LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo

Transcripción

1 LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo Cualquier administrador de empresa, sabe que su negocio está inserto en una economía mundial cada vez más globalizada y competitiva. Es por ello que el control sobre la gestión que se realiza tanto en el corto plazo como la proyección del futuro, es fundamental, para que el negocio se mantenga vigente en el mercado y crezca seguro y razonablemente. Para lograrlo, las empresas deben tener un norte al cual aspiran llegar, lo cual se materializa al definir una visión de futuro, como también la misión y los objetivos que desea cumplir. La concreción de esa perspectiva se refleja en la formulación de un plan de desarrollo estratégico, lo cual se puede determinar siguiendo varios modelos. Las acciones a desarrollar según el plan estratégico que se formule, deben disponer por una parte, de procedimientos y herramientas, que faciliten su desarrollo; y por otra, que entreguen información oportuna y confiable, para que la toma de decisiones que se deban tomar durante su funcionamiento, sea certera. Las TIC s son herramientas que facilitan la forma de hacer las cosas y entregan información para el control de gestión. Es por ello que la planificación informática de toda empresa, debe estar alineada a la estrategia de desarrollo y su formulación es el resultado de la estrategia que se defina para el mismo negocio. Si bien lo anterior es bastante obvio, en las empresas no siempre se tratan las TIC s como una herramienta de apoyo y por ello la inversión que se hace en ellas, en muchos casos no es productiva. Algunas cifras entregadas por el CETIUC 1 en su informe periódico sobre Tecnologías de información, señalan que: - Las 117 empresas seleccionadas por una muestra representativa de cada sector, tuvieron una facturación promedio de MMUS$ 552,2 al Asimismo la inversión en TI, declarado por estas empresas fue de MMUS$ 4,6 para el año El 61% de las empresas indican que el CIO 2 de ellas no tiene ninguna relación con el Directorio y el 58% indica que cada tres meses se relacionan con algún miembro del directorio. - El 70% de las empresas indican que el CIO tiene una dependencia de la gerencia general y/o de la gerencia de finanzas. El mismo porcentaje señala que la relación con la Gerencia General, es mensual. - El tiempo del CIO se distribuye en un 37% a los aspectos operativos, el 39% a lo táctico y solo un 24% lo dedica a la parte estratégica. - El 63% de las empresas que participaron en el estudio del CetiUC, indican que tienen en uso un software de clase mundial - Entre las herramientas más usadas, las empresas consultadas declaran tener en uso o próximas a emplearlas, las siguientes: ERP, OLAP, e-learning Datawarehouse, e- Commerce, CRM, Datamining, BPM. - Respecto a los medios de comunicación, las empresas señalan que los más usados son: e.mail, telefonía fija, móvil e IP. - Sobre TIC de desarrollo, las empresas investigadas declaran que para el 2008 el 70% de ellas estará usando XML y el 80% utilizará J2E. - A nivel de TIC de seguridad, las empresas señalaron que cuentan con las siguientes tecnologías: encriptación (77% de ellas), e-factura (50%), firma digital (56%) y RFID (78%). - Las empresas consultadas declaran llevar un control sobre las actividades TI que se ejecutan, como son: seguimiento de proyectos, ejecutivos TI por línea de negocios, comité de inversiones TI, SLA, cobro por centro de costo. 1 Centro de Estudios de Tecnología de Información de la Pontificia Universidad Católica de Chile Septiembre de Considera un universo de empresas clasificadas en 11 sectores, que representan a todas las actividades del país, salvo la educación. 2 CIO = Chief Information Officers

