Objectel Cía. Ltda.
MODELO PARA LA EVALUACIÓN DE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN EN LA ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO UTILIZANDO EL MARCO DE REFERENCIA COBIT
Proyecto de Investigación William Cepeda A.
2010
OBJECTEL CIA. LTDA UNIDAD DE INVESTIGACIONES
MODELO PARA LA EVALUACIÓN DE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN EN LA ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO UTILIZANDO EL MARCO DE REFERENCIA COBIT
Autor: William Cepeda Astudillo
Riobamba, marzo de 2010
2
CAPÍTULO I - EL PROBLEMA 1.1 Planteamiento del problema
La Escuela Superior Politécnica de Chimborazo, consciente de su responsabilidad histórica, ética y moral, se compromete a impulsar un modelo de educación alternativa, que conduzca a la consolidación de un nuevo orden socio-económico justo y equitativo; en tal virtud, considera a las tecnologías de información como elemento estratégico para el cumplimiento de su visión y misión. La ESPOCH, ha experimentado un crecimiento importante en los últimos años. El incremento en el número de estudiantes a los que deben atender y rendir cuentas genera la necesidad del control eficiente y eficaz de la gestión de las Tecnologías de Información (TI), la administración de los riesgos asociados y el alineamiento de la estrategia de TI a la estrategia universitaria. Estas exigencias, plantean un problema crítico, ya que en el mercado competitivo actual, es imprescindible generar una imagen sólida y confiable, esto implica que la ESPOCH haga esfuerzos tendientes a garantizar que sus esquemas de gobernanza de TI, respondan a normas y estándares generalmente aceptados y establecidas por los organismos de control. No se puede concebir esquemas de gestión de TI ajenos a las normas de control, más aun sí, los procesos operativos universitarios dependen por completo del correcto funcionamiento de sus sistemas de información; si no se implementan esquemas formales de gestión de TI, estamos en el riesgo de manipulación deliberada de información o peor aun del colapso general de la universidad. En nuestro país, ya se han vivido experiencias críticas en el sector educativo, eventos que de cierta manera debieron preverse con un adecuado control de la gestión de las TI. Para esto, se propone el marco de trabajo COBIT (Control Objectives for Information and Related Technology), que representa el consenso de los expertos y está enfocada fundamentalmente en el control de TI. Estas prácticas ayudarán a optimizar las inversiones en TI, asegurarán la entrega de servicios y brindarán una medida contra la cual evaluar la gobernanza de TI. Este modelo de referencia para la evaluación de la gestión de TI para la Universidad Ecuatoriana ofrecerá una referencia para el mejor aprovechamiento de las inversiones en TI, capitalizando las oportunidades tendientes a generar ventaja competitiva. 1.2 Formulación del problema ¿Cuál será el impacto de la implementación de un modelo de evaluación para la gestión de Tecnologías de información en la Escuela Superior Politécnica de Chimborazo tomando como referencia el marco de trabajo COBIT? La gobernanza de TI, requiere de un marco de control, que permita evaluar el nivel de madurez del cumplimento de los objetivos de TI planteados, en consistencia con la 3
estrategia global de la ESPOCH; así, un modelo que permite evaluar su gestión, tomando como referencia, un marco de trabajo, en este caso COBIT, permitirá, a partir de un caso de estudio, establecer generalizaciones susceptibles de ser implementados en la Universidad Ecuatoriana. 1.3 Interrogantes de investigación Tomando como referencia COBIT como marco de trabajo para el control de TI: ¿Cómo actualmente es el proceso de gestión de tecnologías de información en la ESPOCH? ¿Qué aspectos de la gestión de TI se deben evaluar y controlar para garantizar su alineamiento con las estrategias de la ESPOCH? ¿Cuáles son los requerimientos de evaluación y control que deben cumplirse en relación a las entidades regulatorias, socios estratégicos, administradores, consejo directivo? ¿Cómo establezco el nivel de madurez de los procesos de gestión y control? ¿Quiénes son los actores principales que interactúan con los productos generados por la ESPOCH y que son proporcionados por la gestión de TI? ¿Cómo establezco la relación entre las métricas de gestión del modelo COBIT y los parámetros de evaluación de gestión de TI