UNIVERSIDAD PARA LA COOPERACION INTERNACIONAL (UCI)

Transcripción

1 UNIVERSIDAD PARA LA COOPERACION INTERNACIONAL (UCI) PROPUESTA DE IMPLEMENTACIÓN DEL PROCESO ADMINISTRAR PROYECTOS DE COBIT 4.0 EN ENTIDADES FINANCIERAS DE COSTA RICA. DEYLIN SEVILLA SEVILLA PROYECTO FINAL DE GRADUACIÓN PRESENTADO COMO REQUISITO PARCIAL PARA OPTAR POR EL TÍTULO DE MASTER EN ADMINISTRACIÓN DE PROYECTOS. San José, Costa Rica Octubre, 2009

2 UNIVERSIDAD PARA LA COOPERACIÓN INTERNACIONAL (UCI) Este Proyecto Final de Graduación fue aprobado por la Universidad como Requisito parcial para optar al grado de Máster en Administración de Proyectos Ing. Fausto Fernández Martínez, MSc, MAP PROFESOR TUTOR Ing. Mario López Soto, MAP LECTOR No. Lic. Sergio Villalobos, M.B.A. LECTOR No.2 Lic. Deylin Sevilla Sevilla SUSTENTANTE ii

3 DEDICATORIA A Dios, por guiarme con sabiduría. A mi hermana Yoveliz, por su comprensión y apoyo. A Franz, por su apoyo incondicional. iii

4 AGRADECIMIENTOS A don Franklin por darme la oportunidad de estudiar la maestría. A Fausto por su apoyo. A Don Frank por su apoyo. A Alonso Ramírez y su equipo de trabajo por sus observaciones. A Alejandra Tinoco por su apoyo. A los Pastores Hugo y Ruth Solís por sus palabras de ánimo y bendición. iv

5 INDICE DE CONTENIDO HOJA DE APROBACION ii DEDICATORIA iii AGRADECIMIENTO iv INDICE v INDICE FIGURAS vii INDICE CUADROS viii ABREVIATURAS ix RESUMEN EJECUTIVO x. INTRODUCCION.... Antecedentes....2 Problemática Justificación del problema Supuestos Restricciones Objetivos Objetivo general Objetivos específicos MARCO TEORICO Marco referencial o institucional Antecedentes de la Institución Teoría de Administración de Proyectos Definición de Proyecto Dirección de Proyectos Áreas del Conocimiento en la Dirección de Proyectos Ciclo de vida de un proyecto Procesos en la Dirección de Proyectos Arquitectura Empresarial Gobierno TI Control para la Información y la Tecnología relacionada (COBIT ) Procesos orientados Modelos de Madurez de los procesos COBIT Mapeo entre COBIT y PMBOK MARCO METODOLOGICO Fuentes de información Técnicas de Investigación Método de Investigación DESARROLLO Herramienta para identificar el Nivel de Madurez del Proceso Administrar Proyectos Uso e interpretación de la herramienta propuesta Calificación de objetivos de Control v

6 4.2.2 Identificación del Nivel de madurez en el proceso Integrada dentro de la cultura de la organización Calificación del Nivel de Madurez Integrada dentro de la cultura de la organización Propuesta de Procedimientos para la Implementación del Proceso PO0 Administrar Proyectos Procedimiento para entidades sin metodología en Administración de Proyectos Procedimiento para entidades con metodología en administración de Proyectos Alcance para la Implementación del Proceso Tiempo Estimado en la implementación del Proceso Recursos Asignados para la Implementación del Proceso Costo Estimado en la Implementación del Proceso Riesgos en la implementación del Proceso CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA ANEXOS Anexo : Charter del PFG Anexo 2: EDT del PFG... Anexo 3: Cronograma del PFG... 2 Anexo 4: Solicitud de Proyecto... 4 Anexo 5: Matriz de Identificación de Involucrados... 5 Anexo 6: Acta Constitutiva del Proyecto... 6 Anexo 7: Plan de Proyecto... 7 Anexo 8: Control de Cambios Anexo 9: Plan de Pruebas... 3 Anexo 0: Certificación de Pruebas Anexo : Acta de Cierre del Proyecto vi

7 ÍNDICE DE FIGURAS Figura - Figura 2- Figura 3- Figura 4- Figura 5- Figura 6- Figura 7- Figura 8- Figura 9- Figura 0- Figura - Figura 2- Ciclo de vida genérico de un proyecto..5 Marco de referencia para la definición de la arquitectura tecnológica de sistemas..20 Marco de trabajo general de COBIT...22 Representación gráfica de los modelos de madurez COBIT.25 Superposición de COBIT y PMBOK...33 Proceso de implementación para alcanzar el tercer nivel de madurez del proceso PO0 de COBIT...4 Flujograma del proceso Administrar Proyectos...82 Identificación de brechas del proceso administrar proyectos.89 Estructura Detallada de Trabajo..93 Cronograma para la implementación del proceso 94 Recursos para la implementación del proceso.95 Costo de la implementación del proceso...96 vii

