Guía 1 - Actividad 2

Modelo de capacidad de los procesos del gobierno corporativo de las TIC

Por:
Arnol Filyp Garavito Ochoa
Carlos Enrique Sabalza Jiménez
Oscar Javier Sierra Rincón
Dairo Julián Cuintaco Venegas

Facultad de Estudios en Ambientes Virtuales

Maestría en gerencia de sistemas de información y proyectos tecnológicos
Agosto 2018
Copyright © 2018 por Arnol Filyp Garavito Ochoa, Carlos Enrique Sabalza Jiménez,
Oscar Javier Sierra Rincón y Dairo Julián Cuintaco Venegas.
Todos los derechos reservados.
 Pág. 3

CONTENIDO

CONTENIDO ................................................................................................................................ 3

ÍNDICE DE FIGURAS ................................................................................................................. 5

ÍNDICE DE TABLAS ................................................................................................................... 6

1. INTRODUCCIÓN ................................................................................................................ 7

2. OBJETIVOS.......................................................................................................................... 8
2.1 General ............................................................................................................................ 8
2.2 Específicos ...................................................................................................................... 8

3. DESARROLLO DE LA ACTIVIDAD ................................................................................ 9

3.1 Mapa de procesos seleccionados .................................................................................... 9
3.1.1 Administrar la inversión en TI (PO05) ................................................................................................ 11
3.1.1.1 Valoración actual del nivel de capacidad ........................................................................................................ 11
3.1.1.2 Estado futuro del nivel de capacidad ............................................................................................................... 14
3.1.2 Evaluar y administrar los riesgos de TI (PO09) .................................................................................. 15
3.1.2.1 Valoración actual del nivel de capacidad ........................................................................................................ 15
3.1.2.2 Estado futuro del nivel de capacidad ............................................................................................................... 18
3.1.3 Adquirir recursos de TI (AI05) ............................................................................................................ 19
3.1.3.1 Valoración actual del nivel de capacidad ........................................................................................................ 19
3.1.3.2 Estado futuro del nivel de capacidad ............................................................................................................... 21
3.1.4 Administrar cambios (AI06) ................................................................................................................ 22
3.1.4.1 Valoración actual del nivel de capacidad ........................................................................................................ 22
3.1.4.2 Estado futuro del nivel de capacidad ............................................................................................................... 24
3.1.5 Administrar servicios de terceros (DS02) ............................................................................................ 25
3.1.5.1 Valoración actual del nivel de capacidad ........................................................................................................ 25
3.1.5.2 Estado futuro del nivel de capacidad ............................................................................................................... 27
3.1.6 Garantizar la continuidad del servicio (DS04) .................................................................................... 28
3.1.6.1 Valoración actual del nivel de capacidad ........................................................................................................ 28
3.1.6.2 Estado futuro del nivel de capacidad ............................................................................................................... 30
3.1.7 Monitorear y evaluar el control interno (ME02) ................................................................................. 31
3.1.7.1 Valoración actual del nivel de capacidad ........................................................................................................ 31
3.1.7.2 Estado futuro del nivel de capacidad ............................................................................................................... 32
3.1.8 Proporcionar gobierno de TI (ME04) ................................................................................................. 33
3.1.8.1 Valoración actual del nivel de capacidad ........................................................................................................ 33
3.1.8.2 Estado futuro del nivel de capacidad ............................................................................................................... 34
 Pág. 4

3.2 Estado actual del nivel de capacidad del sector ............................................................ 35

3.3 Dificultades en la definición y valoración del modelo ................................................. 37

4. CONCLUSIONES .............................................................................................................. 38

5. RECOMENDACIONES .................................................................................................... 40

6. BIBLIOGRAFÍA ................................................................................................................ 41

ANEXOS ...................................................................................................................................... 42
Anexo 1: Evidencias reuniones realizadas con el equipo de trabajo ........................................ 42
 Pág. 5

ÍNDICE DE FIGURAS

Figura 1. Extracto guía operacional de gestión de relaciones con el negocio del SENA............................................. 12
Figura 2. Extracto guía operacional de gestión finaciera del SENA ............................................................................ 13
Figura 3. Extracto guía operacional de gestión de riesgo del SENA ........................................................................... 17
Figura 4. Extracto guía operacional de gestión de proveedores del SENA ................................................................. 20
Figura 5. Extracto guía operacional de gestión de cambios del SENA........................................................................ 23
Figura 6. Extracto guía operacional de administrar contratos del SENA .................................................................... 26
Figura 7. Extracto de guía operacional de gestión de la continuidad ........................................................................... 29
 Pág. 6

ÍNDICE DE TABLAS

Tabla 1. Procesos seleccionados .................................................................................................................................... 9

