Академический Документы
Профессиональный Документы
Культура Документы
BancariasdeColombia
PROYECTODEGRADO
MaraHelenaCorreaCorrea
BreynerAlexanderParraRojas
Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001
FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012
1
ModeloyguaparalaimplementacindeGobiernodeTIenEntidades
BancariasdeColombia
MaraHelenaCorreaCorrea
BreynerAlexanderParraRojas
Trabajodegradoparaoptaralttulode
MsterenGestindeInformticayTelecomunicaciones
nfasisenGerenciadeTI
Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001
FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012
2
Notadeaceptacin
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
_________________________
FirmadelPresidentedelJurado
_________________________
FirmadelJurado
_________________________
FirmadelJurado
SantiagodeCali,Fecha
3
TABLADECONTENIDO
1. INTRODUCCIN.................................................................................................................12
1.2 PlanteamientodelProblema............................................................................................13
1.3 ObjetivoGeneral.............................................................................................................13
1.6 ResumendeResultadosObtenidos.................................................................................18
1.7 OrganizacindelDocumento...........................................................................................21
2. MODELOSDEGOBIERNOYGESTINDETI...................................................................22
2.8 ModelodeMadurezdeCobiT..........................................................................................26
2.9 ModelodeMadurezdeCMMI..........................................................................................27
2.11 ComparacindelosmodelosdenivelesdemadurezdeCobiT,CMMIeISO9004......29
3. CONTEXTODELSECTORBANCARIOCOLOMBIANO ...................................................31
3.1 EstablecimientosBancarios.............................................................................................31
4
3.2 ActualidadBancaria.........................................................................................................31
3.5 Entidadesdesupervisin.................................................................................................38
3.5.1 LaSuperintendenciaFinanciera ..............................................................................39
3.6 Legislacincolombianaquerigenelsectorbancarioyqueaportanalmodelopropuesto 41
3.6.1 Decreto633de1993...............................................................................................41
3.6.2 CircularExterna014del2009 .................................................................................41
3.6.3 CircularExterna038de2009 ..................................................................................41
3.6.4 CircularExterna052de2007 ..................................................................................42
4. AUTOEVALUACIONDEGOBIERNODETI .......................................................................43
4.1 AutoevaluacindeniveldemadurezdeGobiernodeTI...................................................43
4.1.1 AutoevaluacindeGobiernodeTIpropuesto ..........................................................44
4.1.2 RealizacindelaAutoevaluacin ............................................................................45
4.1.3 EjemplodelaAutoevaluacin .................................................................................46
4.1.4 PresentacindelosresultadosdelaAutoevaluacin...............................................47
5. MODELOPROPUESTO......................................................................................................49
5.1 ContextodelModelo........................................................................................................49
5.2 EstructuradelModelo......................................................................................................56
6. MODELODEGOBIERNODETIPARAENTIDADESBANCARIASDECOLOMBIA..........58
6.1 Responsabilidad..............................................................................................................59
6.1.1 RQ16Administracindelosdatos.........................................................................60
6.1.2 RQ19GestindelaDocumentacin.....................................................................63
6.2 Estrategia........................................................................................................................64
6.2.1 RQ01Planestratgicodetecnologa ....................................................................65
6.2.2 RQ05Administracindeproyectosdesistemas....................................................68
6.3 Adquisicin......................................................................................................................71
6.3.1 RQ02Infraestructuradetecnologa.......................................................................72
6.3.2 RQ03Relacinconproveedores...........................................................................74
6.3.3 RQ07Adquisicindetecnologa...........................................................................75
6.3.4 RQ08Adquisicinymantenimientodesoftwaredeaplicacin...............................76
5
6.3.5 RQ09Instalacinyacreditacindesistemas.........................................................78
6.4 Desempeo.....................................................................................................................80
6.4.1 RQ06Administracindelacalidad........................................................................81
6.4.2 RQ10Administracindecambios..........................................................................83
6.4.3 RQ11Administracindeserviciosconterceros.....................................................85
6.4.4 RQ12Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica. .........................................................................................................................87
6.4.5 RQ13Continuidaddelnegocio..............................................................................89
6.4.6 RQ14Seguridaddelossistemas ..........................................................................92
6.4.7 RQ17Administracindeinstalaciones ..................................................................95
6.4.8 RQ18Administracindeoperacionesdetecnologa..............................................97
6.6 ComportamientoHumano..............................................................................................102
6.6.1 RQ15Educacinyentrenamientodeusuarios. ...................................................103
7. GUADEIMPLEMENTACINDELMODELODEGOBIERNODETIPARAENTIDADES
BANCARIASDECOLOMBIA....................................................................................................105
7.1 Guadeimplementacindelmodelo..............................................................................105
7.1.1 Fase1:Obtenerelcompromisodelaaltadireccin...............................................105
7.1.2 Fase2:Determinarelestadoactual ......................................................................106
7.1.3 Fase3:Establecerelestadofuturodeseado. ........................................................107
7.1.4 Fase4:Identificarlasbrechas...............................................................................107
7.1.5 Fase5:Definirelplandeimplementacin .............................................................108
7.1.6 Fase6:Desarrollarelplandeimplementacin ......................................................109
7.1.7 Fase7:Monitorearycontrolareldesempeodelaimplementacin ......................110
8. VALIDACINDELAPROPUESTA ..................................................................................112
8.1 MetodologadeValidacin.............................................................................................112
8.2 SeleccindeExpertos...................................................................................................112
9. RESULTADOSOBTENIDOS ............................................................................................117
6
10.1 Conclusiones.............................................................................................................123
10.2 TrabajoFuturo...........................................................................................................124
11. BIBLIOGRAFA.................................................................................................................125
7
LISTADECUADROS
pg.
Tabla1:Identificacindelos19requerimientosdeTIseleccionados ................................................................ 16
Tabla2:Comparacinpornivelesdelosmodelosdemadurez ............................................................................. 29
Tabla3:Comparacinporavanceentrenivelesdelosmodelosdemadurez................................................... 30
Tabla4:ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera ................................... 40
Tabla5:FormatodelaAutoevaluacinpropuesta..................................................................................................... 46
Tabla6:EjemplodelaAutoevaluacin,comparadoconlosnivelesdemadurezdeCobiT,CMMeISO
9004................................................................................................................................................................................. 47
Tabla7:Identificacindelos19requerimientosdeTIseleccionados ................................................................ 51
Tabla8:Relacinentrelos19requerimientosdeleyylosdiferentesmarcos................................................. 54
Tabla9:EstructuradelmodelodeGobiernodeTIpropuesto................................................................................ 57
Tabla10:Relacindeobservacionesdelgrupodeexpertos.................................................................................116
8
LISTADEFIGURAS
pg.
Figura1:ModelodeGobiernodeTIPropuesto ........................................................................................................... 17
Figura2:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto....................................................................................................................................................................... 19
Figura3:Resultadodeljuiciodeexpertos..................................................................................................................... 20
Figura4:Modelo ISO38500paraelgobiernodeTI................................................................................................... 24
Figura5:ModelodeMadurezdeCobiT .......................................................................................................................... 27
Figura6:NivelesdemadurezdeCMMI .......................................................................................................................... 28
Figura7:DistribucindecarterasporBancos............................................................................................................. 34
Figura8:Presenciageogrficadelasentidadesbancarias...................................................................................... 36
Figura9:EntidadesdeSupervisin ................................................................................................................................. 38
Figura10:AutoevaluacindeGobiernodeTIPropuesta......................................................................................... 44
Figura11:EsquemadelaAutoevaluacinpropuesta................................................................................................ 45
Figura12:Ejemplodela presentacindelosresultadosporlos6principiosdeISO38500 ...................... 48
Figura13:Ejemplodelapresentacindelosresultadospor las3tareasprincipalesporcadaprincipio
deISO38500................................................................................................................................................................. 48
Figura14:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT .............................................. 55
Figura15:ModelodeGobiernodeTIPropuesto......................................................................................................... 56
Figura16:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto.....................................................................................................................................................................118
Figura17:Resultadospregunta1delaencuesta......................................................................................................119
Figura18:Resultadospregunta2delaencuesta......................................................................................................120
Figura19:Resultadospregunta3delaencuesta......................................................................................................120
Figura20:Resultadospregunta4delaencuesta......................................................................................................121
Figura21:Resultadospregunta5 delaencuesta......................................................................................................121
Figura22:Resultadospregunta6delaencuesta......................................................................................................122
Figura23:Resultadospregunta7delaencuesta......................................................................................................122
9
LISTADEANEXOS
pg.
Anexo1:AutoevaluacindeniveldemadurezdeGobiernodeTIpropuesta.(verarchivoAnexo
1.doc) ................................................................................................................................127
Anexo2:GuaparaeldiligenciamientodelaautoevaluacindeniveldemadurezdeGobiernode
TIpropuesta.(verarchivoAnexo2.doc).............................................................................127
Anexo3:Formatodeanlisisderesultados(verarchivoAnexo3.xls) ........................................127
Anexo4:EjemplodeimplementacindeunrequerimientodeTIdelmodelopropuesto(verarchivo
Anexo4.doc) .....................................................................................................................127
Anexo5:ResumenEjecutivodelmodelodeGobiernodeTIenentidadesbancariasdeColombia
(verarchivoAnexo5.doc) ..................................................................................................127
Anexo6:Encuestaenformatodigitalparaeljuiciodeexpertos(verarchivoAnexo6.pdfy/ola
encuestaenlneaen
https://docs.google.com/spreadsheet/viewform?formkey=dHJ0ZFNEcnRJeWlNRVVhV0owdH
NNZGc6MQ) .....................................................................................................................127
Anexo7:Verificacindelcumplimientodelos19requerimientosenelBancodeOccidente.(Ver
archivoAnexo7.doc) .........................................................................................................127
Anexo8:ProcedimientodocumentadodelBancodeOccidenteDS0101Realizaranlisisdela
situacin(verarchivoAnexo8.doc) ...................................................................................127
10
RESUMEN
1
Orgenes de la banca comercial en Colombia. Banco de la Republica.
http://www.banrepcultural.org/blaavirtual/revistas/credencial/marzo2001/135origenes.htm
2
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
3
Decreto 4327 de 2005. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/dec432705.doc
4
Caso de Estudio: Banco Supervielle S.A., Argentina. ISACA.
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBanco
SupervielleSAArgentina.aspx
11
1. INTRODUCCIN
Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.
Losestablecimientosbancariossedividenendostipos:
Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin5.
Es importante saber que todas las entidades que hacen parte del sistema
financieroestnsujetasalaregulacinysupervisinporpartedelasautoridades
deintervencin:elCongresodelaRepblica,elMinisteriodeHaciendayCrdito
PblicoylaSuperintendenciaFinanciera.Asmismo,estassonlasencargadasde
crear los marcos normativos y de velar porque los recursos de las personas,
empresas y el gobierno se encuentren seguros en manos de las diferentes
instituciones.Adems,laSuperintendenciaFinancieratambintienefuncionesde
inspeccin,vigilanciaycontrolsobrelasentidades6.
1.1 GobiernodeTI
5
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
6
Informacin al consumidor financiero. ASOBANCARIA.
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y
_banca/
12
sin embargo, cuando estos marcos de trabajo y estndares son utilizados
colectivamente, se vuelven muy confusos y obstruyen el propsito principal del
GobiernodeTI7
1.2 PlanteamientodelProblema
1.3 ObjetivoGeneral
1.4 ObjetivosEspecficos:
3. CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI
7
Artculo: Gobierno de TI Estado del arte. Ingrid Luca Muoz Perin MsC, Gonzalo Ulloa
Villegas. Revista S&T, Universidad Icesi.
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf
13
6. Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
Rubricaquepermitasuevaluacin.
1.5 ResumendelModeloPropuesto
El presentemodelodeGobiernodeTIpropuestorecogeelespritudelaCircular
014de2009,lacualtienecomoobjetivoprimarioquelasentidadesbancariasde
Colombia creen y/o fortalezcan un sistema de control interno que permita la
evaluacin continua de su eficiencia,contribuyaallogro de susobjetivosde
negocioyfortalezcalaapropiadaadministracindelosriesgosaloscualesse
ven expuestas en el desarrollo de su actividad, realizndolas en condiciones de
seguridad,transparenciayeficiencia.
1.5.1 RequerimientosdeTIrelevantesparaelModelo
LasentidadesbancariasdeColombiaseencuentranregidaspordiferentesleyes,
normas y decretos. Para las reas de TI, existe en especial la Circular 014 del
2009enesta,sedefineenelcapitulo7.6.2.(NormasdeControlInternoparala
Gestin de la Tecnologa), que las entidades bancarias debern disear un
SistemadeControlInterno(SCI)paralagestindelatecnologa,querespondaa
las polticas, necesidades y expectativas de la entidad y a las exigencias
normativas, con el propsito de contribuir al logro de los objetivos
institucionales8
1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.
8
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
14
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.
Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.
Cdigo Procesos
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
Administracin, desempeo, capacidad y disponibilidad de la
RQ12
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
15
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindelaDocumentacin.
Tabla1:Identificacindelos19requerimientosdeTIseleccionados
1.5.2 SeleccindelmarcodereferenciadelmodelodeGobiernodeTI.
ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.
Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMIDEV,ISO27001,ISO27002eISO9001.
1.5.3 AutoevaluacindeniveldemadurezdeGobiernodeTI.
1.5.4 ModelodeGobiernodeTIpropuesto
MODELODEGOBIERNODETI
Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano
ActividadesdeControl
IndicadoresdeGestin
Figura1:ModelodeGobiernodeTIPropuesto
1.5.5 GuadeImplementacindelModelodeGobiernodeTIpropuesto
1. Sedocumentunaguadeimplementacindelmodelo.
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto(veranexo4).
17
Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
porelITGovernanceInstitute,ITgovernanceimplementation9.queconstadesiete
fases:
Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodelaimplementacin
1.6 ResumendeResultadosObtenidos
Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:
ModelodeGobiernodeTIparaentidadesbancariasdeColombia
UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008
UnaGuadeImplementacinparamodelopropuesto
9
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute
18
Se observa adems, que sibien es cierto tienen expectativa de avanzar a
unnivelsuperior,porahoranoconsideranlaposibilidaddeestarenelnivel
ideal,dentrodelaescalapropuesta
Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamie
Estrategia
ntoHumano 2
1
NIVEL
0 DESEADO
Principio4
Desempeo
Figura2:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto
19
7.Considerandodeformaglobalelresumenejecutivo
enviado,ustedconsideraviableoinviablelaimplementacin
delmodelopropuestodeGobiernodeTIparaentidades
bancariasdeColombia
0%
Esviable
Esinviable
100%
Figura3:Resultadodeljuiciodeexpertos
Losresultadosyelanlisismsdetalladoseencuentranenelcaptulo9
20
1.7 OrganizacindelDocumento
Captulo1 Seestableceelcontextodeltrabajo,elplanteamientodelproblema,
losobjetivos,elresumendelmodelopropuestoyelresumendelos
Introduccin resultados obtenidos.
Enestecaptulosedefinequesonestablecimientosbancariosyse
Captulo3.
presentaunaactualidaddelsectorbancariocolombiano.Ademsse
ContextodelsectorBancario presentan las entidades de supervisin y leyes que rigen a este
Colombiano sector.
Captulo7 Enestaseccinsepresentalaguaparalaimplmentacindel
GuadeImplementacin ModelodeGobiernodeTIpropuesto
Captulo8 Enestecaptuloseabordalametodologaimplementadaparala
ValidacindelaPropuesta validacindelmodelopropuesto,porpartedeungrupodeexpertos
Captulo9 Estecaptulocontienelosresultadosobtenidosconelpresente
trabajo,ademsdelosresultadosdelaevaluacindelmodelopor
ResultadosObtenidos partedeljuiciodeexpertos
Captulo10 EstaseccincontienelasconclusionesdelmodelodegobiernodeTI
ConclusionesyFuturoTrabajo propuestoyeltrabajofuturoquedeberaseguir
21
2. MODELOSDEGOBIERNOYGESTINDETI
2.1 ISO38500:2008
Antecedentes
GobiernodelasTIC(ITgovernance)yatieneunanormaISOasociada,laISO/IEC
38500:2008 Corporate governance of information technology que viene a
complementar el conjunto de estndares ISO que afectan a los sistemas y
tecnologas de la informacin (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504,
ISO/IEC24762,etc.).Estanuevanormafijalosestndaresparaunbuengobierno
de los procesos y decisiones empresariales relacionadas con los servicios de
informacinycomunicacinque,suelenestargestionadostantoporespecialistas
enTICinternosoubicadosenotrasunidadesdenegociodelaorganizacin,como
por proveedores de servicios externos. En esencia, todo lo que esta norma
proponepuederesumirseentrespropsitosfundamentales:
LanormaISO/IEC38500:2008sepublicenjuniode2008conbaseenlanorma
australianaAS8015:2005.Eslaprimeradeunaseriesobrenormasdegobiernode
TIC. Suobjetivo esproporcionar un marco de principios para quela direccin de
las organizaciones lo utilice al evaluar, dirigir y monitorizar el uso de las
tecnologas de la informacin y comunicaciones (TICs). Est alineada con los
principios de gobierno corporativo recogidos en el Informe Cadbury y en los
PrincipiosdeGobiernoCorporativodelaOCDE
Definiciones
La norma incluye 19 definiciones de trminos, entre los que se pueden destacar
lossiguientes:
Principios
LanormadefineseisprincipiosdeunbuengobiernocorporativodeTIC:
1.Responsabilidad
22
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o
demandadeTI.Laresponsabilidadsobreunaaccinllevaaparejadalaautoridad
parasurealizacin.
2.Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades
actuales y futuras de las TIC. Los planes estratgicos de TIC satisfacen las
necesidadesactualesyprevistasderivadasdelaestrategiadenegocio.
3.Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, en base a un anlisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio
adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a
largoplazo.
4.Desempeo
La TI est dimensionada para dar soporte a la organizacin, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y
futuras.
5Cumplimiento
La funcin de TI cumple todas las al respecto estn claramente definidas,
implementadasyexigidas.
6.Comportamientohumano
LaspolticasdeTIC,prcticasydecisionesdemuestranrespetoalfactorhumano,
incluyendolasnecesidadesactualesyemergentesdetodalagenteinvolucrada.
Modelo
LadireccinhadegobernarlaTICmediantetrestareasprincipales
Evaluar
Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias,
propuestasyacuerdosdeaprovisionamiento(internosyexternos).
Dirigir
Dirigir la preparacin y ejecucin de los planes y polticas, asignando las
responsabilidades al efecto. Asegurarla correcta transicindelos proyectos ala
produccin, considerando los impactos en la operacin, el negocio y la
infraestructura.ImpulsarunaculturadebuengobiernodeTICenlaorganizacin.
Controlar
23
Mediantesistemasde medicin,vigilarelrendimientodelaTIC,asegurandoque
seajustaaloplanificado.10
Figura4:ModeloISO38500paraelgobiernodeTI
2.2 COBIT4.1
COBITpermiteeldesarrollodepolticasclarasydebuenasprcticasparacontrol
deTIatravsdelasempresas.
reasdeenfoque:
1. AlineamientoEstratgico.
2. Entregadevalor.
3. Manejoderiesgos.
4. Gestinderecursos.
5. Controlymonitorizacin.Medicinderendimiento.
10
Gobierno de las TIC ISO/IEC 38500.The ISACAJournalOnlinepublishedbyISACA.Manuel
Ballester, Ph.D.,CIS A, CIS M, CGEIT , IEEE. http://www.isaca.org/Journal/Past
Issues/2010/Volume1/Documents/jpdf1001onlinegobierno.pdf
24
2.3 CMMIDEV1.3
Esunmodelodeprocesosquecontienelasmejoresprcticasdelaindustriapara
eldesarrollo,mantenimiento,adquisicinyoperacindeproductosyservicios.Es
un Modelo de Madurez de Capacidades Integrado, desarrollado por el SEI
(Software Engineering Institute). Mide la madurez del desarrollo del software en
unaescaladel1al5.Describeformasefectivasyprobadasdehacerlascosas,no
esunenfoqueradical.
CMMIparalaadquisicin(CMMIACQoCMMIforAcquisition),Enlsetratanla
gestin de la cadena de suministro, adquisicin y contratacin externa en los
procesosdelgobiernoylaindustria.
CMMIparaservicios(CMMISVCoCMMIforServices),estdiseadoparacubrir
todaslasactividadesquerequierengestionar,estableceryentregarServicios.
2.4 ISO9001:2008
2.5 ISO9004:2009
Estanormainternacionalproporcionaorientacinparaayudaraconseguirelxito
sostenido para cualquier organizacin en un entorno complejo, exigente y en
constantecambio,medianteunenfoquedegestindelacalidad.