8 ÍNDICE DE CUADROS Cuadro - Resumen para el Desarrollo del Marco Metodológico..38 Cuadro 2- Matriz de Calificación para el Área de Revisión...42 Cuadro 3- Matriz de Calificación para identificar el Modelo de Madurez..48 Cuadro 2.- Matriz de Calificación para el Área de Revisión Respuesta a Preguntas.. 52 Cuadro 2.2- Matriz de Calificación para el Área de Revisión Calificación de Objetivos de Control Cuadro 3.- Matriz de Calificación para identificar el Modelo de Madurez Respuesta a Preguntas Cuadro 3.2- Matriz de Calificación para identificar el Modelo de Madurez Calificación Nivel de Madurez..74 Cuadro 4- Resumen de respuestas a los objetivos de control.59 Cuadro 5- Resumen de calificación por objetivo de control..67 Cuadro 6- Resumen de respuesta a los niveles de madurez 74 Cuadro 7- Resumen de calificación por nivel de madurez 79 Cuadro 8- Identificación del Nivel de Madurez...80 Cuadro 9- Identificación de debilidades por subproceso..90 Cuadro 0- Indicadores claves de medición y control del proceso Administrar Proyectos...92 Cuadro - Matriz de Riesgo 97 viii

9 ABREVIATURAS BCCR CGTI CNM COBIT COC CONASSIF COSO CP PFG PMI PMO PO0 SUGEF TI RT RE RO RDP SEIS Banco Central de Costa Rica Calificación sobre la Gestión de TI. Calificación para cada Nivel de Madurez Control para la Información y la Tecnología relacionada. Calificación de cada Objetivo de Control Consejo Nacional de Supervisión del Sistema Financiero Marco Integrado de Control Interno (Internal Control Integrated Framework) Calificación de cada Proceso evaluado. Proyecto Final de Graduación. Siglas en inglés de Instituto de Administración de Proyectos (Project Management Institute) Siglas en inglés de Oficina de Administración de Proyectos (Project Management Office) Proceso número diez del grupo de procesos Planear y Organizar Superintendencia General de Entidades Financieras. Tecnología de la Información Riesgo Técnico Riesgo Externo Riesgo Organizacional Riesgo Dirección del Proyecto Sistema empresarial de información salarial ix

10 RESUMEN EJECUTIVO Las Entidades Financieras en Costa Rica no cuentan con un Gobierno de TI estandarizado como una estructura relacional, procesos para dirigir y controlar la empresa, cada entidad por su naturaleza implementa un gobierno de TI de acuerdo a sus necesidades y demandas del negocio. Es por ello que la Superintendencia de Entidades Financieras SUGEF, ha creado una ley y normativa para que todas las entidades financieras adopten un estándar de procesos en la Administración y Operativa de Tecnología, incluyendo la Oficina de Administración de Proyectos. Para tales efectos en este trabajo se planteó como objeto, la propuesta de un procedimiento de implementación del proceso Administrar Proyectos de COBIT 4.0 en las entidades financieras de Costa Rica, y a la vez alcanzar el tercer nivel de madurez. Con el fin de lograr el objetivo se propuso una herramienta para identificar la brecha y el nivel de madurez del proceso, se explicó el uso de la herramienta para una veraz interpretación al momento de aplicarla y se desarrolló un procedimiento para la implementación del proceso basándose en el estándar de administración de proyectos del PMI. Además se realizó un análisis para determinar el alcance de la implementación del proceso, el tiempo estimado para la ejecución, el costo aproximado y los riesgos posibles durante el desarrollo y ejecución de dicha implementación. La investigación documental fue una herramienta de mucho apoyo para el desarrollo de este trabajo. Como fuente primaria para la documentación de la investigación se realizaron entrevistas con consultores certificados en COBIT y así obtener el conocimiento práctico de cada subproceso, y como fuente secundaria para la documentación se consultó todo tipo de información generada por documentos escritos tales como la guía de administración de proyectos PMBOK, COBIT y documentación electrónica obtenida vía internet con el fin de extraer el conocimiento necesario. La investigación fue de tipo exploratorio-descriptivo porque se emprendió el desarrollo de un tema que no se había experimentado antes en el área de tecnología de las entidades financieras, y descriptivo porque se elaboró un procedimiento de implementación a partir de lo analizado, midiendo las variables importantes del estudio como calidad, control, riesgo y automatización en los procesos. Para el desarrollo del trabajo de investigación se realizó el planteamiento del problema y el levantamiento de la información, dicha información tuvo un proceso de análisis e interpretación y posteriormente se obtuvieron los resultados. x

11 Además para el desarrollo de la investigación se usó el método analítico-sintético, porque se analizó cada uno de los procesos de la investigación. También fue utilizado el método Inductivo-Deductivo porque se realizaron los estudios de la Normativa y Leyes que rigen el Gobierno TI en las entidades financieras emitido por la Superintendencia de Entidades Financieras SUGEF. Con la implementación del proceso Administrar Proyectos de COBIT se pretende obtener una educada administración y control del portafolio de proyectos en TI, aplicando las mejores prácticas para el éxito de los proyectos y apoyando el crecimiento y fortalecimiento de la entidad financiera. Los beneficios obtenidos mediante la incorporación del proceso PO0 en la metodología de administración de proyectos en TI, es el alineamiento estratégico de los proyectos que se administran y ejecutan en tecnología con la estrategia del negocio, una mejor administración del riesgo, calidad, costo y control en la administración de proyectos. Entre otros beneficios, es la creación de una base de conocimiento de los diferentes proyectos implementados en la entidad, mejor control y administración del portafolio de proyectos, medición del desempeño, así como la preparación para la evaluación de auditoría por parte de SUGEF. xi