Tabla 2. Nivel de capacidad proceso Administrar la inversión en TI .......................................................................... 11
Tabla 3. Estado futuro nivel de capacidad proceso Administrar la inversión en TI .................................................... 14
Tabla 4. Nivel de capacidad proceso Evaluar y administrar los riesgos de TI............................................................. 15
Tabla 5. Estado futuro nivel de capacidad proceso Evaluar y administrar los riesgos de TI ....................................... 18
Tabla 6. Nivel de capacidad proceso Adquirir recursos de TI ..................................................................................... 19
Tabla 7. Estado futuro nivel de capacidad proceso Adquirir recursos de TI ............................................................... 21
Tabla 8. Nivel de capacidad proceso Administrar cambios ......................................................................................... 22
Tabla 9. Estado futuro nivel de capacidad proceso Administrar cambios ................................................................... 24
Tabla 10. Nivel de capacidad proceso Administrar servicios de terceros .................................................................... 25
Tabla 11. Estado futuro nivel de capacidad proceso Administrar servicios de terceros .............................................. 27
Tabla 12. Nivel de capacidad proceso Garantizar la continuidad del servicio ............................................................ 28
Tabla 13. Estado futuro nivel de capacidad proceso Garantizar la continuidad del servicio ....................................... 30
Tabla 14. Nivel de capacidad proceso Monitorear y evaluar el control interno .......................................................... 31
Tabla 15. Estado futuro nivel de capacidad proceso Monitorear y evaluar el control interno ..................................... 32
Tabla 16. Nivel de capacidad proceso Proporcionar gobierno de TI ........................................................................... 33
Tabla 17. Estado futuro nivel de capacidad proceso Proporcionar gobierno de TI ..................................................... 34
 Pág. 7

1. INTRODUCCIÓN

El presente documento contiene los resultados del ejercicio académico de definición de

un modelo de capacidad de los procesos del gobierno corporativo de las TIC en el Servicio
Nacional de Aprendizaje (SENA), el cual incluye: la evaluación y justificación del nivel de
capacidad actual de cada proceso COBIT y su proyección en el corto, mediano y largo plazo con
base en la información disponible de guías operacionales y plan estratégico de las TIC del
SENA. También se incluye una descripción del estado actual del nivel de capacidad del sector
público en Colombia teniendo como referentes estudios de gobierno y gestión de TI en el
triángulo del café (Manizales, Pereira y Armenia).

Finalmente, se exponen las principales conclusiones de la actividad realizada, las

recomendaciones para facilitar la implementación del modelo en cualquier organización y las
evidencias de las sesiones de trabajo realizadas por los integrantes del equipo.
 Pág. 8

2. OBJETIVOS

2.1 General
Identificar, comprender y definir un modelo de capacidad de los procesos del gobierno
corporativo de las TIC en el Servicio Nacional de Aprendizaje (SENA) a través del desarrollo de
la guía 1, actividad 2 de la unidad de estudio Gobernabilidad, estándares y buenas prácticas en
tecnología.

2.2 Específicos
- Realizar lectura de: ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control,
directrices gerenciales, modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.

- Evaluar y justificar el nivel de capacidad actual de cada proceso COBIT seleccionado en

el modelo de gobierno de las TIC del SENA, incluyendo evidencias.

- Definir el estado futuro, en el corto, mediano y largo plazo, del nivel de capacidad de
cada proceso COBIT seleccionado en el modelo de gobierno de las TIC del SENA.

- Definir el estado actual del nivel de capacidad del sector al que pertenece el SENA.

- Generar mínimo diez (10) conclusiones sobre la actividad realizada y cinco (05)
recomendaciones para facilitar la implementación del modelo.

- Utilizar la norma APA para la presentación de trabajos escritos y referenciación

bibliográfica.
 Pág. 9

3. DESARROLLO DE LA ACTIVIDAD

Los procesos de gestión de TI están orientados a garantizar la gestión del ciclo de vida de
los servicios tecnológicos que soportan la operación del SENA. En general, la mayoría de los
procesos se encuentran organizados, definidos, entendidos y documentados. Se tiene claridad de
los puntos de entrega de cada proceso y estos son regularmente revisados y controlados para
garantizar que cumplen con los requerimientos, estándares y objetivos.

3.1 Mapa de procesos seleccionados

La Tabla 1 muestra los procesos seleccionados en el modelo de gobierno de las TIC
desarrollado en la actividad 1.

Tabla 1. Procesos seleccionados

Dominio Proceso
Planear y Organizar (PO) PO05 - Administrar la inversión en TI
PO09 - Evaluar y administrar los riesgos de TI
Adquirir e Implementar (AI) AI05 - Adquirir recursos de TI
AI06 - Administrar cambios
Entregar y dar Soporte (DS) DS02 - Administrar servicios de terceros
DS04 - Garantizar la continuidad de servicio
Monitorear y Evaluar (ME) ME02 - Monitorear y evaluar el control interno
ME04 - Proporcionar gobierno de TI
Para la selección de procesos se utilizó la cascada de metas de COBIT 4.1, que consiste en
relacionar los objetivos corporativos del SENA con las metas de negocio estándar y traducir
éstas a una o varias metas de TI que la soporten. A su vez, cada meta de TI se logra por un
proceso o la interacción de varios procesos (ISACA, 2007). Finalmente, la priorización de
los procesos se realizó evaluando los de más impacto estratégico y los de menor madurez.

Para el alcance del presente ejercicio, se va a evaluar por cada proceso relacionado en la
Tabla 1, si cumple con su propósito y genera los entregables esperados, bajo las mejores
prácticas propuestas en COBIT, para lo cual se aplicará la siguiente escala de evaluación
(ISACA, 2012):
 Pág. 10

No cumplido (N): No existe evidencia suficiente del cumplimiento del atributo definido
en el proceso evaluado (0 al 15 por ciento de cumplimiento).