ElAnexoA:
25
Es una herramienta para que la organizacin autoevale sus fortalezas y
debilidades, para determinar su nivel de madurez y para identificar las
oportunidadesdemejoraeinnovacin.
2.6 ISO27001:2006
2.7 ISO27001:2006
2.8 ModelodeMadurezdeCobiT
Las evaluaciones se pueden realizar ya sea contra las descripciones del modelo
de madurez como un todo o con mayor rigor en cada una de las afirmaciones
individualesdelasdescripciones.
26
La ventaja de este modelo de nivel de madurez, es que es fcil para la
organizacinubicarseasmismaenlaescalayevaluarqusedebehacersise
quiereavanzarhaciaotronivelsuperior.
LaescaladelmodelodemadurezdeCobiTseencuentraestablecidaentreniveles
0yel5ysebasaenunaescalademadurezsimple,dondesemuestracomoun
proceso evoluciona desde una capacidad no existente (0) hasta una capacidad
optimizada(5).(verfigura5)
Figura5:ModelodeMadurezdeCobiT
2.9 ModelodeMadurezdeCMMI
ElniveldemadurezdeCMMIesunaplataformaevolutivadefinidaparalamejora
de procesos de la organizacin, es decir, que para poder alcanzar un nivel, se
debe haber cumplido con la totalidad de los requerimientos de los niveles
predecesores.
27
5.Enoptimizacin
4.Gestionado
Cuantitativamente
3.Definido
2.Gestionado
1.Inicial
Figura6:NivelesdemadurezdeCMMI
2.10 ModelodeMadurezISO9004:2009
Estanormainternacionalproporcionaorientacinparaayudaraconseguirelxito
sostenido para cualquier organizacin en un entorno complejo, exigente y en
constantecambio,medianteunenfoquedegestindelacalidad.
Lanormaestcompuestapor3anexos:
ElAnexoA:
Es una herramienta para que la organizacin autoevale sus fortalezas y
debilidades, para determinar su nivel de madurez y para identificar las
oportunidadesdemejoraeinnovacin.
ElAnexoB:
Proporcionaunadescripcindelosprincipiosdelagestindelacalidadqueson
labasedelasnormassobregestindelacalidad.
ElAnexoC:
MuestralacorrespondenciacaptuloacaptuloentrelanormaISO9004:2009yla
normaISO9001:2008
28
exhaustivaysistemticadelasactividadesdelaorganizacinydesudesempeo
en relacin con su grado de madurez. La autoevaluacin puede ayudar a la
organizacin a priorizar, planificar e implementar mejoras y/o innovaciones,
cuandoseanecesario.
2.11 ComparacindelosmodelosdenivelesdemadurezdeCobiT,CMMIe
ISO9004
COMPARACIONDENIVELESDEMADUREZ
MODELOS
Nivel0 Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
Gestionado
En
CMMIDEV Inicial Gestionado Definido cuantitativa
Optimizacin
mente
Mejor
ISO9004 NivelBase
Prctica
Tabla2:Comparacinpornivelesdelosmodelosdemadurez
29
Permiteavanzarsincumplirun
MODELOS
nivelanterior
CobiT4.1 Si
CMMIDEV No
ISO9004 No
Tabla3:Comparacinporavanceentrenivelesdelosmodelosdemadurez
30
3. CONTEXTODELSECTORBANCARIOCOLOMBIANO
3.1 EstablecimientosBancarios
Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.
Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin.11
3.2 ActualidadBancaria
Elsistemabancariohatenidovariostiposdeorganizacinenlasltimasdcadas.
En el perodoprevioala crisis domstica de finales delos noventa (19982001),
seobservunaseriedefusionesquepermitieronextenderlosnegociosbancarios
11
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
31
ya vigentes hacia otras regiones y sectores de la poblacin. En contraste, en la
dcada pasada (20022006), se presentaron operaciones orientadas a la
adquisicin de entidades que proporcionaran nuevas sinergias a travs de la
diversificacindeproductosyserviciosfinancieros.12
Aunquelabancacolombianaesdiversa,elsegmentocorporativohapredominado.
Sinembargo,enlosltimosaoselsectorhaatendidomsalabancapersonal,
situacin que se evidencia tanto por el inters de la industria en implementar
diferentescanalesdeprestacindeserviciohaciapersonas,comoporelingreso
de bancos pequeos en nichos enfocados en las modalidades de consumo y
microcrdito.
12
Fusiones y Adquisiciones en el Sector Financiero Colombiano: Anlisis y Propuestas
sobre la Consolidacin Bancaria. Ministerio de Hacienda de Colombia.
http://www.minhacienda.gov.co/portal/page/portal/HomeMinhacienda/regulacionfinanciera/Presenta
ciones/Presentaciones/7_ANIFMULTIBANFINAL0606.pdf
32
CarteraComercial
Bogota
18%
AVVillas
2%
Bancolombia Colpatria
26% 5%
Davivienda
11%
BBVA CajaSocial
GNB 7% 2%
Sudameris Occidente
2% HelmBank 9%
5%
CarteradeConsumo
BBVA CajaSocial
HSBC
GNB 10% 3%
1%
Sudameris HelmBank Occidente
4% 2% 5%
33
CarteradeMicrocredito
Bancolombia Bogota
Otros
CajaSocial 5% 4%
2%
8%
WWB
11%
Bancamia
15%
Agrario
55%
CarteradeVivienda
Bancolombia
28%
Davivienda
26%
BBVA
18% CajaSocial
10%
HelmBank Occidente
3% 1%
Figura7:DistribucindecarterasporBancos
34
Por su importancia relativa en el sistema, Bancolombia, Bogot, Davivienda y
Occidente son los bancos con mayor participacin en la cartera comercial,
concentrando alrededor del 65% del total. En cuanto a la distribucin de esta
modalidadensectoreseconmicos,setienequelamayorparteestcolocadaen
elcampodeservicios(40%),industria(19%),comercio(18%),construccin(8%),
gobierno (6%), agricultura (6%) y otros (4%). Para el mercado de servicios, las
entidades que tienen la mayor proporcin de su cartera en este rubro son
Bancoomeva y Pichincha, con el 67% y 55%, respectivamente. En el caso del
sector industrial, HSBC presenta la mayor concentracin con el 31% de sus
crditos. En cuanto al segmento de comercio, Citibank y Bancama tienen un
volumenconsiderabledelacartera,alcanzandoun50%y43%,respectivamente.
Porsuparte,elBancoAgrarioeslaentidadquepresentalamayorconcentracin
desucarteraenelsectoragrcolaconun38%.
Enelcasodelacarteradeconsumo,lasentidadesconlamayorparticipacinson
Davivienda, Bancolombia, BBVA, Popular, Bogot, Citi y Colpatria, quienes
concentran el 71% de esta cartera en el sistema bancario. El portafolio de
consumo se ha concentrando principalmente en los segmentos de libranza, libre
inversin y tarjetas de crdito con participaciones del 32%, 24% y 22%
respectivamente. El 22% restante de la cartera de consumo corresponde a
vehculos,crditorotativoyotros.
LamodalidaddemicrocrditoestconformadaprincipalmenteporBancoAgrario,
especializado en crditos destinados a pequeos productores agropecuarios, y
Bancama, WWB y Banco Caja Social, cuya cartera corresponde al 89% del
sector.Estesegmentopresentadostramos:crditosmenoresde25SMMLV,con
una participacin del 90% en la cartera del sector, y crditos entre 25 y 120
SMMLV, con el 10% restante. Vale la pena destacar que el incremento en las
tasas de inters de colocacin, producto del cambio metodolgico en el proceso
decertificacindelintersbancariocorrientedeestamodalidad,hapermitidoque
recientementeseincrementesignificativamenteeltamaodeestacartera.
3.3 PresenciaGeogrfica
Lasentidadesbancariastienenpresenciaalolargodetodoelterritorionacional.
En 2011 el nmero de oficinas se increment en 403, de las cuales 266 fueron
colocadas por los nuevos bancos, alcanzando 4.921 oficinas en todo el pas. A
nivel de entidad, Bancoomeva ingres en 25 departamentos con 89 oficinas,
Falabellaen14departamentoscon36oficinas,Finandinaen8departamentoscon
11oficinas,Pichinchaen14departamentoscon29oficinasyelBancodelaMujer
35
(WWB)en24departamentoscon101oficinas.Lareginandina,unadelasms
activaseconmicamente,tienelamayorconcentracindeoficinasbancarias.(ver
figura8)
Figura8:Presenciageogrficadelasentidadesbancarias
36
3.4 Expansindelabanca
En2011,labancaviviunprocesodeexpansinenelmercadodomsticoconla
transformacin de cinco entidades financieras en establecimientos bancarios. De
esta manera, el sector qued integrado por 23 bancos, lo que representa una
mayor profundizacin y mayores beneficios para los clientes financieros. En
especial, la cartera de consumo se expandi con la llegada de los bancos
especializados en este ramo, a saber Bancoomeva, Finandina, Falabella y
Pichincha. De igual forma, la cartera de microcrdito cont con la incursin del
BancodelaMujer(WWB),elcualcontribuyafortaleceresamodalidad.
Elsectorbancariotambinhavenidofortaleciendosupresenciaenlosmercados
externos, principalmente en Latinoamrica. En 2007, Bancolombia adquiri la
operacindelBancoAgrcolaenelSalvadorporUS$900millones,seguidoporel
Banco de Bogot en 2010, quien adquiri la operacin del BAC Credomatic en
Centroamrica por US$1.900 millones. Por su parte, en el primer semestre de
2012, Davivienda compr la operacin del HSBC en Costa Rica, Honduras y El
Salvador por US$801 millones y GNB Sudameris obtuvo la operacin del HSBC
enColombia,Paraguay,UruguayyPerporcercadeUS$400millones.
Estosmovimientosenlabancacolombianaseexplicanenparteporlosmrgenes
derentabilidad,ellimitadogradodepenetracinfinancierayunapoblacinconun
ingreso creciente. En este sentido, esperamos que esta dinmica le permita a la
industriabancariaseguiravanzandoensugradodecompetitividadeincrementar
suportafoliodeproductosyserviciosfinancieros.13
13
Articulo:QutipodeBancatenemos?Asobancaria.
http://www.asobancaria.com/portal/pls/portal/docs/1/2928048.PDF
37
3.5 Entidadesdesupervisin
Nuestrosistemafinancieroestconformadoporlasinstitucionesfinancierasylas
autoridades de intervencin. Las primeras captan y manejan dineros del pblico
con la autorizacin del Estado. Estas entidades ofrecen una amplia gama de
productos de ahorro que se ajustan a distintos requerimientos y necesidades de
laspersonas.Paragarantizarelbuenfuncionamientodelmercadoengeneral,las
autoridades de intervencin se encargan de aportar transparencia al sistema
financieroy,porlotanto,confianzayseguridadalosahorradores,inversionistasy
deudores. Es importante saber que todas las entidades que hacen parte del
sistema financiero estn sujetas a la regulacin y supervisin por parte de las
autoridades de intervencin: el Congreso de la Repblica, el Ministerio de
HaciendayCrditoPblicoylaSuperintendenciaFinanciera(verfigura9),estn
encargadas de crearlos marcos normativosde los dems agentes del sistema y
de velar porque los recursos de las personas, empresas y el gobierno se
encuentrensegurosenmanosdelasdiferentesinstituciones.LaSuperintendencia
Financiera tambin tiene funciones de inspeccin, vigilancia y control sobre las
entidades. Entre las funciones del Banco de la Repblica se encuentra el ser
prestamistadeltimainstanciaybanquerodelosestablecimientosdecrdito,en
caso de que stos tengan necesidades transitorias de liquidez. Por su parte, el
Fondo de Garantas de Instituciones Financieras (Fogafin) es el asegurador de
depsitos del sistema con el fin de proteger la confianza de quienes tienen
productosenlasinstitucionesfinancierasinscritas.14
Figura9:EntidadesdeSupervisin
14
Informacinalconsumidorfinanciero.Asobancaria.
www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y_banc
a/
38
3.5.1 LaSuperintendenciaFinanciera
Funciones Generales:LaSuperintendenciaFinancieradeColombiaejercerlas
funciones establecidas en el decreto 2739 de 1991 y dems normas que la
modifiquen o adicionen, el Decreto 663 de 1993 y dems normas que lo
modifiquenoadicionen,laLey964de2005ydemsnormasquelamodifiqueno
adicionen, las dems que sealen las normas vigentes y las que le delegue el
PresidentedelaRepblica.15
Actualmente,laSuperintendenciaFinancieraregula23entidadesbancaras:
Alejandro Figueroa
1 BancodeBogot Presidente www.bancodebogota.com
Augusto Jaramillo
Jos
2 BancoPopular RincnGmez Presidente www.bancopopular.com.co
Hernn
Jaime Munita
3 BancoSantander Presidente www.bancosantander.com.co
Francisco Valdivieso
Carlos
4 Bancolombia YepesJimnez Presidente www.bancolombia.com.co
Ral
Hctor Quiones
5 Scotiabank Presidente www.scotiabank.com.co
Guillermo Gutirrez
Norea
6 Citibank Bernardo Presidente www.citibank.com.co
Ocampo
Hans Theilkuhl
7 HSBCColombia Presidente www.banistmo.com.co
Juergen Ochoa
15
Nuestra Superintendencia. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co
39
BancoGNB Verastegui
8 Camilo Presidente www.sudameris.com.co
Sudameris Carvajal
Cabrera Presidente
9 BBVAColombia Oscar www.bbvaganadero.com
Izquierdo Ejecutivo
Mara
10 FerroIriarte Presidente www.bancaext@bancodecred
HelmBank Carmia ito.com.co
Bancode www.bancodeoccidente.com.
11 Efran Oterolvarez Presidente
Occidente co
Diego
12 BCSC PrietoRivera Presidente www.bancocajasocial.com.co
Fernando
Efran Forero
13 Davivienda Presidente www.davivienda.com
Enrique Fonseca
ColpatriaRed Luis Perdomo
14 Presidente www.colpatria.com
Multibanca Santiago Maldonado
Francisco Estupin
15 Banagrario Presidente www.bancoagrario.gov.co
dePaula Heredia
Juan
16 AVVillas ngelMeja Presidente www.avvillas.com.co
Camilo
Manuel Gerente
17 Procredit BuriticLpez www.bancoprocredit.com.co
Salvador General
Gmez
18 Bancama Mercedes Presidente www.bancamia.com.co
Restrepo
Jos Guerrero
19 WWB Presidente www.bancowwb.com
Alejandro Becerra
Jos Terreros
20 Bancoomeva Presidente www.bancoomeva.com
Miguel Ospina
Gerente
21 Finandina Orlando ForeroGmez www.finandina.com
General
Jorge Villarroel Gerente
22 BancoFalabella www.falabella.com.co
Alberto Barrera General
Marcel Fernndez
23 BancoPichincha Daniel Salvador Presidente www.bancopichincha.com.co
Eduardo Chauvet
Tabla4:ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera16
16
ListadogeneraldeentidadesvigiladasporlaSuperintendenciaFinanciera(Agosto2012).
SuperintendenciaFinancieradeColombia.
http://www.superfinanciera.gov.co/EntidadesSupervisadas/entidades_general.xls
40
3.6 Legislacin colombiana que rigen el sector bancario y que aportan al
modelo propuesto
3.6.1 Decreto633de1993
Determinaquelosestablecimientosbancariossonlasinstitucionesfinancierasque
tienenporfuncinprincipallacaptacinderecursosencuentacorrientebancaria,
as como tambin la captacin de otros depsitos a la vista o a trmino, con el
objetoprimordialderealizaroperacionesactivasdecrdito.
Determinaqueelsistemafinancieroyaseguradorseencuentraconformadodela
siguientemanera:
a.Establecimientosdecrdito.
b.Sociedadesdeserviciosfinancieros.
c.Sociedadesdecapitalizacin.
d.Entidadesaseguradoras.
e.Intermediariosdesegurosyreaseguros
3.6.2 CircularExterna014del2009
3.6.3 CircularExterna038de2009
Realizaunasmodificacionesalnumeral7delCaptuloIX,TtuloPrimeroControl
Interno de la Circular Externa 014 del 2009, con el propsito de facilitar la
41
adecuada aplicacin de las disposiciones contenidas en dicha circular expedida
porlaSuperintendenciaFinancieradeColombia17
3.6.4 CircularExterna052de2007
17
Circular externa 038 de 2009. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce038_09.doc
18
Circular externa 052 de 2007. Superintendencia Financiera de Colombia.
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce052_07.rtf
42
4. AUTOEVALUACIONDEGOBIERNODETI
ComopuntodepartidaparaladefinicinyposteriorimplementacindeGobierno
de TI en el sector bancario colombiano, se hace pertinente realizar dos
actividades:
2. ComparacindeprocesosdeTI:ParaelmodelodegobiernodeTIenlas
entidades bancarias de Colombia, se parte delos 19 requerimientosde TI
quelacircularexterna014de2009obligaalosbancosacumplir.Aunas,
se realizuna comparacinentre dichos requerimientos ylos procesos de
TI del Banco de Occidente, a partir de su respectivo mapa de procesos y
susplanesestratgicosdetecnologa(verAnexo7).
4.1 AutoevaluacindeniveldemadurezdeGobiernodeTI
43
La autoevaluacin es una herramienta para la revisin del nivel de madurez de
una organizacin. Una autoevaluacinpuede abarcar criterios como elliderazgo,
estrategia,sistemadegestin,recursosy/oprocesos,confindeidentificarreas
de fortalezas, debilidades y oportunidades tanto para la mejora, como para la
innovacin.
ParacrearlaestructuradelaautoevaluacindelniveldemadurezdeGobiernode
TIenentidadesbancarias,seuslaNormaISO38500comobaseyseapoyen
los conceptos de nivel de madurez CobiT, CMMI e ISO 9004, las cuales se
encuentrandescritasenelCapitulo2
4.1.1 AutoevaluacindeGobiernodeTIpropuesto
ElformatodeautoevaluacintomacomobaselanormaISO38500ylosprincipios
delosmodelosdemadurezdeCobiT,CMMIeISO9004(verfigura10)
ISO CobiT
38500
Autoevaluacin
deGobiernode
TIpropuesta
ISO
CMMI 9004
Figura10:AutoevaluacindeGobiernodeTIPropuesta
44
4.1.2 RealizacindelaAutoevaluacin
ParalarealizacindelaautoevaluacindeGobiernodeTIsesiguieron3pasos:
PosteriormenteseutilizelformatodeautoevaluacindelanormaISO9004para
presentar la propuesta y permitir que los encargados de TI que las diligencien
definansunivelactualyniveldeseado.
Figura11:EsquemadelaAutoevaluacinpropuesta
Porcadaunodelos6principiosqueestablecelanormaISO38500,seplantearon
actividades divididas en 3 bloques que corresponden a las tareas principales
(Evaluar,DirigirySupervisar)(vertabla5)
Cadaactividadcuentacon5nivelesdemadurez(preguntas).Elprimernivelesel
cumplimientobsicodeunaactividaddelanorma.Paraavanzaralnivel2sedebe
cumplirconel100%dela(s)actividadesdelnivel1msla(s)actividaddelnivel2.
Para alcanzar el nivel 3 de madurez se debe cumplir con las actividades de los
niveles1,2y3yassucesivamente.
45
NIVELESDEMADUREZ
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
PRINCIPIOS
Evaluar
DEISO
38500 Dirigir
Supervisar
Tabla5:FormatodelaAutoevaluacinpropuesta
4.1.3 EjemplodelaAutoevaluacin
Acontinuacinsepresentaunejemplodelaautoevaluacin,tomandoelprincipio
No 1 (Responsabilidad) dela Norma ISO38500 yla tarea principal Evaluar. (ver
tabla6)
Principio1:Responsabilidad
TareaPrincipal:Evaluar
46
NIVELESDEMADUREZ
CobiT4.1 Inicial Repetible Definido Administrado Optimizado
Gestionado
CMMI En
Inicial Gestionado Definido Cuantitativame
DEV optimizacin
nte
ISO9004 Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
En general, Los directores Con respecto Los directores Los directores
los individuos de TI al suministro y de TI tienen de TI, evalan
o grupos establecer a la demanda alineadas las la competencia
dentro de la reglas y de la reglas y (capacidad,
organizacin responsabilida informacin, responsabilidade autoridad,
no tienen des con los usuarios s con los experiencia,
PRINCIPIO1:
claras sus relacin al uso dentro de la objetivos etc.) de
responsabilida actual y futuro organizacin, actuales y aquellos a
RESPONSAB
des con de la entienden y futuros del quienes se les
ILIDAD Tarea respecto al tecnologa de aceptan las negocio. asigna la
Principal suministro y a la informacin reglas y responsabilida
lademandade de la responsabilida Los niveles de d de tomar
Tabla6:EjemplodelaAutoevaluacin,comparadoconlosnivelesdemadurezdeCobiT,CMMe
ISO9004
4.1.4 PresentacindelosresultadosdelaAutoevaluacin
Lapresentacindelosresultadosdelaautoevaluacinserealizaratravsdeun
grficoradialquepermitaobservarlasbrechasantesmencionadas(verfigura12y
13).
