UNIVERSIDAD DE COSTA RICA SISTEMAS DE ESTUDIO DE POSGRADO PROPUESTA DE ESTRATEGIA DE MEJORA DE PROCESOS DE TECNOLOGÍAS DE INFORMACIÓN BAJO EL MARCO DE REFERENCIA COBIT EN LA EMPRESA MIDWARE S.A. Trabajo final de investigación aplicada sometido a la consideración de la Comisión del Programa de Estudios de Posgrado en Administración y Dirección de Empresas para optar al grado y título de Maestría Profesional en Administración y Dirección de Empresas con énfasis en Gerencia JOSÉ ARIAS CARAZO LUIS EMILIO VARGAS RAMÍREZ Ciudad Universitaria Rodrigo Facio, Costa Rica 2022 ii Dedicatoria A mi familia en general y especialmente a mis padres, por siempre estar ahí para apoyarme. José A. A mi esposa, mis padres y hermanos, por estar ahí siempre. Luis V. iii Agradecimientos A los profesores Oscar Aguilar, Josué Bonilla y Wagner Campos, por todos los valiosos aportes durante todo el proceso. Al Lic. José Pablo Matamoros por la asistencia en temas de COBIT. A la empresa MIDWARE S.A., y su fundador Pablo Vela, por permitir realizar los estudios pertinentes y estar siempre anuentes a colaborar con el proceso. José A. A los profesores Oscar Aguilar y Wagner Campos por sus aportes de gran valía. Al profesor Josué Bonilla por su compromiso y acompañamiento en todo momento. Al Lic. José Pablo Matamoros por todo su apoyo con cada consulta COBIT planteada. Luis V. v Tabla de Contenido Agradecimientos ................................................................................................................................iii Hoja de aprobación ........................................................................................................................... iv Lista de Tablas ................................................................................................................................. viii Lista de Figuras ................................................................................................................................. ix 1. CAPÍTULO I: ENTORNO DE LOS SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN COSTA RICA Y MARCO TEÓRICO ...................................................... 1 1.1. Reseña histórica ................................................................................................................. 1 1.2. Situación del mercado de los servicios de TIC en Costa Rica ....................................... 4 1.3. Manejo empresarial de procesos de tecnologías de información .................................. 7 1.4. Conceptos básicos de COBIT ......................................................................................... 10 1.4.1. Generalidades .......................................................................................................... 10 1.4.2. Estructura de los objetivos de gobernanza y gestión en COBIT ......................... 17 1.4.3. Niveles de capacidad para los procesos ................................................................. 20 1.4.4. Objetivo BAI06 gestión del cambio ....................................................................... 22 1.4.5. Objetivo BAI08 gestión del conocimiento ............................................................. 23 2. CAPÍTULO II: DESCRIPCIÓN DE MIDWARE S.A. ....................................................... 27 2.1. Reseña histórica ............................................................................................................... 27 2.2. Aspectos generales de la empresa .................................................................................. 28 2.3. Estructura y organigrama .............................................................................................. 30 2.4. Cultura organizacional y servicios brindados .............................................................. 32 3. CAPÍTULO III: ANÁLISIS DEL MANEJO ACTUAL DE LOS PROCESOS INTERNOS DE TECNOLOGÍAS DE INFORMACIÓN EN MIDWARE S.A. ....................... 36 3.1. Justificación de la investigación ..................................................................................... 36 3.2. Metodología de la investigación ..................................................................................... 37 3.3. Desarrollo y análisis de la investigación ........................................................................ 38 3.3.1. Análisis según factores de diseño ........................................................................... 38 3.3.2. Análisis de gestión del cambio según BAI06 ......................................................... 51 3.3.3. Análisis de la gestión del conocimiento según BAI08 ........................................... 74 3.3.4. Análisis FODA ......................................................................................................... 93 3.3.5. Análisis de gestión del cambio y gestión del conocimiento en conjunto ............. 95 vi 4. CAPÍTULO IV: PROPUESTA DE IMPLEMENTACIÓN DE ESTRATEGIA DE MEJORA DE PROCESOS DE GESTIÓN DEL CAMBIO Y GESTIÓN DEL CONOCIMIENTO BAJO EL MARCO DE REFERENCIA COBIT EN MIDWARE S.A. ... 98 4.1. Descripción general del plan de gestión de procesos de TI .......................................... 99 4.2. Gestión del cambio según el módulo BAI06-Gestionar los cambios de TI ............... 103 4.2.1. Propuesta de política de gestión del cambio........................................................ 103 4.2.2. Propuesta de procedimiento de gestión del cambio............................................ 109 4.2.3. Métricas de actividades ......................................................................................... 119 4.3. Gestión del conocimiento según el módulo BAI08-Gestionar el conocimiento ........ 120 4.3.1. Propuesta de política de gestión del conocimiento ............................................. 120 4.3.2. Propuesta de procedimiento de gestión del conocimiento ................................. 126 4.3.3. Métricas de actividades ......................................................................................... 135 4.4. Propuesta de implementación ...................................................................................... 136 4.4.1. Estrategia de implementación .............................................................................. 136 4.4.2. Socialización ........................................................................................................... 139 4.4.3. Presupuesto ............................................................................................................ 140 4.4.4. Métricas de implementación................................................................................. 149 5. CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES ....................................... 151 5.1. Conclusiones .................................................................................................................. 151 5.2. Recomendaciones .......................................................................................................... 152 GLOSARIO ................................................................................................................................... 154 REFERENCIAS BIBLIOGRÁFICAS ........................................................................................ 155 ANEXOS ........................................................................................................................................ 158 vii Resumen Esta investigación consiste en la propuesta de una estrategia para la mejora de procesos de gestión de tecnologías de información en la empresa MIDWARE S.A., basada en el marco de referencia COBIT 2019. Específicamente, la estrategia abarca los procesos gestión de cambios y la gestión de conocimientos, fundamentada en los objetivos de gestión BAI06 y BAI08 del marco de referencia, que son objetivos enfocados en la gestión de los cambios y la gestión del conocimiento, respectivamente. MIDWARE S.A., es una pequeña empresa dedicada a la venta de servicios de tecnologías de información, con cuatro años de existencia en el mercado nacional e internacional, que busca mejorar sus procesos operativos internos. El capítulo 1 presenta un estudio del entorno de las tecnologías de información y comunicación en Costa Rica, donde se puede conocer el contexto y las principales características y estadísticas del mercado en el que se desenvuelve la organización en la actualidad. Por su parte, el capítulo 2 detalla toda la información relativa a la empresa, desde su estructura de organización hasta su perfil estratégico actual, que permite conocer su trasfondo. Además, el capítulo 3 brinda el análisis diagnóstico realizado a la empresa sobre los procesos de TI actuales, basado en la metodología de factores de diseño de COBIT 2019 y en un análisis de todas las actividades de cada objetivo, finalizando con un análisis FODA que engloba la situación actual de la empresa. El capítulo 4 muestra la propuesta de la estrategia para cada proceso, que incluye además hoja de ruta de la implementación del sistema de gestión, dividiendo dicha propuesta en dos documentos fundamentales que son las políticas y los procedimientos de gestión. Finalmente, el capítulo 5 presenta las conclusiones y recomendaciones encontradas durante el desarrollo de este trabajo, demostrando la versatilidad, facilidad de implementación y grandes ventajas que puede traer la utilización de un marco de referencia como COBIT en cualquier empresa, que pueden permitirle operar con mayor eficiencia e incluso crear ventajas competitivas. viii Lista de Tablas Tabla 1. Exportación de servicios vía TIC en Costa Rica al 2018 (BCCR, 2019)........................ 5 Tabla 2. Métricas de las metas objetivo BAI06 (ISACA, 2018b). ............................................... 23 Tabla 3. Métricas de las metas objetivo BAI08 (ISACA, 2018b). ............................................... 26 Tabla 4. Factor de estrategia empresarial (Elaboración propia). ............................................... 41 Tabla 5 Factor de escenario de amenazas (Elaboración propia). ............................................... 44 Tabla 6 Factor de requerimientos de cumplimiento (Elaboración propia). .............................. 44 Tabla 7 Factor de rol de TI (Elaboración propia). ....................................................................... 45 Tabla 8 Factor abastecimiento de proveedores de TI (Elaboración propia). ............................ 45 Tabla 9 Factor de métodos de implementación de TI (Elaboración propia). ............................ 46 Tabla 10 Factor de estrategia de adopción de tecnología (Elaboración propia). ...................... 47 Tabla 11. Actividades de práctica de gestión BAI06.01 (Elaboración propia). ......................... 55 Tabla 12. Actividades de práctica de gestión BAI06.02 (Elaboración propia). ......................... 60 Tabla 13. Actividades de práctica de gestión BAI06.03 (Elaboración propia). ......................... 63 Tabla 14. Actividades de práctica de gestión BAI06.03 (Elaboración propia). ......................... 65 Tabla 15. Entradas y salidas sugeridas por el marco de referencia COBIT (Elaboración propia). ............................................................................................................................................. 69 Tabla 16. Actividades de práctica de gestión BAI08.01 (elaboración propia). .......................... 76 Tabla 17. Actividades de práctica de gestión BAI08.02 (elaboración propia). .......................... 80 Tabla 18. Actividades de práctica de gestión BAI08.03 (elaboración propia). .......................... 84 Tabla 19. Actividades de práctica de gestión BAI08.04 (elaboración propia). .......................... 