Parcialmente cumplido (P): Existe alguna evidencia de un enfoque que garantice cumplir
con el atributo definido en el proceso evaluado. Algunos aspectos del cumplimiento del atributo
pueden ser impredecibles (15 al 50 por ciento de cumplimiento).

Alto nivel de cumplimiento (A): Existe evidencia de un enfoque sistemático a través del
cual se busca cumplir con el atributo evaluado e incluso se cumple su resultado en un alto nivel.
Puede que existan algunas debilidades asociadas con este atributo (50 al 85 por ciento de
cumplimiento).

Completamente cumplido (C): Existe evidencia de un enfoque completo y sistemático a

través del cual se busca cumplir el atributo evaluado. No se detectan debilidades significativas
asociadas a este atributo (85 a 100 por ciento de cumplimiento).
 Pág. 11

3.1.1 Administrar la inversión en TI (PO05)

3.1.1.1 Valoración actual del nivel de capacidad

Tabla 2. Nivel de capacidad proceso Administrar la inversión en TI

Nivel de
Componente Descripción
cumplimiento
Propósito Optimizar el rendimiento del portafolio global de programas en P
respuesta al rendimiento de programas y servicios y a las
cambiantes prioridades y demandas corporativas.
Objetivos Se tiene definida una combinación de inversiones apropiada y P
alineada con la estrategia organizacional.
Los recursos de financiamiento de las inversiones se tienen P
plenamente identificados y se encuentran disponibles
Los casos de negocio de todos los programas son evaluados y P
priorizados antes que las fuentes de financiación sean
aprovisionadas
Los presupuestos se pueden comparar con precisión contra los P
costos reales
Prácticas Establecer la combinación de inversiones objetivo P
recomendadas Mantener los portafolios de inversión N
Monitorear, optimizar y reportar el rendimiento del portafolio N
de inversiones
Mantener los portafolios de inversión N
Gestionar el cumplimiento de los beneficios N
Evidencia Combinación de inversiones definida P
documentada Retroalimentación sobre la estrategia y las metas N
Evaluación de los casos de negocio N
Informes de rendimiento del portafolio de inversión N
Portafolios de programas, servicios y activos actualizados de N
acuerdo a los ajustes de inversión
Proceso
Evaluación final
gestionado

Como se observa en la Tabla 2, la valoración actual del proceso administrar la inversion

en TI tiene una evaluación de proceso gestionado.
 Pág. 12

El SENA cuenta con un proceso definido que está documentado en la guía operacional de
gestión de relaciones con el negocio (ver Figura 1) y guia operacional de gestión financiera (ver
Figura 2). Además, genera periódicamente la siguiente evidencia documental:
- Informe financiero
- Informe de Gestion sobre rendimiento y percepcion del servicio
- Informes de acciones de mejora

No obstante, se debe mejorar en gran manera el proceso con inclusión de actividades y

puntos de control para administrar la inversion de TI.

Figura 1. Extracto guía operacional de gestión de relaciones con el negocio del SENA

Fuente: (SENA, 2015)

 Pág. 13

Figura 2. Extracto guía operacional de gestión finaciera del SENA

Fuente: (SENA, 2015)

 Pág. 14

3.1.1.2 Estado futuro del nivel de capacidad

Tabla 3. Estado futuro nivel de capacidad proceso Administrar la inversión en TI

Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso gestionado Proceso establecido Proceso predecible
deseado
Observaciones Se requiere la Análisis, diseño, Tener completamente
implementación, pruebas implementación, pruebas implementado el marco
y puesta en producción de y puesta en producción de referencial de Cobit con
un sistema para la gestión un sistema que permita el fin de generar valor
integral de servicios. mejorar la gestión agregado al área
presupuestal y contable financiera, portafolio y
Análisis, diseño e del SENA, incluyendo: entrega de servicio.
implementación de una automatización de las
herramienta gerencial que adiciones y reducciones
permita hacer presupuestales,
seguimiento a la conciliaciones bancarias y
ejecución presupuestal y articulación del proceso
al Plan anual de compras de depreciación con el
(PAC). proceso contable, para
tener mejores servicos y
un alto portafolio de cara
al cliente.

Para el SENA se identificaron varios proyectos en dirección a la inversión en TI, de los

cuales uno tiene prioridad/urgencia alta, dado su potencial impacto en la consecución de los
objetivos de la entidad. Los otros proyectos están orientados a apoyar la ejecución de la
estrategia administrativa, financiera y TI, mientras los proyectos de impacto medio están
orientados a mantener y apoyar en el mediano y largo plazo la operación del SENA.
 Pág. 15