47
Para validar la autoevaluacin y conocer el estado actual de Gobierno de TI,
segn la escala propuesta, se pidi a los responsables de TI de 3 entidades
bancarias de Colombia que la diligenciaran. El anlisis de los resultados de la
autoevaluacinseabarcaenelcaptulo9
Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamie
Estrategia
ntoHumano 2
1
NIVEL
0 DESEADO
Principio4
Desempeo
Figura12:Ejemplodelapresentacindelosresultadosporlos6principiosdeISO38500
Evaluar
5
4
3
2 PROME
1 DIO
0 NIVEL
ACTUAL
Supervisar Dirigir
Figura13:Ejemplodelapresentacindelosresultadosporlas3tareasprincipalesporcada
principiodeISO38500
48
5. MODELOPROPUESTO
ElpresentemodelodeGobiernodeTIpropuestorecogeelespritudelaCircular
014 de 2009, la cual como tiene como objetivo primario que las entidades
bancarias de Colombia creen y/o fortalezcan un sistema de control interno que
permita la evaluacin continua de su eficiencia, contribuya al logro de sus
objetivosdenegocioyfortalezcalaapropiadaadministracindelosriesgosa
los cuales se ven expuestas en el desarrollo de su actividad, realizndolas en
condicionesdeseguridad,transparenciayeficiencia.
5.1 ContextodelModelo
1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
19
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
49
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.
Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.
Cdigo RequerimientosdeTI
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
Administracin, desempeo, capacidad y disponibilidad de la
RQ12
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.
50
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindelaDocumentacin.
Tabla7:Identificacindelos19requerimientosdeTIseleccionados
ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.
ElmarcodeGobiernodeTIseleccionadofueelISO38500:2008,debidoaquees
una Norma Internacional que provee un estndar para que la direccin de las
organizaciones evalen, dirijan y monitoreen el uso de las tecnologas de la
informacin.
Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMI,ISO27002eISO9001.
Paraencontrarlarelacinentrelos19requerimientosdelacircular014,elmarco
baseylosmarcosdeapoyo,serealizunmapeodandolossiguientesresultados.
CMMI ISO
Cdigo Procesos ISO38500 CobiT ISO9001
Dev 27002
Plan estratgico de
RQ01 Estrategia PO1
tecnologa.
10.2.1
Infraestructura de
RQ02 Adquisicin AI3 10.2.2 6.3
tecnologa.
10.2.3
5.1.1
Relaciones con 10.7.3
RQ03 Adquisicin PO5 SAM 7.4.1
proveedores. 10.8.1
6.2.3
Cumplimiento de
6.1.6
requerimientos legales
15.1.1
RQ04 para derechos de autor, Cumplimiento ME3 8.2.2
15.1.2
privacidad y comercio
15.1.4
electrnico.
PMC,
Administracin de
RQ05 Estrategia PO10 IPM,PP,
proyectosdesistemas.
QPM
51
4.1
4.2.2
5.1
5.3
Administracin de la 5.4.1
RQ06 Desempeo PO8 PPQA
calidad. 5.4.2
5.5.1
5.5.2
5.6
6.1
6.1.5
7.4.1
6.2.3
RQ07 Adquisicindetecnologa. Adquisicin AI5 7.4.2
10.8.2
7.4.3
12.5.5
6.1.4
7.2.1
10.3.2
11.6.2
Adquisicin y REQM, 12.1.1
RQ08 mantenimientodesoftware Adquisicin AI2 RD,PI, 12.2.3
deaplicacin. TS 12.3.1
12.4.3
12.5.1
12.5.2
12.5.3
10.1.4
12.5.1
Instalacin y acreditacin
RQ09 Adquisicin AI7 12.5.2
desistemas.
10.3.2
6.1.4
10.1.2
12.5.3
Administracin de
RQ10 Desempeo AI6 CM 12.5.1 7.3.7
cambios.
12.6.1
11.5.4
52
6.2.1
6.2.3
Administracin de
RQ11 Desempeo DS2 8.1.3 7,4
serviciosconterceros.
10.2.3
10.8.2
12.1.1
Administracin, 9.1.5
desempeo, capacidad y 9.2.4
RQ12 Desempeo DS3
disponibilidad de la 12.4.2
infraestructuratecnolgica. 15.5.2
12.6.1
6.1.6
6.1.7
14.1.1 5.6
RQ13 Continuidaddelnegocio. Desempeo DS4
14.1.2 8.2.2
14.1.3
14.1.4
14.1.1
14.1.2
RQ14 Seguridaddelossistemas. Desempeo DS5 RSKM 13.1.1 8.2.2
13.1.2
5.1.2
Educacin y 8.1.1
Comportamiento PO7 6.2.1
RQ15 entrenamiento de OT 8.1.2
Humano DS7 6.2.2
usuarios. 8.2.2
10.8.1
10.5.1
PO2
10.7.1
Administracin de los PO6 4.2.3
RQ16 Responsabilidad 15.1.3
datos. ME4 4.2.4
10.7.1
DS11
10.7.2
12.4.3
9.1.1
Administracin de
RQ17 Desempeo DS12 9.1.2 6.3
instalaciones.
9.1.3
53
9.2.5
6.2.1
Administracin de 10.1.1
RQ18 Desempeo DS13
operacionesdetecnologa. 10.7.4
4.2
6.1.1 4.2.1
Gestin de la
RQ19 Responsabilidad PO4 6.1.2 4.2.2
Documentacin.
6.1.3 4.2.3
4.2.4
Tabla8:Relacinentrelos19requerimientosdeleyylosdiferentesmarcos
Parallevaracaboelmapeoanteriorserealizaronlossiguientespasos:
1. Mapearlos19requerimientoscontraCobiT4.1
3. ParalosmapeosentreCobit4.1eISO27002seutilizeldocumentode
ISACA llamado, AlineandoCobit4.1,ITILv3yISO27002en
beneficiodelaempresayparaelmapeoconISO9001:2008yCMMI
Dev,utilizamossusrespectivasnormas
Despusdedistribuirlos19requerimientosdeTI,elmarcobaseylosmarcosde
apoyo, se determin cuales actividades de los marcos de apoyo ayudaran a
cumplir con los objetivos de los 6 principios de ISO 38500:2008 y finalmente se
determin una serie de indicadores de gestin que permitan evaluar el
cumplimientodelasmetaspropuestas.
54
20
Figura14:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT
20
AFoundationforSecurity,ITGovernanceNetworkNetherlands,
http://itgovernance.com/nl/index.php?option=com_content&view=article&id=72&Itemid=89.
55
MODELODEGOBIERNODETI
Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano
ActividadesdeControl
IndicadoresdeGestin
Figura15:ModelodeGobiernodeTIPropuesto
5.2 EstructuradelModelo
ElmodelodeGobiernodeTIparaentidadesbancariasseencuentraestructurado
delasiguientemanera:
Actividades
Principios Requerimientos deTI Indicadores
deControl
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 GestindelaDocumentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
Adquisicin
RQ03 Relacionesconproveedores. 4 1
56
RQ07 Adquisicindetecnologa. 4 3
Adquisicin y mantenimiento de software de
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin, desempeo, capacidad y
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimiento de requerimientos legales para
Cumplimiento RQ04 derechos de autor, privacidad y comercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6
Tabla9:EstructuradelmodelodeGobiernodeTIpropuesto
Los6principiosdelmodelofueronobtenidoslanormaISO38500:2008,deigual
maneralas137ActividadesdeControlylos56IndicadoresdeGestin,fueron
transcritasdeCobiT4.1,ISO27002:2008,CMMIDEVy/oISO9001:2008.AlFinal
de cada actividad de control aparece un superndice conla referencia del marco
utilizadoendichocontrol
57
6. MODELODEGOBIERNODETIPARAENTIDADESBANCARIASDE
COLOMBIA
RQ16 Administracindelosdatos.
Responsabilidad
RQ19 GestindelaDocumentacin.
RQ01 Planestratgicodetecnologa.
Estrategia
RQ05 Administracindeproyectosdesistemas.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Adquisicin RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwarede
aplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ06 Administracindelacalidad.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
RQ12 Administracin,desempeo,capacidady
Desempeo disponibilidaddelainfraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.
RQ04 Cumplimientoderequerimientoslegalespara
Cumplimiento derechosdeautor,privacidadycomercioelectrnico.
Comportamiento
RQ15 Educacinyentrenamientodeusuarios.
Humano
58
6.1 Responsabilidad
59
6.1.1 RQ16Administracindelosdatos
6.1.1.1 ActividadesdeControl
i. Verificarquetodoslosdatosqueseesperaprocesarserecibenyprocesan
completamente,deformaprecisayatiempo,yquetodoslosresultadosse
entregandeacuerdoalosrequerimientosdenegocio.Lasnecesidadesde
reinicioyreprocesoestnsoportadas.CobiT4.1
iv. Definireimplementarprocedimientosparaasegurarquelosrequerimientos
de negocio para la proteccin de datos sensitivos y el software se
consiguencuandoseeliminanotransfierenlosdatosy/oelhardware. CobiT
4.1
vi. Definireimplementarlaspolticasyprocedimientosparaidentificaryaplicar
los requerimientos de seguridad aplicables al recibo, procesamiento,
almacnysalidadelosdatosparaconseguirlosobjetivosdenegocio,las
polticasdeseguridaddelaorganizacinyrequerimientosregulatorios.CobiT
4.1
vii. Establecerymantenerunmodelodeinformacinempresarialquefaciliteel
desarrollo de aplicaciones y las actividades de soporte a la toma de
decisiones, consistente con los planes de TI El modelo debe facilitar la
creacin, uso y el compartir en forma ptima la informacin por parte del
60
negocio de tal manera que se mantenga su integridad, sea flexible,
funcional,rentable,oportuna,seguraytoleranteafallos.CobiT4.1
xi. AsegurarsedequelaspolticasdeTIseimplantanysecomunicanatodoel
personalrelevante,yserefuerzan,detalformaqueestnincluidasysean
parteintegraldelasoperacionesempresariales.CobiT4.1
6.1.1.2 IndicadoresdeGestin
a) Satisfaccindelusuarioconladisponibilidaddelosdatos.
b) Porcentajederestauracionesexitosasdedatos.
61
c) Nmero de incidentes en los que tuvo que recuperarse datos sensitivos
despusquelosmedioshabansidodesechados.
e) Lafrecuenciadeactividadesdevalidacindedatos
62
6.1.2 RQ19GestindelaDocumentacin
6.1.2.1 ActividadesdeControl
iv. Asegurarsedequelasversionespertinentesdelosdocumentosaplicables
seencuentrandisponiblesenlospuntosdeuso.ISO9001:2008
vii. Prevenirelusonointencionadodedocumentosobsoletos,yaplicarlesuna
identificacin adecuada en el caso de que se mantengan por cualquier
razn.ISO9001:2008
6.1.2.2 IndicadoresdeGestin
a) ElporcentajedeprocesosdeTIdocumentados
63
6.2 Estrategia
64
6.2.1 RQ01Planestratgicodetecnologa
6.2.1.1 ActividadesdeControl
i. Trabajarconelnegocioparagarantizarqueelportafoliodeinversionesde
TI de la empresa contenga programas con casos de negocio slidos.
Reconocer que existen inversiones obligatorias, de sustento y
discrecionalesquedifierenencomplejidadygradodelibertadencuantoa
la asignacin de fondos. Los procesos de TI deben proporcionar una
entrega efectiva y eficiente de los componentes TI de los programas y
advertencias oportunas sobre las desviaciones del plan, incluyendo costo,
cronograma o funcionalidad, que pudieran impactar los resultados
esperadosdelosprogramas.LosserviciosdeTIsedebenejecutarcontra
acuerdos de niveles de servicios equitativos y exigibles. La rendicin de
cuentasdellogrodelosbeneficiosydelcontroldeloscostosesclaramente
asignada y monitoreada. Establecer una evaluacin de los casos de
negocio que sea justa, transparente,repetible y comparable,incluyendoel
valorfinanciero,elriesgodenocumplirconunacapacidadyelriesgodeno
materializarlosbeneficiosesperados.CobiT4.1
65
iii. Evaluar el desempeo de los planes existentes y de los sistemas de
informacin en trminos de su contribucin a los objetivos de negocio, su
funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y
debilidades.CobiT4.1
iv. Crear un plan estratgico que defina, en cooperacin con los interesados
relevantes, cmo TI contribuir a los objetivos estratgicos de la empresa
(metas) as como los costos y riesgos relacionados. Incluye cmo TI dar
soportealosprogramasdeinversinfacilitadosporTIyalaentregadelos
servicios operativos. Define cmo se cumplirn y medirn los objetivos y
recibirnunaautorizacinformaldelosinteresados.Elplanestratgicode
TI debe incluir el presupuesto de la inversin / operativo, las fuentes de
financiamiento,laestrategiadeobtencin,laestrategiadeadquisicin,ylos
requerimientos legales y regulatorios. El plan estratgico debe ser lo
suficientemente detallado para permitir la definicin de planes tcticos de
TI.CobiT4.1
vi. Administrardeformaactiva,juntoconelnegocio,elportafoliodeprogramas
de inversin de TI requerido para lograr objetivos de negocio estratgicos
especficospormediodelaidentificacin,definicin,evaluacin,asignacin
deprioridades,seleccin,inicio,administracinycontroldelosprogramas.
Esto incluye clarificar los resultados de negocio deseados, garantizar que
los objetivos de los programas den soporte al logro de los resultados,
entender el alcance completo del esfuerzo requerido para lograr los
resultados,definirunarendicindecuentasclaraconmedidasdesoporte,
definir proyectos dentro del programa, asignar recursos y financiamiento,
delegar autoridad, y comisionar los proyectos requeridos al momento de
lanzarelprograma.CobiT4.1
66
6.2.1.2 IndicadoresdeGestin
a) ElporcentajedeobjetivosdeTIenelplanestratgicodeTI,quedasoporte
alplanestratgicodelnegocio
67
6.2.2 RQ05Administracindeproyectosdesistemas
Establecerunmarcodetrabajodeadministracindeprogramasyproyectospara
la administracin de todos los proyectos de TI establecidos. El marco de trabajo
debe garantizar la correcta asignacin de prioridades y la coordinacin de todos
los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de
recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de
entrega por fases, aseguramiento de la calidad, un plan formal de pruebas,
revisindepruebasypostimplantacindespusdelainstalacinparagarantizar
laadministracindelosriesgosdelproyectoylaentregadevalorparaelnegocio.
Este enfoque reduce el riesgo de costos inesperados y de cancelacin de
proyectos, mejora la comunicacin y el involucramiento del negocio y de los
usuariosfinales,aseguraelvalorylacalidaddelosentregablesdelosproyectos,
ymaximizalacontribucinalosprogramasdeinversinfacilitadosporTI.
6.2.2.1 ActividadesdeControl
68
iv. Obtenerelcompromisoylaparticipacindelosinteresadosafectadosenla
definicinyejecucindelproyectodentrodelcontextodelprogramaglobal
deinversionesfacilitadasporTI.CobiT4.1
v. Definirydocumentarlanaturalezayalcancedelproyectoparaconfirmary
desarrollar,entrelosinteresados,unentendimientocomndelalcancedel
proyecto y cmo se relaciona con otros proyectos dentro del programa
global de inversiones facilitadas por TI. La definicin se debe aprobar de
maneraformalporpartedelospatrocinadoresdelprogramaydelproyecto
antesdeiniciarelproyecto.CobiT4.1
ix. Eliminar o minimizar los riesgos especficos asociados con los proyectos
individuales por medio de un proceso sistemtico de planeacin,
identificacin, anlisis, respuesta, monitoreo y control de las reas o
eventos que tengan el potencial de ocasionar cambios no deseados. Los
riesgos afrontados por el proceso de administracin de proyectos y el
producto entregabledel proyecto se debenestablecer y registrar de forma
central.CobiT4.1
69
x. Prepararunplandeadministracindelacalidadquedescribaelsistemade
calidad del proyecto y cmo ser implantado. El plan debe ser revisado y
acordadodemaneraformalportodaslaspartesinteresadasparaluegoser
incorporadoenelplanintegradodelproyecto.CobiT4.1
xiii. Medireldesempeodelproyectocontraloscriteriosclavedelproyecto(Ej.
alcance,cronograma,calidad,costosyriesgos)identificarlasdesviaciones
con respecto al plan evaluar su impacto sobre el proyecto y sobre el
programa global reportar los resultados a los interesados clave y
recomendar,Implementary monitorearlasmedidascorrectivas,segnsea
requerido,deacuerdoconelmarcodetrabajodegobiernodelprogramay
delproyecto.CobiT4.1
xiv. Solicitar que al finalizar cada proyecto, los interesados del proyecto se
cercioren de que el proyecto haya proporcionado los resultados y los
beneficios esperados. Identificar y comunicar cualquier actividad relevante
requerida para alcanzar los resultados planeados del proyecto y los
beneficios del programa, e identificar y documentar las lecciones
aprendidasaserusadasenfuturosproyectosyprogramas.CobiT4.1
6.2.2.2 IndicadoresdeGestin
a) Porcentajedeproyectosquesatisfacenlasexpectativasdelosinteresados
(atiempo,dentrodelpresupuesto,yconsatisfaccindelosrequerimientos
y/oponderadosporimportancia)
b) Porcentajedeproyectosconrevisinpostimplantacin
70
6.3 Adquisicin
LasadquisicionesdeTecnologadelainformacinsehacenporrazonesvlidas,
con base en el anlisis adecuado y continuo, con toma de decisiones clara y
transparente.Existeelequilibrioadecuadoentrebeneficios,oportunidades,costos
yriesgos,tantoacortocomoalargoplazo.
Losdirectoresdeberancontrolarlasinversionesentecnologadelainformacin
paraasegurarqueestasproporcionanlascapacidadesrequeridas.Serecomienda
que los responsables de TI supervisen el grado en el que la organizacin y sus
proveedores mantienen el entendimiento compartido de la intencin de la
organizacinalhacercualquieradquisicindetecnologadelainformacin.
71
6.3.1 RQ02Infraestructuradetecnologa
6.3.1.1 ActividadesdeControl
iii. Desarrollarunaestrategiayunplandemantenimientodelainfraestructura
ygarantizarquesecontrolanloscambios,deacuerdoconelprocedimiento
de administracin de cambios de la organizacin. Incluir una revisin
peridica contralas necesidades delnegocio, administracinde parches y
estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y
requerimientosdeseguridad.CobiT4.1
iv. Establecerelambientededesarrolloypruebasparasoportarlaefectividad
y eficiencia de las pruebas de factibilidad e integracin de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisicin y
desarrollo. Hay que considerar la funcionalidad, la configuracin de
hardwareysoftware,pruebasdeintegracinydesempeo,migracinentre
ambientes, control de la versiones, datos y herramientas de prueba y
seguridad.CobiT4.1
72
6.3.1.2 IndicadoresdeGestin
73
6.3.2 RQ03Relacinconproveedores
LosresponsablesdeTIdeberanasegurarsedequeelproductoadquiridocumple
los requisitos de compra especificados. El tipo y el grado del control aplicado al
proveedor y al producto adquirido debe depender del impacto del producto
adquiridoenlaposteriorrealizacindelproductoosobreelproductofinal.
6.3.2.1 ActividadesdeControl
iii. Debenmantenerselosregistrosdelosresultadosdelasevaluacionesyde
cualquieraccinnecesariaquesederivedelasmismas.ISO9001:2008
6.3.2.2 IndicadoresdeGestin
74
6.3.3 RQ07Adquisicindetecnologa
6.3.3.1 ActividadesdeControl
6.3.3.2 IndicadoresdeGestin
a) Elnmerodecontroversiasenrelacinconloscontratosdeadquisicin
b) Lareduccindelcostodecompra
c) Elporcentajedeinteresadosclavesatisfechosconlosproveedores
75
6.3.4 RQ08Adquisicinymantenimientodesoftwaredeaplicacin.
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
negocio.Esteprocesocubreeldiseodelasaplicaciones,lainclusinapropiada
de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuracin en s de acuerdo a los estndares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicacionesautomatizadascorrectas
6.3.4.1 ActividadesdeControl
vi. Encasodecambiosimportantesalossistemasexistentesqueresultenen
cambiossignificativosaldiseoactualy/ofuncionalidad,seguirunproceso
de desarrollo similar al empleado para el desarrollo de sistemas nuevos.