86 Tabla 20. Flujo de entradas y salidas BAI08 (elaboración propia). ........................................... 89 Tabla 21. Niveles de impacto de cambios. ................................................................................... 107 Tabla 22 Matriz RACI de procesos de gestión del cambio ........................................................ 113 Tabla 23. Matriz RACI de proceso de gestión del conocimiento. ............................................. 128 Tabla 24. Distribución de horas actuales y proyectadas, por tipo de labor. ............................ 145 ix Lista de Figuras Figura 1. Empresas TIC por tamaño en Costa Rica al 2019 (Camtic, 2019). .............................. 6 Figura 2. Principios del marco de gobierno COBIT (ISACA, 2018a). ....................................... 13 Figura 3. Modelo base de COBIT (ISACA, 2018b). ..................................................................... 14 Figura 4. Ejemplo de descripción de entradas y salidas de un proceso (ISACA, 2018b). ........ 20 Figura 5. Niveles de capacidad para los procesos (ISACA, 2018b). ........................................... 22 Figura 6. Organigrama de Midware S.A. (Vela, 2021). ............................................................... 31 Figura 7. Flujo de trabajo del diseño del sistema de gobierno (ISACA, 2018c). ....................... 40 Figura 8. Importancia de los objetivos de gobierno y gestión (ISACA, 2018d). ........................ 49 Figura 9. Proceso actual: gestión de solicitud de cambio en plataforma Odoo© (Elaboración propia). ............................................................................................................................................. 51 Figura 10. Proceso actual: Gestión de conocimiento en la plataforma de Notion© de Midware S.A. (Elaboración propia) ............................................................................................................... 74 Figura 11. Proceso actual: Vistas y roles de gestión del conocimiento en Notion©. (Elaboración propia) ....................................................................................................................... 82 Figura 12. Proceso actual: Transferencia de conocimiento Notion©.(Elaboración propia) ..... 85 Figura 13. Propuesta de estrategia de mejora. ............................................................................. 98 Figura 14. Propuesta de gestión general (elaboración propia).................................................. 100 Figura 15. Estructura de documentación de la propuesta (elaboración propia). .................... 102 Figura 16. Proceso de iteraciones (elaboración propia). ............................................................ 114 Figura 17. Proceso de identificación de causa raíz y soluciones (elaboración propia). ........... 115 Figura 18. Proceso de ejecución de un cambio (elaboración propia). ...................................... 116 Figura 19. Diagrama de estados de la solicitud (elaboración propia). ..................................... 116 Figura 20. Proceso de generación de informes (elaboración propia). ...................................... 117 Figura 21 Proceso de gestión de cambio en la documentación (elaboración propia). ............. 117 Figura 22. Proceso de gestión de cambio actual y con anotaciones (elaboración propia). ..... 118 Figura 23. Proceso de gestión de cambio propuesto y anotaciones (elaboración propia). ...... 119 Figura 24. Modelo de arquitectura de información propuesto (elaboración propia). ............ 123 Figura 25. Proceso de clasificación de documentos (elaboración propia). ............................... 129 Figura 26. Clasificación de la información por tipo de contenido y fuente (elaboración propia). ......................................................................................................................................................... 130 Figura 27. Proceso de etiquetado de información (elaboración propia). ................................. 131 Figura 28. Proceso de publicación de conocimiento, vistas y roles. .......................................... 132 Figura 29. Proceso de sensibilización de la gestión del conocimiento(elaboración propia) .... 133 Figura 30. Proceso de determinación de usuarios de conocimiento (elaboración propia). ..... 133 Figura 31. Proceso de transferencia de conocimiento (elaboración propia). ........................... 134 Figura 32. Proceso de retirada de conocimientos (elaboración propia). .................................. 135 Figura 33. Diagrama de implementación (elaboración propia). ............................................... 137 Figura 34. Distribución de participación según el proceso de implementación (elaboración propia). ........................................................................................................................................... 139 x Figura 35. Representación de presupuesto en horas por departamento (elaboración propia). ......................................................................................................................................................... 142 Figura 36. Estimación de horas reducidas a la semana con implementación. ......................... 147 Figura 37. Estimación horas reducidas al año con implementación......................................... 148 Autorización para digitalización y comunicación pública de Trabajos Finales de Graduación del Sistema de Estudios de Posgrado en el Repositorio Institucional de la Universidad de Costa Rica. Yo, _______________________________________, con cédula de identidad _____________________, en mi condición de autor del TFG titulado ___________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ Autorizo a la Universidad de Costa Rica para digitalizar y hacer divulgación pública de forma gratuita de dicho TFG a través del Repositorio Institucional u otro medio electrónico, para ser puesto a disposición del público según lo que establezca el Sistema de Estudios de Posgrado. SI NO * *En caso de la negativa favor indicar el tiempo de restricción: ________________ año (s). Este Trabajo Final de Graduación será publicado en formato PDF, o en el formato que en el momento se establezca, de tal forma que el acceso al mismo sea libre, con el fin de permitir la consulta e impresión, pero no su modificación. Manifiesto que mi Trabajo Final de Graduación fue debidamente subido al sistema digital Kerwá y su contenido corresponde al documento original que sirvió para la obtención de mi título, y que su información no infringe ni violenta ningún derecho a terceros. El TFG además cuenta con el visto bueno de mi Director (a) de Tesis o Tutor (a) y cumplió con lo establecido en la revisión del Formato por parte del Sistema de Estudios de Posgrado. FIRMA ESTUDIANTE Nota: El presente documento constituye una declaración jurada, cuyos alcances aseguran a la Universidad, que su contenido sea tomado como cierto. Su importancia radica en que permite abreviar procedimientos administrativos, y al mismo tiempo genera una responsabilidad legal para que quien declare contrario a la verdad de lo que manifiesta, puede como consecuencia, enfrentar un proceso penal por delito de perjurio, tipificado en el artículo 318 de nuestro Código Penal. Lo anterior implica que el estudiante se vea forzado a realizar su mayor esfuerzo para que no sólo incluya información veraz en la Licencia de Publicación, sino que también realice diligentemente la gestión de subir el documento correcto en la plataforma digital Kerwá. https://es.wikipedia.org/wiki/Responsabilidad https://es.wikipedia.org/wiki/Perjurio Autorización para digitalización y comunicación pública de Trabajos Finales de Graduación del Sistema de Estudios de Posgrado en el Repositorio Institucional de la Universidad de Costa Rica. Yo, _______________________________________, con cédula de identidad _____________________, en mi condición de autor del TFG titulado ___________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ Autorizo a la Universidad de Costa Rica para digitalizar y hacer divulgación pública de forma gratuita de dicho TFG a través del Repositorio Institucional u otro medio electrónico, para ser puesto a disposición del público según lo que establezca el Sistema de Estudios de Posgrado. SI NO * *En caso de la negativa favor indicar el tiempo de restricción: ________________ año (s). Este Trabajo Final de Graduación será publicado en formato PDF, o en el formato que en el momento se establezca, de tal forma que el acceso al mismo sea libre, con el fin de permitir la consulta e impresión, pero no su modificación. Manifiesto que mi Trabajo Final de Graduación fue debidamente subido al sistema digital Kerwá y su contenido corresponde al documento original que sirvió para la obtención de mi título, y que su información no infringe ni violenta ningún derecho a terceros. El TFG además cuenta con el visto bueno de mi Director (a) de Tesis o Tutor (a) y cumplió con lo establecido en la revisión del Formato por parte del Sistema de Estudios de Posgrado. FIRMA ESTUDIANTE Nota: El presente documento constituye una declaración jurada, cuyos alcances aseguran a la Universidad, que su contenido sea tomado como cierto. Su importancia radica en que permite abreviar procedimientos administrativos, y al mismo tiempo genera una responsabilidad legal para que quien declare contrario a la verdad de lo que manifiesta, puede como consecuencia, enfrentar un proceso penal por delito de perjurio, tipificado en el artículo 318 de nuestro Código Penal. Lo anterior implica que el estudiante se vea forzado a realizar su mayor esfuerzo para que no sólo incluya información veraz en la Licencia de Publicación, sino que también realice diligentemente la gestión de subir el documento correcto en la plataforma digital Kerwá. https://es.wikipedia.org/wiki/Responsabilidad https://es.wikipedia.org/wiki/Perjurio 1 1. CAPÍTULO I: ENTORNO DE LOS SERVICIOS DE TECNOLOGÍAS DE INFORMACIÓN EN COSTA RICA Y MARCO TEÓRICO 1.1. Reseña histórica Las tecnologías de la información y comunicación son cada vez más importantes en la economía nacional y la economía mundial. Su utilización ha permitido una mejora en la productividad de las empresas, las cuales han visualizado estas tecnologías como herramientas muy importantes y aliadas en el desarrollo de sus operaciones, así como en la eficiencia y la mejora de procesos internos y externos. La Organización para la Cooperación y el Desarrollo Económicos (OCDE) define el sector de las Tecnologías de Información y Comunicación (TIC) como las industrias cuyos productos, sean bienes o servicios, tienen como objetivo desempeñar o permitir la captación, procesamiento de la información y la comunicación por medios electrónicos, incluyendo su transmisión y presentación visual (OCDE, 2013). Pero el desarrollo y definición de este sector se fue moldeando con los años, teniendo sus inicios en la década de 1970, con la aparición de las ramas de informática y la computación y un crecimiento exponencial de su desarrollo. A partir de este momento, se reconoce la importancia de su estudio y la necesidad de formación de profesionales en la materia, debido al potencial económico existente desde entonces. En el caso de Costa Rica, inicialmente se crearon las carreras de Ciencias de la Computación, Ingeniería en Computación (Universidad de Costa Rica) y la carrera de Ingeniería de Computación Administrativa (Instituto Tecnológico de Costa Rica), conformando las primeras carreras en computación a nivel regional (Prosic, 2006) y aparecen empresas como IBM, que inicialmente fueron contratadas por entidades públicas para el desarrollo de aplicaciones y distintos sistemas de computación. 