3.1.2 Evaluar y administrar los riesgos de TI (PO09)

3.1.2.1 Valoración actual del nivel de capacidad

Tabla 4. Nivel de capacidad proceso Evaluar y administrar los riesgos de TI

Nivel de
Componente Descripción
cumplimiento
Propósito Integrar la gestión de los riesgos de TI con el sistema de gestión P
del riesgo organizacional y balancear el costo y beneficio de la
gestión del riesgo de TI
Objetivos Los riesgos asociados con TI son plenamente identificados, P
analizados, gestionados y reportados
Existe un completo y actualizado perfil de riesgo P
Todas las acciones de gestión del riesgo están administradas y P
bajo control
Las acciones de gestión de riesgo se implementan de manera P
efectiva
Prácticas Recolectar datos P
recomendadas Analizar riesgo P
Mantener un perfil de riesgo P
Articular el riesgo P
Definir un portafolio de acciones de gestión del riesgo P
Responder al riesgo P
Evidencia Información recopilada del entorno operativo asociados con N
documentada riesgos
Información sobre eventos de riesgos materializados y factores N
que propiciaron dicha materialización
Identificación de nuevos riesgos, con sus respectivos factores N
de materialización
Alcance claramente definido para todos los esfuerzos de N
análisis de riesgo planeados y/o ejecutados
Definición de escenarios de riesgo asociados con TI N
Resultados del análisis de riesgos N
Escenarios de riesgo documentados por línea y/o función de N
negocio
Perfil de riesgo agregado, incluyendo el estado de las acciones N
de gestión del riesgo
Informes del perfil y el análisis del riesgo generado a los N
 Pág. 16

Nivel de
Componente Descripción
cumplimiento
interesados (stakeholders)
Resultados de la revisión de un tercero sobre la evaluación y N
gestión de riesgos
Oportunidades relacionadas con TI que permitan la aceptación N
de un mayor riesgo, asegurando el crecimiento y la rentabilidad
Propuestas de proyectos para reducir el riesgo N
Planes de respuesta a los incidentes relacionados con riesgos N
Comunicaciones sobre las implicaciones de los riesgos N
Causa raíz identificada para los riesgos materializados N
Proceso
Evaluación final
ejecutado

Como se observa en la Tabla 4, la valoración actual del proceso evaluar y administrar los
riesgos de TI tiene una evaluacion de proceso ejecutado.

Aunque el SENA cuenta con un proceso definido que está documentado y llevado en la
guía operacional de gestión de riesgo (ver Figura 3), se concluye que se debe trabajar en el
mejoramiento del proceso para obtener las salidas que recomiendan las buenas prácticas de
gestión de Cobit. Por otra parte, se genera periódicamente la siguiente evidencia documental:
- Informe de Gestion
- Informe de Acciones de Mejora
- Matriz de Riesgo
 Pág. 17

Figura 3. Extracto guía operacional de gestión de riesgo del SENA

Fuente: (SENA, 2015)


3.1.2.2 Estado futuro del nivel de capacidad
Tabla 5. Estado futuro nivel de capacidad proceso Evaluar y administrar los riesgos de TI
Corto plazo
(< 1 año)
Nivel de capacidad Proceso ejecutado
deseado
Observaciones Es necesario identificar,
evaluar y reducir los
riesgos relacionados con
TI de forma continua,
dentro de niveles de
tolerancia establecidos
por la dirección ejecutiva
de la entidad.
Se debe definir, operar y
supervisar un sistema
para la gestión de riesgo y
mejorar aquellos aspectos
con calificación no
cumplido (N).
Pág. 18
Mediano plazo Largo plazo
(1-2 años) (> 2 años)
Proceso gestionado Proceso establecido
Gestionar todos los Materializar los
programas y proyectos beneficios de negocio y
que apunta a admniistra reducir el riesgo de TI,
los riesgos de TI de forma disminución en costos e
que sea coordinada y en incremento del valor
línea con la estrategia generado mediante la
corporativa y en pos de la mejora de las
planificación e comunicaciones y el
implementacion. involucramiento del
negocio y los usuarios
finales, asegurando el
valor y la calidad de los
entregables de los
proyectos y maximizando
su contribución al
portafolio de inversiones
y servicios
 Pág. 19

3.1.3 Adquirir recursos de TI (AI05)

3.1.3.1 Valoración actual del nivel de capacidad

Tabla 6. Nivel de capacidad proceso Adquirir recursos de TI

Nivel de
Componente Descripción
cumplimiento
Propósito Garantizar que la organización tenga todos los recursos de TI P
que se requieren de manera oportuna y rentable.
Objetivos Adquirir y mantener las habilidades de TI que respondan a la A
estrategia de entrega, en una infraestructura TI integrada y
estandarizada
Reducir el riesgo de adquisición de TI N
Prácticas Control de adquisición P
recomendadas Administración de contratos con proveedores A
Selección de proveedores A
Adquisición de recursos TI A
Evidencia Requerimientos de administración de la relación con terceros A
documentada Artículos provistos A
Arreglos contractuales A
Proceso
Evaluación final
establecido

Como se observa en la Tabla 6, la valoración actual del proceso Adquirir recursos de TI

es proceso establecido, ya que el SENA cuenta con un proceso definido que está documentado
en la guía operacional de gestión de proveedores (ver Figura 4) y, además, genera
periódicamente la siguiente evidencia documental:

- Informe de gestión (seguimiento y decisiones de contrato)

- Informe financiero
- Informe de mejora continua

Sin embargo, se debe mejorar el proceso con la inclusión de actividades y puntos de

control para gestionar el riesgo en las adquisiciones de TI.
 Pág. 20

Figura 4. Extracto guía operacional de gestión de proveedores del SENA

Fuente: (SENA, 2015)