CobiT4.1
76
vii. Garantizarquelafuncionalidaddeautomatizacinsedesarrolladeacuerdo
con las especificaciones de diseo, los estndares de desarrollo y
documentacin,losrequerimientosdecalidadyestndaresdeaprobacin.
Asegurar que todos los aspectos legales y contractuales se identifican y
direccionanparaelsoftwareaplicativodesarrolladoporterceros.CobiT4.1
viii. Desarrollar,Implementarlosrecursosyejecutarunplandeaseguramiento
de calidad del software, para obtener la calidad que se especifica en la
definicin de los requerimientos y en las polticas y procedimientos de
calidaddelaorganizacin.CMMIDEV
x. Desarrollarunaestrategiayunplanparaelmantenimientodeaplicaciones
desoftware.CMMIDEV
6.3.4.2 IndicadoresdeGestin
b) Porcentajedeusuariossatisfechosconlafuncionalidadentregada
77
6.3.5 RQ09Instalacinyacreditacindesistemas
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadasen un ambiente dedicado con datos
depruebarelevantes,definirlatransicineinstruccionesdemigracin,planearla
liberacin y la transicin en s al ambiente de produccin, y revisar la post
implantacin. Esto garantiza que los sistemas operativos estn en lnea con las
expectativasconvenidasyconlosresultados.
6.3.5.1 ActividadesdeControl
i. Entrenaralpersonaldelosdepartamentosdeusuarioafectadosyalgrupo
de operaciones de la funcin de TI de acuerdo con el plan definido de
entrenamiento eimplantacin y alos materiales asociados, como parte de
cadaproyectodesistemasdelainformacindedesarrollo,implementacin
omodificacin.CobiT4.1
ii. Establecerunplandepruebasbasadoenlosestndaresdelaorganizacin
que define roles, responsabilidades, y criterios de entrada y salida.
Asegurarqueelplanestaaprobadoporlaspartesrelevantes.CobiT4.1
v. Plandeconversindedatosymigracindeinfraestructurascomopartede
los mtodos de desarrollo de la organizacin, incluyendo pistas de
auditoria,respaldoyvueltaatrs.CobiT4.1
78
viii. Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a
operaciones, mantenindoloenlnea con elplan deimplantacin. Obtener
la aprobacin de los interesados clave, tales como usuarios, dueo de
sistemas y gerente de operaciones. Cuando sea apropiado, ejecutar el
sistema en paralelo con el viejo sistema por un tiempo, y comparar el
comportamientoylosresultados.CobiT4.1
6.3.5.2 IndicadoresdeGestin
c) Porcentajedeproyectosconplandepruebadocumentadoyaprobado
79
6.4 Desempeo
LosresponsablesdeTIdeberandirigirlaasignacindelosrecursossuficientes
demaneraquetallatecnologadelainformacinsatisfagalasnecesidadesdela
organizacin, de acuerdo con las prioridades acordadas y las restricciones del
presupuesto. Los directores deberan dirigira aquellos responsables deasegurar
quelatecnologadelainformacindsoportealnegocio,cuandoserequierapor
razones del negocio, con datos correctos y actualizados que estn protegidos
contraprdidaomaluso.
Supervisar
80
6.4.1 RQ06Administracindelacalidad
6.4.1.1 ActividadesdeControl
iii. Laorganizacindeberaestablecerymantenerunmanualdelacalidadque
incluyaelalcancedelsistemadegestindelacalidad,losprocedimientos
documentadosestablecidosparaelsistemadegestindelacalidad,yuna
descripcindelainteraccinentrelosprocesosdelsistemadegestindela
calidad.ISO9001:2008
81
v. Adoptarymantenerestndaresparatododesarrolloyadquisicinquesiga
elciclodevida,hastaelltimoentregableeincluirlaaprobacinenpuntos
clave con base en criterios de aceptacin acordados. Los temas a
considerar incluyen estndares de codificacin de software, normas de
nomenclaturaformatosdearchivos,estndaresdediseoparaesquemas
y diccionario de datos estndares para la interfaz de usuario inter
operabilidad eficiencia de desempeo de sistemas escalabilidad
estndares para desarrollo y pruebas validacin contra requerimientos
planesdepruebasypruebasunitarias,deregresinydeintegracin. CMMI
Dev
viii. Definir,planeareimplementarmedicionesparamonitorearelcumplimiento
continuo del sistema de gestin de la calidad, as como el valor que el
sistemadegestindelacalidadproporciona.Lamedicin,elmonitoreoyel
registrodelainformacindebenserusadosporeldueodelprocesopara
tomarlasmedidascorrectivasypreventivasapropiadas.CobiT4.1
6.4.1.2 IndicadoresdeGestin
82
6.4.2 RQ10Administracindecambios
6.4.2.1 ActividadesdeControl
iii. Establecerunprocesoparadefinir,plantear,evaluaryautorizarloscambios
de emergencia que no sigan el proceso de cambio establecido. La
documentacin y pruebas se realizan, posiblemente, despus de la
implantacindelcambiodeemergencia.CobiT4.1
iv. Establecerunsistemadeseguimientoyreporteparamanteneractualizados
a los solicitantes de cambio y a los interesados relevantes, acerca del
estatusdelcambioalasaplicaciones,alosprocedimientos,alosprocesos,
parmetrosdelsistemaydelservicioylasplataformasfundamentales. CobiT
4.1
83
6.4.2.2 IndicadoresdeGestin
b) Larepeticindeaplicacionesoinfraestructuradebidaaespecificacionesde
cambioinadecuadas
84
6.4.3 RQ11Administracindeserviciosconterceros
Lanecesidaddeasegurarquelosserviciosprovistosporterceroscumplanconlos
requerimientosdelnegocio,requieredeunprocesoefectivodeadministracinde
terceros. Este proceso se logra por medio de una clara definicin de roles,
responsabilidadesyexpectativasenlosacuerdosconlosterceros,ascomocon
larevisinymonitoreodelaefectividadycumplimientodedichosacuerdos.Una
efectiva administracin de los servicios de terceros minimiza los riesgos del
negocioasociadosconproveedoresquenosedesempeandeformaadecuada.
6.4.3.1 ActividadesdeControl
ii. Formalizarelprocesodegestinderelacionesconproveedoresparacada
proveedor. Los dueos delasrelaciones deben enlazarlascuestiones del
cliente y proveedor y asegurar la calidad de las relaciones basadas en la
confianzaytransparencia.(porejemploatravsdelosacuerdosdenivelde
servicio).CobiT4.1
v.
85
6.4.3.2 IndicadoresdeGestin
a) Elnmerodequejasdelosusuariosdebidasalosservicioscontratados
c) Elporcentajedelosprincipalesproveedoressujetosamonitoreo
86
6.4.4 RQ12 Administracin, desempeo, capacidad y disponibilidad de la
infraestructuratecnolgica.
6.4.4.1 ActividadesdeControl
iii. Llevaracabounpronsticodedesempeoycapacidaddelosrecursosde
TI en intervalos regulares para minimizar el riesgo de interrupciones del
servicio originadas por falta de capacidad o degradacin del desempeo.
Identificartambinelexcesodecapacidadparaunaposibleredistribucin.
Identificar las tendencias de las cargas de trabajo y determinar los
pronsticos que sernparte delos planes de capacidad y dedesempeo.
CobiT4.1
iv. Brindarlacapacidadydesempeorequeridostomandoencuentaaspectos
como cargas de trabajo normales, contingencias, requerimientos de
almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse
medidas cuando el desempeo y la capacidad no estn en el nivel
requerido,talescomodarprioridadalastareas,mecanismosdetolerancia
defallasyprcticasdeasignacinderecursos.Lagerenciadebegarantizar
que los planes de contingencia consideran de forma apropiada la
disponibilidad, capacidad y desempeo de los recursosindividuales de TI.
CobiT4.1
87
v. Monitorearcontinuamenteeldesempeoylacapacidaddelosrecursosde
TI. La informacin reunida sirve para dos propsitos: Mantener y poner a
puntoeldesempeoactualdentrodeTIyatendertemascomoelasticidad,
contingencia, cargas de trabajo actuales y proyectadas, planes de
almacenamientoyadquisicinderecursosyparareportarladisponibilidad
haciaelnegociodelservicioprestadocomoserequiereenlosacuerdode
niveldeservicio.CobiT4.1
6.4.4.2 IndicadoresdeGestin
b) Porcentajedepicosdondeseexcedelametadeutilizacin
88
6.4.5 RQ13Continuidaddelnegocio
6.4.5.1 ActividadesdeControl
iii. Centrarlaatencinenlospuntosdeterminadoscomolosmscrticosenel
plan de continuidad de TI, para construir resistencia y establecer
prioridades en situaciones de recuperacin. Evitar la distraccin de
recuperarlospuntosmenoscrticosyasegurarsedequelarespuestayla
recuperacin estn alineadas conlas necesidades prioritarias del negocio,
asegurndosetambinqueloscostossemantienenaunnivelaceptabley
se cumple con los requerimientos regulatorios y contractuales. Considerar
losrequerimientosderesistencia,respuestayrecuperacinparadiferentes
niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24
89
horas,msde24horasyparaperiodoscrticosdeoperacindelnegocio.
CobiT4.1
iv. Definiryejecutarprocedimientosdecontroldecambios,paraasegurarque
el plan de continuidad de TI se mantenga actualizado y que refleje de
manera continua los requerimientos actuales delnegocio. Es esencial que
los cambios en los procedimientos y las responsabilidades sean
comunicadosdeformaclarayoportuna.CobiT4.1
v. ProbarelplandecontinuidaddeTIdeformaregularparaasegurarquelos
sistemas de TI pueden ser recuperados de forma efectiva, que las
deficienciassonatendidasyqueelplanpermaneceaplicable.Estorequiere
una preparacin cuidadosa, documentacin, reporte de los resultados de
laspruebasy,deacuerdoconlosresultados,laimplementacindeunplan
de accin. Considerar el alcance de las pruebas de recuperacin en
aplicacionesindividuales,enescenariosdepruebasintegrados,enpruebas
depuntaapuntayenpruebasintegradasconelproveedor.CobiT4.1
vii. Determinarqueexisteunaestrategiadedistribucindefinidayadministrada
paraasegurarquelosplanessedistribuyandemaneraapropiadaysegura
yqueestndisponiblesentrelaspartesinvolucradasyautorizadascuando
ydondeserequiera.Sedebeprestaratencinenhacerlosaccesiblesbajo
cualquierescenariodedesastre.CobiT4.1
90
debe apegarse a la poltica de clasificacin de datos y a las prcticas de
almacenamientodedatosdelaempresa.LagerenciadeTIdebeasegurar
que los acuerdos con sitios externos sean evaluados peridicamente, al
menosunavezporao,respectoalcontenido,alaproteccinambientalya
la seguridad. Asegurarse dela compatibilidad del hardware y del software
para poder recuperar los datos archivados y peridicamente probar y
renovarlosdatosarchivados.CobiT4.1
6.4.5.2 IndicadoresdeGestin
b) NmerodeprocesoscrticosdenegocioquedependendeTI,quenoestn
cubiertosporunplandecontinuidad
91
6.4.6 RQ14Seguridaddelossistemas
Lanecesidaddemantenerlaintegridaddelainformacinydeprotegerlosactivos
de TI, requiere de un proceso de administracin de la seguridad. Este proceso
incluye el establecimiento y mantenimiento de roles y responsabilidades de
seguridad, polticas, estndares y procedimientos de TI. La administracin de la
seguridad tambinincluye realizar monitoreos de seguridad y pruebas peridicas
as como realizar acciones correctivas sobre las debilidades o incidentes de
seguridadidentificados.Unaefectivaadministracindelaseguridadprotegetodos
los activos de TI para minimizar el impacto en el negocio causado por
vulnerabilidadesoincidentesdeseguridad.
6.4.6.1 ActividadesdeControl
ii. Trasladarlosrequerimientosdenegocio,riesgosycumplimientodentrode
un plan de seguridad de TI completo, teniendo en consideracin la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta
implementadoenlaspolticasyprocedimientosdeseguridadjuntoconlas
inversiones apropiadas en los servicios, personal, software y hardware.
Comunicarlaspolticasyprocedimientosdeseguridadalosinteresadosya
losusuarios.CobiT4.1
92
relacionados, sean tomados en cuenta por un conjunto de procedimientos
de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de
aprobacin que describa al responsable de los datos o del sistema
otorgandolos privilegios de acceso. Estos procedimientos deben aplicarse
a todos los usuarios, incluyendo administradores (usuarios privilegiados),
usuarios externos e internos, para casos normales y de emergencia. Los
derechosyobligacionesrelativosalaccesoalossistemaseinformacinde
la empresa deben acordarse contractualmente para todos los tipos de
usuarios.Realizarrevisionesregularesdelagestindetodaslascuentasy
losprivilegiosasociados.CobiT4.1
vii. Garantizarquelatecnologarelacionadaconlaseguridadsearesistenteal
sabotajeynoreveledocumentacindeseguridadinnecesaria.ISO27002
viii. Determinarquelaspolticasyprocedimientosparaorganizarlageneracin,
cambio, revocacin, destruccin, distribucin, certificacin,
almacenamiento, captura, uso y archivo de llaves criptogrficas estn
implantadas, para garantizar la proteccin de las llaves contra
modificacionesydivulgacinnoautorizadas.CobiT4.1
ix. Ponermedidaspreventivas,detectivasycorrectivas(enespecialcontarcon
parches de seguridad y control de virus actualizados) en toda la
organizacinparaprotegerlossistemasdelainformacinyalatecnologa
contramalware(virus,gusanos,spyware,correobasura).CobiT4.1
xi. Transaccionesdedatossensiblesseintercambiansoloatravsdeunaruta
omedioconcontrolesparaproporcionarautenticidaddecontenido,prueba
deenvo,pruebaderecepcinynorepudiodelorigen.ISO27002
93
6.4.6.2 IndicadoresdeGestin
a) Elnmerodeincidentesquedaanlareputacinconelpblico
b) Elnmerodesistemasdondenosecumplenlosrequerimientosde
seguridad
c) Elnmerodeviolacionesenlasegregacindetareas
94
6.4.7 RQ17Administracindeinstalaciones
Laproteccindelequipodecmputoydelpersonal,requieredeinstalacionesbien
diseadas y bien administradas. El proceso de administrar el ambiente fsico
incluyeladefinicindelosrequerimientosfsicosdelcentrodedatos,laseleccin
de instalaciones apropiadas y el diseo de procesos efectivos para monitorear
factoresambientalesyadministrarelaccesofsico.Laadministracinefectivadel
ambiente fsico reduce las interrupciones del negocio ocasionadas por daos al
equipodecmputoyalpersonal.
6.4.7.1 ActividadesdeControl
i. DefiniryseleccionarloscentrosdedatosfsicosparaelequipodeTIpara
soportarlaestrategiadetecnologaligadaalaestrategiadelnegocio.Esta
seleccin y diseo del esquema de un centro de datos debe tomar en
cuenta el riesgo asociado con desastres naturales y causados por el
hombre. Tambin debe considerar las leyes y regulaciones
correspondientes, tales como regulaciones de seguridad y de salud en el
trabajo.CobiT4.1
iv. Diseareimplementarmedidasdeproteccincontrafactoresambientales.
Deben instalarse dispositivos y equipo especializado para monitorear y
controlarelambiente.CobiT4.1
v. Administrarlasinstalaciones,incluyendoelequipodecomunicacionesyde
suministro de energa, de acuerdo con las leyes y los reglamentos, los
requerimientostcnicosydelnegocio,lasespecificacionesdelproveedory
loslineamientosdeseguridadysalud.CobiT4.1
95
6.4.7.2 IndicadoresdeGestin
a) Tiemposinservicioocasionadoporincidentesrelacionadosconelambiente
fsico
b) Nmerodeincidentesocasionadosporfallasobrechasdeseguridadfsica
c) Frecuenciaderevisinyevaluacinderiesgosfsicos.
96
6.4.8 RQ18Administracindeoperacionesdetecnologa
6.4.8.1 ActividadesdeControl
i. Definir,implementarymantenerprocedimientosestndarparaoperaciones
de TI y garantizar que el personal de operaciones est familiarizado con
todas las tareas de operacin relativas a ellos. Los procedimientos de
operacin deben cubrir los procesos de entrega de turno (transferencia
formal de la actividad, estatus, actualizaciones, problemas de operacin,
procedimientos de escalamiento, y reportes sobre las responsabilidades
actuales)paragarantizarlacontinuidaddelasoperaciones.CobiT4.1
97
6.4.8.2 IndicadoresdeGestin
98
6.5 Cumplimiento
99
6.5.1 RQ04 Cumplimiento de requerimientos legales para derechos de
autor,privacidadycomercioelectrnico.
6.5.1.1 ActividadesdeControl
6.5.1.2 IndicadoresdeGestin
a) ElcostodelnocumplimientodeTI,incluyendoarreglosymultas
100
b) Tiempo promedio de demora entre la identificacin de los problemas
externosdecumplimientoysuresolucin
c) Frecuenciaderevisionesdecumplimiento
101
6.6 ComportamientoHumano
102
6.6.1 RQ15Educacinyentrenamientodeusuarios.
ParaunaeducacinefectivadetodoslosusuariosdesistemasdeTI,incluyendo
aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento
de cadagrupo deusuarios. Adems de identificarlas necesidades, esteproceso
incluye la definicin y ejecucin de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de
entrenamientoincrementaelusoefectivodelatecnologaaldisminuirloserrores,
incrementando la productividad y el cumplimiento de los controles clave tales
comolasmedidasdeseguridaddelosusuarios.
6.6.1.1 ActividadesdeControl
103
iv. Verificar de forma peridica que el personal tenga las habilidades para
cumplirsusrolesconbaseensueducacin,entrenamientoy/oexperiencia.
DefinirlosrequerimientosesencialesdehabilidadesparaTIyverificarque
se les d mantenimiento, usando programas de calificacin y certificacin
segnseaelcaso.CobiT4.1
v. ProporcionaralosempleadosdeTIlaorientacinnecesariaalmomentode
la contratacin y entrenamiento continuo para conservar su conocimiento,
aptitudes,habilidades,controlesinternosyconcienciasobrelaseguridad,al
nivelrequeridoparaalcanzarlasmetasorganizacionales.ISO9001:2008
6.6.1.2 IndicadoresdeGestin
a) Nmerodellamadasdesoportedebidoaproblemasdeentrenamiento
b) PorcentajedesatisfaccindelosInteresadosconelentrenamientorecibido
c) Lapsodetiempoentrelaidentificacindelanecesidaddeentrenamientoy
laimparticindelmismo
e) LarotacindepersonaldeTI.
f) PorcentajedepersonaldeTIcertificadodeacuerdoalasnecesidadesdel
negocio.
104
7. GUADEIMPLEMENTACINDELMODELODEGOBIERNODETIPARA
ENTIDADESBANCARIASDECOLOMBIA
1. Sedocumentunaguadeimplementacindelmodelo
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto(veranexo4).
Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
por el IT Governance Institute, IT governance implementation21 que consta de
sietefases:
Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodelaimplementacin
7.1 Guadeimplementacindelmodelo
7.1.1 Fase1:Obtenerelcompromisodelaaltadireccin.
7.1.1.1 Objetivo:
Obtener el apoyo de la alta direccin y difundir entre las partes interesadas
(stakeholders) la decisin de la implementacin del modelo de gobierno de TI a
travsdelosmedioshabitualesdedivulgacininterna.
7.1.1.2 Actividades
1. PresentarelmodelodegobiernodeTIalaaltadireccin
21
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute
105
2. Explicarelalcancedelproyecto
3. Definirlosrolesylosresponsablesdelaimplementacindelproyecto
4. Definirunplandeimplementacin
5. Definiruncronogramadeimplementacin
6. Informaralaspartesinteresadas
7.1.1.3 Entregables
7.1.2 Fase2:Determinarelestadoactual
7.1.2.1 Objetivo:
Determinar,pormediodelmodelodeautoevaluacinpropuesto, unestadoactual
delniveldemadurezdeGobiernodeTIquesedesearaalcanzar
7.1.2.2 Actividades
2. ElresponsabledeTIdebediligenciarlaautoevaluacindeniveldemadurez
propuesta,lacualseencuentraenelanexo1.
7.1.2.3 Entregables
106
a) Diligenciamientodelaautoevaluacindeniveldemadurezdegobiernode
TI.
7.1.3 Fase3:Establecerelestadofuturodeseado.
7.1.3.1 Objetivo:
Determinar, con la ayuda del modelo de autoevaluacin propuesto, un estado
futurodeseado,delniveldemadurezdeGobiernodeTI.
7.1.3.2 Actividades
7.1.3.3 Entregables
a) Diligenciamientodelaautoevaluacindeniveldemadurezdegobiernode
TI.