2 Con la crisis de la década de 1980 en Costa Rica y una reducción de los impuestos para este tipo de servicios, se da un primer avance en la adaptación del sector de software en el territorio nacional, lo que permitió un mayor acercamiento y acceso a este producto al sector empresarial del país, y es con el paso de los años que esa experiencia y la graduación de más profesionales de las universidades permitió la creación de las primeras empresas emprendedoras que empezaron a vender sus propias soluciones a nivel nacional (Prosic, 2006). En la década de 1990 se da la llegada de la empresa Oracle al país, la cual trajo tecnología que fue utilizada para el desarrollo de aplicaciones a costos bajos, además de brindar programas de capacitación e incentivar que el desarrollo de dichas soluciones sea comercializado, impulsando así las exportaciones de software de empresas costarricenses. Ya para el año 2000, el país contaba con 4417 graduados universitarios en distintas profesiones TIC, creciendo a un ritmo del 15 % anual (Brenes y Govaere, 2008). Para el año 2005, la producción de tecnologías de información y comunicación en el país era destinada un 54 % para empresas nacionales y un 46 % era exportado a empresas internacionales (Camtic, 2005). El avance continuo y la innovación de la tecnología, la computación y el desarrollo de software han permitido además la aparición de nuevos servicios que son ofrecidos cada día a las empresas. Esta tecnología ha permitido incluso llegar a tercerizar labores dentro de las empresas, gracias a la aparición de nuevos modelos de negocio que antes eran difíciles de imaginar: servicios de subcontratación (outsourcing) bajo modalidades nearshore y offshore son ejemplos de estos avances. Los servicios de offshore consisten en la utilización de la tecnología para dar servicios desde el extranjero a empresas que buscan beneficios que los proveedores locales no pueden garantizarles, como por ejemplo la contratación de mano de obra calificada 3 (PROCOMER, 2011). Por otra parte, el nearshore es una figura muy similar a la de offshore en cuanto a los objetivos, pero busca decantarse por países que geográficamente se encuentren más cercanos. Otra forma de dividir los tipos de servicios o empresas del sector TIC, según la Cámara de Tecnologías de Información y Comunicación (Camtic, 2013), radica en la naturaleza de las actividades de la organización: • Componentes: manufactura de hardware para tecnologías de información y comunicación. • Software: diseño y venta de aplicaciones de software para la utilización por parte de terceros. • Servicios directos de TIC: servicios de consultoría, capacitación, software a la medida, servicios de mantenimiento de sistemas, o cualquier otro que tenga que ver directamente con TIC. • Servicios habilitados por TIC: servicios que utilizan las TIC para vender un servicio que no necesariamente es un producto de Tecnologías de información. • Servicios clave: investigación y desarrollo, académicos, entre otros. Con el paso de los años, estas actividades se han diversificado y se han identificado incluso nuevos servicios a considerar, como por ejemplo el comercio electrónico (e- commerce), aprendizaje electrónico (e-learning), y multimedia digital, que básicamente está relacionada con la creación de contenido en internet. Todo esto muestra cómo el mercado de los servicios TIC es dinámico y está en constante adaptación. Incluso, el Banco Mundial (2016) menciona que las tecnologías de información y comunicación están cambiando el mercado laboral. Otras nuevas tecnologías que seguirán cambiando el paradigma en el futuro cercano son las cadenas de bloques (blockchain), big data, aprendizaje automático (machine learning), internet de las cosas, tecnología celular 5G, mercado en línea y redes sociales, entre otros. 4 A nivel global, muchas de las organizaciones tienen el capital y la capacidad de inversión para crear sus propios departamentos que velen por las TIC empresariales y desarrollen sus propias soluciones; otras, deciden contratar este desarrollo a terceros que se encarguen también de su gestión. También, existen compañías que tienen una combinación de las anteriores, desarrollando en parte sus propios productos y comprando soluciones a terceros para determinados procesos. Independientemente del modelo seguido por cada empresa, esto ha permitido a través de los años el crecimiento y consolidación de un mercado de servicios de tecnologías de información a nivel global, que posiblemente seguirá en expansión en el futuro próximo. Muchas empresas costarricenses, tanto grandes como pequeñas y medianas empresas (PYMES) han nacido y apostado por ingresar a este mercado de servicios, buscando posicionarse tanto en el mercado nacional como en el ámbito internacional. Una reseña del mercado costarricense en servicios de TIC se muestra en la sección 1.2. 1.2. Situación del mercado de los servicios de TIC en Costa Rica Costa Rica actualmente es sede de más de 450 empresas que ofrecen servicios de tecnologías de la información y comunicación, y busca posicionarse como un centro de negocios regional que se relacione con los mercados de tecnología más importantes del planeta (PROCOMER, 2021). Este interés en la búsqueda de mercados internacionales hace que una gran cantidad de servicios TIC que brindan las empresas nacionales sea exportado a empresas en el extranjero. En el 2019, el sector de Tecnologías de Información y Comunicación del país generó 42 256 empleos directos considerados altamente calificados (la mayoría con bachillerato universitario), con un volumen de ventas de casi 1300 millones de dólares (Camtic, 2019). 5 Para el año 2020, se exportaron casi 1400 millones de dólares en servicios TIC, siendo Estados Unidos el principal punto de destino (PROCOMER, 2021). Según el Banco Central de Costa Rica, el país ha venido presentando incrementos en los servicios canalizados vía redes de Tecnología de Información y Comunicación, pasando en 2016 de una exportación del 5.5 % del PIB en 2016, a un 6.2% del PIB en 2018 (BCCR, 2019). Entre los principales servicios exportados por empresas costarricenses, en los que medió la utilización de redes TIC destacan las telecomunicaciones, servicios de informática, mercadeo y ventas, información, seguros, servicios administrativos y auxiliares, licencias, ingeniería, investigación y desarrollo, además de servicios de educación y entrenamiento (BCCR, 2019). La Tabla 1 muestra la cantidad de millones de dólares exportados, por cada tipo de servicio. Tipo de servicio USD Millones exportados vía TIC Telecomunicaciones 24 Informática 699 Mercadeo y ventas 109 Información 15 Seguros 92 Servicios administrativos y auxiliares 2599 Licenciamiento 2 Ingeniería, investigación y desarrollo 197 Educación y entrenamiento 2 Total 3739 Tabla 1. Exportación de servicios vía TIC en Costa Rica al 2018 (BCCR, 2019). 6 Es importante destacar que, para la mayoría de los servicios anteriores (los que no son de información, informática y telecomunicaciones) también existieron exportaciones sin utilizar las tecnologías de información y comunicación, pero son tan bajas que prácticamente el 96 % de estos servicios fueron exportados utilizando como medio las TIC’s. Asimismo, la cantidad de empresas exportadoras utilizando TIC’s varían en tamaño, siendo las empresas grandes y las microempresas las que más vendieron servicios al exterior (BCCR, 2019). Las pequeñas y medianas empresas también vendieron servicios al exterior, pero en menor cantidad. La Figura 1 presenta la distribución aproximada de las empresas TIC en Costa Rica por tamaño, en donde, utilizando la clasificación del Ministerio de Economía, Industria y Comercio, microempresa corresponde a empresas con hasta 5 colaboradores; pequeña empresa, entre 6 y 30 colaboradores; mediana empresa, entre 31 y 100 colaboradores y empresa grande, más de 100 colaboradores. Puede notarse que la mayoría de las empresas TIC en el país son pequeñas con cerca de un 42 %, seguidas de las microempresas con un 26 %. Cabe rescatar que esta distribución ha visto un aumento principalmente de las microempresas a través de los años, pues en 2005 las empresas pequeñas representaban el 43 %, las medianas empresas el 31 %, las microempresas el 17 %, y las grandes empresas el 9 %. Esto deja ver el crecimiento de los emprendimientos para brindar servicios en tecnologías de información. Figura 1. Empresas TIC por tamaño en Costa Rica al 2019 (Camtic, 2019). 0% 10% 20% 30% 40% 50% Micro Pequeña Mediana Grande P o rc e n ta je Clasificación por tamaño 7 Un estudio realizado por la Cámara de Tecnologías de Información y Comunicación en 2019 determinó que 50 % de las empresas TIC’s tiene al menos 11 años operando en el país, teniendo que el capital de inversión de 7 de cada 10 empresas es capital mayoritariamente nacional (capital propio), además de que 9 de cada 10 empresas en el país exportan servicios, principalmente de desarrollo de software (Camtic, 2019). El mismo estudio establece luego de una serie de encuestas que cerca del 20 % de empresas tiene 18 años o más de operar en el país; 36 % tiene entre 11 y menos de18 años; 27 %, entre 5 y menos de 11 años y 17 %, entre 4 años o menos (Camtic, 2019). También, este estudio presenta que las empresas más recientes tienen la tendencia de ser más pequeñas y de capital nacional, siendo las de capital extranjero las que generalmente son empresas de gran tamaño. El desarrollo de software se presenta como la actividad principal de estas empresas (cerca de un 45 % de las empresas lo desarrollan), además de otro tipo de soluciones de ingeniería de software (16 %), telecomunicaciones (11 %) y otros productos a base de tecnologías de información (9 %). Para la venta de servicios TIC, actualmente muchas de las empresas tienen una relación comercial con organizaciones consolidadas del mercado, como Cisco, Oracle, Microsoft, IBM, Compuware y SAP de las más utilizadas a nivel nacional (Camtic, 2019). 1.3. Manejo empresarial de procesos de tecnologías de información El manejo o gestión de procesos sean internos o externos son de vital importancia para cualquier actividad de trabajo. La ejecución de procesos está presente en cualquier empresa y en cualquiera de las funciones de esta. Un proceso adecuadamente documentado define el modo de ejecutar una actividad, los pasos para llevar a cabo un procedimiento determinado, además de definir personal 8 responsable, elementos del entorno de la empresa, requisitos de cumplimiento, manejo de contingencias, entre otros. Actualmente en esta era de información y la tecnología, un adecuado manejo de los procesos de tecnologías de la información es sumamente crítico y vital para una organización, ya que estos hacen fluir la información entre la misma organización, así como hacia sus clientes, llevar control de muchas áreas, control de desempeño, proyecciones y muchas otras, que son respectivas de cada organización. Una adecuada gestión de los procesos de la empresa puede determinar la productividad de esta, moldear su cultura empresarial e incluso puede direccionar su éxito. El área de tecnologías de información es un área muy amplia y en constante cambio. Las empresas pueden ser empresas dedicadas a la venta de servicios TIC, o pueden ser empresas que utilizan las TIC’s como un medio para su modelo de negocio. También, las empresas pueden ser de distintos tamaños, tener distintos niveles de madurez y distintos tipos de liderazgo o enfoque. Entonces, la forma de gestión de procesos en cada empresa puede llegar a ser muy diferente, aunque su fin sea el mismo. En algunas empresas la gestión de documentación de estos procesos puede ser ejemplar, siguiendo algún marco de referencia o estándar internacional, así como pueden tenerse empresas en donde el manejo de procesos termina fragmentado, sin responsables por velar