 Pág. 21

3.1.3.2 Estado futuro del nivel de capacidad

Tabla 7. Estado futuro nivel de capacidad proceso Adquirir recursos de TI

Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso establecido Proceso establecido Proceso predecible
deseado
Observaciones Se propone la inclusión Implementación, Avanzar al nivel 4 del
de actividades para monitorización y nivel de capacidad del
gestionar el riesgo en la optimización del proceso proceso.
adquisición de recursos en relación a las
de TI, p.ej.: actividades introducidas Uso de sistemas de
para gestionar el riesgo de información integrados
Identificar, supervisar y entrega del proveedor. que garantizarán la
gestionar los riesgos confiabilidad de la
relacionados con la Seguimiento y mejora del información y desde los
capacidad del proveedor proceso para alcanzar el cuales es posible obtener
de entregar el servicio de estado alto nivel de los datos requeridos para
forma eficiente, eficaz, cumplimiento en todas las el cálculo de los
segura, fiable y continua. prácticas recomendadas indicadores. Las
variaciones en el proceso
Identificar requisitos son identificadas y
contractuales para corregidas, y el
minimizar el riesgo, rendimiento es controlado
incluyendo depósitos de y predecible.
garantía, proveedores
alternativos o acuerdos en
suspenso para mitigar el
riesgo de un posible fallo
del proveedor; los
aspectos de seguridad, la
propiedad intelectual y
los requisitos legales y
regulatorios.
 Pág. 22

3.1.4 Administrar cambios (AI06)

3.1.4.1 Valoración actual del nivel de capacidad

Tabla 8. Nivel de capacidad proceso Administrar cambios

Nivel de
Componente Descripción
cumplimiento
Propósito Gestionar todos los cambios (incluyendo procedimientos, P
procesos, sistema y parámetros de servicio), para reducir los
riesgos que impactan negativamente la estabilidad e integridad
del ambiente de producción
Objetivos Controlar la evaluación de impacto, autorización e implantación P
de todos los cambios a la infraestructura de TI, aplicaciones y
soluciones técnicas
Minimizar errores que se deben a especificaciones incompletas A
de la solicitud
Detener la implantación de cambios no autorizados A
Prácticas Estándares y procedimientos para cambios A
recomendadas Evaluación de impacto, priorización y autorización A
Cambios de emergencia A
Seguimiento y reporte del estatus de cambio A
Cierre y documentación del cambio A
Evidencia Descripción de procesos de cambio P
documentada Reportes de estatus de cambio A
Autorización de cambio A
Proceso
Evaluación final
establecido

Como se observa en la Tabla 8, la valoración actual del proceso Adquirir recursos de TI

es proceso gestionado. El SENA cuenta con un proceso definido que está documentado en la
guía operacional de gestión de cambios (ver Figura 5), cuenta con un sistema CMDB para
relacionar los CI impactados con la solicitud de cambio, los errores conocidos en la ejecución de
cambios y genera la siguiente evidencia documentada:

- Documentación del cambio solicitado

- Evaluación de riesgos
 Pág. 23

- Peticiones de cambio aprobadas

- Plan de entrega
- Reporte del estado de cambio de una petición

Mensualmente genera los siguientes informes:

- Informe de gestión
- Informe de acciones de mejora

Figura 5. Extracto guía operacional de gestión de cambios del SENA

Fuente: (SENA, 2015)

 Pág. 24

3.1.4.2 Estado futuro del nivel de capacidad

Tabla 9. Estado futuro nivel de capacidad proceso Administrar cambios

Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso establecido Proceso establecido Proceso predecible
deseado
Observaciones El proceso alcanza los Seguimiento y mejora del Avanzar al nivel 4 del
resultados esperados, sin proceso. nivel de capacidad del
embargo, se sugiere proceso.
mejorar algunos aspectos
relacionados con:
- Las evaluaciones de
impacto, ya que no
muestran completamente
el efecto de los cambios
sobre los componentes
afectados, lo que conlleva
a incidentes durante su
implementación
- Los planes de entrega,
ya que los cambios
autorizados son realizados
de acuerdo a sus
cronogramas con errores
mínimos
- Información a las partes
interesadas sobre todos
los aspectos del cambio
 Pág. 25

3.1.5 Administrar servicios de terceros (DS02)

3.1.5.1 Valoración actual del nivel de capacidad

Tabla 10. Nivel de capacidad proceso Administrar servicios de terceros

Nivel de
Componente Descripción
cumplimiento
Propósito Minimizar el riesgo asociado con el no cumplimiento de los P
proveedores y asegurar precios competitivos
Objetivos Los proveedores cumplen según lo acordado A
Las relaciones con los proveedores se llevan de manera efectiva N
Prácticas Administración de riesgos del proveedor A
recomendadas Monitoreo del desempeño del proveedor A
Evidencia Criterios de evaluación y clasificación de los proveedores P
documentada Revisiones a los contratos con los proveedores A
Resultados de la revisión de la supervisión al cumplimiento de A
los proveedores
Proceso
Evaluación final
establecido

Como se observa en la Tabla 10, la valoración actual del proceso administrar servicios de
terceros es proceso establecido.

