos documentados.
e) Las estrategias de adquisiciones están monitoreados.
f) La estrategia de adquisiciones cumplen con las normas,
estándares y buenas prácticas. Está automatizado.
4. Para identificar soluciones se realiza estudios de factibilidad
técnica.
a) No se realizan estudios previos
b) La factibilidad técnica se improvisan
c) Las factibilidades técnicas no están alineados a los objetivos de
la organización.
d) Las factibilidades técnicas se definen con procesos documentos.
e) Las factibilidades técnicas están monitoreados.
100
f) Las factibilidades técnicas cumplen con las normas, estándares y
buenas prácticas. Está automatizado.
5. Para identificar soluciones se realiza estudios de factibilidad
económica.
a) No se realizan estudios previos
b) Las factibilidades económicas se improvisan
c) No están alineados a los objetivos de la organización.
d) Se definen con procesos documentados.
e) Las factibilidades económicas están monitoreados.
f) Las factibilidades económicas cumplen con las normas,
estándares y buenas prácticas. Está automatizado.
6. La arquitectura de la información es considerada en la
identificación de soluciones.
a) No existe arquitectura de la información
b) Es considerada de manera informal
c) La arquitectura de la información no está alineada a los objetivos
de la organización, no se documenta.
d) Existe, está alineada, definida y documentada.
e) La arquitectura de la información es monitoreada
f) Se implementa las mejores prácticas y es considerada. Está
automatizado.
7. Es considerada la Ergonomía en la identificación de soluciones.
a) No se considera
b) La ergonomía se considera de manera informal
c) La ergonomía se considera siguiendo técnicas tradicionales no
documentadas.
d) El proceso que considera la ergonomía está documentado
e) El proceso que considera la ergonomía está monitoreado
f) El proceso que considera la ergonomía sigue buenas prácticas y
está automatizado.
8. Existe un control del abastecimiento de soluciones.
a) No existe
b) Existe pero no se aplica el control efectivamente
c) El control no se alinea a los objetivos de la organización
d) El control está debidamente documentado
101
e) El control es correctamente monitoreado
f) El control cumple con las normas, estándares y buenas prácticas.
Está automatizado.
9. Existe un plan de mantenimiento de software por terceras
personas.
a) No existe
b) Los procesos son improvisados
c) Existe un patrón de mantenimiento del software
d) Los procesos solo se documentan
e) El plan está alineado parcialmente a los objetivos de la
organización.
f) El plan se realiza de acuerdo a las normas, estándares y buenas
prácticas satisfaciendo los objetivos de la organización. Está
automatizado.
10. Existe procedimientos o normas de aceptación de las
Tecnologías.
a) No existen
b) No están normados, se improvisan.
c) Existen los procedimientos siguiendo un patrón, no están
alineados a los objetivos de la organización y no se documentan
d) Los procedimientos están definidos y se documentan.
e) Los procedimientos son monitoreados y medibles.
f) Los procedimientos están alineados adecuadamente a los
objetivos de la organización y cumplen con las buenas prácticas.
Está automatizado.
102
AI02. Software Aplicativo
1. Se aplica la misma metodología para el desarrollo de software
nuevo que para mantenimiento de software existente.
a) No existe
b) Se aplican metodologías ad-hoc o se improvisan
c) Se tiene documentada metodología pero no se utilizan
d) La metodología se encuentra debidamente documentada
e) La metodología se monitorea permanentemente
f) La metodología está alineada con los objetivos del negocio y
utiliza buenas prácticas. Está automatizado.
2. Existe un registro de los cambios significativos a sistemas
actuales.
a) No existe
b) Se usa técnicas tradicionales no estandarizadas
c) Se usa técnicas basado en la experiencia / intuitivo.
d) El registro está debidamente documentada y difundida
e) El registro es monitoreado permanentemente
f) El registro cumple las normas, estándares y buenas prácticas.
Está automatizado.
3. Las especificaciones de diseño son debidamente aprobadas.
a) No existe este procedimiento
b) No se aprueban
c) Existe procedimiento de aprobación alineado a los objetivos del
negocio.
d) Existe procedimiento de aprobación debidamente documentando
e) El procedimiento de aprobación es monitoreado
f) La aprobación se realiza en base a los estándares y buenas
prácticas. Está automatizado.