12 . INTRODUCCION. Antecedentes En la actualidad las entidades financieras de Costa Rica requieren acciones estratégicas que les permitan optimizar, controlar, dar seguridad y una mejor operativa en el área de tecnologías de información. Estos retos buscan mejorar las inversiones en TI operando al menor costo y contar con un ambiente de mayor disponibilidad y seguridad de los datos. El área de tecnología es uno de los sectores más vulnerables en las entidades financieras debido al gran volumen de información confidencial que se administra y esto conlleva al arduo trabajo para brindar seguridad y disponibilidad al acceso de información. El factor seguridad en los servicios brindados al cliente son sumamente importantes en las entidades financieras, razón por la cual los gerentes y altos directivos han tomado una postura positiva ante el Área de Tecnología en la institución reconociendo la criticidad de TI, es por ello que el área de tecnología se ha incluido como un elemento importante en la alineación estratégica de dichas instituciones. El alto nivel de seguridad y el servicio al cliente es posible mediante procesos bien diseñados y elaborados al menor costo para que la operatividad y el tiempo de respuesta a las necesidades sean mínimos. Sin embargo los procesos de operatividad en el departamento de tecnología de las entidades financieras de Costa Rica no están bien definidos, equilibrados y alineados con la estrategia del negocio.

13 2 Para lograr el grado de madurez requerido en los procesos de tecnología es necesario diseñar metas, objetivos del negocio de TI, y directrices para evaluar y realizar mejoras en los procesos actualmente aplicados, además elaborar un plan de seguimiento de los procesos para lograr una mejora continua..2 Problemática. El aumento de la dependencia tecnológica en el desarrollo de las actividades financieras, la proliferación de amenazas y eventos no deseados, y el potencial que poseen las tecnologías para cambiar rápidamente los procesos de negocios de las entidades financieras en Costa Rica, hacen necesario que la gestión del riesgo tecnológico se realice de acuerdo a las mejores prácticas; es por ello que el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF) estableció, que las entidades financieras y todas las empresas de intermediación financiera diseñen e implementen un marco referencial para la gestión de tecnología de la información y de riesgos Informáticos. Por su parte la SUGEF como ente responsable de velar por la estabilidad y eficiencia de sus entidades fiscalizadas, implantó disposiciones y procesos de supervisión que tienden a minimizar los niveles de riesgo que pueden presentar en el área de tecnología de información. Por lo cual en el acuerdo SUGEF 4-09 Reglamento sobre la Gestión de la Tecnología de la Información, se establece el marco de trabajo de control COBIT como base para la evaluación de Gestión de TI. En dicho reglamento se dispone como obligatorio en el marco de Gestión de TI los siguientes procesos: Evaluar y administrar los riesgos de TI. Administrar proyectos.

14 3 Administrar cambios. Administrar los servicios de terceros Garantizar la continuidad del servicio. Garantizar la seguridad de los sistemas. Administrar los datos. Monitorear y evaluar el control interno. Definir el plan estratégico de TI. Determinar la dirección tecnológica. Administrar la inversión en TI. Adquirir y mantener infraestructura tecnológica. Adquirir recursos de TI. Administración del desempeño y la capacidad. Administrar la configuración. Administrar los problemas. Administrar el ambiente físico. El marco de trabajo COBIT consiste en vincular las metas del negocio con las metas de TI, brindando métricas de madurez para medir los logros e identificar las responsabilidades asociadas a los propietarios de los procesos de negocio y TI. En éste trabajo se desarrollará la forma de cómo elaborar el análisis de brechas para el proceso de administración de proyectos, y analizar el resultado obtenido para reducir o eliminar la brecha entre la capacidad actual y la capacidad meta definida por la SUGEF. Cabe mencionar que el tiempo definido por la SUGEF, para madurar los procesos del marco de trabajo de control de COBIT obligatorios es de un año, a partir de su publicación el 3 de marzo del 2009.

15 4.3 Justificación del problema El propósito del proyecto es brindar las herramientas necesarias para la identificación de brechas en los procesos actualmente aplicados en la administración de proyectos en Tecnología de Información (TI), definiciones de indicadores de desempeño, métricas y controles con el fin de que las entidades financieras implementen una estrategia de administración de proyectos de TI alineada con el negocio según lo solicitado por el Acuerdo SUGEF Éste análisis permitirá detectar las debilidades, el nivel de madurez y oportunidades en la gestión actual de Administración de Proyectos en Tecnología de Información (TI). Además se elaborará un procedimiento de implementación basándose en el proceso PO0 COBIT 4.0 y el estandar de administración de proyectos del PMI. La investigación está dirigida a:. Gerentes de TI 2. Gerentes de programas y gerentes de directores de proyectos. 3. Directores de proyectos TI 4. Administradores de proyectos TI 5. Auditor de TI 6. Consultores y otros especialistas en dirección de proyectos o áreas a fines.

16 5.4 Supuestos Los supuestos considerados para el desarrollo del PFG se detallan a continuación:. Se cuenta con la información necesaria para elaborar el formulario de identificación de brechas. 2. Se cuenta con la experiencia para la planeación y formulación del proyecto. 3. Se cuenta con el apoyo de un especialista en la implementación del marco de trabajo de control COBIT. 4. La comunicación con el tutor es excelente..5 Restricciones A continuación se enumeran las restricciones definidas para el desarrollo del PFG:. Tiempo limitado a la dedicación de la elaboración del proyecto. 2. El presupuesto para la elaboración del proyecto es limitado..6 Objetivos Como objeto de la investigación se definió, elaborar una propuesta de procedimiento para la implementación del proceso Administrar Proyectos de COBIT, apoyándose en la metodología de administración de proyectos del PMI para alcanzar el tercer nivel de madurez del proceso en las entidades financieras de Costa Rica..6. Objetivo general Proponer un procedimiento de implementación del proceso Administrar Proyectos de COBIT, en las entidades financieras de Costa Rica para alcanzar el tercer nivel de madurez en el mismo.