El SENA cuenta con un proceso definido que está documentado en la guía operacional de
administrar contratos (ver Figura 6).
 Pág. 26

Figura 6. Extracto guía operacional de administrar contratos del SENA

Fuente: (SENA, 2015)

 Pág. 27

3.1.5.2 Estado futuro del nivel de capacidad

Tabla 11. Estado futuro nivel de capacidad proceso Administrar servicios de terceros
Corto plazo
(< 1 año)
Nivel de capacidad Proceso establecido
deseado
Observaciones El proceso se encuentra
establecido e
implementado.
Se desea en el corto plazo
seguir con la divulgación
y garantizar la aplicación
del mismo en todas las
Regionales del SENA.
Mediano plazo Largo plazo
(1-2 años) (> 2 años)
Proceso predecible Proceso optimizado
En el mediano plazo se En el largo plazo se desea
desea estar en un nivel de estar en un nivel de
capacidad 4 (Predecible). capacidad (Optimizado).
Donde se apliquen los Donde se optimice la
diferentes controles al aplicación del proceso y
proceso. este en constante
innovación.

El proceso alcanza un
nievel de capacidad
establecido, sin embargo
por ser el Sena una
entidad de orden nacional,
se observó que en algunas
regionales el proceso se
debe seguir trabajando el
tema de documentacion,
con el fin de garantizar la
mejora continua y así
alcanzar los próximos
niveles de capacidad.
 Pág. 28

3.1.6 Garantizar la continuidad del servicio (DS04)

3.1.6.1 Valoración actual del nivel de capacidad

Tabla 12. Nivel de capacidad proceso Garantizar la continuidad del servicio

Nivel de
Componente Descripción
cumplimiento
Propósito Continuar las operaciones críticas para el negocio y mantener la P
disponibilidad de la información a un nivel aceptable para la
empresa ante el evento de una interrupción significativa.
Objetivos La información crítica para el negocio está disponible para el P
negocio en línea con los niveles de servicio mínimos
requeridos.
Prácticas Marco de trabajo de continuidad de TI P
recomendadas Planes de continuidad de TI P
Recuperación y reanudación de los servicios de TI P
Evidencia Análisis de impacto en el negocio P
documentada Requerimientos de continuidad P
Plan de Continuidad de Negocio P
Proceso
Evaluación final
gestionado

Se puede evicenciar en la Tabla 12, que el proceso se encuentra en el nivel de capacidad

Gestionado. A pesar que se tiene documentado el proceso en la guía operacional de gestión de
continuidad, es necesario mejorar la implementación del mismo.
 Pág. 29

Figura 7. Extracto de guía operacional de gestión de la continuidad

Fuente: (SENA, 2015)

 Pág. 30

3.1.6.2 Estado futuro del nivel de capacidad

Tabla 13. Estado futuro nivel de capacidad proceso Garantizar la continuidad del servicio
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso gestionado Proceso establecido Proceso predecible
deseado
Observaciones El proceso se encuentra A mediano plazo se A largo plazo se espera
en un nivel de capacidad quiere que el proceso que el proceso alcance los
gestionado, lo cual alcance un nivel de niveles de capacidad
significa que el proceso capacidad establecido predecible y optimizado,
debe implementarse en logrando alcanzar la cumpliendo con los
las diferentes áreas y implementación del atributos de control,
regionales de la entidad. proceso en todas optimización e
Dentro del plan dependencias y innovación del proceso.
estratégico del Sena se regionales.
plantea la mejora
continua de los procesos,
deseando obtener niveles
de capacidad superiores,
con el fin de poder
garantizar los objetivos
estratégicos trazados.
 Pág. 31

3.1.7 Monitorear y evaluar el control interno (ME02)

3.1.7.1 Valoración actual del nivel de capacidad

Tabla 14. Nivel de capacidad proceso Monitorear y evaluar el control interno

Nivel de
Componente Descripción
cumplimiento
Propósito Establecer un programa de control interno efectivo para TI P
Objetivos Monitorear y reportar las excepciones de los controles P
Proteger que se cumplan los logros de los objetivos de TI P
Prácticas Crear un sistema de control integral P
recomendadas Medición periodica de los controles P
Hacer evidentes las excepciones de los controles al gerente de A
TI
Evidencia Políticas, principios, procedimientos y estándares actualizados A
documentada Confirmaciones de cumplimiento P
Informes de auditorias y planes de mejora A
Proceso
Evaluación final
ejecutado

La valoración actual del proceso Monitorear y evaluar el control interno es de proceso

ejecutado, el SENA hasta ahora incluyó en su PETIC la valoración del nivel de capacidad de sus
procesos basados en COBIT, apenas alcanza su propósito.
 Pág. 32

3.1.7.2 Estado futuro del nivel de capacidad

Tabla 15. Estado futuro nivel de capacidad proceso Monitorear y evaluar el control interno
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso ejecutado Proceso gestionado Proceso ejecutado
deseado
Observaciones En el PETIC del SENA la Se deberá proclamar el Se deben implementar
evaluación del control monitoreo del control herramientas o sistemas
interno no esta claramente interno. de información integradas
definida y depende de las a los procesos.
habilidades de algunos Desarrollar mecanismos
funcionarios para evaluar las acciones Se deberán implementar
de monitoreo del control niveles de tolerancia para
interno. el proceso.