utilizados por la ESPOCH? ¿Dónde se presentan los mayores riesgos de gestión de las TI? ¿Cuál es el beneficio estimado de la adopción de marcos de trabajo como COBIT, para el control de la gestión de TI? ¿Cómo puede la ESPOCH lograr resultados que sean satisfactorios, para la mayor parte de los participantes? ¿Cómo puede la ESPOCH adaptarse de manera oportuna, a las tendencias y avances tecnológicos del ambiente Universitario? ¿Cómo puede la ESPOCH poner bajo control la TI, de tal manera que genere la información que la universidad necesita? ¿Cómo la ESPOCH puede administrar los riesgos y asegurar los recursos de TI de los cuales depende? ¿Cómo puede la ESPOCH asegurar que TI logre sus objetivos y soporte los objetivos de la universidad? 1.4 OBJETIVOS DE INVESTIGACIÓN 1.4.1 Objetivo general
4
Establecer un modelo para la evaluación y control de la gestión de tecnologías de información utilizando el marco de referencia COBIT que pueda ser implementado en la Universidad Ecuatoriana, a partir de su aplicación en la ESPOCH en el periodo 2010 2011. 1.4.2 Objetivos específicos • • • • • •
Determinar el nivel de madurez de la ESPOCH en la gestión de TI. Establecer una estrategia de TI alineado con la estrategia general de la ESPOCH. Evaluar cómo la TI ayuda al desarrollo de la ESPOCH y contribuye al crecimiento de sus beneficios, y el cumplimiento de los requerimientos de acreditación. Evaluar el uso de los recursos asignados a TI. Evaluar que los riesgos asociados a la gestión de TI se administren de manera responsable. Facilitar el uso del marco de trabajo COBIT como un mecanismo de control de la gestión de TI.
1.5 Justificación de la Investigación •
Justificación Teórica (No aplica)
•
Justificación Metodológica
El proceso de investigación, para la evaluación de la gestión de TI tomando como referencia el modelo COBIT, se realizará en la ESPOCH, la misma que será tomada como caso de estudio, en el marco del proceso de acreditación universitaria. El nivel de exigencia de las entidades de control, así como la necesidad de utilizar marcos de trabajo, hace de COBIT la guía adecuada, ya que ha sido alineado y armonizado con estándares generalmente aceptados y las mejores prácticas de gestión de TI. COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos, riesgos del negocio y comunicar ese nivel de control a los participantes. Las Universidades, deben medir donde se encuentran y donde requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora, en tal virtud COBIT atiende estos temas por medio de Modelos de Madurez, Metas y mediciones de desempeño para los procesos de TI y metas de actividades para facilitar el desempeño efectivo de los procesos. COBIT utiliza dos tipos de métricas: indicadores de metas e indicadores de desempeño. Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos. Los indicadores claves de metas (KGI) definen 5
mediciones para informar a la gerencia si un proceso de TI alcanzó sus requerimientos de negocio. Los indicadores clave de desempeño (KPI) definen las mediciones que determinan que tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. •
Justificación Práctica
Cada vez más, la alta dirección se está dando cuenta, del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera un alto rendimiento, de la manera en que la tecnología de información es operada, y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. En particular, la alta dirección necesita saber, si con la información administrada en la ESPOCH es posible que: La ESPOCH garantice el logro de sus objetivos, tenga suficiente flexibilidad para aprender y adaptarse, cuente con un manejo juicioso de los riesgos que enfrenta, reconozca de manera apropiada las oportunidades y actúe de acuerdo a ellas. El modelo de evaluación de gestión de TI basado en COBIT, podrá utilizarse como referencia, para su uso en las Universidades Ecuatorianas, considerando que, en el corto plazo los requerimientos de control serán una norma a cumplir mandatoriamente. 1.6 Limitaciones Los componentes principales de riesgo se indican a continuación. a. El desconocimiento del modelo COBIT, exige un proceso de capacitación tendiente a establecer un vínculo coherente entre las personas involucradas en el proceso de investigación, las unidades de TI y el investigador. b. La falta de participación en la recolección de información de forma directa o virtual, a través de entrevistas y cuestionarios.