7.1.4 Fase4:Identificarlasbrechas
107
7.1.4.1 Objetivo:
Con base en el estado actual y el estado futuro deseado resultantes de la
autoevaluacin,identificarlas brechasa sercerradas con el finde avanzar enla
implementacindelproyecto.
7.1.4.2 Actividades
1. Identificarlasbrechasexistentesentreelestadoactualyelestadodeseado
paracadaprincipio.
7.1.4.3 Entregables
a) Documentoconlasbrechasexistentesquesedeseancerrar
b) Documento con las acciones necesarias que ayuden a cerrar las brechas
existentes
7.1.5 Fase5:Definirelplandeimplementacin
7.1.5.1 Objetivo:
Establecer un plan de implementacin que permita alcanzar los objetivos
propuestos
7.1.5.2 Actividades
3. Convertirlasactividadesdecontrol,enproyectos,loscualesdeberntener
susresponsablesasignados,metas,recursosycronogramaaseguir.
4. Definirelordenenelcualseejecutarnlosproyectosestablecidos.
7.1.5.3 Entregables
c) Documentoconlosproyectosaimplementar,consusresponsables,metas,
recursos y cronograma, adems del orden de implementacin de los
proyectos
7.1.6 Fase6:Desarrollarelplandeimplementacin
7.1.6.1 Objetivo:
Desarrollarelplandeimplementacinplanteadoenlafaseanterior
7.1.6.2 Actividades
1. Implementarcadaproyectoenelordenestablecidoenlafaseanterior
2. Paracadaproyecto,gestionarlosrecursoseconmicos,fsicosyhumanos
necesarios adems de cualquier tipo de recurso necesario adicional para
llevaracabocadaproyecto
3. Realizarlasactividadesnecesariasencadaproyectoparadarcumplimiento
almismoenlostiemposplanteadosencadacronograma
4. Una vez terminado cada proyecto, realizar pruebas y realizar el cierre del
mismo.
109
5. Divulgar (socializar) entre las partes interesadas el fin del proyecto y
realizarcapacitacionesencasodesernecesarias
7.1.6.3 Entregables
c) Cierreformaldelproyecto,conlarespectivaaprobacindelresponsabledel
proyectoyelresponsabledeTIdelbanco
7.1.7 Fase7:Monitorearycontrolareldesempeodelaimplementacin
7.1.7.1 Objetivo:
Establecer revisiones peridicas alos proyectos implementados para validar que
cumplen con los objetivos y metas propuestos adems generar una
retroalimentacinconlasleccionesaprendidas.
7.1.7.2 Actividades
7.1.7.3 Entregables
b) Documentoconelresultadodelmonitoreoefectuado
110
111
8. VALIDACINDELAPROPUESTA
8.1 MetodologadeValidacin
ParavalidarelmodelodeGobiernodeTIenentidadesbancariasdeColombia,se
cre un resumen ejecutivo del mismo (ver anexo 5) y una encuesta en formato
digital(veranexo6)enelcualselesolicitaungrupodeexpertosqueconbase
en dicho resumen ejecutivo evaluaran ciertos aspectos que se describen ms
adelante.
Losaspectosavalidarfueronlossiguientes:
Validacindelaaplicabilidaddelaguadeimplementacinpropuestapara
el modelodeGobiernodeTIenentidadesbancariasdeColombia
8.2 SeleccindeExpertos
ParalavalidacindelapropuestadelmodelodeGobiernodeTIparaentidades
bancarias de Colombia, se seleccion un grupo de expertos compuesto por
personascuyoperfilreunieraporlomenosunodelossiguientesaspectos:
ExperienciaenreasdeTIdelalgnbancoenColombia
ExperiencialaboralengobiernodeTI
ExperienciaendocenciadegobiernodeTI
Ttulouniversitarioeningenieradesistemasy/osimilares,conmaestraen
elcampodelossistemasyconocimientosdegobiernodeTI
Ttulo universitario en ingeniera de sistemas y/o similares, dueo de
empresasdetecnologalascualestenganreconocimientoanivelnacional
internacional
112
Laspersonasseleccionadasfueronlassiguientes:
JessEmilioZabala(Respondilaencuesta)
SubgerentedeDesarrolloymantenimiento
BancodeOccidente
JosMiguelLpez(Respondilaencuesta)
GerentedeTI
BancoWWB
FabinAndrsCardenas(Respondilaencuesta)
Coordinadordeproyectos
Bancoomeva
IngridLuciaMuoz(NOrespondilaencuesta)
DocenteMaestra
UniversidadIcesi
LilianadelSocorroGmez(Respondilaencuesta)
DocenteMaestra
UniversidadIcesi
FranciscoAgrayCorts(Respondilaencuesta)
GerenteOficinadeProyectos
SigifredoQuinteroContreras(Respondilaencuesta)
ConsultordeTI
AntonioFernndezMartnez(Respondilaencuesta)
DocenteUniversitario
UniversidaddeAlmeraEspaa
FabinGonzlezValencia(Respondilaencuesta)
GerentedeTI
Ecom
Lasobservacionesrealizadasporelgrupodeexpertossedetallanacontinuacin
y los resultados de la encuesta se encuentran en el Capitulo 9 Resultados
Obtenidos:
113
Observacinrealizada Detalledela Respuestaala
por Observacin Observacin
NosenqupartedelModelo Lacircular014de2009
deGobiernoincorporenla especificatextualmenteenel
necesidaddearticularlos captulo7.6.2.quelas
ObjetivosEstratgicosdeTI entidadesbancariasdebern
conlosObjetivosEstratgicos disearunSistemadeControl
delNegocio. Interno(SCI)paralagestin
FranciscoAgrayCorts delatecnologa,queresponda
alaspolticas,necesidadesy
expectativasdelaentidadya
lasexigenciasnormativas,con
elpropsitodecontribuiral
logrodelosobjetivos
institucionales
ComoModelodeGobierno Consideramosquepuede
deberanproponer llegaraserprudente,sin
MecanismosdeGobiernode embargo,considerandolas
TI(diferentescomits, diferentesnormativasy
FranciscoAgrayCorts ejecutivosaniveldelnegocio, mecanismosdecontroldela
aniveldeproyectos,tcnicos, superintendencia,
operativos,entreotros) consideramosquenoes
necesarioproponermas
comitsdecontrol
Otroaspectoqueesclaveen ElRQ15,ensusactividades
TIeslaCapacitacin,enel decontrol,estorientadotanto
FranciscoAgrayCorts RQ15loveomuyfocalizadoa alusuariodeTIcomo al
Usuarios,peronosednde usuarionoTI
quedelagentedeTI.
Enlapropuestade Seactualizolaguade
ImplementacindelModelo implementacinenlaFase7
basadosenelITGovernace quedandodelasiguiente
Institute,nosesienelpunto forma:Monitorearycontrolar
queserefierenaEstablecerel eldesempeodela
estadofuturodeseado,ese implementacin
FranciscoAgrayCorts
seraelModeloqueestn
proponiendoycontralse
estableceranlasbrechas,de
noseras,elmodelo
propuestoquedaraflotando
enlaImplementacin..
EnlapartedelContextodel SeamplielCapitulo3
Trabajo,paraunamayor ContextodelSectorBancario
claridad,sepodra Colombiano,paradar
contextualizardesdeel respuestaalaobservacin
SistemaFinancieroen planteada
Colombia,sucomposicinyen
SigifredoQuinteroContreras
estecontexto,
cmoseubicanlos
EstablecimientosBancariosen
elmarcogeneralyenlos
establecimientosdecrdito,
diferencindolosdelas
114
corporacionesfinancieras,las
compaasdefinanciamientoy
lascooperativasfinancieras.
EnelModelodeGobiernode Noseincluydentrodela
TIpropuestonoaparece graficadelmodelo,porquela
explcitoelnombrede Autoevaluacinsequiere
SigifredoQuinteroContreras Autoevaluacin.Sugierodejar presentarconuncomplemento
lapalabraAutoevaluacin (anexo)alapropuesta
arribadelaspalabras
EvaluarDirigirControlar
InfraestructuradeTecnologa: ElRQ02estranversarconlos
confirmarsistaserefiere indicadresperoestaorientado
sloalaAdquisicincomolo aquelosBancosdeben
planteaelModelo(RQ02)osi contarconprocesospara
estransversal(Estructura adquirir,Implementary
SigifredoQuinteroContreras organizacional,roles, actualizarlainfraestructura
factorhumanoyotros)como tecnolgicadeacuerdoconlas
losIndicadoresdeGestino estrategiastecnolgicas
lasActividadesdeControl. convenidasyladisposicindel
ambientededesarrolloy
pruebas.
AlRequerimiento Seactualizeneltrabajo
Documentacin(RQ19) quedandoGestindela
SigifredoQuinteroContreras quedaramsclarosisele Documentacin
anteponelapalabra
AdministracinoGestin.
EnlaEstructuradelModelode Nuestromodelosebasaenel
GobiernodeTIPropuesto normaISO38500,lacual
recomiendoincluiren: abordaen3desus6
principioslosaspectosde
Responsabilidad:Polticasy Responsabilidad,Desempeo
Procedimientos,Innovacin. yComportamientoHumano,
Desempeo:Administracin sobreloscualescreamos
deserviciosdeAsistencia actividadesdecontrol,
SigifredoQuinteroContreras
Tecnolgica(ITIL). tendientesacumplirconlos
ComportamientoHumano: aspectosquesesugierenenla
GestindelFactorHumano. observacin
ConsolidarCulturadel
GobiernodeTI.Segestionala
TI,peroesclavegestionar
todolorelacionadoconel
factorhumano.
Sesugiereadicionarcomo LanormaISO38500incluye
principiooincluirenotro: unprincipiocumplimientoenel
cualsepidecumplircontodos
GestindelRiesgo. losaspectoslegales
InvestigacinyDesarrollo. (incluyendolosrelacionados
PatentesyDerechosde conderechosdeautor).En
SigifredoQuinteroContreras
Autor. cuantoalaGestindelRiesgo
locubreconsuprincipiode
Desempeo.Elapartadode
InvestigacinyDesarrollono
estincluidoyloplanteamos
enelCapitulo10Trabajo
115
Futuro
Nossilotenganenel EnelAnexo2seincluyeun
documento,perolomenciono: glosarioconlostrminosms
tenerunglosariodetrminos. relevantesusadosennuestra
SigifredoQuinteroContreras
Esimportantedefinirlas propuesta
palabrasclave,inclusoincluir
suetimologa:
EncuantoalaGuade SeactualizolaFase7dela
ImplementacindelModelo gua,quedandodelasiguiente
recomiendoincluirunltimo forma:Establecerrevisiones
tem:Fase8:Lecciones peridicasalosproyectos
SigifredoQuinteroContreras Aprendidasy implementadosparavalidar
Retroalimentacin. quecumplenconlosobjetivos
ymetaspropuestosadems
generarunaretroalimentacin
conlasleccionesaprendidas
Creoqueentrelos19 Los19requerimientosdeTI,
requerimientosquehabeis losobtuvimosdelacircular
seleccionadocubrsbastante 014de2009,portalmotivo
bienelmbitodelgobiernode tomamossumismaredaccin
AntonioFernndezMartnez lasTIperoalgunosdeellos
estnredactadosdemanera
quesonpropiosdelnivelde
GestinoAdministracinde
lasTIynodeldeGobierno
Nosemuybienquinvaa Recibimoslaobservacinpero
rellenarestaautoevaluacin, nolacompartimosporque
perodeberanhacerlolos pensamosquesonlos
directivosdebanca directivosdeTI,losms
AntonioFernndezMartnez
indicadospararesponderla
autoevaluacin,debidoaque
losaspectosqueseevalan
sonorientadosaTI
Tabla10:Relacindeobservacionesdelgrupodeexpertos
116
9. RESULTADOSOBTENIDOS
Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:
ModelodeGobiernodeTIparaentidadesbancariasdeColombia
UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008
UnaGuadeImplementacinparamodelopropuesto
117
Principio1
Responsabilid
ad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamien
Estrategia
toHumano 2
1
NIVEL
0 DESEADO
Principio4
Desempeo
Figura16:Promediodeniveldemadurezde3EntidadesBancariasdeColombia,segnelmodelo
propuesto
Respectoalosresultadosdelaencuestaparaeljuiciodeexpertos(veranexo6),
seobservaquedelos19RequerimientosdeTIpropuestosparahacerpartedeun
modelodegobiernodeTI, 3fueronvotadoscon100%,7con86%y9conel71%
locualsignificaqueensumayorasonaceptados.
Losresultadosdeljuiciodeexpertosfueronlossiguientes:
118
1) Del listado de 19 requerimientos de TI que ordena la circular externa 014 de
2009,porfavorseleccionelosqueustedconsideraquedebenhacerpartedeun
modelodegobiernodeTI
RQ1 100%
RQ2 86%
RQ3 100%
RQ4 86%
RQ5 71%
RQ6 86%
RQ7 86%
RQ8 71%
RQ9 71%
RQ10 71%
RQ11 71%
RQ12 86%
RQ13 100%
RQ14 86%
RQ15 71%
RQ16 71%
RQ17 71%
RQ18 86%
RQ19 71%
0% 20% 40% 60% 80% 100%
Figura17:Resultadospregunta1delaencuesta
119
2,Estausteddeacuerdooendesacuerdo,enquelos19
requerimientosdeTIidentificadossonvalidos,apropiados
ysirvendebaseparaelmodelodeGobiernodeTIpara
entidadesbancariasdeColombia
Deacuerdo Endesacuerdo
14%
86%
Figura18:Resultadospregunta2delaencuesta
3.TeniendoencuentaelmodelodeGobiernodeTIpara
entidadesbancariasdeColombiadelresumenejecutivo
(numeral2.3,pag.7),consideraustedqueelmodelo
propuestoesadecuadooinadecuado
0%
Esadecuado
Esinadecuado
100%
Figura19:Resultadospregunta3delaencuesta
120
4.TeniendoencuentalaestructuradelmodelodeGobierno
deTIparaentidadesbancariasdeColombiadelresumen
ejecutivo(numeral2.4,pag.8),consideraustedquela
estructuradelmodelopropuestoesadecuadaoinadecuado
0%
Esadecuado
Esinadecuado
100%
Figura20:Resultadospregunta4delaencuesta
5.Respectoalaautoevaluacindeniveldemadurezde
GobiernodeTIpropuesta(numeral2.5,pag9),ustedla
consideraapropiadaoinapropiada
0%
Esapropiada
Esinapropiada
100%
Figura21:Resultadospregunta5delaencuesta
121
6.Encuantoalas7fasesparalaimplementacindelmodelo
deGobiernodeTI,descritasenelresumenejecutivo
(numeral2.6pag.12),ustedlasconsideraadecuadasy
suficientesparalallevaracabolaimplementacin
0%
Sisonadecuadasy
suficientes
Nosonadecuadaso
suficientes
100%
Figura22:Resultadospregunta6delaencuesta
7.Considerandodeformaglobalelresumenejecutivo
enviado,ustedconsideraviableoinviablelaimplementacin
delmodelopropuestodeGobiernodeTIparaentidades
bancariasdeColombia
0%
Esviable
Esinviable
100%
Figura23:Resultadospregunta7delaencuesta
122
10. CONCLUSIONESYFUTUROTRABAJO
10.1 Conclusiones
LoanteriorimplicaquesibienesciertogobiernodeTIesunproductogenrico
que puede adaptarse a cualquier tipo de organizacin, s se hace imperativo
realizar un amoldamiento a la realidad de la industria particular que desea
implementar.
Casocontrariosucedeconotrossectorescomercialesdelpas,loscualesdeben
seguir un camino ms complejo y extenso, debido a que se debe partir por
verificar si tienen procesos claves documentados y de no ser as, se debe
comenzar por conseguir esta informacin con las personas que lideran los
diferentes procesos, con la dificultad agravada que tal vez estas personas no
tienenelconocimientonecesarioparaentregarinformacinclaveyrelevantedela
organizacinydeTI.
Respectoalosmarcosdereferencia,todossonmuyvaliososyestnprecedidos
de muchas horas de trabajo, de muchas personas con un conocimiento y
experienciaindiscutibleasmismo,seobserva quelosmarcosbasedeGobierno
123
deTItienenmuchascosasencomnynoesdifcilhacerasociacionesentreellos,
por tal motivo cualquier marco base (sabindolo aplicar) resultar til para la
implementacindeGobiernodeTI.
10.2 TrabajoFuturo
Sibienesciertoestemodelopropuestocuentaconlaaceptacinenteoradeun
juicio de expertos con conocimientos y experiencia en la materia, se hace
determinante dar salto de la teora a la prctica, por ende el trabajo futuro
inmediatodebesereldeimplementarelmodeloenalgnbancodepasyhacer
seguimiento al proceso de implementacin, de modo que se pueda validar en la
prctica los conceptos planteados de manera terica y que a su vez pueda
entregaraportes que permitan elmejoramiento continuodel modelo(porejemplo
incluir un principio de innovacin y desarrollo) en pro de tener un modelo de
gobiernodetiparaelsectorbancariodeColombia,cadavezmsdepurado.
Porltimoyconelnimodeextenderelalcancedeestemodelodegobiernode
TI,untrabajofuturoseraeldeevaluarlaadaptabilidaddelmismoaotrossectores
similares,demodoquenoseapliquenicamentealsectorbancario,sinotodoal
sectorfinancierodispuestoeneldecreto663de1993comolosonporejemplolas
CorporacionesdeAhorroyVivienda,lasCompaasdefinanciamientocomercialy
lasCooperativasFinancieras
124
11. BIBLIOGRAFA
IngridLucaMuozPerinMsC,GonzaloUlloaVillegas,Artculo:Gobiernode
TI Estado del arte, Revista S&T, Universidad Icesi, Cali, 2011
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.
pdf
ITGovernanceInstitute,AlineandoCOBIT4.1,ITILV3eISO/IEC27002en
beneficiodelaempresa.2008,
http://www.isaca.org/KnowledgeCenter/Research/Documents/AlineandoCobit
4.1,ITILv3yISO27002enbeneficiodelaempresav2,7.pdf.
125
IT Governance Institute, Informe: Global Status Report on the Governance of
EnterpriseIT,2011,
http://www.isaca.org/KnowledgeCenter/Research/Documents/GlobalStatus
ReportGEIT10Jan2011Research.pdf
ISACA Manuel Ballester, Ph.D, Artculo: Gobierno de las TIC ISO/IEC 38500,
IsacaJournal,2010,
AntonioFernndezMartnez,GobiernodelasTIparauniversidades,Universidad
deAlmeraFaranLlorensLargo,UniversidaddeAlicante,2011
126
12. ANEXOS
Anexo 1: AutoevaluacindeniveldemadurezdeGobiernodeTIpropuesta.(ver
archivoAnexo1.doc)
Anexo2:Guaparaeldiligenciamientodelaautoevaluacindeniveldemadurez
deGobiernodeTIpropuesta.(verarchivoAnexo2.doc)
Anexo3:Formatodeanlisisderesultados(verarchivoAnexo3.xls)
Anexo6:Encuestaenformatodigitalparaeljuiciodeexpertos(verarchivoAnexo
6.pdf y/o la encuesta en lnea en
https://docs.google.com/spreadsheet/viewform?formkey=dHJ0ZFNEcnRJeWlNRV
VhV0owdHNNZGc6MQ)
127
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
ANEXO1AutoevaluacindeniveldemadurezdeGobiernodeTI
En la organizacin no se Los directores de TI, Los directores de TI dirigen LosdirectoresdeTIcuentan Los directores de TI
cuenta con proyectos de conocen pero no dirigen los todos los proyectos de con un procedimiento verifican que todos los
tecnologa. proyectosdetecnologaque tecnologa de la documentado para ayudar a proyectos de tecnologa,
se establecen en la alta organizacin. evaluar el cumplimiento de estn alineadas con las
gerencia de la organizacin las metas de los proyectos responsabilidades
(uotrasreas) Los Directores de TI, detecnologaquedirigen. asignadasalreadeTI
Dirigir
Los directores de TI tienen Los directores de TI Los directores de TI Los directores de TI Tambin supervisan y/o
algn conocimiento acerca conocen y supervisan que supervisan y/o auditan supervisan y/o auditan auditan peridicamente que
degobiernodeTI. se hayan establecido los peridicamente el peridicamente el los individuos o grupos
mecanismos adecuados funcionamiento de los desempeo de aquellos a dentro de la organizacin
Controlar
119
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
Los usuarios conocen los Los usuarios de la La Organizacin fomenta y Los directores de TI tienen Los directores de TI
procesos de TI de la Organizacin estn estimula la presentacin de establecidos procedimientos fomentan y evalan que
Organizacin. autorizados para presentar propuestasdeinnovacinde y/o formatos para la estaspropuestaspermitan a
Dirigir
120
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
Los directores de TI Los directores de TI Los directores de TI Los directores de TI Los directores de TI
gestionan y mantienen los adquieren tecnologa de verifican que se incluya la verifican el cumplimiento de gestionan los acuerdos de
activos de TI (sistemas e forma correcta, clara y respectiva documentacin los acuerdos de nivel de nivel de servicio (tanto
infraestructura) transparente, teniendo en (instructivos,manuales,etc.) servicio(tantointernoscomo internos como externos) de
cuenta los requerimientos delatecnologaadquirida,a externos) modo que aseguran que
Dirigir
que las inversiones, en inversiones en TI, que permita evidenciar el proveedores de tecnologa estratgicas con los todos
trminos generales, estn proporcionan las resultado de la supervisin soloenocasionespuntuales los proveedores de
acordesconlasrequeridas. capacidades requeridas realizada en las inversiones tecnologa.
para las cuales fueron deTI
adquiridas.