4. Se definen y documentan los Requerimientos de Archivos.
a) No existe este procedimiento
b) Se define pero no se documentan
c) Se define y documenta de acuerdo los objetivos del negocio.
d) Existe procedimiento de aprobación debidamente documentando
e) Estos procedimientos son monitoreado
f) Se realizan en base a las normas, estándares y buenas prácticas.
Está automatizado.
103
5. Se definen las especificaciones de Programas.
a) No se definen
b) La definición son improvisadas o ad-hoc
c) La validación de especificaciones siguen un patrón regular
d) La definición de especificaciones se documentan y comunican
e) Las especificaciones son monitoreados y medibles
f) La definición de las especificaciones están basadas en las buenas
prácticas. Está automatizado.
6. Se aplica un diseño para la recopilación de datos.
a) No existe
b) Existe pero muchas veces no se aplica
c) El diseño existe y sigue un patrón regular
d) El diseño de recopilación de datos se documenta y comunica
e) Los procesos son monitoreados y medibles
f) El diseño se basa en los estándares y buenas prácticas. Está
automatizado.
7. Se definen las interfaces con anterioridad.
a) No se definen
b) La definición de interfaces son improvisadas o ad-hoc
c) Las interfaces son definidas pero no aplicadas
d) Las interfaces siguen un patrón definido
e) Los procesos son monitoreados en forma permanente
f) Los procesos están basados en los estándares y buenas
prácticas. Está automatizado.
8. Se han definido y documentado los requerimientos de
procesamiento.
a) No se han definido
b) Los niveles de seguridad son ad-hoc
c) Los niveles de seguridad siguen un patrón
d) Los procesos de seguridad se documentan
e) Los procesos se monitorean y se miden
f) Se implementan las mejores prácticas para definir y documentar
104
los requerimientos de procesamiento. Está automatizado.
9. Se especifican mecanismos adecuados para asegurar los
requerimientos de seguridad y control internos para cada
proyecto nuevo de desarrollo o modificación de sistemas.
a) No existe estos mecanismos de control y seguridad
b) Los mecanismos de control y seguridad son ad-hoc
c) Los mecanismos de control y seguridad no son apropiados
d) Los procesos de control y seguridad se documentan
e) Los procesos de control y seguridad se monitorean y se miden.
f) Los procesos de control y seguridad son los apropiados para cada
proyecto nuevo o modificación. Está automatizado.
10. Se preparan manuales adecuados de soporte y referencia para
usuarios como parte del proceso de desarrollo o modificación de
cada sistema.
a) No se preparan
b) Se preparan de forma improvisada, ad-hoc y desorganizados
c) Los manuales siguen un patrón regular
d) Los manuales están debidamente alineados a los objetivos de la
organización
e) El proceso de preparación de manuales es monitoreado.
f) Se preparan cumpliendo estándares y las buenas prácticas. Está
automatizado.
105
AI03. Infraestructura Tecnológica
1. Existe un plan de adquisición de Infraestructura Tecnológica.
a) No existe
b) Existe en un nivel inicial Ad-hoc
c) No existe un plan o estrategia definida son intuitivos.
d) El plan está alineado con los objetivos del negocio
e) El plan adquisición está bien organizado y es monitoreado
f) El plan es preventivo se alinea con los objetivos del negocio y se
ha desarrollado basado en los estándares y buenas prácticas.
Está automatizado.
2. El plan de infraestructura tecnológica está alineado a los planes
estratégicos y tácticos de TI.
a) No está alienado
b) Existe un enfoque reactivo y con foco operativo hacia la
planeación de la infraestructura.
c) La planeación es táctica y se enfoca en generar soluciones
técnicas a problemas técnicos.
d) Existe un plan de infraestructura tecnológica definido,
documentado y bien difundido.
e) Se han incluido buenas prácticas internas en el proceso
f) El plan de infraestructura está alineado a los planes estratégicos
y buenas prácticas. Está automatizado.