CAPÍTULO II - MARCO REFERENCIAL, TEÓRICO Y CONCEPTUAL 2.1 Antecedentes de la Investigación
Hemos tomado como referencia dos trabajos desarrollados en el Royal Institute of Technology in Stockhol, Suecia. Etzler (2007), en su trabajo titulado “IT Governance according COBIT – How does the IT performance within one of the llargest investment Banks in the world compare to 6
COBIT? Establece un modelo de evaluación del nivel de madurez de las TI, analizando los componentes del modelo COBIT, y determina un conjunto de indicadores tendientes a servir de referencia para posibles comparaciones en el sector bancario. Por otra parte, Frasen (2007), en su tesis de maestría titulada “IT in Swedish Municipalities – An IT maturity study within the Swedish non-profit govermental municipals using the COBIT framework”, realiza un análisis comparativo del nivel de madurez de TI en el marco de trabajo COBIT utilizando la herramienta ITOMAT, para el efecto evalúa el esquema de rendimiento de TI basado en parámetros cualitativos. Los resultados, determinan que el nivel de madurez de TI en las municipalidades corresponde al de las grandes compañías, y se ubica sobre el promedio de las pequeñas empresas. En los estudios indicados, se determina un nivel de madurez de la gestión de TI, el mismo que se utiliza como base comparativa, con las entidades similares del sector. 2.2 Marco teórico 2.2.1 Fundamentación Teórica o Bases Teóricas Para entender el concepto de gobernanza de TI, es importante definir el concepto de gobernanza corporativa: “Gobernanza corporativa concierne a mantener un balance entre las metas económicas y sociales y entre las metas individuales y comunes. El marco de trabajo de gobernanza corporativa está para promover el uso eficiente de recursos y por igual los requerimientos de la administración, de esos recursos. El punto es, alinearse lo más cerca posible, al interés de los individuos, corporaciones y sociedad“(1)[Sir Adrian Cadbury (2000) in ‘Global Corporate Governance Forum’, World Bank]
Dada esta definición, entonces consideremos la definición de Gobernanza de TI: “La gobernanza de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales, que garantizan que la TI de la empresa soporta y extiende las estrategias y objetivos organizacionales” (2) [IT Governance Institute (2003)]
La teoría de la gobernanza de TI, como se ha indicado, es parcialmente dirigida por las demandas de regulaciones externas. Por otra parte, un gran número de compañías han tomado conciencia que una estructura bien definida y un adecuado nivel administrativo, pueden contribuir favorablemente a la consecución de mejor rendimiento y eficiencia en costos de TI. COBIT es la abreviación de Objetivos de Control para la información y la tecnología relacionada, inicialmente fue desarrollada como una herramienta para el control de TI y para reducir el riesgo en las organizaciones de TI, principalmente para la banca e industrias de e-Business. Ha evolucionado, y está diseñada para proveer una guía de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.
7
COBIT se enfoca, en qué se requiere para lograr una administración y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estándares y mejores prácticas más detalladas de TI. COBIT actúa como integrador de todos estos materiales guía, resumiendo los objetivos de trabajo, los objetivos clave bajo un mismo marco de trabajo integral que también se vincula con los requerimientos de gobernanza de TI y los negocios. (3) [COBIT 4.1 Excerpt IT Governance Institute].
Modelo de evaluación en el marco de referencia COBIT • • • • • • • • •
COBIT – objetivos de control para información y tecnologías relacionadas El enfoque de la gobernanza de ti Evolución del producto COBIT Marco referencial de COBIT Generadores de mediciones Modelos de madurez Medición del desempeño Roles y responsabilidades Marcos de referencia para la gobernanza de TI.
Para la gestión de Tecnologías de Información en la ESPOCH • • • • • •
Gobernanza corporativa. Gobernanza de tecnologías de información (ti) Relación entre la gobernanza de ti y la gobernanza corporativa. Diferencias entre gobernanza y administración. La necesidad de control en tecnología de información El ambiente de negocios: competencia, cambio, costos
2.2.2 Fundamentación Legal La base legal que se utilizara en la presente investigación corresponde al Estatuto de la Escuela Superior Politécnica de Chimborazo. 2.3 Definición de Términos Básicos Arquitectura empresarial - Mapa de rutas tecnológicas orientada al negocio para el logro de las metas y objetivos empresariales. Continuidad – prevenir, mitigar y recuperarse de una interrupción. Control – Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y los eventos no deseados serán precedidos o detectados.