17 6.6.2 Objetivos específicos.. Proponer una herramienta para identificar el nivel de madurez de la organización en el proceso PO0 de COBIT. 2. Explicar el uso e interpretación de la herramienta propuesta para lograr la correcta implementación. 3. Elaborar procedimientos para la implementación del proceso PO0 de COBIT para alcanzar el tercer nivel de madurez en el proceso. 4. Definir los principales entregables y tiempo estimado para la implementación del proceso Administrar Proyectos de COBIT. 5. Definir los recursos principales para la implementación del proceso Administrar Proyectos de COBIT. 6. Estimar el costo aproximado para la implementación del proceso Administrar Proyectos de COBIT. 7. Dar a conocer los principales riesgos en la implementación del proceso Administrar Proyectos de COBIT.

18 7 2. MARCO TEORICO 2. Marco referencial o institucional En este trabajo se abordará una de las formas de implementar el proceso PO0 de COBIT Administrar Proyectos en el departamento de tecnología, el procedimiento de implementación del proceso se realizará como guía para las Oficinas de Proyectos del departamento de tecnología de información en las entidades fiscalizadas por la Superintendencia General de Entidades Financieras de Costa Rica. 2.. Antecedentes de la Institución La razón de ser de la banca es el intercambio económico nacional e internacional. En el caso de la banca costarricense el intercambio tiene sus orígenes desde el tiempo precolombino, cuando los indígenas utilizaban el cacao como moneda para realizar el trueque. Con la llegada de los españoles al continente americano, el intercambio de mercadería fue cambiando paulatinamente hasta ser lo que es hoy día, usando como medio de pago el papel moneda. Con el crecimiento socioeconómico de Costa Rica en el siglo XIX por las exportaciones de café, el estado ve la necesidad de crear un banco; esto con el fin de emitir papel moneda para un mejor intercambio con los países compradores. Costa Rica tuvo sus primeros bancos consolidados por medio de capital privado, nacionalizándose la banca en 948 con la Ley de la Nacionalización de la Banca. Años más tarde (años 80) por reforma de ley se rompe el monopolio de la banca estatal, surgiendo de nuevo el espacio para la apertura de la banca. Al surgir nuevas instituciones financieras se crea en 995 la Nueva Ley Orgánica del Banco Central que da origen a la Superintendencia General de Entidades Financieras (SUGEF) con el fin de tener un mayor control

19 8 de las actividades económicas de las distintas entidades financieras, tanto públicas como privadas. Con la incorporación de la banca privada en Costa Rica y la competencia por la captación de clientes, se hace importante la oferta de nuevos productos en el sector financiero, sin embargo; para el siglo XX la oferta de productos de forma tradicional se vuelve menos importante, y las entidades se preocupan por la gestión de éstos productos, invirtiendo en tecnología que les permita afinar la oferta de productos financieros, faciliten la relación con los clientes y segmentar el mercado. En la actualidad la demanda del cliente costarricense, de utilizar nuevas alternativas para realizar transacciones bancarias entre entidades nacionales e internacionales, gestión de pagos, gestión de activos, créditos, liquidez, calidad, comodidad y disponibilidad las 24 horas; las entidades financieras se apoyan en la tecnología adquiriendo software para la automatización de los procesos tradicionales y la gestión de la información, creando canales de distribución de los servicios y productos, para satisfacer de manera rentable las necesidades de los cliente; como cajeros automáticos, kioscos con pantallas en las sucursales, servicios de pago y transacciones entre bancos por internet. Los nuevos productos financieros basados en la tecnología, son variaciones de los ya existentes, como productos mixtos con componentes de gestión de riesgo muy complejos o fondos de inversión, por lo cual la SUGEF como ente responsable de velar por la estabilidad y eficiencia de sus entidades fiscalizadas, publica el 23 de enero del 2003 la Normativa de Tecnología de Información para las Entidades Fiscalizadas por la SUGEF, la cual contiene los lineamientos generales que utilizará la misma para evaluar la administración, los sistemas, equipos, la seguridad, la utilización y los controles aplicados en el

20 9 área de tecnología, con el fin de velar por estabilidad y eficiencia del sistema financiero. Sin embargo, la SUGEF se ve en la necesidad de definir una metodología para la evaluación y calificación de la gestión de tecnología, publicando el 2 de marzo del 2009 el Acuerdo 4-09, donde dispone la utilización del Marco de Trabajo de Control COBIT como las mejores prácticas para la gestión de TI. COBIT fue diseñada por el IT Governance Institute como un recurso educacional para los directores ejecutivos de información, para la dirección general y para los profesionales de la administración y control de TI. (IT Governance Institute, 2005). IT Governance Institute (ITGI, por sus siglas en inglés), se estableció en 998 para evolucionar el pensamiento y los estándares internacionales respecto a la dirección y control de la tecnología de información de una empresa. Un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio, optimice la inversión y administre de forma adecuada los riesgos y oportunidades asociados a la TI. (IT Governance Institute, 2005) El gobierno de TI tiene mucha responsabilidad ante las necesidades del negocio, por lo cual es necesario la división en departamentos interrelacionados que puedan dedicarse a la implementación y administración de tecnología adecuada para cada necesidad, entre éstas divisiones está la Oficina de Administración de Proyectos, la cual se encarga de gestionar los proyectos de tecnología identificados para satisfacer las necesidades de la entidad. El concepto de Administración de Proyectos en los departamentos de tecnología de información en las entidades financieras de Costa Rica es