3. Existen políticas de limitación para la posibilidad de acceso al
software.
a) No existen
b) Existen en un nivel inicial Ad-hoc
c) No existen políticas definidas son intuitivos.
d) Estas políticas están alineadas con los objetivos del negocio
e) Las políticas de limitación están organizadas y monitoreadas
f) El proceso se alinea con los objetivos del negocio y se ha
desarrollado basado en los estándares y buenas prácticas. Está
automatizado.
4. El software es instalado y mantenido de acuerdo a los
106
requerimientos.
a) No existe esta política
b) Es instalado en forma ad-hoc
c) Se realizan los procesos utilizando técnicas tradicionales
d) Estos procesos se encuentran documentados
e) Estos procesos son monitoreados
f) Estos procesos son verificados, alineados a las políticas del
negocio y a las buenas costumbres. Está automatizado.
5. Existen procedimientos para el mantenimiento preventivo de
hardware.
a) No existe
b) Existe en un nivel inicial Ad-hoc
c) No existe procedimientos definidos son intuitivos.
d) Los procedimientos está alineado con los objetivos del negocio
e) Los procedimientos están bien organizados y monitoreados
f) El procedimientos se alinean con los objetivos del negocio y se
han desarrollado basado en las buenas prácticas. Está
automatizado.
6. Se logra mantener la Infraestructura de TI integrada y
estandarizada.
a) No existe
b) La integración y estandarización son iniciales
c) Las estrategias siguen un patrón tradicional intuitivamente
d) Las estrategias se documentan y comunican
e) Las estrategias son debidamente monitoreadas
f) La integridad y estandarización están alineadas a la dirección
tecnológica y a las buenas prácticas. Está automatizado.
7. El plan de infraestructura tecnológica considera la agilidad de las
TI.
a) No existe
b) No existe estrategias de agilidad o son iniciales.
c) Las estrategias de agilidad sigue un patrón tradicional
d) Las estrategias se agilizan, se documentan y comunican
e) Las estrategias son monitoreadas
107
f) La agilidad de las TI está alineado a la dirección tecnológica y a
las buenas prácticas. Está automatizado.
8. Los planes de adquisición de Infraestructura Tecnológica
satisfacen las necesidades identificadas en el plan de
infraestructura tecnológica.
a) No existe
b) La satisfacción es parcial e intuitiva
c) Los planes de adquisición siguen un patrón regular
d) Los planes de adquisición se documentan y comunican
e) La adquisición de IT son monitoreados
f) Se implementa las mejores prácticas en la adquisición de IT. Está
automatizado.
9. Todos los cambios en la Infraestructura son controlados de
acuerdo con los procedimientos.
a) No existe
b) Los procesos son ad-hoc y desorganizados
c) Los procesos son intuitivos
d) Los procesos se documentan y comunican
e) Los procedimientos y políticas son monitoreados
f) Los cambios se controlan de acuerdo a los estándares y a las
buenas prácticas. Está automatizado.
108
AI04. Operación y Uso
1. Se elaboran manuales de usuario para el uso de los sistemas.
a) No existen
b) Los manuales se elaboran de forma ad-hoc
c) Los manuales son elaborados en forma intuitivos/experiencia
d) Los manuales se documentan y se comunican
e) Los manuales son debidamente monitoreados
f) Los manuales son elaborados de acuerdo a los estándares y a las
buenas prácticas. Está automatizado.
2.- Se realizan sesiones de entrenamiento previo para el uso de
sistemas.
a) No existen
b) Los entrenamientos se realizan de forma ad-hoc
c) Los entrenamientos se realizan en forma intuitiva
d) Los entrenamientos se documentan y se difunden
e) Los entrenamientos se monitorean
f) Los entrenamientos se realizan de acuerdo a los estándares y a
las buenas prácticas. Está automatizado.
3.- Los manuales de usuario se actualizan de acuerdo a las
modificaciones a los sistemas.
a) No existen actualizaciones a los manuales
b) Las actualizaciones a los manuales se realizan ad-hoc
c) Las actualizaciones a los manuales se realizan en forma intuitiva
por experiencia
d) Las actualizaciones a los manuales se realizan y se difunden
e) Las actualizaciones a manuales son monitoreados
f) Las actualizaciones cumplen con los estándares y con las buenas
prácticas. Está automatizado.