del funcionamiento de estos, sin mantenimiento y sin control de desempeño. Es importante destacar que los procesos de tecnologías de información deben satisfacer ciertas características como lo son su eficiencia, confidencialidad, integridad, disponibilidad y efectividad, así como el estar alineados con los objetivos de negocio de la organización. La idea de estos procesos son el de brindar apoyo en todas las áreas de la organización, así como maximizar el valor en los resultados de esta, siendo entonces estos procesos, aliados estratégicos de la organización (Álvarez, 2004). Un aspecto para destacar es que las tecnologías de información se encuentran en una creciente evolución, 9 por lo tanto, es necesario estar en constante adaptación de tecnologías para poder brindar las mejores soluciones del momento o incluso anticiparse. También, así como han crecido las opciones tecnológicas y posibles soluciones o procesos a brindar, de igual manera se han visto incrementadas los problemas y amenazas que conlleva las tecnologías de la información. Por lo tanto, para poder brindar y diseñar estos procesos es necesario tener gerentes capacitados que puedan administrar estos procesos, así como proponer innovadores procesos nuevos o mejoras a los actuales, siendo esto en realidad de una permanente mejora continua. Debido a este crecimiento que, desde hace ya varios años se ha venido notando, es donde surgen asociaciones como ISACA (del inglés “Information Systems Audit and Control Association”) y la creación de marcos de referencia como COBIT (del inglés “Control Objectives and Information and related Technology”, Objetivos de Control, Información y Tecnologías relacionadas), el cual sirve como guía para la gestión de los procesos y buenas prácticas en el ámbito de tecnologías de la información, este marco de trabajo de igual manera se viene actualizando durante los años con el fin de proveer de la mejor guía posible para las empresas, además no requerir conocimientos técnicos de computación, sino que se facilita para gerentes y con conocimiento en administración. De igual manera existen otros marcos, como lo es también ITIL (del inglés (Information Technology Infrastructure Library), en el cual se provee una guía para la provisión de servicios de TI (Tecnologías de Información) de alta calidad, tomando en cuenta también los procesos que esto conlleva y capacidades necesarias para esto (Gordillo, 2016). Este marco de trabajo consta de fases, respectivamente: • Estrategia del Servicio. 10 • Diseño del Servicio. • Transición del Servicio. • Operación del Servicio. • Mejora Continua del Servicio. Por lo tanto, este marco de trabajo se centra en el concepto de ciclo de vida del servicio de tecnologías de información en empresas que provean esta clase de servicios. En la sección 1.4 se detalla más sobre COBIT, marco de trabajo que se utilizó como referencia para este proyecto de graduación y como propuesta la empresa MIDWARE S.A. 1.4. Conceptos básicos de COBIT 1.4.1. Generalidades En los años 60, según ISACA (2021), debido al auge de las computadoras comerciales en el mundo, se va denotando que es necesario crear maneras de controlar y auditar estas nuevas tecnologías. Por lo tanto, es fundada la asociación de auditores, Electronic Data Processing Auditors Association (EDPAA), donde empiezan a trabajar en el tema y realizar publicaciones, sobre las mejores prácticas para llevar control de estas, donde además en los años 70s, esta asociación contaba ya con aproximadamente 1500 miembros y se crea el primer certificado llamado Certified Information System Auditor (CISA). Esta asociación luego fue cambiada de nombre a la ahora conocida como Information Systems Audit and Control Association (ISACA), para este entonces ya poseía 14 000 miembros y se introdujo el marco de trabajo Control Objectives for Information and Related Technology (COBIT). ISACA sigue en crecimiento actualmente superando ya los 45 000 miembros, así como la introducción de 5 ediciones de COBIT y de la más reciente versión COBIT 2019 y varios documentos dedicados específicamente a temas respectivos como gobernanza, 11 riesgo, seguridad y privacidad, siendo este último el certificado más reciente llamado Certified Data Privacy Solutions Engineer, creado en el año 2020, (ISACA, 2021). Como se ha denotado anteriormente, debido a la transformación digital, el crecimiento de la información y la tecnología actualmente es fundamental y se debe prestar atención a estas áreas en las empresas, ya que estas dependen cada vez más de estas herramientas para su supervivencia y crecimiento. Por lo tanto, estos marcos de trabajo como COBIT actúan en beneficio de estas necesidades actuales de las empresas, haciendo uso de creación de valor por medio de cambio de mentalidad, cultura, brindando soluciones adecuadas a las necesidades de cada empresa, aprender a anticiparse y reaccionar a tiempo, sin perder de vista los presupuestos y generando retornos financieros positivos, así como no financieros, pero igualmente positivos. La optimización de riesgos es de gran importancia para cualquier empresa y donde la tecnología y la información juegan un papel de gran impacto en los negocios, que, con una buena operación y adopción de estas, se puede llegar a mejorar la preservación del valor que se ha ido creando. Otro punto para destacar es la optimización de recursos, en el cual se prioriza la introducción de nuevas tecnologías que sean cada vez más eficientes, desechar sistemas obsoletos, así como optimización del manejo de datos y su proveniente información, para una correcta explotación de esta. No solo los sistemas informáticos son tomados en cuenta, sino que los colaboradores también son parte de esta optimización de recursos, por lo que se centra en brindar capacitación, garantizar competitividad y fomentar su retención en la empresa. 12 COBIT como marco de trabajo cuenta con 2 disciplinas marcadas, donde la primera trata sobre el gobierno de las tecnologías de información, las necesidades de las partes involucradas, formulación de objetivos, priorización, toma de decisiones y monitoreo adecuado del desempeño y cumplimiento de los aspectos mencionados anteriormente ISACA. (2018a). La otra disciplina que el marco de trabajo hace referencia es específicamente sobre gerencia, donde se planifica, construye y ejecuta la dirección tomada por la disciplina del gobierno, con sus objetivos y prioridades que se desarrollaron en esta. Este marco de trabajo define los componentes necesarios para crear gobernanza de los procesos, estructuras organizativas, políticas, flujos, cultura, habilidades, entre muchos más, así como la sostenibilidad de estos y definir de igual manera, los factores de gestión según los niveles de capacidad requeridos. Además, como se refleja en la Figura 2 el marco de trabajo se basa en 3 principios fundamentales, en el cual el primero corresponde en basarse de un modelo conceptual, enfocándose en maximizar la uniformidad, centrándose en los principales componentes y sus relaciones entre las mismas. 13 Figura 2. Principios del marco de gobierno COBIT (ISACA, 2018a). También es flexible, al permitir actualización del contenido, manteniendo su integridad y uniformidad, así como estar alineado con las principales normativas, estándares y regulaciones. La estructura de COBIT 2019 plantea objetivos de gobernanza y de gestión, agrupados en cinco distintos dominios. Los objetivos de gobernanza son agrupados en el dominio Evaluar, Dirigir y Monitorear (EDM). Por otra parte, los objetivos de gestión se agrupan en cuatro dominios que son: • Alinear, planificar y organizar (APO). • Construir, adquirir, e implementar (BAI). • Entregar, dar servicio y soporte (DSS). • Monitorizar, evaluar y valorar (MEA). La Figura 3 muestra la estructura o modelo base de la documentación dentro del marco de referencia de COBIT. 14 Figura 3. Modelo base de COBIT (ISACA, 2018b). El dominio de gobernanza EDM se evalúan las opciones estratégicas, se dirigen las gestiones en una determinada estrategia y se monitorea el cumplimiento de la estrategia. Bajo este dominio de gobernanza se pueden implementar cinco objetivos dentro del marco de referencia, llamados también objetivos de gobernanza, enumerados desde el EDM01 hasta el EDM05, donde se busca asegurar el establecimiento y mantenimiento de un marco de gobierno, obtención de beneficios, optimización del riesgo, optimización de recursos y asegurar el compromiso de las partes interesadas. Por su parte, el dominio APO cuenta con 14 objetivos de gestión, en donde se establecen los procedimientos para la gestión del marco de TI, la estrategia, la arquitectura empresarial, el portafolio empresarial, el presupuesto y costos, la innovación, los recursos 15 humanos, las relaciones, los proveedores, los acuerdos de servicio, la calidad, el riesgo, la seguridad y los datos de la empresa ISACA. (2018a). A su vez, el dominio BAI cuenta con 11 objetivos de gestión (ISACA, 2018b), en donde se incluye la gestión de programas, definición de requisitos, identificación y construcción de soluciones, disponibilidad y capacidad de la empresa, cambio organizativo, cambios de TI, aceptación y transición de cambios de TI, gestión del conocimiento, activos, configuración y gestión de proyectos ISACA. (2018b). Por su parte, el dominio DSS permite la implementación de 6 objetivos de gestión, desde la gestión de operaciones, las peticiones e incidentes de servicio, gestión de problemas, servicios de seguridad y los controles de procesos de negocio. Finalmente, el dominio MEA cuenta con cuatro objetivos de gestión, que son la monitorización del desempeño y la conformidad, el sistema de control interno, cumplimiento de requisitos externos y gestión del aseguramiento. Puede notarse que en total el marco de referencia COBIT 2019 permite una implementación de 40 objetivos, cinco de ellos siendo objetivos de gobernanza y 35 objetivos de gestión. Una característica importante de este marco de referencia es que la implementación de los objetivos es de carácter completamente voluntario (salvo que sea establecido por una regulación, como en el caso de los sistemas de gestión para entidades financieras en Costa Rica) ISACA. (2018a). Asimismo, una de las grandes ventajas que presenta el marco es que no se requiere una implementación de los objetivos en ningún tipo de orden, es decir, no se requiere el desarrollo de objetivos de gobernanza para una posterior implementación de objetivos de gestión y viceversa. Tampoco deben ejecutarse por el orden de su numeración, sino que pueden desarrollarse en el orden deseado y a conveniencia de cada organización, según sean sus necesidades de negocio. 16 Como es de esperar, los procesos sí se relacionan entre sí, teniendo documentos de salida de un objetivo que serían insumos de entrada para otro de los objetivos, pero esto no impide que los procesos puedan llevarse a cabo y que sean mejorados con el tiempo. Otra característica interesante es que COBIT sigue siendo un marco de referencia, y como tal no necesariamente debe ser seguido al pie de la letra y puede adaptarse según las condiciones que tenga cada empresa y de manera que su implementación permita tener una mejora real en los procesos y no una burocratización de estos. Notando que este marco de referencia es bastante extenso, en esta sección únicamente se explican los objetivos que fueron escogidos para el desarrollo en la empresa. El primer módulo escogido es el BAI06 sobre gestionar los cambios en tecnologías e información, este módulo corresponde al segundo dominio del marco de trabajo, construir, adquirir e implementar (BAI). Este objetivo de gestión de cambios en tecnologías e información tiene el fin de permitir una ejecución de cambios que sea rápida y confiable, mitigando o reduciendo el riesgo de afectar de forma negativa el proceso que se haya modificado (ISACA, 2018b). De igual manera, al tener estos protocolos, se debe facilitar una ejecución rápida, aún más si se trata de un cambio de emergencia, pero que a su vez este sea confiable al mitigar el riesgo, de implicaciones negativas en los entornos modificados, tanto en su integridad como en estabilidad. El segundo objetivo que se trata en este documento es el BAI08 sobre gestionar el conocimiento, el cual corresponde al dominio de construir, adquirir e implementar (BAI) del marco de trabajo. El propósito de este módulo es brindar los conocimientos e información de gestión necesarios para dar soporte a todo el personal en el gobierno y gestión de las tecnologías de información, permitiendo tomar decisiones de manera informada (ISACA, 2018b). 