121
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
tecnologa de la informacin documentadosquepermiten encuentra supervisado, de supervisan el presupuesto que impacten directamente
dasoportealnegocio. prever cuando la tecnologa renovacin de la tecnologa asignado por la losobjetivosdelnegocio.
delainformacin,se acerca de la informacin, de igual Organizacin para la
alfinaldesuvidatil forma se tiene asegurado inversindeTI
los recursos para dicha
renovacin.
122
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
cumple con todos Informacin de la documentadasydetallanlos prcticas y polticas informacin satisfacen las
lineamientos establecidos Organizacin cumple con requerimientoslegalesdeTI expresadas por la obligacionesreglamentarias,
porlaOrganizacin todas las leyes y los querigenalaOrganizacin. Organizacin. legislativas, de ley,
reglamentosobligatorios. contractuales, las polticas
internas, las normas y las
directricesprofesionales.
La Organizacin garantiza Los directores de TI Los directores de TI Los resultados de estas La organizacin cuenta con
3.6Principio5:Conformidad
que se cumple con las colaboran con la Alta supervisan peridicamente supervisionesseencuentran directrices claras que
obligaciones legales Gerencia a establecer que se cumpla con las documentadas y son regulan el comportamiento
pertinentes. mecanismos regulares y obligaciones internas y analizadas peridicamente de los usuarios con relacin
rutinarios para garantizar externas en el uso de la en busca de la mejora alasTIdelaOrganizacin.
Dirigir
123
UniversidadIcesi
AutoevaluacindeniveldemadurezdeGobiernodeTIBasadaenlaNormaISO38500
AjustadaconlaNormaISO9004
Agosto2012
informacin. individuosocomogrupos.
Adems,losdirectoresdeTI
3.7Principio6:ComportamientosHumanos
son conscientes (y lo
documentan como un
riesgo) que estos
comportamientos humanos
pueden afectar el
rendimiento las tecnologas
delainformacin
Los directores de TI dirigen LosdirectoresdeTIcuentan La Organizacin cuenta con Todos los reportes acerca Los directores de TI
de tal manera que las con mecanismos que polticas y/o procedimientos de los riesgos, analizan peridicamente
actividades de TI sean permiten que cualquier que permiten escalar los oportunidades, problemas y todos los reportes
consistentes con el persona en cualquier riegos reportados hasta las preocupaciones generados en busca de
Dirigir
comportamiento humano momento puedaidentificar y personas correspondientes relacionados con las mejoras para la
identificado. reportar riesgos, a cargo de la toma de tecnologas de la Organizacin
oportunidades, problemas y decisiones. informacin, se encuentran
preocupaciones debidamentedocumentados
relacionados con las
tecnologas de la
informacin
La Organizacin supervisa La Organizacin analiza los Los directores de TI La Organizacin supervisa Los directores de TI
peridicamente el nivel de resultados de la supervisin supervisan peridicamente peridicamente que las supervisan las prcticas
satisfaccin del de los comportamientos cmo los comportamientos polticas, prcticas y laborales de los usuarios,
Controlar
comportamiento humano. humanos y brinda la humanos afectan el decisiones de TI con el fin de asegurar que
(Por mediode encuestas de atencin adecuada que se rendimiento de las demuestren respeto por el sean consistentes del uso
climalaboral,porejemplo). requiera para mejorar nivel tecnologas de la comportamientohumano adecuado de la tecnologa
desatisfaccin. informacin. deinformacin.
124
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012
ANEXO2
GuaparaeldiligenciamientodelaEncuesta
AutoevaluacindeniveldemadurezdeGobiernodeTI
Laencuestaesunaherramientadediagnsticocuyoobjetivoesdeterminarelestadodemadurez
de la implementacin de Gobierno de TI en los Bancos de Colombia, con el fin de generar un
modelo de implementacin acorde a las necesidades de las organizaciones que permita una
adecuadaimplementacindelmismo.Acontinuacinsedetallaunabreveexplicacindelaspartes
queconformanlaencuesta:
Principio1Responsabilidad:Esteapartadorefiereaquelosindividuosogruposdentrodela
organizacinentiendenyaceptansusresponsabilidadesconrespectotantoalsuministrocomoala
demandadeTecnologadelainformacin.Aquellosconresponsabilidaddelasaccionestambin
tienenlaautoridadparaejecutartalesacciones.
Principio2Estrategia:Conesteapartadolaestrategiadenegociosdelaorganizacintomaen
consideracin las capacidades actuales y futuras de la tecnologa de la informacin los planes
estratgicosparalaTecnologadelaInformacinsatisfacenlasnecesidadesactualesycontinuas
delaestrategiadenegociosdelaorganizacin.
Principio3Adquisicin:EnesteapartadolasadquisicionesdeTecnologadelainformacinse
hacen por razones vlidas, con base en el anlisis adecuado y continuo, con una toma de
decisiones clara y transparente. Existe el equilibrio adecuado entre beneficios, oportunidades,
costosyriesgos,tantoacortocomoalargoplazo.
Principio 4 Desempeo: En este apartado la tecnologa de la informacin es adecuada para
brindar soporte a la organizacin, suministrando los servicios, niveles de servicio y calidad del
servicioqueserequierenparasatisfacerlosrequisitosactualesyfuturosdelnegocio.
Principio 5 Conformidad: En este apartado la tecnologa de la Informacin cumple con todas
las leyes y los reglamentos obligatorios. Las polticas y las prcticas estn definidas,
implementadasysehacencumplir.
Principio6ComportamientoHumano:Conesteapartadolaspolticas,prcticasydecisiones
con respecto a la Tecnologa de la Informacin demuestran respeto por el comportamiento
humano,incluyendolasnecesidadesactualesyevolutivasdetodaslaspersonasenelproceso.
Adems, por cada principio se encuentran 3 tareas que permite a los directores controlar la
TecnologadelaInformacin:
a. Evaluarelusoactualyfuturodelatecnologadelainformacin
125
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012
b. Dirigirlapreparacineimplantacindelosplanesylaspolticasparagarantizarqueeluso
delaTIsatisfacelosobjetivosdelnegocio.
c. Controlar laconformidadconlaspolticasyeldesempeofrentealosplanes.
DIRECTOR:Miembrodelorganismodegobiernomsaltodelaorganizacin.Seincluyendueos,
miembrosdelajunta,socios,ejecutivosdealtonivelosimilaresyfuncionariosautorizadosporla
legislacinolosreglamentos.
GESTIN: Es el sistema de controles y procesos que se requieren para lograr los objetivos
estratgicosestablecidosporelorganismodegobiernodeunaorganizacin.Lagestinestsujeta
alasdirectricesylasupervisindelapolticaestablecidasatravsdelgobiernocorporativo.
RIESGO:Eslacombinacindelaprobabilidaddeuneventoysuconsecuencia.
126
UniversidadIcesi
GuaparadiligenciamientodelaEncuestaAutoevaluacindeniveldemadurezdeGobiernodeTI
Agosto2012
GESTIN DE RIESGOS: Son aquellas actividades coordinadas para dirigir y controlar una
organizacinrespectoalosriesgos.
ESTRATEGA: Plan global de desarrollo de una organizacin que describe el uso eficaz de los
recursos que dan soporte a las actividades futuras de la organizacin. La estrategia implica el
establecimientodeobjetivosylapropuestadeiniciativasparalaaccin.
IMPORTANTE
Tengaencuentaquelaencuestaesunmecanismoparaidentificarelniveldemadurezde
GobiernodeTIensuOrganizacin,porlotantorecomendamosqueseamuyobjetivocon
susrespuestasconelfindeobtenerinformacinrelevanteyreal.
RecuerdequeparaquesuOrganizacinseencuentreenniveldemadurezdebecumplir
totalmenteconlasprcticasdelosnivelesinmediatamenteanteriores.
EstablezcaelniveldeseadoalqueesperarallegarsuOrganizacinporcadaunodelos
principiosdelaencuesta.
127
ANEXO3
FormatodeAnlisisdeResultados
NiveldemadurezdeGobiernodeTIenelsectorBancarioNivelActual
Principios Calificacin Total
Evaluar 0
Principio1Responsabilidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio2Estrategia Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio3Adquisicin Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio4Desempeo Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio5Conformidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio6ComportamientoHumano Dirigir 0 0,0
Controlar 0
NiveldemadurezdeGobiernodeTIenelsectorBancarioNivelDeseado
Principios Calificacin PromedioTotal
Evaluar 0
Principio1Responsabilidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio2Estrategia Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio3Adquisicin Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio4Desempeo Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio5Conformidad Dirigir 0 0,0
Controlar 0
Evaluar 0
Principio6ComportamientoHumano Dirigir 0 0,0
Controlar 0
NiveldemadurezdeGobiernodeTIenelsectorBancario
Principio1Responsabilidad 0 0 5
Principio2Estrategia 0 0 5
Principio3Adquisicin 0 0 5
Principio4Desempeo 0 0 5
Principio5Conformidad 0 0 5
Principio6ComportamientoHumano 0 0 5
Principio1
Responsabilidad
5
4 NIVEL
Principio6 ACTUAL
3 Principio2
Comportamient
Estrategia
oHumano 2
1
NIVEL
0 DESEADO
Principio4
Desempeo
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO1Responsabilidad
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5
Evaluar
5
PROMEDIO
4 NIVEL
3 ACTUAL
2
1 PROMEDIO
NIVEL
0 DESEADO
Evaluar
5
4 PROMEDIO
NIVEL
3 ACTUAL
2
1 PROMEDIO
NIVEL
0 DESEADO
NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO3Adquisicin
PROMEDIO PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
NIVELACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5
Evaluar
5
4 PROMEDIO
NIVEL
3 ACTUAL
2
1 PROMEDIO
NIVEL
0 DESEADO
NIVEL
Controlar Dirigir IDEAL
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO4Desempeo
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5
Evaluar
5
4 PROMEDIO
NIVEL
3 ACTUAL
2
1 PROMEDIO
NIVEL
0 DESEADO
NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO5Conformidad
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5
Evaluar
5
PROMEDIO
4
NIVEL
3 ACTUAL
1 PROMEDIO
NIVEL
0 DESEADO
NIVELIDEAL
Controlar Dirigir
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO6ComportamientoHumano
PROMEDIONIVEL PROMEDIONIVEL
PRINCIPIOS NIVELIDEAL
ACTUAL DESEADO
Evaluar 0 0 5
Dirigir 0 0 5
Controlar 0 0 5
Evaluar
5
4 PROMEDIO
NIVEL
3 ACTUAL
2
1 PROMEDIO
NIVEL
0 DESEADO
NIVELIDEAL
Controlar Dirigir
ANEXO4
EjemplodeimplementacindeunrequerimientodeTIdelmodelo
propuesto
Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual
Fase3Establecerelestadofuturodeseado.
136
NiveldeMadurez Escribasu
Escribasu
nivel
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5 nivelactual
deseado
En general, los individuos o Los directores de TI establecer Conrespectoalsuministroyala Los directores de TI tienen Los directores de TI, evalan la
gruposdentrodelaorganizacin reglas y responsabilidades con demanda de la informacin, los alineadas las reglas y competencia (capacidad,
no tienen claras sus relacinalusoactualyfuturode usuarios dentro de la responsabilidades con los autoridad, experiencia, etc.) de
responsabilidades con respecto la tecnologa de la informacin organizacin, entienden y objetivos actuales y futuros del aquellosaquienesselesasigna
alsuministro ya lademandade delaorganizacin. aceptan las reglas y negocio. la responsabilidad de tomar
lainformacin. responsabilidadesasignadaspor decisionesconrespectoaTI.
TI. Los niveles de entendimiento y (Los resultados de estas
aceptacin por parte de los evaluaciones se encuentran
usuarios,conrespectoalusode documentados)
la informacin, se encuentran
documentados
NivelActual
NivelDeseado
NiveldemadurezdeGobiernodeTIenelsectorBancario NivelActual
137
NiveldemadurezdeGobiernodeTIenelsectorBancario NivelDeseado
Promedio
Principios Calificacin
Total
Evaluar 5
Principio1 Responsabilidad Dirigir 4 4,3
Supervisar 4
Evaluar 4
Principio2 Estrategia Dirigir 4 3,7
Supervisar 3
Evaluar 5
Principio3 Adquisicin Dirigir 4 4,3
Supervisar 4
Evaluar 4
Principio4 Desempeo Dirigir 5 4,0
Supervisar 3
Evaluar 4
Principio5 Conformidad Dirigir 5 4,3
Supervisar 4
Evaluar 3
Principio6 ComportamientoHumano Dirigir 4 3,3
Supervisar 3
138
Principio1
Responsabilida
d
5
4
PROMEDI
Principio6
3 Principio2 ONIVEL
Comportamien ACTUAL
Estrategia
toHumano 2
1 PROMEDI
ONIVEL
0
DESEADO
NIVEL
Principio5 Principio3 IDEAL
Comformidad Adquisicin
Principio4
Desempeo
NiveldemadurezdeGobiernodeTIenelsectorBancario
PRINCIPIO2 Estrategia
PROMEDIO PROMEDIO
PRINCIPIOS NIVELIDEAL
NIVELACTUAL NIVELDESEADO
Evaluar 3 4 5
Dirigir 3 4 5
Supervisar 2 3 5
139
Evaluar
5
4 PROMEDIO
3 NIVEL
2 ACTUAL
1 PROMEDIO
0 NIVEL
DESEADO
NIVEL
Supervisar Dirigir IDEAL
Fase4:Identificarlasbrechas
Principio2Estrategia
Nivelactual:3
Los directores de TI evalan y monitorean las
actividades de TI, pero no aseguran que estas
se mantengan (con el paso del tiempo)
alineadasconlosobjetivosdelaorganizacin.
NivelDeseado:4
140
TI es que ayuda a gestionar y dirigir todos los
recursosdeTI,portalmotivoseraidealcontar
conunpresupuestoclaroparaTI
Ademsunplanestratgicoayudaaevaluarel
desempeoactual,identificalacapacidadylos
requerimientos de recursos humanos, por tal
motivo se debe contar con una evaluacin
actualizada del desempeo, la capacidad y los
recursoshumanosdisponibles
Fase5:Definirelplandeimplementacin
Documentosconlasbrechasquesern Pormotivosdelejemplolanicabrecha
cerradasycualesquedarnplanteadas quesercerradaesladecontarconun
paraunfuturo PlanEstratgicodeTI.
Documento con las actividades de Las actividades de control necesarias
control necesarias para cerrar las para cerrar esta brecha son tomadas
brechas del modelo de Gobierno de TI para
entidadesbancariasenColombia,enel
captulo 7.2 Estrategia, 7.2.1 RQ01
Planestratgicodetecnologa:
Evaluareldesempeodelosplanesexistentes
y de los sistemas de informacin en trminos
de su contribucin a los objetivos de negocio,
su funcionalidad, su estabilidad, su
complejidad, sus costos, sus fortalezas y
debilidades.
141
obtencin, la estrategia de adquisicin, y los
requerimientos legales y regulatorios. El plan
estratgico debe ser lo suficientemente
detallado para permitir la definicin de planes
tcticosdeTI.
Estoincluyeclarificarlosresultadosdenegocio
deseados, garantizar que los objetivos de los
programas den soporte al logro de los
resultados, entender el alcance completo del
esfuerzo requerido para lograr los resultados,
definir una rendicin de cuentas clara con
medidas de soporte, definir proyectos dentro
del programa, asignar recursos y
financiamiento, delegar autoridad, ycomisionar
los proyectos requeridos almomento delanzar
elprograma.
Documento con los proyectos a De cada de las actividades de control
implementar, con sus responsables, detalladas en el paso anterior se debe
metas,recursosycronograma,adems generar uno o varios proyectos los
del orden de implementacin de los cualesdebencontarconsurespectivos
proyectos responsables, metas recursos y
cronograma. Adems se debe
identificar en qu orden sern
implementados
Fase6:Desarrollarelplandeimplementacin
Listado con los recursos necesarios Para cada proyecto se debe gestionar
para la implementacin de cada losrecursosnecesariosparagarantizar
proyecto la implementacin de cada proyecto.
Dichos recursos deben quedar
plasmadosenundocumentoloscuales
deben contar con la aprobacin de la
altagerencia
Listado con las pruebas realizadas De cada una de las actividades se les
(ejecutadas y aceptadas) a las debe realizar pruebas (o indicadores)
actividadesimplementadas para determinar que las actividades de
control (proyectos) estn dando los
142
resultadosesperados:
ElporcentajedeproyectosTIenelportafoliode
proyectosquesepuedenrastrearhaciaelplan
tcticodeTI
Fase7:Monitorearycontrolareldesempeodelaimplementacin
Unodeestosmecanismospodraserel
de realizar de nuevo la autoevaluacin
de nivel de madurez de gobierno deTI
y validar si con los proyectos
implementados se alcanz el nivel
deseado.
Documento con el resultado del El resultado de las verificaciones del
monitoreoefectuado paso anterior se deben documentar y
presentar al responsable de TI y a la
alta gerencia para que se tomen las
medidasqueseconsiderennecesarias.
143
ANEXO5
RESUMENEJECUTIVO
ModeloyguaparalaimplementacindeGobiernodeTIenEntidades
BancariasdeColombia
PROYECTODEGRADODEMAESTRA
Ing.MaraHelenaCorreaCorrea
Ing.BreynerAlexanderParraRojas
Asesor
Ing.HernandoPeaVillamil
MagisterenTeleinformtica
CertificadoPMP,ITIL,COBIT,ISO27001
FACULTADDEINGENIERA
DEPARTAMENTOACADMICODETECNOLOGASDEINFORMACINY
COMUNICACIONES
MAESTRAENGESTININFORMTICAYTELECOMUNICACIONES
SANTIAGODECALI
2012
145
RESUMEN
1
Orgenes de la banca comercial en Colombia. Banco de la Republica.
http://www.banrepcultural.org/blaavirtual/revistas/credencial/marzo2001/135origenes.htm
2
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
3
Decreto 4327 de 2005. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/dec432705.doc
4
Caso de Estudio: Banco Supervielle S.A., Argentina. ISACA.
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBanco
SupervielleSAArgentina.aspx
146
1. INTRODUCCIN
1.1 ContextodelTrabajo
1.1.1 EstablecimientosBancarios
Sonestablecimientosbancarioslasinstitucionesfinancierasquetienenporfuncin
principallacaptacinderecursosencuentacorrientebancaria,ascomotambin
lacaptacindeotrosdepsitosalavistaoatrmino,conelobjetoprimordialde
realizaroperacionesactivasdecrdito.
Losestablecimientosbancariossedividenendostipos:
Banco hipotecario:Laspalabrasbancohipotecariosignificanunestablecimiento
que hace el negocio de prestar dinero garantizado con propiedades races, que
debecubrirsepormediodepagosperidicosyparaemitircdulasdeinversin5.
1.1.2 EntidadesdeSupervisin
Es importante saber que todas las entidades que hacen parte del sistema
financieroestnsujetasalaregulacinysupervisinporpartedelasautoridades
deintervencin:elCongresodelaRepblica,elMinisteriodeHaciendayCrdito
PblicoylaSuperintendenciaFinanciera.Asmismo,estassonlasencargadasde
crear los marcos normativos y de velar porque los recursos de las personas,
empresas y el gobierno se encuentren seguros en manos de las diferentes
instituciones.Adems,laSuperintendenciaFinancieratambintienefuncionesde
inspeccin,vigilanciaycontrolsobrelasentidades6.
1.1.3 GobiernodeTI
5
Decreto 633 de 1993. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte01.pdf
6
Informacin al consumidor financiero. ASOBANCARIA.
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_financiero_y
_banca/
147
agregandovalor,altiempoqueseobtieneunbalanceentreelriesgoyelretorno
sobre inversiones en TI. El gobierno de TI integra e institucionaliza las buenas
prcticasparagarantizarqueTIenlaempresasoportalosobjetivosdelnegocio.