4. Se elabora y entrega material de entrenamiento.
a) No existe material
b) El material es realizado parcialmente / ad-hoc
c) El material es elaborado siguiendo un patrón por experiencia
d) El material se documenta y se difunden
e) Los materiales de entrenamiento son monitoreados
f) Los materiales cumplen con los objetivos del negocio, los
estándares y con las buenas prácticas. Está automatizado.
5. Se garantiza la satisfacción del usuario final con buen nivel de
109
servicio.
a) No existe este procedimiento
b) Se garantiza en forma parcial ad-hoc
c) Se garantiza basados en la experiencia en forma intuitiva
d) La satisfacción del cliente está alineada a los objetivos
organizacionales
e) La satisfacción del usuario es monitoreado
f) La satisfacción del usuario está alineado a los objetivos
organizacionales y de acuerdo a las buenas prácticas. Está
automatizado.
6. Existen procedimientos de respaldo al realizarse una terminación
anormal.
a) No existe
b) Se realiza en forma parcial ad-hoc
c) Se realiza en forma intuitiva
d) Los procedimientos están definidos y alineados a los objetivos
organizacionales
e) Los procedimientos de respaldo son monitoreados
f) Los procedimientos de respaldo están acuerdo a las buenas
prácticas. Está automatizado.
7. Existen procedimientos de reinicio y recuperación de datos.
a) No existe
b) Se realiza en forma parcial ad-hoc
c) Se realiza en forma intuitiva
d) Los procedimientos están definidos y alineados a los
objetivos organizacionales y se encuentran documentados
e) Los procedimientos reinicio y recuperación son monitoreados
f) Los procedimientos se realizan de acuerdo a las buenas prácticas.
Está automatizado.
8. Existen planes de contingencia ante una posible pérdida de
información de los sistemas.
a) No existe
b) La contingencia se realiza en forma parcial ad-hoc
c) Se realiza en forma intuitiva basadas en la experiencia
d) Los planes de contingencia están definidos y alineados a los
objetivos organizacionales
e) Los planes de contingencia son monitoreados y medibles
f) Los planes de contingencia son óptimos y están basados en las
110
buenas prácticas. Está automatizado.
9. Se establecen contratos de soporte con personal especializado.
a) No existen
b) El soporte se realiza ad-hoc y sin control
c) El soporte está basado en la forma intuitiva y en la experiencia
d) El soporte se alinea a los objetivos organizacionales
e) El soporte es monitoreados por personal especializado
f) Los contratos de soporte son óptimos y están basados en las
buenas prácticas. Está automatizado.
10.Se realizan estadísticas del uso y operación de los sistemas
para que sirvan de base a nuevas implementaciones.
a) No existe este proceso
b) El proceso se realiza en forma inicial y desorganizada
c) Las estadísticas se realizan en forma intuitiva/experiencia
d) Las estadísticas se alinean a los objetivos organizacionales
e) Las estadísticas son monitoreados por personal especializado
f) Las estadísticas son óptimas y cumplen las buenas prácticas.
Está automatizado.
111
AI05. Adquirir Recursos de TI
1. Existe un control sobre las adquisiciones de Recursos de TI.
a) No existe
b) Se realiza en forma parcial ad-hoc
c) Se realiza en forma intuitiva
d) El control está definido y alineado a los objetivos organización
e) El control sobre las adquisición son monitoreados
f) Los procedimientos se realizan de acuerdo a las buenas prácticas.
Está automatizado.
2. Se aplican políticas que garanticen la satisfacción de los
requerimientos del negocio.
a) No se aplican
b) Se aplican en forma parcial ad-hoc
c) Se aplican en forma intuitiva basados en la experiencia
d) Las políticas están definidas y documentadas
e) Las políticas son monitoreados por los especialistas del área
f) Las políticas están alineadas con los objetivos del negocio y están
implementadas basadas en las buenas prácticas. Está
automatizado.
3. Se utiliza control sobre los servicios contratados que estén
alineados a los objetivos de la organización.
a) No existe el control
b) Se aplica en forma parcial ad-hoc
c) Se aplica en forma intuitiva pero desordenada
d) El control sobre los servicios están definidos y documentadas
e) Los controles son monitoreados por los especialistas del área
f) Los controles están alineadas a los objetivos organizacionales y
están implementadas basadas en las buenas prácticas. Está
automatizado.