17 Este módulo, presenta maneras de mantener la información relevante disponible y vigente, con un conocimiento válido y de este modo confiable para apoyar las actividades de la empresa, así como sus procesos y la toma de decisiones. Esto anteriormente mencionado aplica para todos los interesados e involucrados en el gobierno y gestión de las tecnologías e información de la empresa. Para esto es necesario crear una planificación de cómo se obtiene ese conocimiento, su respectiva recopilación, posteriormente organización y mantenimiento, así como el uso de esta, e incluso su oportuna retirada del conocimiento ya obsoleto o no relevante. 1.4.2. Estructura de los objetivos de gobernanza y gestión en COBIT La forma en que COBIT presenta la implementación de cada uno de los objetivos, sea de gestión o de gobierno, es muy estructurada. Cada objetivo es presentado colocando a cuál dominio pertenece, junto con una descripción y un propósito del objetivo. A su vez, cada objetivo busca el cumplimiento de distintas metas de gestión, las cuales pueden ser metas de alineamiento (AG) y metas empresariales (EG). Las metas de alineamiento son en total 13 y están estrechamente relacionadas con los objetivos. Dichas metas se detallan a continuación (ISACA, 2018b): • AG01: Cumplimiento y soporte de TI para el cumplimiento empresarial con las leyes y regulaciones externas. • AG02: Gestión de riesgo relacionado con TI. • AG03: Beneficios obtenidos del portafolio de inversiones y servicios relacionados con TI. • AG04: Calidad de la información financiera relacionada con la tecnología. • AG05: Prestación de servicios de TI conforme a los requisitos del negocio. 18 • AG06: Agilidad para convertir los requisitos del negocio en soluciones operativas. • AG07: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad. • AG08: Habilitar y dar soporte a procesos de negocio mediante la integración de aplicaciones y tecnología. • AG09: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplen con los requisitos y estándares de calidad. • AG10: Calidad de la información sobre gestión de TI. • AG11: Cumplimiento de TI con las políticas internas. • AG12: Personal competente y motivado con un entendimiento mutuo de la tecnología y el negocio. • AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial. Como es de esperar, el establecimiento de estas metas en cada objetivo dependerá de este objetivo en sí. Por su parte, las metas empresariales también son 13 y están relacionadas con las metas de alineamiento anteriores (ISACA, 2018b): • EG01: Portafolio de productos y servicios competitivos • EG02: Gestión de riesgo de negocio. • EG03: Cumplimiento con las leyes y regulaciones externas • EG04: Calidad de la información financiera • EG05: Cultura de servicio orientada al cliente • EG06: Continuidad y disponibilidad del servicio del negocio • EG07: Calidad de la información sobre gestión • EG08: Optimización de la funcionalidad de procesos internos del negocio • EG09: Optimización de costes de los procesos del negocio • EG10: Habilidades, motivación y productividad del personal 19 • EG11: Cumplimiento de las políticas internas • EG12: Gestión de programas de transformación digital • EG13: Innovación de productos y negocios Cada objetivo de gestión está conformado por seis componentes. El primero de estos componentes es el de los procesos. El componente describe las prácticas de gestión de cada objetivo, que a su vez se divide en actividades para la consecución de cada una de estas. Para lograr una correcta evaluación, cuenta con métricas para el cumplimiento de cada una de estas prácticas de gestión y su ayuda con el logro de cada objetivo (ISACA, 2018b). Otro componente importante que brinda COBIT como referencia para cada objetivo es una estructura organizativa. Estas estructuras son las que establecen niveles de responsabilidad para los procesos, roles de los colaboradores, así como la estructura empresarial y de TI. Esta estructura también sugiere y define distintos puestos o roles que podría tener una compañía (director general ejecutivo (CEO), director de TI, gestor de programas, dueños de procesos de negocio, gestor de servicios, gestor de seguridad de la información, entre muchos otros). No obstante, la jerarquía o roles establecidos va a depender de la estructura y del tamaño de cada empresa y no es necesaria una adaptación precisa. En muchos casos, las funciones de los otros roles del marco pueden perfectamente recaer en una única persona en la empresa, principalmente si se habla de pequeñas empresas o microempresas. Continuando con la estructura de los objetivos de COBIT, se tiene el componente de los flujos y elementos de información, que básicamente establecen cuáles son los documentos que cada objetivo requiere como entrada, y cuáles son los elementos que el objetivo debe aportar como documento o información de salida. Cada una de estas entradas y salidas está vinculada con prácticas de cada proceso de distintos objetivos 20 COBIT y está bien identificado de cuál objetivo provienen. La Figura 4 muestra un ejemplo genérico del marco de referencia donde se aprecia cómo se observarían los elementos de entrada (requeridos para el objetivo y con la identificación de su procedencia) y los elementos de salida (la información o documentación que el objetivo debe generar como salida). Figura 4. Ejemplo de descripción de entradas y salidas de un proceso (ISACA, 2018b). Otro componente importante que aparece en la estructura de cada objetivo es el de personas, habilidades y competencias (ISACA, 2018b), en donde se establecen los recursos humanos y habilidades requeridas para alcanzar cada uno de los objetivos. De igual forma, el componente de políticas y procedimientos establece una lista específica de políticas y procedimientos relevantes que sirvan como guía para el desarrollo del objetivo, incluyendo también referencias a otros estándares, como por ejemplo ITIL, PMBOK (del inglés “Project Management Body of Knowledge”), normativas ANSI (del inglés “American National Standard Institute), entre otras. Finalmente, la estructura de cada objetivo termina con un componente de cultura, ética y comportamiento, y un componente de servicios, infraestructura y aplicaciones. En ambos se establecen guías sobre ambos componentes, haciendo también referencia a otros estándares internacionales. No obstante, estas últimas componentes han sido poco desarrolladas en el marco de referencia actual, y sólo describen pautas o recomendaciones muy generales para cada objetivo. 1.4.3. Niveles de capacidad para los procesos 21 La Figura 5 presenta los niveles de capacidad para los procesos establecidos en COBIT 2019 (ISACA, 2018b). Estos niveles son establecidos por el marco de referencia, con el objetivo de inicialmente diagnosticar en cuál nivel se encuentra la organización para cada proceso, siendo nivel 0 una completo desconocimiento y falta de capacidad para llevar a cabo la actividad, hasta nivel 5 cuando el proceso está tan establecido y bien definido, que lo que sigue es la evaluación constante que busque la mejora continua. También, para efectos de diseño de un sistema de gestión y gobierno con COBIT, cada uno de los procesos o actividades en cada objetivo se caracteriza por tener descrito el nivel de capacidad de dicha actividad. Lo que esto significa es que, ante actividades con mayor nivel de capacidad, significa que son actividades más complejas de cumplir y que posiblemente las cumplan empresas que cuentan con un grado de madurez en sus procesos para poder llevarlas a cabo. Generalmente, las actividades de nivel 4 o 5 son actividades que ya plantean la evaluación de procesos y actividades de mejora continua del proceso. Lo más importante de esto es que ante un diseño de un sistema, se puede decidir un nivel de capacidad objetivo, en el que entonces sólo se lleven a cabo las actividades hasta cierto nivel de capacidad. Por ejemplo, si se define un nivel de capacidad objetivo 3, no se implementarán las actividades que tengan un nivel de 4 ó 5 y, por el contrario, sólo se ejecutarán actividades con un nivel de capacidad de 3 o inferior. 22 Figura 5. Niveles de capacidad para los procesos (ISACA, 2018b). 1.4.4. Objetivo BAI06 gestión del cambio El objetivo BAI06 tiene como propósito “Facilitar una ejecución de cambios rápida y confiable para el negocio. Mitigar el riesgo de afectar negativamente la estabilidad o integridad del entorno que se ha modificado” (ISACA, 2018b). Con este, se busca gestionar todos los cambios de una forma más controlada, incluyendo cambios de rutina o cambios de emergencia en los procesos del negocio. El objetivo establece cuatro prácticas de gestión (procesos), cada una con sus actividades bien definidas. Las prácticas se denominan: • BAI06.01: Evaluar, priorizar y autorizar solicitudes de cambio. • BAI06.02: Gestionar cambios de emergencia. • BAI06.03: Hacer seguimiento e informar sobre cambios de estado. • BAI06.04: Cerrar y documentar los cambios. 23 También, el objetivo se basa en dos metas: la meta empresarial EG01 Portafolio de productos y servicios competitivos, y la meta de alineamiento AG06 Agilidad para convertir los requisitos del negocio en soluciones operativas. La Tabla 2 muestra las métricas de estas metas. Es de destacar que cada proceso tiene métricas más específicas y concretas que pueden ayudar con el cumplimiento de estas metas. Métricas meta empresarial Métricas meta de alineamiento Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado. Nivel de satisfacción de los ejecutivos del negocio con la capacidad de respuesta de TI a nuevos requisitos. Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente. Plazo de comercialización promedio para servicios y aplicaciones nuevos relacionados con TI. Porcentaje de productos y servicios que proporcionan una ventaja competitiva. Tiempo promedio para convertir los objetivos estratégicos de TI en iniciativas acordadas y aprobadas. Plazo de comercialización para nuevos productos y servicios. Número de procesos de negocio críticos soportados por infraestructura y aplicaciones actualizadas. Tabla 2. Métricas de las metas objetivo BAI06 (ISACA, 2018b). Este objetivo es de los que cuenta con una menor cantidad de documentos de entrada (documentos requeridos para cada uno de los procesos), con apenas siete. Si bien son pocos documentos de entrada, estos posiblemente deberán ser creados debido a que la empresa no tiene implementado ningún objetivo de COBIT actualmente. No obstante, esto se analizará en el capítulo 3. 