2 - Asimismo, señalan que tienen incorporadas técnicas de gestión de TI, como las siguientes: TCO, PMO, administración porfolio de proyectos, feedback de usuarios. - Al medir los impactos de las TI, las empresas destacan: el aumento de eficiencia en los procesos, disminución de costos operativos, cumplimiento de regulaciones, la posibilidad de crecimiento, integración de clientes y proveedores, e innovar en el negocio. - En los impactos de la TI respecto de la reducción de los costos en la empresa, las entidades declaran, que donde más se producen son: en producción, atención al cliente, comunicaciones internas, RRHH y comercialización - El 72% de las empresas consultadas no tienen implementado ningún estándares de gestión TI (CoBIT, CMMI, ITIL, ISO9001, ISO 17799/BS 7799). De las cifras anteriores se puede deducir que si bien en las empresas grandes, la TI son una herramienta que se usa masivamente y en forma necesaria, no queda claro si la inversión que ello implica se esté haciendo acorde con la estrategia del negocio o para resolver procesos específicos. En Estados Unidos el año 1998 y a instancia del IT Governance Institute (ITGI) se formuló un documento denominado de control para la información y la tecnología relacionada - CoBIT, el cual es un conjunto de recomendaciones, que describen las buenas prácticas de TI que se deben seguir, para responder a los objetivos de una empresa. Es un marco de trabajo para los encargados de los procesos de negocio dentro de la organización y en particular para los CIO, de modo que la inversión en TI, responda a la estrategia de desarrollo. En particular, apunta al control y gobierno de las TIC, de modo que los recursos TI a emplear y sus correspondientes procesos, se decidan en función a los requerimientos del negocio. El aporte de este instrumento es que permite a las empresas y a su Unidad tecnológica propiamente tal, determinar cuan alineada está la tecnología que se emplea, según las buenas prácticas que se han definido en el CoBIT. La información para que realmente satisfaga los de Negocio, según el instrumento CoBIT, debe cumplir con siete criterios básicos, que son Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad. Por otra parte si se pretende que las TIC den un servicio exitoso para soportar la estrategia de la organización, debe existir una definición y dirección clara sobre los requerimientos de TI por parte de la alta dirección de la empresa (que a la larga son los clientes o usuarios de la tecnología) y un claro entendimiento por parte de la unidad a cargo de la TI, sobre cómo y qué debe entregar (los cuales son los proveedores). Una vez que estén claros los requerimientos y entrega entre cliente y proveedor, las metas TIC se deben alinear y proceder a ser monitoreados para garantizar que la entrega se cumple con las expectativas. Las métricas se definen en función de las metas que se fijen y se materializan en un cuadro de mando (Scorecard TIC) para que el cliente lo pueda ver, entender y seguir. Los Recursos TIC, para responder a los requerimientos del negocio, se clasifican como: Datos / Información; Sistemas de Aplicación; Tecnología; Instalaciones / Infraestructura; Personas. Las Metas de Negocio condicionan la forma de administrar los recursos y los procesos TIC, a fin de lograr las Metas TIC. Los Procesos TIC requieren Controles a fin de dar una seguridad razonable al éxito de los objetivos de negocio. El Modelo de Control apunta a fijar estándares que permiten por una parte, determinar el grado de soporte que las TIC dan a los procesos de negocios, expresado a través de la integridad, validez, autorización y segregación de funciones, y por otra, validar como se realizan los procesos TIC s propiamente tal, como son, entre otros: desarrollo de sistemas, administración de cambios, seguridad, operación del computador. El CoBIT para cumplir su objetivo y permitir a las empresas determinar cuan cerca o lejos están de las buenas prácticas identificadas en este instrumento, se estructura en cuatro dominios o ejes, los cuales permiten analizar:

3 a) Cuan alineada están las TIC s de la empresa, respecto a la estrategia del negocio y cómo la Unidad tiene organizado sus recursos (Planificación y Organización - PO). b) Procedimientos que se tienen para adquirir e implantar los recursos TI que ocupa la empresa (Adquirir e Implantar - AI). c) Metodología que utiliza la Unidad de TI, para entregar y dar soporte a los usuarios (Dar y Entregar Servicios - DS) d) Los elementos que ofrece el instrumento para monitorear y evaluar la práctica de TI (Medir y Evaluar - ME). A su vez cada uno de estas dimensiones se subdivide en objetivos, que en total son 34. Cada uno de éstos a su vez, se subdividen en sub objetivos, los que sumados son 211. Los 34 objetivos identificados por esta norma y los indicadores que se recomiendan, son los siguientes: PLANEAR Y ORGANIZAR (PO) PO1 Definir un plan estratégico de TI 1. El porcentaje de objetivos de TI en el plan estratégico de TI, que dan soporte al plan estratégico del negocio 2. El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan táctico de TI 3. El retraso entre las actualizaciones del plan estratégico de TI y las actualizaciones de los planes tácticos de TI PO2 Definir la arquitectura de la información 1. El porcentaje de elementos de datos redundantes / duplicados 2. El porcentaje de aplicaciones que no cumplen con la arquitectura de la información 3. La frecuencia de actividades de validación de datos PO3 Determinar la dirección tecnológica 1. El número y tipo de desviaciones con respecto al plan de infraestructura tecnológica 2. Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica 3. Número de plataformas de tecnología por función a través de toda la empresa PO4 Definir los procesos, organización y relaciones de TI PO5 Administrar la inversión en TI / de Control Detallado PO6 Comunicar las aspiraciones y la dirección de la gerencia 1. El porcentaje de roles con descripciones de puestos y autoridad documentados 2. El número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo, de acuerdo a la estrategia 3. Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI 1. El porcentaje de reducción en el costo unitario del servicio de TI 2. Porcentaje del valor de la desviación respecto al presupuesto en comparación con el presupuesto total 3. Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en ventas / servicios debidos a la mejora en conectividad 1. El número de interrupciones en el negocio debidas a interrupciones en el servicio de TI 2. Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa 3. Porcentaje de stakeholdrers que no cumple las políticas PO7 Administrar recursos humanos de TI 1. El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal 2. La rotación de personal de TI 3. Porcentaje de personal de TI certificado de acuerdo a