4. Existe procedimientos para establecer, modificar y concluir
contratos que apliquen a todos los proveedores.
a) No existe
b) Los procesos son ad-hoc y desorganizados
c) Los procesos siguen un patrón regular
d) Las políticas se documentan y comunican
112
e) Las políticas y procedimientos se monitorean
f) Se implementa las mejores prácticas en la preparación de estos
procedimientos. Está automatizado.
5. Está definido la revisión de contratos por parte del área legal y de
TI.
a) No existe
b) Los contratos se realizan en forma particular para cada caso
c) Los contratos siguen un patrón basados en la experiencia
d) Los contratos se documentan y se comunican
e) Los contratos son monitoreados por los responsables
f) Se implementa las mejores prácticas para la revisión de los
contratos con proveedores o terceros. Está automatizado.
6. Existe una práctica justa y formal para garantizar que la selección
de proveedores sea la mejor.
a) No existe
b) La selección de proveedores no es la adecuada
c) La selección sigue un patrón regular
d) La selección se encuentra debidamente documentada
e) El proceso de selección es monitoreado
f) Se ha implementado las mejores prácticas para garantizar que la
selección de proveedores sea la mejor. Está automatizado.
7. En los contratos con proveedores se considera claramente los
requerimientos de los usuarios.
a) No son considerados
b) Son considerados parcialmente
c) Se consideran en forma muy general bajo un patrón regular
d) Se consideran detalladamente y se documenta
e) Los requerimientos y el contrato son monitoreados
f) Se usa las mejores prácticas para garantizar que en los contratos
se consideren los requerimientos de los usuarios. Está
automatizado.
8. En la adquisición de software se garantiza que se protegen los
intereses de la organización en todos los acuerdos contractuales.
a) No se protegen
b) Se protegen en forma parcial y particular
113
c) La protección se realiza bajo un patrón regular
d) La protección está alineada a los objetivos organizacionales
e) Las protección es monitoreada por el área respectiva
f) Se implementa las mejores prácticas para garantizar que se
protejan los intereses de la organización. Está automatizado.
9. Existen políticas para hacer cumplir la propiedad y licenciamiento
de propiedad intelectual.
a) No existen
b) Existen políticas en forma parcial / ad-hoc
c) Las políticas se aplican bajo un patrón regular
d) Existen y están alineadas a los objetivos organizacionales
e) Estas políticas son monitoreadas por el área respectiva
f) Se implementa las mejores prácticas para garantizar que se
cumplan con la propiedad intelectual. Está automatizado.
10. Están bien definidos los procedimientos y estándares de
adquisición de los recursos de TI.
a) No existen
b) Están definidos pero se aplican parcialmente / ad-hoc
c) Los procedimientos siguen un patrón regular
d) Los procedimientos se documentan y comunican
e) Los procedimientos son monitoreados y se miden
f) Se implementa las mejores prácticas para garantizar que se
defina procedimientos y estándares de adquisición. Está
automatizado.
114
AI06. Administración de cambios
1. Existe y se utiliza una metodología para priorizar los
requerimientos de cambios.
a) No existen
b) Los requerimientos se realizan ad-hoc y desordenados
c) Los requerimientos se realizan de forma intuitiva/experiencia
d) Los requerimientos se alinea a los objetivos organizacionales
e) Los requerimientos son monitoreados permanentemente
f) La prioridad de requerimientos se basan en buenas prácticas.
Está automatizado.
2. Se consideran procedimientos de cambios de emergencia en
manuales de operaciones.
a) No existen
b) El procedimiento se realiza ad-hoc
c) Los cambios de emergencia se realizan en forma intuitiva
d) El procedimiento se alinea a los objetivos organizacionales
e) Los cambios de emergencia se documentan y monitorean
f) Este procedimiento se basan en buenas prácticas. Está
automatizado.
3. La bitácora de control de cambios asegura que todos los cambios
mostrados fueron resueltos.
a) No existe bitácora de control
b) Las bitácoras de control son ad-hoc
c) Las bitácoras se adecuan a un patrón regular y son intuitivas
d) Las bitácoras de control están documentadas y se comunican
e) El proceso de cambios son monitoreados por los especialistas
f) La bitácora de control de cambios se adecua a los estándares y
las buenas prácticas. Está automatizado.
