Por:
Arnol Filyp Garavito Ochoa
Carlos Enrique Sabalza Jiménez
Oscar Javier Sierra Rincón
Dairo Julián Cuintaco Venegas
CONTENIDO
CONTENIDO ................................................................................................................................ 3
1. INTRODUCCIÓN ................................................................................................................ 7
2. OBJETIVOS.......................................................................................................................... 8
2.1 General ............................................................................................................................ 8
2.2 Específicos ...................................................................................................................... 8
4. CONCLUSIONES .............................................................................................................. 38
5. RECOMENDACIONES .................................................................................................... 40
6. BIBLIOGRAFÍA ................................................................................................................ 41
ANEXOS ...................................................................................................................................... 42
Anexo 1: Evidencias reuniones realizadas con el equipo de trabajo ........................................ 42
Pág. 5
ÍNDICE DE FIGURAS
Figura 1. Extracto guía operacional de gestión de relaciones con el negocio del SENA............................................. 12
Figura 2. Extracto guía operacional de gestión finaciera del SENA ............................................................................ 13
Figura 3. Extracto guía operacional de gestión de riesgo del SENA ........................................................................... 17
Figura 4. Extracto guía operacional de gestión de proveedores del SENA ................................................................. 20
Figura 5. Extracto guía operacional de gestión de cambios del SENA........................................................................ 23
Figura 6. Extracto guía operacional de administrar contratos del SENA .................................................................... 26
Figura 7. Extracto de guía operacional de gestión de la continuidad ........................................................................... 29
Pág. 6
ÍNDICE DE TABLAS
1. INTRODUCCIÓN
2. OBJETIVOS
2.1 General
Identificar, comprender y definir un modelo de capacidad de los procesos del gobierno
corporativo de las TIC en el Servicio Nacional de Aprendizaje (SENA) a través del desarrollo de
la guía 1, actividad 2 de la unidad de estudio Gobernabilidad, estándares y buenas prácticas en
tecnología.
2.2 Específicos
- Realizar lectura de: ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control,
directrices gerenciales, modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.
- Definir el estado futuro, en el corto, mediano y largo plazo, del nivel de capacidad de
cada proceso COBIT seleccionado en el modelo de gobierno de las TIC del SENA.
- Definir el estado actual del nivel de capacidad del sector al que pertenece el SENA.
- Generar mínimo diez (10) conclusiones sobre la actividad realizada y cinco (05)
recomendaciones para facilitar la implementación del modelo.
3. DESARROLLO DE LA ACTIVIDAD
Los procesos de gestión de TI están orientados a garantizar la gestión del ciclo de vida de
los servicios tecnológicos que soportan la operación del SENA. En general, la mayoría de los
procesos se encuentran organizados, definidos, entendidos y documentados. Se tiene claridad de
los puntos de entrega de cada proceso y estos son regularmente revisados y controlados para
garantizar que cumplen con los requerimientos, estándares y objetivos.
Dominio Proceso
Planear y Organizar (PO) PO05 - Administrar la inversión en TI
PO09 - Evaluar y administrar los riesgos de TI
Adquirir e Implementar (AI) AI05 - Adquirir recursos de TI
AI06 - Administrar cambios
Entregar y dar Soporte (DS) DS02 - Administrar servicios de terceros
DS04 - Garantizar la continuidad de servicio
Monitorear y Evaluar (ME) ME02 - Monitorear y evaluar el control interno
ME04 - Proporcionar gobierno de TI
Para la selección de procesos se utilizó la cascada de metas de COBIT 4.1, que consiste en
relacionar los objetivos corporativos del SENA con las metas de negocio estándar y traducir
éstas a una o varias metas de TI que la soporten. A su vez, cada meta de TI se logra por un
proceso o la interacción de varios procesos (ISACA, 2007). Finalmente, la priorización de
los procesos se realizó evaluando los de más impacto estratégico y los de menor madurez.
Para el alcance del presente ejercicio, se va a evaluar por cada proceso relacionado en la
Tabla 1, si cumple con su propósito y genera los entregables esperados, bajo las mejores
prácticas propuestas en COBIT, para lo cual se aplicará la siguiente escala de evaluación
(ISACA, 2012):
Pág. 10
No cumplido (N): No existe evidencia suficiente del cumplimiento del atributo definido
en el proceso evaluado (0 al 15 por ciento de cumplimiento).
Parcialmente cumplido (P): Existe alguna evidencia de un enfoque que garantice cumplir
con el atributo definido en el proceso evaluado. Algunos aspectos del cumplimiento del atributo
pueden ser impredecibles (15 al 50 por ciento de cumplimiento).
Alto nivel de cumplimiento (A): Existe evidencia de un enfoque sistemático a través del
cual se busca cumplir con el atributo evaluado e incluso se cumple su resultado en un alto nivel.
Puede que existan algunas debilidades asociadas con este atributo (50 al 85 por ciento de
cumplimiento).