8
COSO – Estándar aceptado a nivel internacional para el control interno del gobierno corporativo. (Committee of Sponsoring Organization) Dominio – Agrupación de objetivos de control en etapas lógicas en el ciclo de vida de inversión en TI. Gobernanza - El arte o acción de gobernar o gobernarse. Propone como objetivo lograr un desarrollo económico, social e institucional duradero, promoviendo el sano equilibrio entre el estado, la sociedad civil, el mercado y la economía. Gobernanza corporativa - El conjunto de procesos, costumbres, políticas, leyes e instituciones que afectan a cómo se dirige, administra o controla una empresa (corporación). También incluye las relaciones entre los muchos agentes implicados en ellas (desde la propiedad a la dirección, los controladores externos, acreedores, inversores, clientes, suministradores, empleados y el entorno y la sociedad entera). Gobernanza de TI - es la alineación de las Tecnologías de la información y la comunicación (TI) con la estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y provee el mejor uso de la tecnología y de sus estructuras organizacionales para alcanzarlas. Gobierno – El método por medio del cual una organización es dirigida, administrada o controlada. Madurez – Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso, al alcanzar las metas y objetivos deseados. Marcador de puntuación balanceado – Un método para medir las actividades de una empresa en términos de su visión y estrategias proporcionando una vista rápida e integral del desempeño del negocio a la gerencia. Marco de Control – Una herramienta para los dueños de los procesos de negocio que facilita la descarga de sus responsabilidades a través de la procuración de un modelo de control de soporte. Modelo de madurez de la capacidad (CMM) - El modelo de madurez de la capacidad para software del SEI, es un modelo utilizado por muchas organizaciones, para identificar las mejores prácticas las cuales son convenientes para ayudarles a evaluar y mejorar la madurez de su proceso de desarrollo de software. Objetivo de control – Un estatuto del resultado o propósito que se desea alcanzar al implantar procedimientos de control en un proceso en particular.
9
Riesgo – El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de ocurrencia. 2.4 Sistema de Hipótesis “La aplicación del modelo de evaluación de gestión de TI utilizando COBIT, en la ESPOCH, permitirá definir estrategias para el óptimo aprovechamiento de los recursos de TI.”
10
2.5 Sistema de variables DIMENSION
VARIABLE Dominio de Planeación y Organización
Dominio de Adquirir e Implantar
Dominio de Entrega y soporte
Dominio de Monitoreo y Evaluación
INDICADOR
Plan estratégico de TI
Repetible pero intuitiva
Arquitectura de la información
Proceso Definido
Dirección tecnológica
Inicial / Ad Hoc
Procesos, la organización y las relaciones de TI Inversión en TI
Repetible pero intuitiva
Aspiraciones y dirección de la Gerencia
Inicial / Ad Hoc
Recursos humanos de TI
Repetible pero intuitiva
Administración de la calidad
No Existente
Evaluación y administración de riesgos de TI
Inicial / Ad Hoc
Administración de proyectos
Inicial / Ad Hoc
Soluciones automatizadas
Repetible pero intuitiva
Software aplicativo
Repetible pero intuitiva
Infraestructura teconlógica
Repetible pero intuitiva
Operación y el uso
Repetible pero intuitiva
Recursos de TI
Repetible pero intuitiva
Administración de cambios
Proceso Definido
Instalación y acreditación de soluciones y cambios Definición y administración de niveles de servicio Administración de servicios de terceros
Repetible pero intuitiva
Administración del desempeño y capacidad
Repetible pero intuitiva
Continuidad del servicio
Repetible pero intuitiva
Seguridad de los sistemas
Proceso Definido
Identificación y asignación de costos
Inicial / Ad Hoc
Educación y entrenamiento de usuarios
Repetible pero intuitiva
Administración de la mesa de servicios e incidentes Administración de la configuración
Repetible pero intuitiva
Administraciónn de problemas
Repetible pero intuitiva
Administración de los datos
Repetible pero intuitiva
Administración del ambiente físico
Repetible pero intuitiva
Administración de las operaciones
Proceso Definido
Monitoreo y evaluación del desempeño de TI
Inicial / Ad Hoc
Monitoreo y evaluación del control interno
Repetible pero intuitiva
Cumplimiento regulatorio
Proceso Definido
Gobernanza de TI
Inicial / Ad Hoc
Repetible pero intuitiva
Repetible pero intuitiva Repetible pero intuitiva
Inicial / Ad Hoc
11
CAPÍTULO III - MARCO METODOLÓGICO 3.1 Nivel – Diseño – Métodos de Investigación
El marco metodológico de la investigación se resume a continuación.