21 0 relativamente nuevo, por lo cual se hace el mayor esfuerzo para la implementación de ésta nueva área, agregando valor al departamento de TI con la administración, control y seguimiento de los proyectos apoyando a la productividad y crecimiento. El marco de referencia COBIT con el proceso administrar proyectos proporciona a la PMO herramientas que facilitan el cumplimiento de esta responsabilidad mediante objetivos de control, índices de desempeño, métricas para medir la capacidad y mejora continua. (Gobierno TI, Network Sec, Valencia 2007). 2.2 Teoría de Administración de Proyectos En esta sección se definirán todos aquellos conceptos y términos que permitan comprender el contexto en el cual éste trabajo ha sido desarrollado Definición de Proyecto Según Project Management Institute (PMI, 2004), un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Un proyecto tiene una duración finita, un inicio y un fin especificados (esfuerzo temporal) en la cual se debe lograr su objetivo, por esta limitación de tiempo un proyecto no se considera un esfuerzo continuo y ésta singularidad hace que se crean productos entregables únicos. Un proyecto tiene como objetivo satisfacer una necesidad específica dentro del marco de tiempo, alcance y costo, apoyando de esta manera el plan estratégico de la organización.

22 Por lo general los proyectos son autorizados según las necesidades que tenga la organización, consideradas estratégicas para su funcionamiento y crecimiento. En los proyectos pueden participar varios recursos para realizar las tareas del programa y lograr satisfacer las necesidades de la organización. Los recursos pueden ser diferentes personas, organizaciones, equipo electrónico o mecánico, materiales e instalaciones; la elección de los recursos depende de la naturaleza del proyecto Dirección de Proyectos Según Project Management Institute (PMI, 2004), la Dirección de Proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades de un proyecto para satisfacer los requisitos del proyecto. La Dirección de proyectos, se logra mediante la aplicación de los procesos: inicio, planificación, ejecución, seguimiento y control, y cierre. Es importante aclarar que los procesos antes mencionados no es lo mismo que las fases del ciclo de vida un Proyecto, éstos procesos son repetitivos en cada una de las fases del ciclo de vida del proyecto. La adopción de la dirección de proyectos define las actividades de una organización como proyectos de una manera más coherente.

23 2 La dirección de proyectos incluye:. La identificación de los requisitos o requerimientos. 2. El establecimiento de objetivos claros y posibles de realizar. 3. El equilibrio de las demandas concurrentes de calidad, alcance, tiempo y costo. 4. La adopción de especificaciones, planes y enfoque a las diversas inquietudes y expectativas de los diferentes interesados Áreas del Conocimiento en la Dirección de Proyectos Según Project Management Institute (PMI, 2004), las áreas de conocimiento de la dirección de proyectos están organizadas por 44 procesos que a su vez están agrupados en nueve áreas de conocimientos. A continuación se describen las áreas de conocimiento: Gestión de la Integración del Proyecto Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los distintos procesos y actividades de la dirección de proyectos, consiste en tomar decisiones sobre donde concentrar recursos y esfuerzos. La integración también involucra concesiones entre objetivos y alternativas en competencia. Gestión del Alcance del Proyecto Se describen únicamente los procesos necesarios para completar el trabajo satisfactoriamente, definiendo los requerimientos, métricas y medidas tanto del proyecto como del producto del proyecto.

24 3 Gestión del Tiempo del Proyecto En la gestión del tiempo se detallan los procesos relacionados a la puntualidad en la finalización del proyecto, estimando el tiempo que se invierte en las tareas identificadas y el tiempo dedicado a dichas tareas por parte de los recursos seleccionados. Gestión de los Costos del Proyecto En la gestión de los costos se describen los procesos involucrados en la planificación, estimación, presupuesto y control de costes de forma que el proyecto se complete dentro del presupuesto aprobado. Gestión de la Calidad del Proyecto En la gestión de la calidad se detallan los procesos necesarios para asegurarse de que el proyecto cumple con los objetivos propuestos, definiendo las medidas de calidad del proyecto y del producto para ser considerado como satisfactorio. Gestión de los Recursos Humanos del Proyecto En la gestión de recursos humanos se detallan los procesos que organizan y dirigen el equipo del proyecto. Gestión de las Comunicaciones del Proyecto En la gestión de las comunicaciones se detallan los procesos relacionados con la generación, recolección, distribución, almacenamiento y destino final de la información del proyecto en tiempo y forma. Gestión de los Riesgos del Proyecto En la gestión de los riesgos se describen los procesos relacionados con el desarrollo de la gestión de riesgo de un proyecto.

25 4 Gestión de las Adquisiciones del Proyecto En la gestión de las adquisiciones se describen los procesos para comprar o adquirir productos, servicios o resultados, así como contratar procesos de Dirección Ciclo de vida de un proyecto Las organizaciones que ejecutan Proyectos suelen dividirlos en fases para una mejor gestión, con las relaciones correspondientes a las operaciones de la organización ejecutante. Según PMI (2004) el conjunto de estas fases se conoce como Ciclo de Vida del Proyecto. El ciclo de vida del proyecto define las fases que conectan el inicio y el fin del proyecto. Es importante aclarar que el ciclo de vida del proyecto no es lo mismo que el ciclo de vida del producto. Éste no es igual entre organizaciones e incluso pueden tener variaciones entre proyectos, aunque algunas organizaciones establecen políticas de estándares para todos los proyectos. Sin embargo no existe una forma única y que se considere la mejor para la definición del ciclo de vida del proyecto. Aunque el ciclo de vida no sea igual entre proyectos u organizaciones comparten características comunes, tales como: Las fases son secuenciales y están definidas por alguna transferencia de información técnica, o transferencia de componentes técnicos. El costo y el personal es bajo al inicio, alcanza su nivel máximo en las fases intermedias y cae rápidamente cuando el proyecto se aproxima a su conclusión, ver figura. Al inicio del proyecto la incertidumbre es más alta, porque existe el riesgo de poder cumplir con los objetivos planteados, a medida que el proyecto avanza la certeza de terminar con éxito aumenta.