4 las necesidades del negocio PO8 Administrar la calidad 1. Porcentaje de participantes satisfechos con la calidad (ponderado por importancia) 2. Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de modo periódico que satisfaga las metas y objetivos de calidad 3. Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA) PO9 Evaluar y administrar los riesgos de TI 1. Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos 2. Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados 3. Porcentaje de planes de acción de administración de riesgos aprobados para su implantación PO10 Administrar proyectos 1. Porcentaje de proyectos que satisfacen las expectativas de los stakehoders (a tiempo, dentro del presupuesto, y con satisfacción de los requerimientos ponderados por importancia) 2. Porcentaje de proyectos con revisión post-implantación 3. Porcentaje de proyectos que siguen los estándares y las prácticas administrativas de los proyectos ADQUIRIR E IMPLANTAR (AI) AI1 Identificar soluciones automatizadas 1. Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas 2. Porcentaje de estudios de factibilidad autorizados por el propietario del proceso 3. Porcentaje de usuarios satisfechos con la funcionalidad entregada AI2 Adquirir y mantener software aplicativo 1. Número de problemas en producción por aplicación, que causan tiempo perdido significativo 2. Porcentaje de usuarios satisfechos con la funcionalidad entregada AI3 Adquirir y mantener infraestructura tecnológica 1. El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología 2. El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será) 3. El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano) AI4 Facilitar la operación y el uso 1. El número de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio 2. El porcentaje de propietarios de negocios satisfechos con el entrenamiento de aplicación y los materiales de apoyo 3. El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operación AI5 Adquirir recursos de TI 1. El número de controversias en relación con los contratos de adquisición 2. La reducción del costo de compra 3. El porcentaje de interesados clave satisfechos con los proveedores AI6 Administrar cambios 1. El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta 2. La repetición de aplicaciones o infraestructura debida a

5 AI7 Instalar y acreditar soluciones y cambios especificaciones de cambio inadecuadas 3. El porcentaje de cambios que siguen procesos de control de cambio formales 1. Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas 2. Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantación 3. Porcentaje de proyectos con plan de prueba documentado y aprobado DS1 Definir y administrar los niveles de servicio ENTREGAR Y DAR SOPORTE (DS) 1. El porcentaje de participantes satisfechos de que la entrega del servicio cumple con los niveles previamente acordados. 2. El número de servicios entregados que no están en el catálogo 3. El número de reuniones formales de revisión del Acuerdo de Niveles de Servicio (SLA) con las personas de negocio por año DS2 Administrar los servicios de terceros 1. El número de quejas de los usuarios debidas a los servicios contratados 2. El porcentaje de los principales proveedores que cumplen claramente los requerimientos definidos y los niveles de servicio 3. El porcentaje de los principales proveedores sujetos a monitoreo DS3 Administrar el desempeño y la capacidad 1. Número de horas perdidas por usuario por mes, debidas a la falta de planeación de la capacidad 2. Porcentaje de picos donde se excede la meta de utilización 3. Porcentaje de SLAs de tiempo de respuesta que no se satisfacen DS4 Garantizar la continuidad del servicio 1. Número de horas perdidas por usuario por mes, debidas a interrupciones no planeadas 2. Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad. DS5 Garantizar la seguridad de los sistemas 1. El número de incidentes que dañan la reputación con el público 2. El número de sistemas donde no se cumplen los requerimientos de seguridad 3. El número de de violaciones en la segregación de tareas. DS6 Identificar y asignar costos 1. Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio 2. Porcentaje de variación entre los presupuestos, pronósticos y costos actuales. 3. Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos acordados. DS7 Educar y entrenar a los usuarios 1. Número de llamadas de soporte debido a problemas de entrenamiento 2. Porcentaje de satisfacción de los participantes con el entrenamiento recibido 3. Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la fecha en que se imparte. DS8 Administrar la mesa de servicio y los 1. Satisfacción del usuario con el soporte de primera línea