Se deben tener cargos Se deben sancionar las

claramente definidos que excepciones de control.
se hagan responsables del
monitoreo y evaluación Los directivos tienen
del control interno. encuenta las salidas del
proceso.
 Pág. 33

3.1.8 Proporcionar gobierno de TI (ME04)

3.1.8.1 Valoración actual del nivel de capacidad

Tabla 16. Nivel de capacidad proceso Proporcionar gobierno de TI

Nivel de
Componente Descripción
cumplimiento
Propósito Integrar el gobierno de TI con el gobierno corporativo por P
medio del cumplimiento de la normatividad vigente.
Objetivos Proporcionar documentos para los directivos sobre y definir el A
marco de gobierno de TI.
Entregar valor por medio de programas de inversión para P
entregar el mayor beneficio posible.
Prácticas Elaboración de reportes A
recomendadas Generación del plan estrategico A
Socialización en el organización A
Evidencia Plan Estratégico de TIC – SENA 2015 - 2018 A
documentada Compendio de guías operacionales A
Proceso
Evaluación final
establecido

El SENA ha venido trabajando en la estructuración de su gobierno de TI por medio del

compendio de Guías Operacionales y de su Plan estratégico de TIC (PETIC), lo que permite
valorar el proceso Proporcionar gobierno de TI como un proceso establecido en la organización.
 Pág. 34

3.1.8.2 Estado futuro del nivel de capacidad

Tabla 17. Estado futuro nivel de capacidad proceso Proporcionar gobierno de TI

Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso establecido Proceso establecido Proceso predecible
deseado
Observaciones Las directivas del SENA El SENA ha pasado de Se registran y se siguen
reconocen la importancia ITIL a COBIT. los indicadores de
de tener un gobierno de desempeño de las
TI. Se definirán responsables actividades de los
de los procesos. procesos de TI.
La organización conoce
de la existencia de un Se mejorarán los procesos Se debe realizar un
gobierno de TI. de TI. informe de cuentas a la
organización.
Existe documentación Se pueden monitorear
suficiente. todas las métricas de los
procesos.
Existen tableros de
control. Al ser una organización
grande, se propagará
lentamente por la
organización.
 Pág. 35

3.2 Estado actual del nivel de capacidad del sector

El estado del arte en materia de estudios de gobierno corporativo y gestión de TI en el

sector público colombiano es limitado.

No obstante, (Marulanda, et al. 2017) realizaron un estudio del estado y alcances del
gobierno y gestión de TI en 19 entidades públicas de Manizales. En términos generales, los
autores concluyen lo siguiente:

- Con respecto a la gestión de TI, se encontró que el 89,47% de las entidades no ha

recibido capacitación en el modelo IT4+ de MinTIC.

- Referente al gobierno de TI, se midió en una escala de 0 a 5 el marco normativo y legal,

la estructura de TI y los procesos, la toma de decisiones, la gestión de relaciones con otras áreas
y entidades, la gestión de proveedores, los acuerdos de servicios y la alineación con los procesos.
Los resultados evidenciaron que 6 de las 19 entidades tienen calificación 0 en temas de gobierno
TI y solo 2 entidades (11%) están por encima de la calificación de 4.

- Finalmente, al evaluar la infraestructura y recursos de TI disponibles y suficientes para

lograr los objetivos estratégicos de la entidad, se concluyó que cerca del 58% de las entidades no
cuentan con estos recursos.

Algo similar ocurre con un estudio realizado por (Valencia, et al. 2018) sobre el uso y
prácticas de gobierno de TI en 39 entidades públicas del triángulo del café (Manizales, Pereira,
Armenia) en Colombia. Los autores concluyen que el triángulo del café tiene una valoración
total por debajo de 3 en una escala de 0-5, sobre temas de marco legal y normativo, estructura de
TI y procesos, gestión de relaciones con otras áreas, gestión de proveedores, acuerdos de
servicios y alineación de procesos, lo que muestra poco avance de gobierno TI en las entidades
evaluadas.
 Pág. 36

Con base en lo expuesto anteriormente, el gobierno y gestión de TI en Colombia es una

realidad para una pequeña parte de las entidades públicas (Marulanda, et al. 2017).

Al contrastar esta realidad con el SENA, se observa que la entidad está adelantada con
respecto a sus referentes nacionales, ya que la mayoría de sus procesos se encuentran en un nivel
de capacidad gestionado y establecido, como se evidencia en su Plan estratégico de TIC.
Además, está en un proceso de implantación del marco de referencia Cobit para gobierno de TI.
 Pág. 37

3.3 Dificultades en la definición y valoración del modelo

A continuación, se resumen las principales dificultades presentadas en la definición del modelo

de gobierno corporativo de TI para el SENA.

- El SENA por ser una entidad pública de orden nacional y de carácter desconcentrada, el flujo
de información entre dependencias y personas es un poco lento, esta fue una de las
principales dificultades para acceder a la información, evidencias y documentación que
permitieran evaluar en forma objetiva, los niveles de capacidad de los procesos
seleccionados. Sin embargo, se tuvo una línea base definida en el PETIC del SENA.