26 5 Nivel de Coste y de Personal Fase Inicial Fases Intermedias Fase Final Tiempo Figura - Ciclo de vida Genérico de un Proyecto (PMI, 2004) En el ciclo de vida del proyecto se define el trabajo técnico que se debe realizar en cada fase, el momento en que se deben generar los productos entregables de cada fase y cómo se debe revisar, verificar y validar cada producto entregable; también se definen las personas involucradas en cada fase y cómo se debe controlar y aprobar cada una de las fases Procesos en la Dirección de Proyectos Según PMI (2004) para que un proyecto tenga éxito el equipo del proyecto debe seleccionar los procesos apropiados, usar un enfoque definido para adaptar las especificaciones del producto y los planes que puedan cumplir con los requisitos que satisfacen las necesidades, deseos y expectativas del proyecto, producto e interesados y equilibrar las demandas concurrentes de alcance, tiempo, costes, calidad, recursos y riesgos para producir un producto de calidad.

27 6 Un proceso es un conjunto de acciones y actividades interrelacionadas, que se llevan a cabo para alcanzar un conjunto previamente especificado de productos, resultados o servicios, siendo el equipo del proyecto el encargado de ejecutar los procesos. Los procesos de dirección de proyectos son integrales e interactúan entre ellos y sus propósitos. Se dividen en cinco grupos definidos como los grupos de procesos de la dirección de proyectos:. Grupo de Procesos de Iniciación Se compone de procesos que facilitan la autorización formal de comenzar un nuevo proyecto o una fase del mismo. En este grupo de procesos se documenta una descripción básica del Alcance del Proyecto, los Productos entregables, la duración del Proyecto y un pronóstico de los recursos para el análisis de la inversión de la organización en el proyecto, también se documenta las restricciones y supuestos iniciales lo cual queda documentado en el acta constitutiva del proyecto. Este proceso es repetitivo en cada fase del proyecto lo cual permite que su constante revisión, mantenga al proyecto enfocado en los objetivos del negocio que pretende satisfacer el proyecto, o de lo contrario sea detenido si deja de existir la necesidad del negocio o si se considera que el proyecto no puede satisfacer esa necesidad. Este proceso incluye los procesos de dirección: Desarrollar el Acta Constitutiva del proyecto y Desarrollar el Enunciado del Alcance del Proyecto Preliminar.

28 7 2. Grupo de Procesos de Planificación. Los procesos de planificación identifican, definen y maduran el alcance, coste del proyecto y se planifican las actividades del proyecto que se realizan dentro del mismo, en este proceso se desarrolla el plan de gestión de proyecto. Por la naturaleza multidimensional de la dirección de proyectos, en este proceso se producen bucles de retroalimentación repetidos que se usan para nuevos análisis, provocando actualizaciones al plan de gestión de proyecto las cuales proporcionan más precisión con respecto al cronograma, los costes y los requisitos de los recursos con el fin de satisfacer en su totalidad el alcance del proyecto. Los procesos de dirección de proyectos contenidos en el grupo de procesos de planificación son: Desarrollo del Plan de Gestión de Alcance. Planificación del Alcance, Definición del Alcance. Creación del EDT. Definición de las Actividades. Establecimiento de la Secuencia de las Actividades. Estimación de Recursos de las Actividades. Estimación de la Duración de las Actividades. Desarrollo del Cronograma. Estimación de Costes. Preparación del presupuesto de costes. Planificación de la Calidad. Planificación de los recursos Humanos. Planificación de la Comunicación. Planificación de la Gestión de Riesgos.

29 8 Identificación de Riesgos. Análisis Cualitativo de Riesgos. Análisis Cuantitativo de Riesgos. Planificación de la Respuesta a los Riesgos. Planificar las Compras y Adquisiciones. Planificar la Contratación. Por lo general, en el plan de gestión de proyectos no se desarrollan todos los procesos que componen al grupo de procesos de planificación, la elaboración de estos planes se ajusta a la naturaleza de cada proyecto y estructura de la organización. 3. Grupo de Procesos de Ejecución Este grupo de procesos, se componen de los procesos utilizados para completar el trabajo definido en el plan de gestión del proyecto, con el fin de cumplir los requisitos del proyecto, implica la coordinación de personas y recursos, así como la integración y elaboración de las actividades del proyecto de acuerdo al plan de gestión de proyecto. Durante el desarrollo de este grupo de procesos es normal que se sufra cierta replanificación, que puede repercutir en la duración de las actividades, productividad y disponibilidad de los recursos y pueden surgir nuevos riesgos no anticipados. El grupo de procesos de ejecución incluyen los siguientes procesos de dirección de proyectos: dirigir y gestionar la ejecución del proyecto, realizar aseguramiento de calidad, adquirir el equipo del proyecto, desarrollar el equipo del proyecto, distribución de la información, solicitar respuesta de proveedores, selección de proveedores.