Exploratoria.- Para familiarizarse con la situación actual, se hará una revisión general de los procesos y políticas en uso, adicionalmente se revisaran las estrategias generales del negocio, identificación de los actores claves y análisis de la infraestructura tecnológica instalada y en operación. Descriptiva.- Se describirán los procesos operativos de TI, y se procederá a la evaluación de los principales dominios de COBIT, los procesos de control, se establecerán las métricas asociadas. Relacional - Se identificaran los indicadores KPI y KGI, los mismos que serán obtenidos a partir de un conjunto de entrevistas y evaluaciones, derivadas del marco de referencia COBIT. Paralelamente, se determinaran las métricas de madurez de los procesos. Para el diseño de la investigación, se plantea la revisión de material documental, como el reglamento general de la ESPOCH, material bibliográfico de COBIT y casos de estudio. Se realizará una investigación de campo no experimental, enfocada fundamentalmente a los procesos de TI que se encuentran en operación. En esta investigación, se combina la teoría con el material empírico, en la forma de análisis de caso de estudio, para poder llegar a emitir una conclusión. El enfoque de caso de estudio es una selección natural ya que esta investigación proveerá a la ESPOCH una forma de evaluar la situación actual de Gobernanza de TI. Así el proyecto tiene muchas similitudes con un proyecto de consultoría. Se utilizan tanto datos primarios como secundarios como entradas para el análisis. A partir de estos datos, se pretende obtener tanta información como sea posible directamente de la fuente, pero también se utiliza información de trabajos realizados internamente en la ESPOCH. Los datos secundarios también fueron utilizados al inicio del proyecto con el objeto de conseguir una perspectiva general del problema. 3.5 Población y Muestra 3.5.1 Población El universo seleccionado corresponde a la ESPOCH en las áreas Administradita y Docente. 12
3.5.2 Muestra Se seleccionarán tanto en la unidad Administrativa como Docente e los actores que cumplen con funciones de carácter directivos, a todo nivel en el esquema jerárquico, así también se seleccionan en el área docente a aquellos que tiene relación con las actividades de Tecnologías de Información, especialmente a los encargados de unidades y centros de cómputo. 3.6 Técnicas e Instrumentos de Recolección de la Información En este estudio se utilizará el enfoque cuantitativo y cualitativo de forma combinada para obtener un mejor entendimiento. Esto se realiza en dos pasos; primero el enfoque cuantitativo se utiliza para obtener datos a través de entrevistas personales utilizando formatos de evaluación de COBIT. Luego el enfoque cualitativo se utiliza con entrevistas personales abiertas tratando de analizar los resultados del primer paso. 3.7 Técnicas de Procesamiento y Análisis de la Información Para el procesamiento de información se utilizará el software METHODWARE que ofrece las facilidades para el registro de la información de las fuentes entrevistadas y su procesamiento en el marco de referencia COBIT:
CAPITULO IV - MARCO ADMINISTRATIVO
4.1 Factibilidad de la Investigación La investigación se considera un proyecto factible, ya que se disponen de los recursos materiales, Humanos y financieros para el efecto, adicionalmente en el Ecuador, yase han generado investigaciones tendientes a establecer modelos de gobernanza de las TI. 4.2 Cronograma de Actividades, Diagrama de Gantt
13
4.3 Presupuesto El proyecto se realizará con fuentes propias, a continuación se presenta el resumen del presupuesto. Item
Candida
Unidad
Costo unitario
Total
Material Bibliográfico
1
800
800
Suscripción On Line ISACA
1
200
200
Capacitación en Gobernanza IT
1
Curso
750
750
Servicio de Internet
300
Horas
0.5
150
Equipo de computación
600
Horas
0.25
150
1200
Horas
4
4800
400
400
30