4. Existen procedimientos de entradas y salidas para cambios.
a) No existen
b) Los procedimientos son ad-hoc y desorganizados
c) Las políticas y procedimientos sigue un patrón
d) Los procedimientos se documentan y comunican
e) Las políticas y procedimientos se monitorean adecuadamente
f) Los procedimientos de entrada y salidas se implementan basados
en las mejores prácticas. Está automatizado.
115
5. Los usuarios tienen conciencia de la necesidad de cumplir
procedimientos formales de control de cambios.
a) No existe
b) Los usuarios cumplen eventualmente / ad-hoc
c) Los procedimientos de los usuarios siguen un patrón regular
d) Los usuarios documentan y comunican el control de cambios
e) El cumplimiento de los usuarios es monitoreado
f) Los usuarios cumplen los procedimientos de acuerdo a los
estándares y buenas prácticas en forma optimizada. Está
automatizado.
6. Los tipos de análisis de cambios realizados al sistema, identifica
las tendencias organizacionales.
a) No existe
b) Los procedimientos de cambios son ad-hoc
c) Los procedimientos de cambios siguen un patrón regular
d) Los procedimientos se documentan
e) Los procedimientos se monitorean y se miden
f) Se implementan con las mejores prácticas para asegurar la
identificación de las tendencias organizacionales. Está
automatizado.
7. El proceso de cambios es monitoreado en cuanto a mejoras en el
conocimiento y efectividad en el tiempo de respuesta.
a) No existe
b) Los procesos se dan de manera ad-hoc
c) Los procesos de estándares siguen un patrón
d) Los procesos de cambios documentan
e) Los procesos se monitorean y miden
f) Se implemente las mejores prácticas para lograr mejoras en el
conocimiento y efectividad en el tiempo de respuesta. Está
automatizado.
8. El usuario está satisfecho con el resultado de los cambios
solicitados - calendarización y costos.
a) No existe
b) La satisfacción se da de manera ad-hoc
c) La satisfacción sigue un patrón
d) Quedan satisfechos y los documentan
e) Los procesos se monitorean y miden
f) Se implementa las mejores prácticas para definir estándares,
116
directivas políticas relacionados con TI. Está automatizado.
9. El proceso de administración de cambios está orientado a alcanzar
los objetivos organizacionales.
a) No existe
b) Los procesos son ad-hoc y desorganizados
c) Los procesos sigue un patrón regular
d) Las procesos se documentan y se comunican
e) La administración de cambios se monitorean y miden
f) Están alineados a los objetivos de la organización y están
implementados basados en los estándares y buenas prácticas.
Está automatizado.
10. Se aplican mediciones contra organizaciones de buenas prácticas
sobre la administración de cambios.
a) No existe
b) Se aplican mediciones eventualmente en forma desordenada
c) Las mediciones siguen un patrón regular
d) Las mediciones se documentan y se comunican
e) Las mediciones se monitorean y se aplican
f) Se implementa las mejores prácticas para desarrollar y promulgar
políticas comparando con organizaciones externas. Está
automatizado.
117
AI07. Instalación y Acreditación de soluciones y cambios
1. Existen políticas y procedimientos relacionados con el proceso de
ciclo de vida de desarrollo de sistemas.
a) No existe estos procedimientos
b) Se establecen estas políticas en forma parcial
c) El proceso del ciclo de vida sigue un patrón regular
d) Existe políticas y procedimientos y se documentan
e) Existen políticas y procedimientos y son monitoreados
f) Se implementa las mejores prácticas en la implementación de
políticas y procedimientos. Está automatizado.
2. Se lleva a cabo el entrenamiento de usuarios como parte de cada
tentativa de desarrollo.
a) No existe entrenamiento de usuarios
b) Se realizo el entrenamiento en forma parcial / ad-hoc
c) Los entrenamientos siguen un patrón regular
d) Los entrenamientos se documentan y se miden
e) Los entrenamientos son monitoreados por el área de TI
f) Se implementa las mejores prácticas para garantizar que los
entrenamientos de usuarios este alineada a los objetivos
organizacionales. Está automatizado.