1.4.5. Objetivo BAI08 gestión del conocimiento 24 El objetivo consiste en que la información de gestión del sistema se logre mantener vigente. Esta información puede ser conocimiento que permite la ejecución de actividades y que permitan una mejora en la toma de decisiones de la empresa. Con el objetivo se busca una adecuada planificación, registro, organización y utilización del conocimiento dentro de la organización. El propósito de este objetivo es “Proporcionar el conocimiento e información de gestión necesarios para apoyar a todo el personal en el gobierno y gestión de la TI de la empresa y facilitar la toma de decisiones informada” (ISACA, 2018b). El objetivo está compuesto de cuatro prácticas de gestión: • BAI08.01: Identificar y clasificar las fuentes de información para el gobierno y la gestión de TI. • BAI08.02: Organizar y contextualizar la información en conocimiento. • BAI08.03: Utilizar y compartir conocimiento. • BAI08.04: Evaluar y actualizar o retirar la información. Asimismo, las metas empresariales y de alineamiento de este objetivo, así como sus métricas, se pueden ver en la Tabla 3. Nuevamente, es de destacar que cada práctica de gestión tiene sus propias métricas, que ayuden con el control y monitoreo del objetivo. Metas empresariales Metas de alineamiento EG01 Portafolio de productos y servicios competitivos. EG10 Habilidades, motivación y productividad del personal. EG13 Innovación de productos y negocio. AG12 Personal competente y motivado con entendimiento de la tecnología y el negocio. AG13 Conocimiento, experiencia e iniciativas para la innovación empresarial. Métricas 25 EG01 • Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado • Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente • Porcentaje de productos y servicios que proporcionan ventaja competitiva • Plazo de comercialización para nuevos productos y servicios. EG10 • Productividad del personal comparada con benchmarking. • Nivel de satisfacción de las partes interesadas con los niveles de conocimientos y habilidades del personal. • Porcentaje de personal cuyas habilidades son insuficientes con respecto a la competencia en su rol. • Porcentaje de personal satisfecho. EG13 • Nivel de concienciación y comprensión de las posibilidades de innovación del negocio. AG12 • Porcentaje de personal de negocio con dominio de TI (es decir, aquellos que tienen los conocimientos y el entendimiento de TI requeridos para guiar, dirigir, innovar y ver las oportunidades de TI en su área de especialización de negocio). • Porcentaje de personal de TI con dominio de negocio (es decir, aquellos que tienen los conocimientos y el entendimiento de los dominios de negocio relevantes para guiar, dirigir, innovar y ver las oportunidades de TI para su dominio de negocio). • Número o porcentaje de personal de negocio con experiencia en gestión de tecnología. AG13 • Nivel de conocimiento y comprensión de los ejecutivos del negocio sobre las posibilidades de innovación de las TI. 26 • Satisfacción de las partes interesadas con los niveles de habilidades e ideas sobre innovación y productos. • Número de iniciativas de productos y servicios aprobadas como resultado de ideas innovadoras. • Número de iniciativas aprobadas como resultado de ideas innovadoras de TI. • Número de campeones en innovación reconocidos/premiados. Tabla 3. Métricas de las metas objetivo BAI08 (ISACA, 2018b). El objetivo BAI08 también es de los que cuenta con menor cantidad de información o documentos de entrada. No obstante, al tratarse de la primera vez que se implementa COBIT en la empresa, es posible que todas estas entradas deben ser generadas pues no provienen de ningún otro proceso, aunque esto se analizará a profundidad en el capítulo 3. 27 2. CAPÍTULO II: DESCRIPCIÓN DE MIDWARE S.A. En este capítulo se abordará información sobre la historia, aspectos generales, estructura de servicios y otros temas con respecto a la compañía MIDWARE S.A., en la cual se desarrolla este proyecto de graduación. La información mencionada en esta sección fue extraída de la documentación interna de la compañía expuesta (Vela, 2021). 2.1. Reseña histórica La compañía MIDWARE S.A., es una empresa de origen costarricense con una historia reciente pues cuenta con apenas cuatro años desde su creación. El creador de la empresa, Juan Pablo Vela y quien es actualmente el CEO de esta, inicialmente se estaba enfocando en un proyecto llamado Modelate, el cual trataba de ayudar en la automatización de procesos mediante modelado, de ahí el nombre del proyecto y además todo esto por medio de una aplicación de software. Al principio este proyecto sí tuvo éxito al tener solamente una versión privada del mismo solo para ciertos clientes, sin embargo, luego se dio el lanzamiento de una versión pública, que no tuvo el mismo éxito que la versión privada. Por lo tanto, se dio con el resultado de que esta idea de negocio se debía abordar de diferente manera, ya que los mercados emergentes estaban exigiendo diferentes aspectos, así como también tecnologías diferentes. En determinado momento, el CEO se dio cuenta de que el transformar este proyecto de Modelate, a una nueva arquitectura y hacer uso de tecnologías completamente nuevas requería de gran esfuerzo. Debido a este gran esfuerzo requerido, se dio cuenta de que no podía realizarlo solo, por lo que comenzó a formar un equipo, en diciembre del año 2017 se tuvo la primera contratación oficial. 28 Seguidamente en mayo del año 2018, se dio el registro formal como sociedad anónima legamente en el país. Continuando con este crecimiento se da la apertura de varios departamentos y servicios sobre otras plataformas y tecnologías. 2.2. Aspectos generales de la empresa MIDWARE S.A., es una empresa dedicada al desarrollo de software y venta de servicios de tecnologías de información. Surgió como un emprendimiento en el 2018, es de origen costarricense y nació con el fin de potenciar y dar soporte a otros negocios, gracias al conocimiento en sistemas informáticos empresariales y la capacidad de ajustarlos a las necesidades específicas de cada negocio. La empresa cuenta con apenas cuatro años de existencia, pero ha tenido una evolución rápida y a su temprana edad ya cuenta con clientes tanto nacionales como internacionales. Es una empresa que clasifica, según el Ministerio de Economía, Industria y Comercio, como una microempresa debido a que cuenta con solamente 20 colaboradores. No obstante, las expectativas de crecimiento son altas y se espera que la empresa pueda seguir adquiriendo clientes internacionales en el futuro cercano. A continuación, se presenta la misión, visión y los valores empresariales que ha establecido la empresa. Misión Digitalizar y potenciar las empresas aplicando las tecnologías y experiencias de usuario adecuadas. Visión 29 Constituir una empresa tecnológica de prestigio universal que construya negocios en todo el mundo y desarrolle productos innovadores y disruptivos en la nube. Valores empresariales • Actitud positiva. • Comunicación. • Compromiso. • Empoderamiento. • Trabajo en Equipo. • Altruismo. • Proactividad. • Efectividad. • Eficiencia. • Innovación. • Calidad. • Diversión. Objetivos estratégicos La empresa ha establecido tres objetivos estratégicos que desea cumplir en el corto plazo. No obstante, no se cuenta dentro de estos objetivos con un plazo específico, metas específicas o una hoja de ruta para su consecución. • Abrir más posibilidades de desarrollo en la nube: La empresa busca ampliar sus posibilidades de negocio. Además de ser experta en tecnologías y sistemas de planificación de recursos empresariales ERP (del inglés “Enterprise Resourse Planning”) como el caso de Odoo© y Netsuite, se busca a través de la innovación encontrar nuevas posibilidades de desarrollo en la nube. Gracias al equipo de desarrollo que posee, la empresa ha demostrado que tiene el potencial y las capacidades para crear o mejorar 30 sistemas, con el fin de apoyar en necesidades que otras empresas y la empresa misma puedan tener. • Mejorar la calidad del servicio: Como empresa que brinda servicios, uno de sus pilares es brindar servicio de buena calidad. La empresa busca que tanto los altos mandos como el resto de los colaboradores estén alineados con este objetivo, así como los procesos y su manejo deben enfocarse en mejorar poco a poco la calidad del servicio que esta brinda. • Dar posibilidad a más profesionales de aprender sobre la filosofía de la empresa: MIDWARE S.A., es una empresa que ha logrado destacar en muchos aspectos de su servicio, y esto ha sido gracias a su crecimiento acelerado, donde esto ha sido posible teniendo muy claro los objetivos empresariales y cómo alcanzarlos, además de poseer a los profesionales adecuados para poder lograrlo. La filosofía empresarial consta en las ganas de trabajar, de realizar software de calidad, en brindar un servicio de calidad, de cooperación entre compañeros y compañeras, para alcanzar las metas planteadas. La empresa desea dar el ejemplo y enseñar y atraer cada vez a más profesionales a la empresa, y con esto ayudarse mutuamente a lograr sus metas profesionales y empresariales de la mejor manera (Vela, 2021). 2.3. Estructura y organigrama Actualmente la compañía cuenta con alrededor de 20 colaboradores, distribuidos en distintos departamentos, como lo son los de administración, desarrollo de tecnologías, financiero, administración de proyectos entre otros, los cuales se pueden visualizar en la Figura 6. 31 Debido a la madurez de la empresa, algunas áreas pueden crecer mucho más, así como también estandarizarse o crearse nuevas áreas del todo, pero estos aspectos llevan su debido tiempo y esfuerzo para poder lograrlo. Figura 6. Organigrama de MIDWARE S.A. (Vela, 2021). Como se puede notar en la Figura 6, la empresa cuenta ya con varios departamentos establecidos. Cuenta con unidades de trabajo tradicionales y enfocadas en aspectos administrativos de la empresa, como es el caso de recursos humanos, con el fin de velar por los colaboradores tanto entrantes como los que ya están laborando. También los departamentos de operaciones, quienes se encargan de la logística del equipo necesario para cumplir con las labores diarias y el departamento financiero, encargado de la salud y control de decisiones financieras de la empresa. De igual manera, también es importante mencionar los departamentos de Odoo© y Netsuite©, los cuales son departamentos de desarrollo de software principalmente y son 32 los que brindan los servicios a los clientes de la empresa, estos departamentos hacen alusión a sus respectivos ERP, de los cuales cada departamento es experto. Es de destacar además que el departamento de Odoo© además de brindar servicios a clientes, también brinda servicios a la propia empresa en forma de desarrollo interno. Además, se tiene el departamento de DevOps encargado del mantenimiento de servidores, mejoras en los mismos y en los flujos de desarrollo de software. El departamento de diseño también brinda servicios tanto internos, para diseños de campañas, redes sociales, así como para página web o desarrollo de software interno. También este mismo brinda servicios a clientes externos, ya sea para páginas web, paletas de colores, logos, diseños de campañas entre otros. Por último, se tiene el departamento de administración de proyectos, el cual se encarga por velar de que se brinde un buen servicio a los clientes, así como controles de progreso de los proyectos y comunicación con clientes y ayuda a los departamentos de desarrollo como lo son el de Odoo©, Netsuite y DevOps. 