Facilita que la empresa aproveche al mximo su informacin, maximiza los
beneficios, capitaliza las oportunidades y gana ventajas competitivas. Muchas
organizaciones cuentan con diferentes marcos de Gestin deTI (CobiT, Itil, etc.)
sin embargo, cuando estos marcos de trabajo y estndares son utilizados
colectivamente, se vuelven muy confusos y obstruyen el propsito principal del
GobiernodeTI7
1.2 PlanteamientodelProblema
1.3 Objetivos
1.3.1 ObjetivoGeneral.
1.3.2 ObjetivosEspecficos:
7
Artculo: Gobierno de TI Estado del arte. Ingrid Luca Muoz Perin MsC, Gonzalo Ulloa
Villegas. Revista S&T, Universidad Icesi.
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf
148
2. Realizar un anlisis de los marcos para Gobierno de TI existentes y
determinar cules son los ms apropiados para la creacin del modelo a
implementar.
3. CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI
6. Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
rbricaquepermitasuevaluacin.
2. MODELODEGOBIERNODETIPROPUESTO
2.1 ContextodelModelo
1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
4. Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidad
ycomercioelectrnico.
5. Administracindeproyectosdesistemas.
8
Circular Externa 014 del 2009. Superintendencia Financiera de Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
149
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftwaredeaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
11. Administracindeserviciosconterceros.
12. Administracin,desempeo,capacidadydisponibilidaddelainfraestructura
tecnolgica.
13. Continuidaddelnegocio.
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
17. Administracindeinstalaciones.
18. Administracindeoperacionesdetecnologa.
19. GestindelaDocumentacin.
Por tal motivo y para dar cumplimiento ala ley, las entidades bancarias cuentan
conunSistemade Control Interno para la gestin detecnologa,elcualest
encaminadoacubrirlos19requerimientosmencionadosyacontribuirallogrode
losobjetivosinstitucionales.
Cdigo RequerimientosdeTI
RQ01 Planestratgicodetecnologa.
RQ02 Infraestructuradetecnologa.
RQ03 Relacionesconproveedores.
Cumplimiento de requerimientos legales para derechos de autor,
RQ04
privacidadycomercioelectrnico.
RQ05 Administracindeproyectosdesistemas.
RQ06 Administracindelacalidad.
RQ07 Adquisicindetecnologa.
RQ08 Adquisicinymantenimientodesoftwaredeaplicacin.
RQ09 Instalacinyacreditacindesistemas.
RQ10 Administracindecambios.
RQ11 Administracindeserviciosconterceros.
RQ12 Administracin, desempeo, capacidad y disponibilidad de la
150
infraestructuratecnolgica.
RQ13 Continuidaddelnegocio.
RQ14 Seguridaddelossistemas.
RQ15 Educacinyentrenamientodeusuarios.
RQ16 Administracindelosdatos.
RQ17 Administracindeinstalaciones.
RQ18 Administracindeoperacionesdetecnologa.
RQ19 GestindeDocumentacin.
Tabla1:Identificacindelos19requerimientosdeTIseleccionados
2.2 SeleccindelmarcodereferenciadelmodelodeGobiernodeTI.
ParalacreacindelmodelodeGobiernodeTIfuenecesarioseleccionarunmarco
basedereferenciayotrosmarcosqueapoyenlasestrategiasdeGobiernodeTI.
Losmarcosdeapoyoquecomplementanelmarcobaseyapoyanlasestrategias
deGobiernodeTIson:CobiT4.1,CMMI,ISO27001,ISO27002eISO9001.
151
El modelo de Gobierno de TI para las Entidades Bancarias planteado en este
proyecto,respondealasactividadesprincipalesdefinidasporlanormaISO38500
de Evaluar la utilizacin actual y futura de las TI. Dirigir la preparacin e
implementacindelosplanesypolticasqueasegurenquelautilizacindelasTI
demodoquealcancenlosobjetivosinstitucionalesyControlareldesempeode
latecnologadelainformacin,atravsdesistemasdemedicinadecuados.
MODELODEGOBIERNODETI
Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano
ActividadesdeControl
IndicadoresdeGestin
Figura1:ModelodeGobiernodeTIparaentidadesbancariasdeColombiaPropuesto
2.4 EstructuradelModelo
ElmodelodeGobiernodeTIparaentidadesbancariasseencuentraestructurado
delasiguientemanera:
152
Actividades
Principios Requerimientos deTI Indicadores
deControl
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 Documentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
RQ03 Relacionesconproveedores. 4 1
Adquisicin
RQ07 Adquisicindetecnologa. 4 3
Adquisicin y mantenimiento de software de
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin, desempeo, capacidad y
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimiento de requerimientos legales para
Cumplimiento RQ04 derechos de autor, privacidad y comercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6
Tabla2:EstructuradelmodelodeGobiernodeTIpropuesto
2.5 AutoevaluacindeniveldemadurezdeGobiernodeTI.
153
ParacrearlaestructuradelaautoevaluacindelniveldemadurezdeGobiernode
TIenentidadesbancarias,seuslaNormaISO38500comobaseyseapoyen
losconceptosdeniveldemadurezCobiT,CMMIeISO9004.
2.5.1 AutoevaluacindeGobiernodeTIpropuesto
ElformatodeautoevaluacintomacomobaselanormaISO38500ylosprincipios
delosmodelosdemadurezdeCobiT,CMMIeISO9004(verfigura3)
2.5.2 RealizacindelaAutoevaluacin
ParalarealizacindelaautoevaluacindeGobiernodeTIsesiguieron3pasos:
PosteriormenteseutilizelformatodeautoevaluacindelanormaISO9004para
presentar la propuesta y permitir que los encargados de TI que las diligencien
definansunivelactualyniveldeseado.
Figura2:EsquemadelaAutoevaluacinpropuesta
154
Porcadaunodelos6principiosqueestablecelanormaISO38500,seplantearon
actividades divididas en 3 bloques que corresponden a las tareas principales
(Evaluar,DirigirySupervisar)(vertabla3)
Cadaactividadcuentacon5nivelesdemadurez(preguntas).Elprimernivelesel
cumplimientobsicodeunaactividaddelanorma.Paraavanzaralnivel2sedebe
cumplirconel100%dela(s)actividadesdelnivel1msla(s)actividaddelnivel2.
Para alcanzar el nivel 3 de madurez se debe cumplir con las actividades de los
niveles1,2y3yassucesivamente.
NIVELESDEMADUREZ
Nivel1 Nivel2 Nivel3 Nivel4 Nivel5
PRINCIPIOS
Evaluar
DEISO
38500 Dirigir
Supervisar
Tabla3:FormatodelaAutoevaluacinpropuesta
2.6 GuadeImplementacindelModelodeGobiernodeTIpropuesto
1. Sedocumentunaguadeimplementacindelmodelo
2. SedocumentunejemplodeimplementacindeunrequerimientodeTIdel
modelopropuesto
Finalmente,labaseparalaguadeimplementacindelmodelo,fuelaplanteada
porelITGovernanceInstitute,ITgovernanceimplementation9.queconstadesiete
fases:
Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
9
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernanceInstitute
155
Fase7:Monitorearycontrolareldesempeodelaimplementacin
2.7 ResumendeResultadosObtenidos
Losresultadosmsrelevantesobtenidoseneldesarrollodeesteproyectofueron:
ModelodeGobiernodeTIparaentidadesbancariasdeColombia
UnaautoevaluacindeniveldemadurezdeGobiernodeTI,basadaenISO
38500:2008
UnaGuadeImplementacinparamodelopropuesto
156
Validacin JuiciodeExpertos
CordialSaludo,
ElobjetivodelapresenteencuestaesvalidarlapropuestadeGobiernodeTIparaentidades
bancariasdeColombia,apartirdelresumenejecutivoquelehasidoenviado.
Sideseaaclararalgnpuntoenespecialdelresumeny/oestaencuesta,porfavornodudeen
hacrnoslasaberalassiguientesdireccionesdecorreo:
breyner2002@hotmail.com
maryh15@gmail.com
Muchasgraciasporsuvaliosacolaboracin
Planestratgicodetecnologa.
Infraestructuradetecnologa.
Relacionesconproveedores.
Cumplimientoderequerimientoslegalesparaderechosdeautor,privacidadycomercio
electrnico.
Administracindeproyectosdesistemas.
Administracindelacalidad.
Adquisicindetecnologa.
Adquisicinymantenimientodesoftwaredeaplicacin.
Instalacinyacreditacindesistemas.
Administracindecambios.
Administracindeserviciosconterceros.
Administracin,desempeo,capacidadydisponibilidaddelainfraestructuratecnolgica.
Continuidaddelnegocio.
Seguridaddelossistemas.
Educacinyentrenamientodeusuarios.
Administracindelosdatos.
Administracindeinstalaciones.
Administracindeoperacionesdetecnologa.
Documentacin.
Deacuerdo
Endesacuerdo
EsAdecuado
EsInadecuado
EsAdecuado
EsInadecuado
Respectoalaautoeval uacindeniveldemadurezdeGobiernodeTIpropuesta(numeral
2.5,pag9),ustedl aconsi deraapropi adaoi napropiada
EsApropiada
EsInapropiada
Sisonadecuadasysuficientes
Nosonadecuadasosuficientes
EsViable
EsInviable
Quecargodesempea
Submit
Poweredby GoogleDocs
ReportAbuseTermsofServiceAdditionalTerms
ANEXO7
ComparacindeprocesosdeTI
Figura1:MapadeprocesosdelBancodeOccidente
Comopartedelosprocesosdeapoyo,ladivisindeTecnologacuentaconuna
seriedeprocesosyestrategiasalineadasconelnegociocuyafuncinprincipales
160
agregar valor a travs de soluciones tecnolgicas y procesos innovadores,
efectivosyseguros.Paracumplirconesto,sedefiniunmapadeprocesosdeTI
dondeseinvolucratodolorelacionadoalaGestindelrea.
Acontinuacin,enlafigura15semuestraelmapadeprocesosinternodeTIdel
BancodeOccidente,estetieneunenfoquehacialagestinygobiernoeinvolucra
todaslasreasquecomponenladivisin.
Figura2:MapadeprocesosdeTIdelBancodeOccidente
161
1.1 DesarrollareImplementarProductosyServicios
Responsable: SubgerentedeSolucionesFuncionalesySubgerentedeDesarrollo
yMantenimientodeAplicaciones.
Subprocesos Procedimientos
DS0101Realizaranlisisdelasituacinactual
DS01 Realizar ingeniera de
DS0102Elaborardocumentodeespecificaciones
requerimientos
DS0103Verificaryvalidardocumentosdeespecificaciones
DS0201DefinirArquitecturaeinfraestructuradelaaplicacin
DS0202DisearSolucindelRequerimiento
DS02Disearrequerimientos
DS0203DisearModeloLgicodeDatos
DS0204DisearModeloFsicodeDatos
DS0301PrepararydesarrollarlaSolucin
DS03 Desarrollar
DS0302RealizarPruebasUnitarias
requerimientos
DS0303GestionarConversindeDatos
DS0401Elaborarplandepruebas
DS0402Disearcasosdepruebas
DS0403Preparardatosdepruebas
DS0404Ejecutarpruebas
DS04Probarrequerimientos
DS0405Evaluarpruebas
DS0406Ejecutarpruebasdeaceptacindeusuario
DS0407InstalarEnAmbientedePruebas
DS0408AdministrarServiciosenAmbientedePruebas
DS0501PrepararImplementacin
DS05 Implementar DS0502InstalarenProduccin
requerimientos DS0503Brindarsoporteenperododeestabilizacin
DS0504ElaboraryAprobarManuales
DS0601SolicitarFuentesdeversin
DS0602AdministrarFuentesdeVersin
DS06Administrarversiones DS0603PrepararReleaseparainstalar
DS0604ArmarRelease
DS0605AtenderEntregadeVersindeProveedor
1.2 EvaluaryPriorizarRequerimientos
162
Responsable: SubgerentedeSolucionesFuncionales.
1.3 GestionarEntregadeServicios
Responsable: SubgerentedeSolucionesFuncionales.
Subprocesos Procedimientos
GS0101Gestionarsatisfaccindelusuario
GS0102Gestionarcomunicacinconelusuario
GS01AdministrarRelacinconusuarios GS0103Prepararydictarcapacitacin
GS0104AdministrarControlDocumental
GS0105Validarasignacindelrequerimiento
GS0201CrearIndicadores/Acuerdos
GS02AdministrarIndicadoresyAcuerdos
GS0202ReportarIndicadores/Acuerdos
1.4 SoportarServicios
Subprocesos Procedimientos
SS01AtenderServiciosdeMesade SS0101BrindarSoporteTelefnico
Ayuda SS0102AdministrarBasedeConocimiento
SS0201ResolverIncidentesNormales
SS02AtenderIncidentes
SS0202ResolverIncidentesdeEmergencia
SS0301Identificaryresolverproblemas
SS03AtenderProblemas
SS0302Gestionarproactivamenteproblemas
SS0401Recibiryguardarversin
SS0402AtenderInstalaciones
SS04AdministrarInstalaciones SS0403Actualizarinformacindeusuariosy
equipos
SS0404RealizarInstalacionesdeHardware
1.5 PlanearyDesarrollarRequerimiento
163
Esteprocesovaencaminadohacialossiguientesobjetivos:
Definirlasactividadesdelrequerimientodeunamaneraconcretaconelfin
deconsolidarlasenunplandetrabajofacilitandosuseguimientoycorrecta
ejecucinparaalcanzarelxitodelmismo.
Prepararycoordinarconlasreasfacilitadoraslaasignacindelrecursoo
lacontratacindelmismoduranteeltiemporequeridoporelproyecto.
Coordinarconlasreasfacilitadorasderecursoslogsticoslaobtencinde
losmismosparagarantizarsuasignacinenelmomentopreciso.
Coordinar todos los requerimientos necesarios para establecer relacin
directa con terceros para los casos en que no intervienen las reas de
soportedelBanco.
Responsable: SubgerentedeSolucionesFuncionales.
1.6 GestionarInfraestructura
Responsable: SubgerentedeInfraestructuradeTecnologa.
Subprocesos Procedimientos
GIF0101AdministraryGestionarCapacidad
GIF0102AdministraryGestionarDisponibilidad
GIF0103Gestionarcontinuidaddelservicio
GIF0104MonitorearServiciosyOperacinde
GIF01GestionarServiciosde
Infraestructural
Infraestructura
GIF0105GestionarOperacinyProduccinde
Infraestructura
GIF0106AdministrarRespaldosyRecuperacin
GIF0107AdministrarCentrodeCmputo
GIF0201Gestionarproblemas:Analizareinvestigar
problemas
GIF0202Gestionarproblemas:Resolverproblemas
GIF0203Operaryadministrarplataformas
GIF02GestionarServiciosdeSoporte
GIF0204Optimizarplataformas
GIF0205Gestionarseguridaddeinfraestructura
GIF0206Administrarinventariodeinfraestructura
GIF0207Administraralmacenamiento
GIF0301Administrarygestionar configuraciones
GIF0302Administrarygestionarcambios
GIF0303Gestionarliberaciones:Definirlineamientosy
GIF03Gestionary Coordinar
estrategiasdeLiberacin
Despliegue
GIF0304Gestionarliberaciones:Realizarpuestaen
operacin
GIF0305DefinirestrategiadeserviciosTI
164
1.7 GestionarArquitectura
Responsable: DirectordeArquitectura.
ProcedimientoparamonitorearactividadesusuariosprivilegiadosyDBA
ProcedimientoparaManejodedatosdeambientesdepruebasydesarrollo
(enmascaramiento)
ProcedimientoparamanejodeIncidentesenBasedeDatosdeProduccin
PROCESOSDETI
GESTINDE
ARQUITECTURA
Establecerestndares
ymetodologade X
ArquitecturadeTI
Diseare
implementar X
ArquitecturadeTI
165
GESTIONAR
INNOVACIN
Administrarmodelo
X
operativodeTI
GESTIONAR
SERVICIOSDE
INFRAESTRUCTURA
Administrary
X X
gestionarcapacidad
Administrary
gestionar X X
disponibilidad
Gestionarcontinuidad
X X X
delservicio
Monitorearserviciosy
operacionesde X X
Infraestructura
Gestionaroperaciny
produccinde X X
Infraestructura
Administrarrespaldos
X X X
yrecuperacin
Administrarcentrode
X X X
computo
GESTIONAR
SERVICIOSDE
SOPORTE
Gestionarproblemas:
Analizarygestionar
problemas
Gestionarproblemas:
resolverproblemas
Operaryadministrar
plataformas
Gestionarseguridad
X
deInfraestructura
Administrarinventario
deInfraestructura
166
Administrar
X
almacenamiento
GESTIONARY
COORDINAR
DESPLIEGUE
Administrary
gestionar
configuraciones
Administrary
X
gestionarcambios
Gestionar
liberaciones:Definir
lineamientosy X
estrategiasde
liberacin
Gestionar
liberaciones:Realizar X
puestaenoperacin
Definirestrategiay
X
serviciosdeTI
SOPORTAR
SERVICIOS
Atenderserviciosde
mesadeayuda
AtenderIncidentes X
Administrar
Instalaciones
GESTIONAR
ENTREGADE
SERVICIOS
Administrarrelacin
X X
conusuarios
Administrar
indicadoresy X
acuerdos
ADMINISTRACIN
DERECURSOS
167
Gestindelnegocio
X
deTI
Gestindeltalento
Gestindecomprasy
X X X
contratacin
EVALUARY
PRIORIZAR
REQUERIMIENTOS
Identificaryplantear
requerimiento
Precotizar,priorizary
planearrequerimiento
DESARROLLARE
IMPLEMENTAR
PRODUCTOSY
SERVICIOS
Realizaringenierade
X X
requerimientos
Disear
X
requerimientos
Desarrollar
X
requerimientos
Probarrequerimientos X X
Implementar
X X
requerimientos
Administrarversiones X X
Tabla1:RelacinentrelosprocesosdeTIdelBancodeOccidenteysucumplimientoalos19
requerimientosestablecidosenlaCircular014de2009
168
ModeloyguadeimplementacindeGobier nodeTIpar a
EntidadesBancar iasenColombia
HernandoPeaVillamil
PMP,ITIL,CobIT,ISO27001IA
VicepresidentedeFinanzasPMIBogot Colombia
DirectordeMembresaISACACaptuloBogot Colombia(126)
ConsultordeGobiernodeIT
hdo.pena@gmail.com
BreynerAlexanderPar raRojas
EstudiantedelaMaestraenGestindeInformticayTelecomunicaciones.
IngenierodeSistemas,UniversidadIcesi,Colombia.
breyneralexander@gmail.com
Resumen
En este artculo se presenta un modelo de Gobierno de TI, con su respectiva gua de
implementacin enentidades bancarias de Colombia. El objetivo del modelo es apoyar la
satisfaccin de necesidades de desempeo corporativas y legales de este sector. Este
modelosesustentaenlos19requerimientosdeTIquefueronextradosdelacircular014
de 2009, los 6 principios de la norma ISO38500:2008 ylos marcos de apoyo tales como
CobiT4.1,CMMIDEV,ISO27001,ISO27002eISO9001.Apartirdeaqu sedetermin
cualesactividadesde los marcosdeapoyoayudaranacumplircon losobjetivosde los6
principios de ISO 38500:2008 y finalmente se determin una serie de indicadores de
gestin que permitan evaluar el cumplimiento de las metas propuestas. Adicional al
modelo, se cuenta con una gua de implementacin basada en el planteamiento del IT
GovernanceInstitute,ITgovernance implementation1 queconstadesietefases:Obtener
el compromiso de la direccin, determinar el estado actual, establecer el estado futuro
deseado, identificar las brechas, definir el plan de implementacin, desarrollar el plan de
implementacin y monitorear el desempeo de la implementacin. Con esto se pretende
quelosBancospuedantenerunabaseyunareferenciaparalaimplementacindeGobierno
deTIquelespermitaalinearseconlasestrategiasdelnegocioysatisfacerlasnecesidades
delaorganizacin.
Palabr asclave
GobiernodeTI,ISO38500,requerimientosdeTI,Modelodemadurez.