El SENA cuenta con un proceso definido que está documentado en la guía operacional de
gestión de relaciones con el negocio (ver Figura 1) y guia operacional de gestión financiera (ver
Figura 2). Además, genera periódicamente la siguiente evidencia documental:
- Informe financiero
- Informe de Gestion sobre rendimiento y percepcion del servicio
- Informes de acciones de mejora
Figura 1. Extracto guía operacional de gestión de relaciones con el negocio del SENA
Nivel de
Componente Descripción
cumplimiento
interesados (stakeholders)
Resultados de la revisión de un tercero sobre la evaluación y N
gestión de riesgos
Oportunidades relacionadas con TI que permitan la aceptación N
de un mayor riesgo, asegurando el crecimiento y la rentabilidad
Propuestas de proyectos para reducir el riesgo N
Planes de respuesta a los incidentes relacionados con riesgos N
Comunicaciones sobre las implicaciones de los riesgos N
Causa raíz identificada para los riesgos materializados N
Proceso
Evaluación final
ejecutado
Como se observa en la Tabla 4, la valoración actual del proceso evaluar y administrar los
riesgos de TI tiene una evaluacion de proceso ejecutado.
Aunque el SENA cuenta con un proceso definido que está documentado y llevado en la
guía operacional de gestión de riesgo (ver Figura 3), se concluye que se debe trabajar en el
mejoramiento del proceso para obtener las salidas que recomiendan las buenas prácticas de
gestión de Cobit. Por otra parte, se genera periódicamente la siguiente evidencia documental:
- Informe de Gestion
- Informe de Acciones de Mejora
- Matriz de Riesgo
Pág. 17
Tabla 5. Estado futuro nivel de capacidad proceso Evaluar y administrar los riesgos de TI
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso ejecutado Proceso gestionado Proceso establecido
deseado
Observaciones Es necesario identificar, Gestionar todos los Materializar los
evaluar y reducir los programas y proyectos beneficios de negocio y
riesgos relacionados con que apunta a admniistra reducir el riesgo de TI,
TI de forma continua, los riesgos de TI de forma disminución en costos e
dentro de niveles de que sea coordinada y en incremento del valor
tolerancia establecidos línea con la estrategia generado mediante la
por la dirección ejecutiva corporativa y en pos de la mejora de las
de la entidad. planificación e comunicaciones y el
implementacion. involucramiento del
Se debe definir, operar y negocio y los usuarios
supervisar un sistema finales, asegurando el
para la gestión de riesgo y valor y la calidad de los
mejorar aquellos aspectos entregables de los
con calificación no proyectos y maximizando
cumplido (N). su contribución al
portafolio de inversiones
y servicios
Pág. 19
Como se observa en la Tabla 10, la valoración actual del proceso administrar servicios de
terceros es proceso establecido.
El SENA cuenta con un proceso definido que está documentado en la guía operacional de
administrar contratos (ver Figura 6).
Pág. 26
Tabla 11. Estado futuro nivel de capacidad proceso Administrar servicios de terceros
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso establecido Proceso predecible Proceso optimizado
deseado
Observaciones El proceso se encuentra En el mediano plazo se En el largo plazo se desea
establecido e desea estar en un nivel de estar en un nivel de
implementado. capacidad 4 (Predecible). capacidad (Optimizado).
Donde se apliquen los Donde se optimice la
Se desea en el corto plazo diferentes controles al aplicación del proceso y
seguir con la divulgación proceso. este en constante
y garantizar la aplicación innovación.
del mismo en todas las
Regionales del SENA.
El proceso alcanza un
nievel de capacidad
establecido, sin embargo
por ser el Sena una
entidad de orden nacional,
se observó que en algunas
regionales el proceso se
debe seguir trabajando el
tema de documentacion,
con el fin de garantizar la
mejora continua y así
alcanzar los próximos
niveles de capacidad.
Pág. 28
Tabla 13. Estado futuro nivel de capacidad proceso Garantizar la continuidad del servicio
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso gestionado Proceso establecido Proceso predecible
deseado
Observaciones El proceso se encuentra A mediano plazo se A largo plazo se espera
en un nivel de capacidad quiere que el proceso que el proceso alcance los
gestionado, lo cual alcance un nivel de niveles de capacidad
significa que el proceso capacidad establecido predecible y optimizado,
debe implementarse en logrando alcanzar la cumpliendo con los
las diferentes áreas y implementación del atributos de control,
regionales de la entidad. proceso en todas optimización e
Dentro del plan dependencias y innovación del proceso.
estratégico del Sena se regionales.
plantea la mejora
continua de los procesos,
deseando obtener niveles
de capacidad superiores,
con el fin de poder
garantizar los objetivos
estratégicos trazados.
Pág. 31
Tabla 15. Estado futuro nivel de capacidad proceso Monitorear y evaluar el control interno
Corto plazo Mediano plazo Largo plazo
(< 1 año) (1-2 años) (> 2 años)
Nivel de capacidad Proceso ejecutado Proceso gestionado Proceso ejecutado
deseado
Observaciones En el PETIC del SENA la Se deberá proclamar el Se deben implementar
evaluación del control monitoreo del control herramientas o sistemas
interno no esta claramente interno. de información integradas
definida y depende de las a los procesos.
habilidades de algunos Desarrollar mecanismos
funcionarios para evaluar las acciones Se deberán implementar
de monitoreo del control niveles de tolerancia para
interno. el proceso.