2.4. Cultura organizacional y servicios brindados Con respecto a la cultura organizacional, al ser una empresa de pocos colaboradores, esta cultura se encuentra muy marcada destacando el trabajo en equipo y una buena dinámica de trabajo, ya que para poder crecer al ritmo que se ha tenido hasta el momento se requiere que todos los colaboradores estén en sintonía, así como buenos hábitos que promuevan la eficiencia, la excelencia, la comunicación asertiva y muchos otros aspectos más que influyen en forjar una empresa en sus años iniciales. Debido al manejo de clientes internacionales y como parte del crecimiento que ha tenido la empresa, también se tuvieron momentos con una mayor rotación de 33 colaboradores debido a la finalización de contratos. Sin embargo, todas estas situaciones, desde el punto de vista de la organización han sido consideradas como positivas, ya que han permitido un crecimiento en la experiencia y el conocimiento de un mejor manejo de situaciones. Estas rotaciones se han debido también a distintas restructuraciones, por ejemplo, cambios en los procesos, el paso de modelo tradicional a modelo ágil, entre otros, que han sido necesarias para mantener y mejorar el desempeño de toda la empresa. En lo que respecta a los clientes de la empresa, en su mayoría están fuera de Costa Rica, principalmente en Estados Unidos, aunque igualmente se tienen clientes dentro del país y se siguen sumando nuevos clientes conforme la empresa ha venido en crecimiento. El servicio primordial que ofrece esta compañía es el de mejorar las plataformas informáticas empresariales ERP, los cuales son plataformas que poseen módulos capaces de atender las necesidades de una o varias empresas, ya sean de control de empleados, pagos, reclutamiento, control de proyectos, compras, ventas, inventario, entre muchas otras más, sin embargo aunque estos sistemas son bastante robustos de manera nativa, las empresas muchas veces requieren de procesos específicos, por lo que se personalizan procesos específicamente con los requerimientos de cada cliente, así como automatización de procesos como puede ser el caso de gestionar alertas, envíos de correos, reportes, movimientos de inventario automatizados, aspectos de diseño, mejoras de rendimiento, entre otros. Además de optimizar la manera en que estos clientes operan en su día a día, también se brinda soporte ante situaciones externas por la naturaleza de todo sistema informático. Actualmente se siguen explorando nuevas tecnologías y sistemas ERP, con el fin de incorporar a los servicios para brindar un gran abanico de opciones con las cuales se pueda potenciar, tantas empresas grandes, multinacionales e incluso PYMES. 2.5. Gestión de TI en la empresa 34 El equipo gerencial de MIDWARE S.A., siempre ha estado dispuesto a la mejora continua y es parte destacable de su diferenciación, pues se ha venido trabajando en mejoras en distintos departamentos internos y al ser una empresa que se encuentra en sus primeros años de operación, está en constante crecimiento e innovación en sí misma. En la actualidad, la empresa no utiliza ningún marco de referencia o estándar internacional para la gestión de documentos de TI. No obstante, la organización ha venido impulsando iniciativas en la dirección de gestionar y documentar todos los procesos (siendo este trabajo una iniciativa más). A lo interno se han implementado algunas iniciativas de gestión del conocimiento en aplicaciones en la nube como Notion© (2018), en la que se detallan los procesos más básicos de la empresa, así como la visión, misión y el conocimiento adquirido por cada de uno de los colaboradores es también en parte compartido en esta plataforma. Notion© se utiliza actualmente debido a que la empresa se ha encontrado en situaciones como pérdida de información y conocimiento de colaboradores que dejan la empresa, así como falta de registro de los cambios realizados y funcionamiento de cómo se encuentran los procesos. No obstante, su implementación se ha dado de forma empírica e informal, sin seguir alguna metodología recomendada, por lo que se corre el riesgo de que en el futuro la aplicación simplemente se deje de utilizar. De igual manera, a lo interno no se tiene una guía formal para los nuevos integrantes, así como guías de cómo funcionan las herramientas y los procesos que la empresa ofrece, como por ejemplo la solicitud de vacaciones. Tampoco se ha manejado formalmente un lugar centralizado y ordenado donde se acumule el conocimiento que los colaboradores van adquiriendo y que estos puedan ser útiles para los demás en el futuro. En lo que respecta a gestión del cambio, la empresa ha sufrido varios cambios de manera continua y en cortos plazos, debido al crecimiento que esta ha venido 35 experimentando. La naturaleza de brindar un servicio que se basa sobre mejoras de los sistemas empresariales y cambios en procesos convierte la gestión del cambio en un tema de principal relevancia para la compañía. Ejemplos de la dinámica del cambio en la empresa, son solicitudes de automatización de algún apartado contable, así como también cambios visuales para poder tener a la mano datos clave en pantalla. Aspectos como la optimización de velocidad de los sistemas informáticos, seguridad de estos y controles de permisos también requieren una gestión adecuada del cambio que puede involucrar a muchas personas. Otro ejemplo son las intervenciones de emergencia en los sistemas informáticos donde a causa de un fallo es necesario modificar algún proceso de forma casi inmediata. En ese sentido, en MIDWARE S.A., se han dado iniciativas informales para la gestión de estos cambios, por ejemplo, por medio de sistemas de aprobación creados en el sistema empresarial, para el manejo de solicitudes del servicio. Este sistema empresarial ha sufrido varios ajustes debido a la manera empírica con la que se ha ido aprendiendo sobre los procesos y la necesidad de ajustarlos para el beneficio de los clientes, así como el propio de la empresa, por lo que es necesario mejorar y estandarizar el modo en que se ejecutan esos cambios. 36 3. CAPÍTULO III: ANÁLISIS DEL MANEJO ACTUAL DE LOS PROCESOS INTERNOS DE TECNOLOGÍAS DE INFORMACIÓN EN MIDWARE S.A. 3.1. Justificación de la investigación En la era de la información, dentro del mundo laboral actual la mayoría de las empresas deben lidiar, operar y relacionarse diariamente con la tecnología. La gestión de esta y de la información es una característica que no debe tomarse a la ligera en el éxito de las compañías, desde un punto de vista estratégico. Una adecuada gestión de los procesos permitirá a las organizaciones tener información de forma más clara, ordenada y precisa, que le permitirá obtener mejores insumos en la toma de decisiones y en la elaboración y seguimiento de sus actividades. Con esta claridad, cualquier organización tiene más herramientas que la podrían llevar a un crecimiento exitoso y determinado, de la mano de la mejora continua. El marco de referencia COBIT (ISACA, 2018b) es una guía para las empresas en la gestión de tecnologías e información. Contempla una serie de prácticas desarrolladas y mejoradas de manera constante por más de 25 años, que lo convierte en un modelo a seguir en cuanto a sistemas de gestión de tecnologías e información se refiere. Este marco de referencia brinda ayuda para definir y estandarizar procesos, establecer controles, herramientas para los gerentes y todos sus colaboradores, además de proveer una cultura de la documentación y registro de actividades, que puede traer muchos beneficios a nivel estratégico, especialmente si se trata de empresas pequeñas en crecimiento. En este contexto, MIDWARE S.A., es una pequeña empresa reciente, que se dedica a la venta de servicios de tecnologías de información. La empresa no cuenta con ningún sistema de gestión implementado a lo interno y está en un proceso de crecimiento, por lo 37 que una implementación de COBIT en la empresa puede ayudar a optimizar sus procesos de tecnologías e información. COBIT se encuentra dividido en 40 módulos (ISACA, 2018b), los cuales se enfocan en prácticas de gobernanza y gestión específicas. Para esta propuesta se plantea trabajar una base sobre los módulos BAI08-Gestionar el conocimiento y BAI06-Gestionar los cambios de TI, respectivamente. Ambos temas se consideran de gran valor para la compañía, así como aptos para el alcance de este trabajo de investigación. Como se presenta más adelante, debido a su situación actual, MIDWARE S.A., necesita optimizar la forma en que se maneja y transfiere el conocimiento. Actividades como la transferencia de funciones entre colaboradores, el estudio de casos antiguos resueltos, la capacitación de personal nuevo, entre otras, deben llevarse a cabo de manera que la curva de aprendizaje sea lo más eficiente y rápida posible. Por otra parte, al ser una empresa de servicios y más específicamente de mejoras de sistemas informáticos, tanto a lo interno como externo se está en un continuo cambio en los procesos, ya sea contables, administrativos, de desarrollo, entre otros que, de no manejarse correctamente, pueden afectar el servicio brindado a los clientes. Por todo lo anterior, la realización de este trabajo puede traer gran valor a MIDWARE S.A., no sólo por la implementación de una estrategia en el manejo de los procesos específicos de conocimiento y cambio, sino porque brindará herramientas a la empresa para el despliegue de otros procedimientos bajo el marco de referencia COBIT que se deseen aplicar en el futuro. 3.2. Metodología de la investigación Para el presente trabajo se planteó un marco metodológico con un enfoque cualitativo, donde el propósito de este capítulo es brindar los insumos necesarios para que el 38 planteamiento de la solución final planteado en el capítulo 4 fuera lo más ajustado a la realidad de la empresa. Se realizaron entrevistas y se usó un cuestionario, como herramientas que permitieron recolectar la información para el conocimiento general de la empresa, desde su perfil estratégico hasta el manejo de procesos internos de TI, la forma de registrar información, la comunicación dentro del equipo de trabajo, responsabilidades individuales y colectivas, mapeo de procesos, entre otros. Dicho diagnóstico se realizó siguiendo la propia metodología de diseño de COBIT 2019 (ISACA, 2018c), que destaca una serie de factores a investigar dentro de la empresa, para determinar su diagnóstico actual. Respecto a la población o sujetos de interés de la investigación, se trabajó con el personal de la empresa relacionado con los procesos internos de TI, delimitado a jefaturas y personal definido para encuestar, a quienes se les aplicó el cuestionario confeccionado en el anexo 1. 3.3. Desarrollo y análisis de la investigación 3.3.1. Análisis según factores de diseño Con el objetivo de lograr obtener un entendimiento más completo del funcionamiento de la empresa, se realizó un análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) para su diagnóstico, la cual es una herramienta fundamental para el estudio estratégico de cualquier empresa. No obstante, el marco de referencia COBIT 2019, como se ha mencionado a lo largo de este trabajo, presenta una serie de lineamientos y mejores prácticas recomendadas para la gestión y gobierno de las tecnologías de información. Dentro de este marco de referencia se encuentra la guía de “Diseño de una solución de Gobierno de Información y Tecnología” (ISACA, 2018c), que es una guía de diseño que presenta una metodología 39 para establecer el mejor desarrollo posible de un sistema de gobierno y gestión empresarial, pero enfocado en los procesos de tecnologías de información. Dado que este trabajo plantea una propuesta en la gestión del cambio y gestión del conocimiento con un enfoque hacia las tecnologías de información, la guía es una herramienta que permite conocer de mejor forma un diagnóstico sobre los procesos de la empresa. Mediante un flujo de trabajo del diseño de un sistema de gobierno, la guía permite realizar un análisis detallado de la empresa. El proceso se divide en cuatro pasos fundamentales, siendo los primeros dos pasos los más importantes para el diagnóstico y análisis preliminar (ISACA, 2018c). Los cuatro pasos son del flujo de trabajo son: 1. Entender el contexto y estrategia de la empresa. 2. Determinar el alcance inicial del sistema de gobierno. 3. Perfeccionar el alcance del sistema de gobierno. 