A pesar de contar con un Sistema Integrado de Gestión (SIGA), no existe una herramienta
tecnológica donde se centralice y se pueda monitorear todos los indicadores. Lo cua dificulta
el acceso a la información.
 Pág. 38

4. CONCLUSIONES

1. Con el análisis del modelo de capacidad de Cobit, se puede determinar el grado de

madurez de los diferentes procesos, lo cual permite identificar oportunidades de mejora tales
como: optimizacion de recursos, disponibilidad de la información, infraestructura tecnológica
robusta, protección de datos, soporte a usuarios, gestión de riesgos, entre otras. El SENA, con la
implementación de este marco de referencia, logrará estas buenas prácticas con el fin de cumplir
los objetivos estratégicos trazados.

2. Contar con una valoración de los procesos por medio del modelo de capacidad, permite
de manera práctica entender en dónde están los procesos y qué acciones realizar para madurarlos
en el corto, mediano y largo plazo.

3. Dentro de las políticas de Gestion IT del SENA, se encuentra la búsqueda de la mejora

continua de cada uno de los procesos, con el fin de poder cumplir con los objetivos estratégicos y
misionales de la institución. Muchos de los procesos, a pesar de estar creados e implementados,
no alcanzan los niveles de capacidad deaseados, debido al no cumplimiento de los atributos por
parte de los responsables del proceso. Por ello, se requiere mejorar los controles sobre los
procesos con el fin de garantizar los niveles de capacidad actual y los deseados.

4. Determinar la capacidad de los procesos en una organización es algo que debe estar
acompañado de una ruta de definición, para este ejercicio se contó con la información disponible
y de carácter público que se pudo recopilar y en los que se evidencian las líneas base de la
mejora continua del modelo de capacidad de los procesos.

5. Se puede conocer hasta dónde se puede exigirle a un proceso con el fin de optimizar
recursos para que sean invertidos en madurar otros procesos y mejorar su capacidad para
llevarlos al siguiente nivel.

6. Verificar lo descrito en COBIT para mejorar la capacidad de un proceso permitirá trazar

una ruta adecuada para el consultor y para la organización.
 Pág. 39

7. Para la definición del modelo de capacidad de Cobit, fue necesario relacionar los
objetivos, propósitos, evidencias, practicas de los procesos, con los objetivos de control y metas
de los procesos, debido a que la entidad no tiene implementado Cobit para la gestión de los
procesos TI.

8. De los procesos seleccionados y analizados, se puede concluir que no existe ningún

proceso de la entidad con nivel de capacidad incompleto. Esto refleja el trabajo que viene
realizando el SENA en la mejora continua de sus procesos.
 Pág. 40

5. RECOMENDACIONES

1. No fue posible hacer una encuesta al interior de la organización o con el jefe de la oficina
de sistemas para conocer el futuro del SENA en la implementación de su gobierno de TI, lo cual
es una práctica recomendable para proyectar el estado futuro en el corto, mediano y largo plazo
del nivel de capacidad de los procesos.

2. Se recomienda lograr el cumplimiento de los atributos y los niveles de capacidad a

mediano y corto plazo, la entidad lograra cumplir cin un marco de referencia de gestión TI, con
un alto grado de madurez, debido a logro significativo obtenido en los últimos años de gestión.

3. Se recomienda la implementación de herramientas de gestión centralizadas con el fin de

gestionar fácilmente los indicadores y demás información, así se puede obtener una calificación
más precisa del modelo de capacidades de procesos Cobit.

4. Con el fin de divulgar y dar a conocer los procesos e indicadores de gestión TI, se
recomienda establecer política de socialización y comunicación masiva para los interesados de
cada uno de las departamentos y sedes de la organización.
 Pág. 41

6. BIBLIOGRAFÍA

ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control, directrices gerenciales,
modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.
ISACA. (2012). COBIT 5: Procesos catalizadores. Rolling Meadows, Estados Unidos: ISACA.
Marulanda, C., Trujillo, M. y Valencia, F. (2017). Gobierno y gestión de TI en las entidades
públicas. AD-minister Nº. 31 (julio-diciembre 2017), 75-92. doi:10.17230/ad-
minister.31.5
SENA. (2015). Compendio de guías operacionales. Colombia: SENA.
Valencia, F., Marulanda, C. y López, M. (2018). Gobierno de las tecnologías de la información.
Uso y prácticas en las entidades públicas del triángulo del café, Colombia. Información
tecnológica Vol 29 (3), 249-256.
 Pág. 42

ANEXOS

Anexo 1: Evidencias reuniones realizadas con el equipo de trabajo

Se realizaron diferentes sesiones de trabajo por medio de la herramienta google Meet para
realizar las siguientes actividades:
1. Socializar el alcance de las actividades y material de estudio.
2. Aclarar las dudas referente al modelo de gobierno corporativo y modelo de niveles de
capacidad de los procesos.
3. Asignación de actividades, responsables y plazo.
4. Socialización del desarrollo de las actividades.
5. Socialización de conclusiones y recomendaciones
6. Revisión final, ajustes y compilación de los documentos.

Acontinuacion se presentan las evidencias.

Pág. 43
Pág. 44
Pág. 45