No obstante, (Marulanda, et al. 2017) realizaron un estudio del estado y alcances del
gobierno y gestión de TI en 19 entidades públicas de Manizales. En términos generales, los
autores concluyen lo siguiente:
Algo similar ocurre con un estudio realizado por (Valencia, et al. 2018) sobre el uso y
prácticas de gobierno de TI en 39 entidades públicas del triángulo del café (Manizales, Pereira,
Armenia) en Colombia. Los autores concluyen que el triángulo del café tiene una valoración
total por debajo de 3 en una escala de 0-5, sobre temas de marco legal y normativo, estructura de
TI y procesos, gestión de relaciones con otras áreas, gestión de proveedores, acuerdos de
servicios y alineación de procesos, lo que muestra poco avance de gobierno TI en las entidades
evaluadas.
Pág. 36
Al contrastar esta realidad con el SENA, se observa que la entidad está adelantada con
respecto a sus referentes nacionales, ya que la mayoría de sus procesos se encuentran en un nivel
de capacidad gestionado y establecido, como se evidencia en su Plan estratégico de TIC.
Además, está en un proceso de implantación del marco de referencia Cobit para gobierno de TI.
Pág. 37
- El SENA por ser una entidad pública de orden nacional y de carácter desconcentrada, el flujo
de información entre dependencias y personas es un poco lento, esta fue una de las
principales dificultades para acceder a la información, evidencias y documentación que
permitieran evaluar en forma objetiva, los niveles de capacidad de los procesos
seleccionados. Sin embargo, se tuvo una línea base definida en el PETIC del SENA.
A pesar de contar con un Sistema Integrado de Gestión (SIGA), no existe una herramienta
tecnológica donde se centralice y se pueda monitorear todos los indicadores. Lo cua dificulta
el acceso a la información.
Pág. 38
4. CONCLUSIONES
2. Contar con una valoración de los procesos por medio del modelo de capacidad, permite
de manera práctica entender en dónde están los procesos y qué acciones realizar para madurarlos
en el corto, mediano y largo plazo.
4. Determinar la capacidad de los procesos en una organización es algo que debe estar
acompañado de una ruta de definición, para este ejercicio se contó con la información disponible
y de carácter público que se pudo recopilar y en los que se evidencian las líneas base de la
mejora continua del modelo de capacidad de los procesos.
5. Se puede conocer hasta dónde se puede exigirle a un proceso con el fin de optimizar
recursos para que sean invertidos en madurar otros procesos y mejorar su capacidad para
llevarlos al siguiente nivel.
7. Para la definición del modelo de capacidad de Cobit, fue necesario relacionar los
objetivos, propósitos, evidencias, practicas de los procesos, con los objetivos de control y metas
de los procesos, debido a que la entidad no tiene implementado Cobit para la gestión de los
procesos TI.
5. RECOMENDACIONES
1. No fue posible hacer una encuesta al interior de la organización o con el jefe de la oficina
de sistemas para conocer el futuro del SENA en la implementación de su gobierno de TI, lo cual
es una práctica recomendable para proyectar el estado futuro en el corto, mediano y largo plazo
del nivel de capacidad de los procesos.
4. Con el fin de divulgar y dar a conocer los procesos e indicadores de gestión TI, se
recomienda establecer política de socialización y comunicación masiva para los interesados de
cada uno de las departamentos y sedes de la organización.
Pág. 41
6. BIBLIOGRAFÍA
ISACA. (2007). COBIT 4.1: Marco de trabajo, objetivos de control, directrices gerenciales,
modelos de madurez. Rolling Meadows, Estados Unidos: ISACA.
ISACA. (2012). COBIT 5: Procesos catalizadores. Rolling Meadows, Estados Unidos: ISACA.
Marulanda, C., Trujillo, M. y Valencia, F. (2017). Gobierno y gestión de TI en las entidades
públicas. AD-minister Nº. 31 (julio-diciembre 2017), 75-92. doi:10.17230/ad-
minister.31.5
SENA. (2015). Compendio de guías operacionales. Colombia: SENA.
Valencia, F., Marulanda, C. y López, M. (2018). Gobierno de las tecnologías de la información.
Uso y prácticas en las entidades públicas del triángulo del café, Colombia. Información
tecnológica Vol 29 (3), 249-256.
Pág. 42
ANEXOS
Se realizaron diferentes sesiones de trabajo por medio de la herramienta google Meet para
realizar las siguientes actividades:
1. Socializar el alcance de las actividades y material de estudio.
2. Aclarar las dudas referente al modelo de gobierno corporativo y modelo de niveles de
capacidad de los procesos.
3. Asignación de actividades, responsables y plazo.
4. Socialización del desarrollo de las actividades.
5. Socialización de conclusiones y recomendaciones
6. Revisión final, ajustes y compilación de los documentos.