6 incidentes 2. Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado 3. Índice de abandono de llamadas DS9 Administrar la configuración 1. El número de problemas de cumplimiento del negocio debido a inadecuada configuración de los activos. 2. El número de desviaciones identificadas entre el repositorio de configuración y la configuración actual de los activos. 3. Porcentaje de licencias compradas y no registradas en el repositorio. DS10 Administrar los problemas 1. Número de problemas recurrentes con impacto en el negocio 2. Porcentaje de problemas resueltos dentro del período de tiempo solicitado 3. Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la severidad del problema. DS11 Administrar los datos 1. Satisfacción del usuario con la disponibilidad de los datos. 2. Porcentaje de restauraciones exitosas de datos. 3. Número de incidentes en los que tuvo que recuperarse datos sensitivos después que los medios habían sido desechados. DS12 Administrar el ambiente físico 1. Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente físico 2. Número de incidentes ocasionados por fallas o brechas de seguridad física 3. Frecuencia de revisión y evaluación de riesgos físicos. DS13 Administrar las operaciones 1. Número de niveles de servicio afectados a causa de incidentes en la operación. 2. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operación. 3. Porcentaje de activos de hardware incluidos en los programas de mantenimiento. ME1 MONITOREAR Y EVALUAR (ME) Monitorear y evaluar el desempeño de TI 1. Satisfacción de la gerencia y de la entidad de gobierno con los reportes de desempeño 2. Número de acciones de mejoramiento impulsadas por las actividades de monitoreo 3. Porcentaje de procesos críticos monitoreados ME2 Monitorear y evaluar el control interno 1. Número de brechas importantes del control interno 2. Número de iniciativas para la mejora del control 3. Número y cubrimiento de auto evaluaciones de control ME3 Garantizar el cumplimiento regulatorio 1. El costo del no cumplimiento de TI, incluyendo arreglos y multas 2. Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución 3. Frecuencia de revisiones de cumplimiento ME4 Proporcionar gobierno de TI 1. La frecuencia de informes del consejo directivo sobre TI a los interesados (incluyendo el nivel de madurez) 2. La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo el nivel de madurez) 3. Frecuencia de revisiones independientes del cumplimiento de TI Para aplicar el modelo se recomienda formular un cuestionario al CIO de la Empresa como al Jefe de éste, con los objetivos básicos y que son afines con la organización a examinar. Frente

7 a cada aseveración se establece una escala de madurez de cinco grados, a saber: No existente (0); Inicial (1); En desarrollo (2); Maduro (3); Maduro y en estado de perfeccionarlo (4). En la medida que los resultados que se obtengan se acerquen a los niveles 3 a 4 se estará frente a una organización más madura donde la inversión en las TIC s están respondiendo a la estrategia del negocio y los procesos de TI permiten disminuir los riesgo en la toma de decisiones, mejora la eficiencia al tener menos errores y procesos más predecibles. En otros términos la inversión en recursos TI, será más rentable. Finalmente es importante destacar que el modelo mencionado no solo es una herramienta a utilizar para las grandes empresas, sino que también es aplicable para la PyME s. En efecto un estudio reciente 3 señala para este sector los siguientes datos: - El % de empresas con computador aumentó desde un 64% en el 2002 a un 76% en el 2006, siendo la pequeñas empresas las que más crecieron, pasaron de un 58% a un 71%. - La conexión a Internet paso en el período estudiado de un 44% a un 69% y las pequeñas empresas aumentaron su conectividad a un 62%. - El porcentaje de empresas con página Web, se incrementó desde un 14% el 2002 a un 28% el El uso de tecnología y en especial que tipo de software utilizaban, los datos fueron, señalados en el siguiente orden: 1 aquellos que más producen aumento en la productividad personal (uso de planillas de cálculo, procesadores de texto, uso de e- mail, navegadores y antivirus). 2 los relacionados con procesos administrativos, finanzas y contabilidad. 3 los que colaboran en el área de producción y 4 los sotware relacionados con clientes y proveedores. - El 59,8 % de las empresas encuestadas manifestó que están en línea con su banco y lo utilizan para: revisar saldos en cuenta corriente (92,8%); revisión de otros informes bancarios (50,7%); Traspaso de fondos (47,2%); Pago de cuentas (23,5%). - El 42,1% de las empresas declara hacer trámites en línea con el estado, donde entre las pequeñas, sólo 36,6% señala que hace dichos trámites vía Intenet. - Respecto al contacto con proveedores, sólo el 33% de las empresas pequeñas señala que está conectada con sus proveedores, vía Internet y un 22,4% indica que está en contacto con sus clientes a través del uso de tecnología. - Las empresas grandes en un 56,6 indica que posee un área de informática al interior de la empresa, en cambio entre las pequeñas sólo lo tienen un 19,7. Al igual que en las cifras mencionadas al comienzo y referida sólo a empresas grandes, en las PyME s se ve que se usa también la tecnología pero no se sabe si la inversión es acorde con la estrategia de desarrollo. A objeto de poder determinar si la inversión en TIC s que hacen las PyME s, están acorde con el plan de desarrollo estratégico de ellas, por una parte y por otra para probar el instrumento CoBIT, adaptado a la realidad chilena, se está desarrollando una investigación en calidad de seminario de título, por un grupo de alumnos de la carrera de Ingeniería Comercial de la Universidad Central, sobre esta temática. Esperamos compartir los resultados que se obtengan, en uno de los números del próximo año, de esta revista, 3 Segunda encuesta de Acceso y uso de Tecnología de Información y Comunicación, realizada por la Subsecretaría de Economía 2006.