3. Existen metodologías de prueba antes de las instalaciones.
a) No existe
b) Las metodologías son ad-hoc y desorganizados
c) Las metodologías siguen un patrón regular
d) Las metodologías se documentan y se comunican
e) Las metodologías se monitorean y miden
f) Están alineadas a los objetivos de la organización, están
implementadas basados en los estándares y buenas prácticas.
Está automatizado.
4. Existen varias librerías de desarrollo, prueba y producción para los
sistemas en proceso.
a) No existen
b) Existen pero son ad-hoc y desorganizadas
c) Existen y siguen un patrón regular
d) Existen , están debidamente documentadas y se comunican
e) Existen y son monitoreados por los especialistas del área
f) Existen y están alineadas a los objetivos de la organización,
118
han sido implementadas bajo las buenas prácticas. Está
automatizado.
5. Existen criterios predeterminados para probar el acierto, las fallas
y la terminación de tentativas futuras.
a) No existen
b) Existen pero son ad-hoc y desorganizadas
c) Existen y siguen un patrón regular
d) Existen, están debidamente documentadas y se comunican
e) Existen y son monitoreados por los especialistas del área
f) Existen y están alineadas a los objetivos de la organización,
han sido implementadas bajo las buenas prácticas. Está
automatizado.
6. Los planes de prueba para simulación de volúmenes, intervalos de
proceso y disponibilidad y acreditación de salidas forman parte
del proceso.
a) No existen
b) Existen pero son ad-hoc y desorganizadas
c) Los planes siguen un patrón regular
d) Los planes están debidamente documentadas y se comunican
e) Los planes son monitoreados por los especialistas del área
f) Están alineados a los objetivos de la organización, forman parte
del proceso y se basan en las buenas prácticas. Está
automatizado.
7. Se ha establecido un ambiente de prueba separado para pruebas y
cumple con seguridad, controles internos y cargas de trabajo para
permitir pruebas acertadas.
a) No existen
b) Las pruebas se realizan en ambientes improvisados
c) Existe el ambiente y las pruebas siguen un patrón regular
d) Existe ambiente y cumple con los objetivos organizacionales
e) El ambiente es monitoreado por los especialistas del área
f) Están alineados a los objetivos de la organización, cumple con
los requisitos y se basan en las buenas prácticas. Está
automatizado.
8. Los propietarios de los sistemas llevan a cabo una verificación
detallada del proceso inicial del nuevo sistema para confirmar una
transición exitosa.
a) No existen
119
b) Se realiza la verificación pero en forma parcial / ad-hoc
c) Se realiza la verificación siguiendo un patrón regular
d) Se realiza la verificación documentándola y comunicándola
e) Este proceso es monitoreados por los especialistas del área
f) Se realizan, están alineadas a los objetivos de la organización y
han sido implementadas bajo las buenas prácticas. Está
automatizado.
9. Las pruebas paralelas o piloto se consideran parte del plan.
a) No existen
b) Las pruebas se consideran en forma parcial / ad-hoc
c) Las prueba siguen un patrón regular
d) Las pruebas están debidamente documentadas
e) Los procesos son monitoreados por los especialistas del área
f) Están alineados a los objetivos de la organización, forman parte
del plan y se basan en las buenas prácticas. Está automatizado.
10. Existen procedimientos de control para asegurar la distribución
oportuna y correcta, y la actualización de los componentes
aprobados de la configuración.
a) No existe
b) Los procedimientos de cambios son ad-hoc
c) Los procedimientos de cambios siguen un patrón regular
d) Los procedimientos se documentan
e) Los procedimientos se monitorean y se miden
f) Se implementan con las mejores prácticas para asegurar la
distribución y correcta. Está automatizado
11. Existen procedimientos formales que aseguren la autorización,
acondicionamiento, pruebas de regresión, distribución,
transferencia de control, rastreo de estatus, procedimientos de
respaldo y notificación de usuario.
a) No existe
b) Los procedimientos de cambios son ad-hoc
c) Los procedimientos de cambios siguen un patrón regular
d) Los procedimientos se documentan
e) Los procedimientos se monitorean y se miden
f) Se implementan con las mejores prácticas para asegurar la
distribución y correcta. Está automatizado.