4. Finalizar el diseño del sistema de gobierno. Dentro de cada uno de estos pasos, COBIT provee diferentes componentes o factores que son los que sirven para realizar el análisis. A estos componentes se les conoce como factores de diseño y dentro de la guía de diseño, COBIT 2019 (ISACA, 2018c) provee 11 de estos factores, los cuales son suficientes para lograr conocer adecuadamente el funcionamiento, madurez y capacidades de la empresa, su perfil estratégico. 40 Figura 7. Flujo de trabajo del diseño del sistema de gobierno (ISACA, 2018c). Para la parte de análisis y diagnóstico, en este trabajo se utilizaron los factores de diseño mencionados en la Figura 7, abarcando los primeros dos pasos del flujo de trabajo. En el capítulo 4 se finaliza este flujo con los pasos 3 y 4. Para definir los factores de MIDWARE S.A., se realizó una entrevista sobre cada factor, al CEO de la empresa, con el fin de diagnosticar de una mejor manera, la situación actual, por lo tanto, a continuación, se verán reflejados más detalladamente cada factor junto con el estado actual. Para dicha entrevista se utilizó la herramienta guía de diseño de ISACA para COBIT 2019, la cual es una guía gratuita brindada por la Asociación, en la que se ponderan todos los factores para determinar cuáles de los 40 objetivos de gobierno y gestión son prioritarios para la empresa. Es de gran importancia recalcar que el diseño de un sistema de gestión es esencialmente una priorización de acciones según las necesidades de una organización. Esto es así pues sería muy poco eficiente llevar a cabo todos los procesos en una única iteración. Por el contrario, estos sistemas de gobierno y gestión permiten que esta primera 41 iteración se convierta en un pilar para las implementaciones futuras, debido a la mejora continua que esto requiere y que así se pueda ir mejorando con futuras iteraciones. Factor de estrategia empresarial Este factor denota cuales son las estrategias que tiene la empresa, donde normalmente, las empresas cuentan con una estrategia primaria y como mucho una estrategia secundaria. Valor Importancia (1-5) Crecimiento/Adquisición 3 Innovación/Diferenciación 4 Liderazgo en costes 4 Servicio al cliente/Estabilidad 5 Tabla 4. Factor de estrategia empresarial (Elaboración propia). En la Tabla 4, es importante destacar que se asigna un valor de importancia de 1 a 5, donde 1 es sin importancia, 5 es muy importante, siendo entonces la estrategia de servicio al cliente/Estabilidad la más importante por MIDWARE S.A. Sin embargo, las estrategias de innovación/Diferenciación, así como la de Liderazgo en costes, son igualmente de gran importancia. Al momento de la entrevista se menciona que por parte de la empresa MIDWARE S.A., unos meses antes de este diagnóstico, se contaba con un rumbo diferente siendo en ese momento la de crecimiento/adquisición la más importante. Factor de metas empresariales Este factor hace referencia a que una empresa necesita de un conjunto de metas empresariales para poder alcanzar sus estrategias, por lo tanto, en este marco de referencia, se cuenta con las metas empresariales más comunes, en total son 13, en una dimensión 42 financiera, del cliente, interna y de crecimiento. Por ejemplo: gestión del riesgo, cultura del servicio orientada al cliente, optimización de costos de procesos del negocio, innovación de productos y negocios, habilidades, motivación y productividad del personal, entre otros. En la entrevista realizada para la empresa MIDWARE S.A., de las 13 metas, es importante destacar que las de mayor importancia elegidas fueron las siguientes: • EG03—Cumplimiento de leyes y regulaciones externas • EG05—Cultura de servicio orientada al cliente • EG07—Calidad de la información de gestión • EG08—Optimización de la funcionalidad de los procesos internos del negocio • EG12—Gestión de programas de transformación digital Al realizar la entrevista, se denota que la empresa ha estado trabajando en la mayoría de las metas. No obstante, en los años recientes no se les daba tanta importancia como la que se les está prestando en la actualidad. Factor de perfil de riesgo El factor de perfil de riesgo hace referencia a identificar los tipos de riesgos relacionados con la TI a los que está expuesta la empresa e indicar qué áreas de riesgo exceden el apetito al riesgo. El marco de referencia tiene a disposición las categorías de riesgo más comunes en las empresas, en total 19, por lo que a continuación se mostrarán las más relevantes que resultaron de la entrevista. • Acciones no autorizadas • Fallos de Software 43 • Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio • Gestión del ciclo de vida de los programas y proyectos • Incumplimiento • Ataques lógicos (hacking, malware, etc.) • Innovación basada en la tecnología En la entrevista se comenta que las acciones y el incumplimiento son de los más críticos en este momento, por lo tanto, tienen valores de impacto y probabilidad más altos. Factor de problemas relacionados con TI Este factor hace alusión a los riesgos de TI materializados actualmente en la empresa, por lo que el marco de referencia brinda 20 problemas críticos que son típicos en la mayoría de las organizaciones. Según la entrevista realizada en MIDWARE S.A., los principales son los siguientes: • Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio. • Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI. • Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI. • Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados. • Incapacidad para explotar nuevas tecnologías o innovar con las TI. 44 En la entrevista se denotan los anteriores como los más graves actualmente presentados en MIDWARE S.A. Factor de escenario de amenazas Este factor menciona que toda organización opera en un ambiente en el que está sujeta a amenazas, por lo que se tienen dos escenarios, escenario normal o escenario de amenaza alto (situación geopolítica, entre otros). Valor Importancia (100%) Alto 0% Normal 100% Tabla 5 Factor de escenario de amenazas (Elaboración propia). Como se refleja en la Tabla 5, la empresa actualmente es considerada que funciona bajo niveles normales. Factor de requerimientos de cumplimiento Se tiene como referencia en este factor que existen requerimientos de cumplimiento de leyes y regulatorios, donde en el marco de referencia se categoriza en tres: requerimientos de cumplimiento bajos, normales o altos. Valor Importancia (100%) Alto 0% Normal 100% Bajo 0% Tabla 6 Factor de requerimientos de cumplimiento (Elaboración propia). La Tabla 6 muestra que la empresa en lo que respecta a cumplimiento de leyes, está sujeta a cumplimientos comunes a las distintas industrias. Factor de rol de TI Este factor muestra cómo cada organización tiene roles distintos respecto a TI. 4 roles: Soporte (no es importante para la organización), Fábrica (TI es importante solamente para 45 la parte operativa, pero no para la innovación); Cambio (TI es importante para la innovación, pero no para la parte operativa, es común en startups); estratégico (TI críticas para funcionamiento e innovación del negocio). Valor Importancia (1-5) Soporte 1 Fábrica 1 Cambio 1 Estratégico 5 Tabla 7 Factor de rol de TI (Elaboración propia). En la Tabla 7 se puede destacar cómo en MIDWARE S.A., las TI son críticas para el funcionamiento e innovación de los procesos de la empresa. Factor de abastecimiento de proveedores de TI Se cuenta con 4 tipos típicos, como lo son: outsourcing (la empresa requiere de los servicios de un tercero para brindar servicios de TI); Nube (empresa maximiza el uso de la nube para proporcionar servicios de TI a sus usuarios); Personal Interino (la empresa aporta su propio personal y servicios de TI); Híbrido (modelo que combina los otros tres modelos en distintos grados). Valor Importancia (100%) Externalización (Outsourcing) 5% Nube 10% Personal (Interno) 85% Tabla 8 Factor abastecimiento de proveedores de TI (Elaboración propia). Como se denota en la Tabla 8, actualmente la empresa cuenta con mayoría de personal, donde la empresa aporta su propio personal y servicios, sin embargo, también se están realizando trabajos en la nube y empezando en el ámbito de la externalización. Factor de métodos de implementación de TI 46 Este factor se refiere a métodos que la empresa adopta y que el marco de trabajo nos delimita 4, los cuales son los siguientes: Agile1 (empresa utiliza los métodos de desarrollo de trabajo ágil para su desarrollo de software); DevOPs2 (utiliza métodos DevOPs en despliegue y operaciones de software); tradicional (la empresa usa un método más clásico para el desarrollo de software (cascada) y separa el desarrollo de software de las operaciones); Híbrido (la empresa usa una mezcla de implementación de TI tradicional y de TI moderna, es decir, TI Bimodal). Valor Importancia (100%) Agile 30% DevOps 20% Tradicional 50% Tabla 9 Factor de métodos de implementación de TI (Elaboración propia). En la Tabla 9, es importante destacar cómo la empresa MIDWARE S.A., tiene principalmente métodos de trabajo tradicionales, siendo este del 50%, sin embargo, como comentario de la entrevista realizada se indica y se refleja cómo está en transición a metodologías ágiles. Factor de estrategia de adopción de tecnología Hace referencia este factor a las maneras en que la empresa adopta la tecnología, donde se tienen 3 categorías según el marco de referencia, las cuales son las 3 siguientes: “El primero que se mueve” (adopta tecnologías lo antes posibles para lograr una ventaja competitiva); “Seguidor” (intenta lograr la ventaja competitiva poniendo a prueba la tecnología antes de adoptarla); adoptadores lentos (la empresa tarda mucho en adoptar nuevas tecnologías). Valor Importancia (100%) Primero en reaccionar (First mover) 25% 1 Una metodología Agile es desarrollo iterativo, enfocado en responder al cambio y entregando valor constantemente Domínguez, M., & García, G. (2020). 2 DevOPs es una metodología donde se unen varios equipos de desarrollo como programación, operativo, control de calidad y se fomentan las relaciones entre estos y así entregar mayor calidad a los resultados Domínguez, M., & García, G. (2020). 47 Seguidor (Follower) 60% Adoptadores lentos (Slow adopter) 15% Tabla 10 Factor de estrategia de adopción de tecnología (Elaboración propia). Como se refleja en la Tabla 10, la empresa actualmente adopta mayoritariamente la estrategia de seguidor, donde la empresa suele esperar que las nuevas tecnologías se encuentren en un estado estable antes de adoptarlas. Sin embargo, como se comenta en la entrevista realizada y se refleja en la Tabla 10 la empresa también adopta como segunda estrategia ser el primero en reaccionar y adoptar las nuevas tecnologías. Análisis de importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) Debido a la entrevista y los datos recabados de la empresa MIDWARE S.A., es posible utilizar las herramientas de diseño del marco de trabajo COBIT 2019 (ISACA, 2018d), el cual permite analizar las sugerencias de cuales objetivos son los que se les deben brindar mayor importancia. 48 35 90 -25 60 30 20 35 45 85 35 15 20 85 -15 -50 60 -15 5 20 30 95 100 -55 80 80 95 60 70 40 10 10 5 35 -10 -15 60 -10 10 -30 10 -100 -80 -60 -40 -20 0 20 40 60 80 100 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04 Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) 49 Figura 8. Importancia de los objetivos de gobierno y gestión (ISACA, 2018d). Como se puede apreciar en la Figura 8, la herramienta oficial de la Asociación brinda un análisis cuantitativo de cuáles objetivos son los de mayor importancia sugeridos, según los datos recopilados en la entrevista realizada y de los factores de diseño estudiados. De la Figura 8, los 13 objetivos con mayor importancia sugeridos como prioridad son los siguientes: • BAI