Abstr act
ThisarticlepresentsamodelofITgovernance,withtheirrespectiveimplementationguide
forbanksinColombia.Thegoalofthismodelistohelptomeetcorporateandlegalsector
regulations.This model has19ITrequirementsthatwereextractedfromtheCircular014
of 2009, a frame where are the six basic principles of the standard ISO38500:2008 and
support frameworks like CobiT 4.1, CMMIDEV, ISO 27001, ISO 27002 and ISO 9001,
from here was determined activities of support frameworks that help to achieve the
objectives of the 6 principles of ISO 38500:2008 and finally was identified a number of
performanceindicatorstoassesstheperformanceoftheproposedgoals.Inadditiontothe
model, it has a guide based implementation raised by the IT Governance Institute, IT
Governance Implementation consists of seven phases: Get management commitment,
determine the current state, set the desired future state, identify gaps, define the
implementation plan, develop the implementation plan and monitor implementation
performance.Thisistoallowbankstohaveabasisandreferencefortheimplementationof
IT governance that allows alignment with business strategies and meet the needs of the
organization.
1
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernance
Institute
Keywor ds
ITGovernance,ISO38500,ITrequirements,Maturitymodel.
1. Intr oduccin
Son establecimientos bancarios las instituciones financieras que tienen por funcin
principal la captacin de recursos en cuenta corriente bancaria, as como tambin la
captacin de otros depsitos a la vista o a trmino, con el objeto primordial de realizar
operacionesactivasdecrdito.Esimportantesaberquetodaslasentidadesquehacenparte
del sistema financiero estn sujetas a la regulacin y supervisin por parte de las
autoridades de intervencin: el Congreso de la Repblica, el Ministerio de Hacienda y
CrditoPblico y laSuperintendenciaFinanciera.As mismo,estassonlasencargadasde
crearlosmarcosnormativos ydevelarporquelosrecursosdelaspersonas,empresas yel
gobierno se encuentren seguros en manos de las diferentes instituciones. Adems, la
Superintendencia Financiera tambin tiene funciones de inspeccin, vigilancia y control
sobrelasentidades.
Los Bancos dependen hoy en da de TI para su funcionamiento y desarrollo y hacen
grandes esfuerzose inversionesentecnologaconelobjetivodeser ms eficientes y ms
segurossinembargo,elproblemaesquehastaahora,noexistaunmodelodeGobiernode
TIadaptadoalasnecesidadesdelsector bancariocolombiano.
2. AutoevaluacindeGobier nodeTI
Sibienesciertoelsectorbancariocuentacondiferentesdecretos,normas ycirculares las
cualesnosoloregulanlaactividadbancariacomotal,sinoqueademsalgunasdeellasson
exclusivas para controlar y garantizar la gestin de la tecnologa (circular externa 014 de
2009), ello no implica que necesariamente tengan establecido un Gobierno de TI. Portal
motivo,unaautoevaluacinesunbuenpuntodepartidaparaquelosresponsablesdeTIde
lasentidadesbancariasdeterminenunestadoactual yunodeseadocontraunestadoideal,
dentrodelaescalapropuesta.
ComopuntodepartidaparaladefinicinyposteriorimplementacindeGobiernodeTIen
elsectorbancariocolombiano,sehacepertinenterealizardosactividades:
1. Autoevaluacindenivelde madurezdeGobiernodeTI:Estaautoevaluacintiene
porobjetivoquelosresponsablesdeTIdelosbancosserealicenunautodiagnstico
paradeterminarenquegradodeniveldemadurezdeGobiernodeTIseencuentran
con respecto a la escala propuesta. As mismo, se establece en que nivel desean
estar.Alserunaautoevaluacin,sepresumequelosencargadosdeTIlaresponden
deformacorrectayverdica.
2. ComparacindeprocesosdeTI:ParaelmodelodegobiernodeTIenlasentidades
bancarias de Colombia, se parte de los 19 requerimientos de TI que la circular
externa 014 de 2009 obliga a los bancos a cumplir. Aun as, se realiz una
comparacin entre dichos requerimientos y los procesos de TI del Banco de
Occidente,apartirdesurespectivomapadeprocesos ysusplanesestratgicosde
tecnologa.
Autoevaluacin
deGobier node
TIpr opuesta
ISO9004
CMMI
Figura1:AutoevaluacindeGobiernodeTIPropuesto
3.1. Contextodelmodelo
LasentidadesbancariasdeColombiaseencuentranregidasporlaCircular014del2009la
cual define las Normas de Control Interno para la Gestin de la Tecnologa. En dicha
circular se establece que las entidades bancarias debern disear un Sistema de Control
Interno (SCI) para la gestin de la tecnologa, que responda a las polticas, necesidades y
expectativas de la entidad y a las exigencias normativas, con el propsito de contribuir al
logro de los objetivos institucionales. El SCI obliga a los responsables de TI de las
Entidades Bancarias a contar con estndares, polticas, directrices y procedimientos
debidamente aprobados, orientados a cubrir 19 requerimientos: i) Plan estratgico de
tecnologa, ii) Infraestructura de tecnologa, iii) Relaciones con proveedores, iv)
Cumplimiento de requerimientos legales para derechos de autor, privacidad y comercio
electrnico,v)Administracin de proyectos de sistemas, vi) Administracin de la calidad,
vii) Adquisicin de tecnologa, viii) Adquisicin y mantenimiento de software de
aplicacin,ix)Instalacin y acreditacin de sistemas, x) Administracin de cambios, xi)
Administracin de servicios con terceros, xii) Administracin, desempeo, capacidad y
disponibilidad de la infraestructura tecnolgica, xiii) Continuidad del negocio, xiv)
Seguridaddelossistemas,xv)Educacinyentrenamientodeusuarios,xvi)Administracin
delosdatos,xvii)Administracindeinstalaciones,xviii)Administracindeoperacionesde
tecnologay xix)Documentacin.
Por tal motivo y para dar cumplimiento a la ley, las entidades bancarias cuentan con un
SistemadeControlInternoparalagestindetecnologa,elcualestaencaminadoacubrir
los19requerimientosmencionadosyacontribuirallogrodelosobjetivosinstitucionales.
El marco de Gobierno de TI seleccionado fue el ISO 38500:2008, debido a que es una
Norma Internacional que provee un estndar para que la direccin de las organizaciones
evalen, dirijan y monitoreen el uso de las tecnologas de la informacin. Los marcos de
apoyo que complementan el marco base y apoyan las estrategias de Gobierno de TI son:
CobiT 4.1, CMMIDEV, ISO 27001, ISO 27002 e ISO 9001. Despus de determinar los
requerimientosdeTI,elmarcobaseylosmarcosdeapoyo,seprocediadefinirelmodelo,
el cual consisti (apoyados con CobiT) en agrupar los 19 requerimientos de TI
seleccionados en los 6 principios de la Norma ISO 38500:2008 dicho mapeo fue
obtenido de IT Governance Network Netherlands y se muestra en la figura 2. Posterior a
esto,sedetermincualesactividadesde losmarcosdeapoyoayudaranacumplircon los
objetivos de los 6 principios de ISO 38500:2008 y finalmente se determin una serie de
indicadoresdegestinquepermitanevaluarelcumplimientodelasmetaspropuestas.
Figura2:RelacinentreprincipiosdegobiernoISO38500yprocesosCobiT2
2
AFoundationforSecurity,ITGovernanceNetworkNetherlands,
http://itgovernance.com/nl/index.php?option=com_content&view=article&id=72&Itemid=
89.
3.2. Estructuradelmodelo
El modelo de Gobierno de TI para las Entidades Bancarias planteado en este proyecto,
responde a las actividades principales definidas por la norma ISO 38500 de Evaluar la
utilizacinactualyfuturadelasTI.Dirigirlapreparacineimplementacindelosplanesy
polticas que aseguren que la utilizacin de las TI de modo que alcancen los objetivos
institucionales y Controlar el desempeo de la tecnologa de la informacin, a travs de
sistemasdemedicinadecuados.
MODELODEGOBIERNODETI
Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano
ActividadesdeControl
IndicadoresdeGestin
Figura3:ModelodeGobiernodeTIpropuesto
Actividades
Pr incipios Requer imientosdeTI Indicador es
deContr ol
RQ16 Administracindelosdatos. 13 5
Responsabilidad
RQ19 Gestindela Documentacin. 7 1
RQ01 Planestratgicodetecnologa. 6 3
Estrategia
RQ05 Administracindeproyectosdesistemas. 14 3
RQ02 Infraestructuradetecnologa. 4 3
RQ03 Relacionesconproveedores. 4 1
Adquisicin
RQ07 Adquisicindetecnologa. 4 3
Adquisicinymantenimientodesoftwarede
RQ08
aplicacin.
10 2
RQ09 Instalacinyacreditacindesistemas. 9 3
RQ06 Administracindelacalidad. 8 3
RQ10 Administracindecambios. 5 3
RQ11 Administracindeserviciosconterceros. 4 3
Administracin,desempeo,capacidady
RQ12
disponibilidaddelainfraestructuratecnolgica.
6 3
Desempeo
RQ13 Continuidaddelnegocio. 10 2
RQ14 Seguridaddelossistemas. 12 3
RQ17 Administracindeinstalaciones. 5 3
RQ18 Administracindeoperacionesdetecnologa. 5 3
Cumplimientoderequerimientoslegalespara
Cumplimiento RQ04 derechosdeautor,privacidadycomercio 5 3
electrnico.
Comportamiento
Humano
RQ15 Educacinyentrenamientodeusuarios. 6 6
Tabla1:EstructuradelmodelodeGobiernodeTIpropuesto
5. Conclusiones
En este artculo se presenta un modelo de Gobierno de TI para Entidades Bancarias en
Colombia.ElgobiernodeTIestorientadoalarealidadactualdelaindustria,sinimportar
eltipootamaodelaorganizaciny noseavizoraalgntipoimpedimentoquehagaqueel
gobierno de TI no sea aplicado a las industrias. Lo que definitivamente si existe, son
diferencias de tipo organizativas, culturales, econmicas y legislativas dependiendo del
sector de la industria, lo que implica que TI debe estar adaptada a estas necesidades
propias.
Lo anterior implica que si bien es cierto gobierno de TI es un producto genrico que
puede adaptarse a cualquier tipo de organizacin, si se hace imperativo realizar un
amoldamiento a la realidad de la industria particular que desea implementarlo. En el
modelo se adapta este producto genrico para que cubra los requerimientos de TI que
debencumplirlasentidadesBancariasdebidoalasleyesquelosrigenparapoder,deesta
manera,cubrirloqueimplicatenerunGobiernodeTIanivelorganizacionalyanivelde
reglamentacinnormativa.
Respectoalosmarcosdereferenciaqueseusaronparaeldesarrollodelmodelo,todosson
muy valiosos y estn precedidos de muchas horas detrabajo, de muchas personas con un
conocimiento y experiencia indiscutible as mismo, se observa que los marcos base de
GobiernodeTItienenmuchascosasencomnynoesdifcilhacerasociacionesentreellos,
portalmotivocualquiermarcobase(sabiendoaplicar)resultartilparalaimplementacin
deGobiernodeTI.
3
ITgovernanceimplementationguideusingCOBITandValIT.ITGovernance
Institute
Encuantoalaguadeimplementacindesarrolladapermitepodertenerunpuntodepartida
paralasentidadesBancariasquedeseenaplicarelmodeloensuscompaasdeacuerdoa
lasprcticasyautilizadasparaotrosmodelos.
1. SuperintendenciaFinancieradeColombia CircularExterna014del2009,Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
2. SuperintendenciaFinancieradeColombia,Circularexterna038de2009,Colombia,
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce038_09.doc
3. SuperintendenciaFinancieradeColombia,Circularexterna052de2007, Colombia,
www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce052_07.rtf
4. SuperintendenciaFinancieradeColombia,Decreto633de1993,Colombia,
http://www.superfinanciera.gov.co/Normativa/NormasyReglamentaciones/estatuto/parte
01.pdf
5. Asobancaria,Informacinalconsumidorfinanciero.Colombia,2012
http://www.asobancaria.com/portal/page/portal/Asobancaria/info_consumidor/sistema_f
inanciero_y_banca/
6. MinisteriodeHaciendadeColombia,FusionesyAdquisicionesenelSector
FinancieroColombiano:AnlisisyPropuestassobrelaConsolidacinBancaria.
Colombia,2012
http://www.minhacienda.gov.co/portal/page/portal/HomeMinhacienda/regulacionfinanci
era/Presentaciones/Presentaciones/7_ANIFMULTIBANFINAL0606.pdf
7. IngridLucaMuozPerinMsC,GonzaloUlloaVillegas,Artculo:GobiernodeTI
Estadodelarte,RevistaS&T,UniversidadIcesi,Cali,2011
http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf
9. ITGovernanceInstitute, AlineandoCOBIT4.1,ITILV3eISO/IEC27002en
beneficiodelaempresa.2008,http://www.isaca.org/Knowledge
Center/Research/Documents/AlineandoCobit4.1,ITILv3yISO27002enbeneficio
delaempresav2,7.pdf
10. ITGovernanceInstitute, Informe:GlobalStatusReportontheGovernanceof
EnterpriseIT,2011,http://www.isaca.org/Knowledge
Center/Research/Documents/GlobalStatusReportGEIT10Jan2011Research.pdf
12. ISACACentrodeConocimiento,CasodeEstudio:GrupoBancolombiaImplements
COBITtoHelpEnsureComplianceandImproveProcesses.
http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBITCaseStudyGrupo
Bancolombia.aspx
13. ISACAManuelBallester,Ph.D,Artculo:GobiernodelasTICISO/IEC38500,Isaca
Journal,2010,
14. AntonioFernndezMartnez,GobiernodelasTIparauniversidades,Universidadde
AlmeraFaranLlorensLargo,UniversidaddeAlicante,2011
LosBancosdependenhoyendadeTIparasu
funcionamientoydesarrollo;yhacengrandes
esfuerzos e inversiones en tecnologa con el
objetivodesermseficientesymsseguros;
el problema es que no exista un modelo de
Gobierno de TI adaptado a las necesidades
del sectorbancariocolombiano.
ObjetivoGeneral
Realizar unanlisisdelosmarcosparaGobiernodeTIexistentesydeterminar
culessonlosmsapropiadosparalacreacindelmodeloaimplementar.
CrearunaautoevaluacindeniveldemadurezdeGobiernodeTI
DesarrollarunmodelodeGobiernodeTI,basadoenlosmarcosseleccionados.
CrearunaguadeimplementacinparaelmodelodeGobiernodeTI
desarrollado.
Validarelmodeloylametodologaporungrupodeexpertos,apartirdeuna
Rubricaquepermitasuevaluacin.
ResumendelModelo
ElpresentemodelodeGobiernodeTIpropuestorecoge
elespritudelaCircular014de2009,lacualtienecomo
objetivo primario que las entidades bancarias de
Colombia creen y/o fortalezcan un sistema de control
interno que permita la evaluacin continua de su
eficiencia, contribuya al logro de sus objetivos de
negocio y fortalezca la apropiada administracin de los
riesgosaloscualessevenexpuestaseneldesarrollode
su actividad, realizndolas en condiciones de seguridad,
transparencia y eficiencia.
GobiernodeTI
El gobierno de TI integra e
institucionaliza las buenas prcticas
paragarantizarqueTIenlaempresa
soporta los objetivos del negocio.
Decreto
Circular 633de
externa 1993
038de
2009
Circular
externa
014de
2009
SectorBancario
Colombiano
Contexto
1. Planestratgicodetecnologa.
2. Infraestructuradetecnologa.
3. Relacionesconproveedores.
SistemadeControl 4. Cumplimientoderequerimientoslegales
paraderechosdeautor,privacidady
Interno(SCI)
19RequerimientosdeTI
comercioelectrnico.
19RequerimientosdeTI
5. Administracindeproyectosdesistemas.
6. Administracindelacalidad.
7. Adquisicindetecnologa.
8. Adquisicinymantenimientodesoftware
deaplicacin.
9. Instalacinyacreditacindesistemas.
10. Administracindecambios.
Estndares,
11. Administracindeserviciosconterceros.
polticas,
12. Administracin,desempeo,capacidady
directricesy
disponibilidaddelainfraestructura
procedimientos
tecnolgica.
orientadosa
13. Continuidaddelnegocio.
cumplir
14. Seguridaddelossistemas.
15. Educacinyentrenamientodeusuarios.
16. Administracindelosdatos.
define 17. Administracindeinstalaciones.
18. Administracindeoperacionesde
tecnologa.
Normasde 19. GestindelaDocumentacin.
Control
Internopara
laGestinde
TI
Marcospara
GobiernodeTI
CobIT
4.1
ISO ISO
27002 9001
Gobierno
deTI
ISO CMMI
38500 Dev
Modelode
GobiernodeTI
Modelode
GobiernodeTI
MODELODEGOBIERNODETI
Comportamiento
Responsabilidad Estrategia Adquisicin Desempeo Cumplimiento
Humano
ActividadesdeControl
IndicadoresdeGestin
Modelode
GobiernodeTI
Autoevaluacin
niveldemadurez
ISO38500
CobiT
ISO9004 Autoevaluacin
deGobiernodeTI
deGobiernodeTI
CMMI
Autoevaluacin
niveldemadurez
Constade
Fase1:Obtenerelcompromisodelaaltadireccin.
Fase2:Determinarelestadoactual.
Fase3:Establecerelestadofuturodeseado.
Fase4:Identificarlasbrechas
Fase5:Definirelplandeimplementacin
Fase6:Desarrollarelplandeimplementacin
Fase7:Monitorearycontrolareldesempeodela implementacin
Validacindelos19 requerimientosdeTI.
ValidacindelmodelodeGobiernodeTIpara
entidadesbancariasdeColombiapropuesto.
Validacindelaautoevaluacindenivelde
madurezdegobiernodeTIpropuesta
Validacindelaaplicabilidaddelaguade
implementacinpropuesta.
Resultadosobtenidos
RQ1 100%
RQ2 86% Planestratgicode Administracindeservicioscon
RQ01 RQ11
RQ3 100% tecnologa. terceros.
Administracin,desempeo,
RQ4 86% Infraestructurade
RQ02 RQ12 capacidadydisponibilidad dela
RQ5 71% tecnologa.
infraestructuratecnolgica.
RQ6 86% RQ03 Relacionesconproveedores. RQ13 Continuidaddelnegocio.
Cumplimientode
RQ7 86%
requerimientoslegalespara
RQ8 71%
RQ04 derechosdeautor, RQ14 Seguridaddelossistemas.
RQ9 71% privacidadycomercio
Principio1
Responsabilidad
5
4
NIVEL
Principio6 3 ACTUAL
Principio2
Comportamiento
Estrategia
Humano 2
1
NIVEL
0 DESEADO
Principio4
Desempeo
Bibliografia
SuperintendenciaFinancieradeColombia CircularExterna014del2009,Colombia.
http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ce014_09.doc
Ingrid LucaMuozPerin MsC,GonzaloUlloaVillegas, Artculo:GobiernodeTI Estadodelarte,RevistaS&T,
UniversidadIcesi,Cali,2011http://www.icesi.edu.co/biblioteca_digital/bitstream/10906/5568/1/Gobierno_de_TI.pdf
ISACA ManuelBallesterPh D, GobiernodelasTICISO/IEC38500.TheISACAJournalOnlinepublished,2010,
http://www.isaca.org/Journal/PastIssues/2010/Volume1/Documents/jpdf1001onlinegobierno.pdf
IT Governance Institute,AlineandoCOBIT4.1,ITILV3eISO/IEC27002enbeneficiodela empresa.2008,
http://www.isaca.org/KnowledgeCenter/Research/Documents/AlineandoCobit4.1,ITILv3yISO27002en
beneficiodelaempresav2,7.pdf.
IT GovernanceInstitute,Informe:GlobalStatusReportontheGovernanceofEnterpriseIT,2011,
http://www.isaca.org/KnowledgeCenter/Research/Documents/GlobalStatusReportGEIT10Jan2011Research.pdf
ISACA CentrodeConocimiento,CasodeEstudio:Banco Supervielle S.A.,Argentina,
http://www.isaca.org/KNOWLEDGECENTER/COBIT/Pages/COBITCasodeEstudioBancoSupervielleSA
Argentina.aspx
ISACA CentrodeConocimiento,Caso deEstudio:GrupoBancolombia ImplementsCOBITto Help EnsureCompliance
and Improve Processes. http://www.isaca.org/KnowledgeCenter/cobit/Pages/COBITCaseStudyGrupo
Bancolombia.aspx
ISACA ManuelBallester,Ph.D, Artculo:GobiernodelasTICISO/IEC38500,Isaca Journal,2010,
Antonio FernndezMartnez,GobiernodelasTIparauniversidades,UniversidaddeAlmera;FaranLlorensLargo,
UniversidaddeAlicante,2011
ISACA.StevenDe Haes,Ph.D.,Wim Van Grembergen,Ph.D., Artculo:MovingFromITGovernancetoEnterprise
GovernanceofIT, Isaca Journal,2009.
MuchasGracias
MariaHelenaCorrea maryh15@gmail.com
BreynerAlexanderParra breyneralexander@gmail.com
20