30 9 4. Grupo de Procesos de Seguimiento y Control Se compone de los procesos realizados para observar la ejecución del proyecto de forma que se puedan identificar los posibles problemas oportunamente y adoptar las acciones correctivas cuando sea necesario. Éste proceso incluye el seguimiento de las actividades en curso del proyecto, comparándolas con el plan de gestión de proyectos y la línea base de rendimiento del proyecto, el seguimiento continuo de las actividades, le proporciona al equipo del proyecto una idea sobre la salud del proyecto y resalta el área que necesite atención especial. El grupo de procesos de seguimiento y control incluye los siguientes procesos de dirección de proyectos: supervisar y controlar el trabajo del proyecto, control integrado de cambios, verificación del alcance, control de alcance, control del cronograma, control de costes, realizar control de calidad, gestionar el equipo de proyecto, informar rendimiento, gestionar a los interesados, seguimiento y control de riesgos, administración del contrato. 5. Grupo de Procesos de Cierre. Este grupo de procesos, incluye los procesos para finalizar formalmente el todas la actividades del proyecto o una fase del proyecto. Una vez completa, hace una verificación de que todos los procesos definidos para cada uno de los grupos de procesos se hayan terminado con éxito y establece formalmente que se ha terminado el proyecto o fase del proyecto. El grupo de procesos de cierre contiene los siguientes procesos de dirección de proyectos: cerrar proyecto y cierre del contrato.

31 Arquitectura Empresarial En este trabajo se entenderá la arquitectura empresarial como la descripción de la arquitectura de la empresa en cuestión. La disciplina de la arquitectura empresarial aúna negocio, estrategia, proceso, método y componentes desde una cantidad de perspectivas diferentes. Estas perspectivas están definidas y varían según los diferentes enfoques dados a la arquitectura empresarial. Las arquitecturas empresariales son realizadas por arquitectos empresariales. Ésta ofrece la orientación, para implantar los componentes de la empresa y la implantación de los componentes produce un cambio en el estado de la empresa. (IBM, 2009). En la figura 2 se muestra un ejemplo de la estructura empresarial y la importancia de la tecnología de información para dar seguridad, calidad y productividad al negocio. Figura 2- Marco de Referencia para la definición de la arquitectura tecnológica de sistemas (Aldana, 2005)

32 2 2.4 Gobierno TI Gobierno TI Es una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos (NetworkSec, 2006, p.6) Uno de los procesos críticos y de supervivencia en las organizaciones es la Administración de la Información Efectiva y de las tecnologías de información relacionadas. El principal objetivo del gobierno de TI es entender las cuestiones y la importancia estratégica de TI para permitir a la organización que mantenga sus operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI sostiene y extiende las estrategias y objetivos organizacionales. El gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio, facilitando que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas (IT Governance Institute, 2005). COBIT proporciona un enlace claro entre los requerimientos del gobierno TI, los procesos de TI y los controles de TI (ISACA, 2007).

33 22 El ciclo de gobernabilidad del marco de trabajo general de COBIT se muestra en la figura 3. Figura 3- Marco de Trabajo General de COBIT La figura muestra en resumen la operatividad del marco de trabajo, donde los objetivos del negocio y del gobierno de TI mandan información, dependiendo del contenido de la información se asigna bajo el marco de uno de los procesos, también indica que para poder ejecutar se necesitan recursos de TI.

34 Control para la Información y la Tecnología relacionada (COBIT ) COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos del negocio, y comunicar ese nivel de control a los participantes. Permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas. Se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar acerca de TI, (IT Governance Institute, 2005). El objetivo de COBIT es brindar buenas prácticas a través de un marco referencial de dominios y procesos, las cuales representan el consenso de expertos en la materia. Las buenas prácticas se enfocan fuertemente en el control que vienen a ayudar a optimizar las inversiones facilitadas por TI, asegurarán la entrega del servicio y brindarán medidas contra la cual considerar cuando las cosas no vayan bien. El enfoque de COBIT hacia los procesos ilustra un modelo hacia procesos, el cual se subdivide en 34 procesos de acuerdo con las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de TI. El marco de trabajo de COBIT garantiza que: TI esté alineada con el negocio TI capacite el negocio y maximice los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente

35 Procesos orientados Según COBIT (IT Governance Institute, 2005) define las actividades de TI en un modelo genérico de procesos en cuatro dominios, los cuales son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. ADQUIRIR E IMPLEMENTAR (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño,

36 25 el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Dado que el objeto de la investigación es la implementación del proceso PO0 de COBIT, el cual se encuentra dentro del grupo de procesos Planear y Organizar como se muestra en la figura 3, se estudiará detenidamente Modelos de Madurez de los procesos COBIT Según COBIT (IT Governance Institute, 2005), los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior, ver figura 4. El desempeño real de la empresa Dónde se encuentra la empresa hoy: El estatus actual de la industria La comparación El objetivo de mejora de la empresa Dónde desea estar la empresa Figura 4- Representación gráfica de los modelos de madurez COBIT (IT Governance Institute, 2005)