240
Servicios profesionales Investigador Suministros de oficina e Impresión
1
Transporte y viáticos
8
viaje Total
7490
4.4 Bibliografía BIBLIOGRAFÍA [1] Damianides, M. «Sarbanes-Oxley and IT Governance: New guidance and IT control and compliance.» IS Management Vol. 22, nº 1 (2005): p.77-85. 14
[2] Drogou, Edouard. IT Governance at a Financial Institution. Stockolm: KTH Veternskap Och Konst, 2007. [3] Grembergen, Win Van. «Strategies for Information Technolgy Governance.» 406. Idea Group Publishing, 2004. [4] IT Governance Institute. COBIT 4.0: Objetivos de Control, Directrices Gerenciales, Modelos de Madurez. Rolling Meadows, 2005. [5] itSMF – Information Technology Service Management Forum, 2006. [6] Jany, José Nicolas. Investigación Integral de Mercados: Un enfoque operativo. McGraw Hill, 1994. [7] Kaarst-Brown, M.L. «IT Governance and Sarbanez-Oxley: The latest sales pitch or real challenfe for the IT function ?» Proceddings of the 38th Hawaii International Conference on System Sciences. Hawaii, 2005. [8] Kaplan, Robert, y David Norton. «Como Medir el Rendimiento de la Empresa - El Cadro de Mando Integral: Medidas que impulsan el rendimiento.» Harvard Business Review (Harvard Business Review), 1992: 135-159. [9] Labro, E, y T Tuomela. «On bringing more action into management accounting research: process considerations based on two constructive case studies.» 2003. [10] Mirbaha, Michael. IT Governance in Finantial Services and Manufacturing. Stockolm, Sweeden, 2008. [11] Natera, Antonio. La noción de gobernanza como gestión pública participativa yreticular. Vol. 2, editado por Universidad Carlos III de Madrid, 35. Madrid, 2004. [12] National Computer Center. «IT Governance, Developing a successful governance strategy.» 2005. [13] Neale, Palena, Shyam Thapa, y Carolyn Boyce. Preparing a Case Study: A Guide for Designing and Conducting a Case Study for Evaluation Input. Pathfinder International, 2006. [14] Patton, M,Q. Qualitative evaluation methods. Sage publications Inc., 1998. [15] Peterson, R.R. Integration Starategiesand Tactics for Information Technology Governance. idea Group Publishing, 2004. [16] Ridley, G. «Cobit and its Utilization: A framework from the literatura.» 2004.
15
[17] Salavati, Sadaf. iT Governance & Management: An ability to be more efficient and competitive. Reports from MSI, 2007. [18] Sallé, M. «IT Service Management and IT Governance: Review, Comparative Analysis and their Impact on Utility Computing.» HP Labs Technical Report HPL-200498, 2004. [19] Selig, Gad. Implementing IT Governace: A Practival Guide to Global Best Practices in IT Management. Van Haren Publishing, 2008. [20] Soy, Sue. The Case Study as a Research Method - Uses and Users Information. 1997. [21] Trolle Hansen, Viveke. Enterprice Architecture – How to establish ans sustain a successful EA. 2006. [22] Webb, P, C. Pollard, y G Ridley. «Attemping to Define IT Governance: Wisdom or Folly ?» International Conference on System Sciences. Hawaii, 2006. [23] Weill, Peter, y J Ross. IT Governance: How Top Performing Firms Govern IT Decision Rights for Superior Results. Boston: Harvard Business School Press, 2004. [23] Yin, Robert. Case Study Research: Design and Method. Sage Publications, 1994,2003. Otras Fuentes
CobiT and IT Governance Institute (2007), “CobiT 4.1 Brochure”, disponible en línea en : http://www.isaca.org/cobit CobiT and IT Governance Institute (2006), “CobiT Mapping, Overview of International IT Guidance, 2nd Edition”, disponible en línea en: http://www.isaca.org/cobit CobiT and IT Governance Institute (2004), “CobiT student book.”, Disponible en línea en: http://www.isaca.org/cobit CobiT and the IT Governance Institute (2000), “CobiT 3rd Edition Executive Summary”, dsiponible en línea en: http://www.isaca.org/cobit «Basilea_II.» 10 de 01 de 2008. http://es.wikipedia.org/wiki/Basilea_II (último acceso: 15 de 01 de 2010).
16