37 26 La administración del proceso de Administrar Proyectos que satisfaga el requisito de negocio de TI de entregar los resultados del proyecto en el tiempo, con el presupuesto y con la calidad acordada es: 0 No existente cuando Las técnicas de administración de proyectos no se usan y la organización no toma en cuenta los impactos al negocio asociados con la mala administración de los proyectos y con las fallas de desarrollo en el proyecto. Inicial/Ad Hoc cuando El uso de técnicas y enfoques de administración de proyectos dentro de TI es una decisión individual que se deja a los gerentes de TI. Existe una carencia de compromiso por parte de la gerencia hacia la propiedad de proyectos y hacia la administración de proyectos. Las decisiones críticas sobre administración de proyectos se realizan sin la intervención de la gerencia usuaria ni del cliente. Hay poca o nula participación del cliente y del usuario para definir los proyectos de TI. No hay una organización clara dentro de TI para la administración de proyectos. Los roles y responsabilidades para la administración de proyectos no están definidas. Los proyectos, calendarios y puntos clave están definidos pobremente, si es que lo están. No se hace seguimiento al tiempo y a los gastos del equipo del proyecto y no se comparan con el presupuesto. 2 Repetible pero intuitiva cuando La alta dirección ha obtenido y comunicado la conciencia de la necesidad de una administración de los proyectos de TI. La organización está en proceso de desarrollar y utilizar algunas técnicas y métodos de proyecto a proyecto. Los proyectos de TI han definido objetivos técnicos y de negocio de manera informal. Hay participación limitada de los interesados en la administración de

38 27 los proyectos de TI. Las directrices iniciales se han elaborado para muchos aspectos de la administración de proyectos. La aplicación a proyectos de las directrices administrativas se deja a discreción del gerente de proyecto. 3 Proceso definido cuando El proceso y la metodología de administración de proyectos de TI han sido establecidos y comunicados. Los proyectos de TI se definen con los objetivos técnicos y de negocio adecuados. La alta dirección del negocio y de TI, empiezan a comprometerse y a participar en la administración de los proyectos de TI. Se ha establecido una oficina de administración de proyectos dentro de TI, con roles y responsabilidades iniciales definidas. Los proyectos de TI se monitorean, con puntos clave, calendarios y mediciones de presupuesto y desempeño definidos y actualizados. Existe entrenamiento para la administración de proyectos. El entrenamiento en administración de proyectos es un resultado principalmente de las iniciativas individuales del equipo. Los procedimientos de aseguramiento de calidad y las actividades de implantación post-sistema han sido definidos, pero no se aplican de manera amplia por parte de los gerentes de TI. Los proyectos se empiezan a administrar como portafolios. 4 Administrado y medible cuando La gerencia requiere que se revisen métricas y lecciones aprendidas estandarizadas y formales después de terminar cada proyecto. La administración de proyectos se mide y evalúa a través de la organización y no solo en TI. Las mejoras al proceso de administración de proyectos se formalizan y comunican y los miembros del equipo reciben entrenamiento sobre estas mejoras. La gerencia de TI ha implantado una estructura organizacional de proyectos con roles, responsabilidades y criterios de desempeño documentados. Los criterios para evaluar el éxito en cada punto

39 28 clave se han establecido. El valor y el riesgo se miden y se administran, antes, durante y al final de los proyectos. Cada vez más, los proyectos abordan las metas organizacionales, en lugar de abordar solamente las específicas a TI. Existe un apoyo fuerte y activo a los proyectos por parte de los patrocinadores de la alta dirección, así como de los interesados. El entrenamiento relevante sobre administración de proyectos se planea para el equipo en la oficina de proyectos y a lo largo de la función de TI 5 Optimizado cuando Se encuentra implantada una metodología comprobada de ciclo de vida de proyectos, la cual se refuerza y se integra en la cultura de la organización completa. Se ha implantado una iniciativa continua para identificar e institucionalizar las mejores prácticas de administración de proyectos. Se ha definido e implantado una estrategia de TI para contratar el desarrollo y los proyectos operativos. La oficina integrada de administración de proyectos es responsable de los proyectos y programas desde su concepción hasta su post-implantación. La planeación de programas y proyectos en toda la organización garantiza que los recursos de TI y del usuario se utilizan de la mejor manera para apoyar las iniciativas estratégicas 2.7 Mapeo entre COBIT y PMBOK Hasta el momento se ha definido la administración de proyectos, su ciclo de vida y las tendencias que ofrece COBIT para la administración de un gobierno TI exitoso y alineado con los objetivos estratégicos del negocio. Para comprender la relación que existe entre COBIT y el PMBOK, se consideran los objetivos que pretenden lograr con las normas, objetivos de control y mejores prácticas expuestas:

40 29 COBIT (Control Objectives for Information and Related Technology) es un compendio de objetivos de control para la tecnología de información, que incluye herramientas que permiten a la administración cubrir la brecha entre los requerimientos de control, la tecnología y los riesgos de negocio (Asentti, 2006). Los objetivos de control definidos en COBIT, pueden ser considerados un marco de referencia para el gobierno de TI, ya que enfatizan en el cumplimiento regulatorio, ayudando con ello a las organizaciones a incrementar el valor de TI mediante su alineamiento con las operaciones del negocio (Asentti, 2006). Beneficios que aporta la adopción de COBIT La adopción del marco de referencia aporta los siguientes beneficios al departamento de TI:. Brinda a los colaboradores de TI una base sólida de conocimientos constituida por las experiencias prácticas de auditores de TI expertos de todo el mundo. 2. Es compatible con muchas tendencias del mercado, principalmente con ISO y COSO. 3. Evita que los gerentes de TI y los auditores inviertan tiempo en definir Objetivos de Control que ya han sido establecidos y probados mundialmente, acortando los recursos empleados en la realización de auditorías de TI. 4. Proporciona a los auditores de sistemas de información, directrices aceptadas mundialmente para la realización de auditorías. 5. Brinda referencias para la realización de un análisis comparativo del nivel de control de la TI en la empresa con respecto al nivel de la industria. 6. Define claramente roles y responsabilidades de TI a nivel estratégico, táctico y operativo.