El 10 de abril de 2012 la Information Systems Audit and Control Asociation (ISACA) publicó Cobit 5, que integra Val IT, Risk IT, BMIS (Business Model for Information Security) e ITA (IT Assurance Framework), también desarrollados y publicados por ISACA, además de considerar para sus procesos otros estándares internacionales, mejores prácticas y marcos de referencia como COSO, ISO-9000, ISO-31000, ISO-38500, ITIL, TOGAF y la familia ISO-27000, entre otros. En este artículo explicaré en qué consisten las principales diferencias y su nuevo modelo de procesos.

Esta nueva versión de Cobit fue desarrollada para ayudar a organizaciones de todos los tamaños y de cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando de satisfacer las necesidades de los interesados internos y externos mediante la creación de valor para la empresa a través de TI (tecnologías de información), con un enfoque de gestión holística de extremo a extremo, cumpliendo de mejor manera con leyes, regulaciones, políticas, y basándose en buenas prácticas internacionales.

Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de información, a diferencia de su antecesor, enfocado principalmente al gobierno de TI. A continuación listo las áreas que presentan los cambios principales, para posteriormente explicar en qué consiste cada uno:

  1. Cinco principios.
  2. Dominio “Evaluar, dirigir y monitorear”.
  3. Modelo de referencia de procesos.
  4. Modelo de madurez de procesos.

.

1. Los cinco principios

Cobit 5 está basado en cinco principios:

  • Satisfacer las necesidades de los interesados.
  • Cubrir la empresa de extremo a extremo.
  • Aplicar un solo marco integrado.
  • Habilitar un enfoque holístico.
  • Separar gobierno de administración.

.

Principio 1 (abarcar las necesidades de los interesados): los indicadores clave de metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen las necesidades de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada “cascada de metas”, que comienza con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las actividades de las metas.

Este esquema de cascada de metas, basado en mapeos y tablas provistas por Cobit 5, proporciona una guía orientadora para establecer un vínculo coherente y consistente que permita traducir las necesidades de todos los interesados del negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI y  a objetivos facilitadores.

.

Principio 2 (cubrir la empresa de extremo a extremo): considera todas las funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el gobierno de TI, pues ahora considera  la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro.

¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en consideración los requerimientos para la estrategia, táctica y operación; integrando de esta forma el gobierno empresarial de TI en el gobierno corporativo.

.

Principio 3 (aplicar un solo marco integrado): para cumplir con este principio, Cobit incorpora los estándares y marcos más relevantes de la industria:

  • COSO (Committee of Sponsoring Organizations of the Treadway Commission), que ha sido reconocido como un marco apropiado y exhaustivo para el control interno.
  • ISO/IEC 9000, estándar para el control de calidad en procesos empresariales.
  • ISO/IEC 31000, estándar de administración de riesgos, principios y directrices, la cual tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar los riesgos empresariales con efectividad.
  • ISO-38500, estándar para el gobierno corporativo de TI.
  • ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI.
  • The Open Group Architecture Framework (TOGAF), que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información.
  • La familia ISO-27000, enfocada en el tema de seguridad informática con el establecimiento de un sistema de gestión de seguridad de la información (SGSI) y los controles asociados.

La idea de contar con todo lo anterior es que las empresas utilicen Cobit como un marco integrador de gobierno y administración de TI.

.

Principio 4 (habilitar un enfoque holístico): en esta nueva versión se introducen los habilitadores, que son factores mínimos a cumplir para que el gobierno y la administración empresarial de TI funcionen de manera correcta al ayudar a optimizar la información, la inversión en tecnología y su uso para el beneficio de todos los interesados. Se habla de un enfoque holístico porque los habilitadores introducidos caen en siete categorías diferentes:

ricardo-ramirez-fig-1

Fuente: COBIT® 5, figura 12. © 2012 ISACA®  Todos los derechos reservados

  1. Principios, políticas y marcos. Son las pautas a seguir para traducir el comportamiento deseado en una guía práctica para la gestión del día a día.
  2. Procesos. Describen de forma estructurada y organizada un conjunto de actividades para lograr ciertos objetivos y producir un conjunto de salidas en la búsqueda de las metas de TI.
  3. Estructuras organizacionales. Son las entidades clave de toma de decisiones en una organización.
  4. Cultura, ética y comportamiento. Tanto de los individuos como de la organización (cuestión a menudo subestimada como factor de éxito en las actividades de gobierno y gestión, principalmente en lo correspondiente a trabajo en equipo, transferencia de conocimiento, valores, etcétera).
  5. La información. Se refiere a toda la información producida y utilizada por la empresa. Es necesaria para mantener funcionando la organización y, en el plano operativo, la información es el producto clave de la propia empresa, por lo que habrá que implantar controles para su seguridad.
  6. Servicios, infraestructura y aplicaciones. Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa servicios y procesamiento de la información.
  7. Personas, habilidades y competencias. Son necesarios para completar con éxito todas las actividades. En este sentido, Cobit incluye una matriz RACI para todos sus procesos, considerando de manera genérica una base de perfiles de puestos bastante completa.

.

Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta directiva, mientras que la administración es responsabilidad de la alta administración, bajo el liderazgo del CEO. Por eso se agregó un dominio particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la administración.

.

2. Dominio “Evaluar, dirigir y monitorear”

El pentagrama de gobierno de TI, que era un pilar en Cobit 4.1, se transformó en el nuevo dominio “Evaluar, dirigir y monitorear”, que contiene cinco áreas de enfoque del gobierno de TI:

  1. Alineación estratégica se convirtió en el proceso número uno de este nuevo dominio: “definir y mantener el marco de gobierno”, mediante políticas y prácticas de evaluación y dirección de procesos.
  2. Entrega de valor quedó como el proceso dos “Garantizar la entrega de beneficios”.
  3. Administración de recursos evolucionó en el proceso cuatro (“Garantizar la optimización de los recursos”).
  4. Administración de riesgos es ahora el proceso tres correspondiente a “Asegurar la optimización de los niveles de riesgos”.
  5. Medición del desempeño, finalmente, corresponde ahora al proceso cinco “Asegurar la transparencia para los interesados”.

.

3. Modelo de referencia de procesos

El nuevo modelo de referencia se basa en cinco dominios, con uno enfocado, como ya lo he mencionado antes, exclusivamente a la gobernabilidad. Los otros cuatro se enfocan a la administración y prácticamente son los mismos de Cobit 4; sin embargo, cambia el número y contenido de sus procesos por lo que también cambia el número de los objetivos de control de alto nivel, los cuales de ser treinta y cuatro ahora se convierten en treinta y siete. Y como dicen que una imagen dice más que mil palabras, a continuación muestro el nuevo modelo:

ricardo-ramirez-fig-2

Fuente: COBIT® 5, figura 16. © 2012 ISACA®  Todos los derechos reservados

Los cinco dominios del modelo de referencia de procesos son los siguientes:

  • Evaluar, dirigir y monitorear.
  • Alinear, planear y organizar.
  • Construir, adquirir e implementar.
  • Entregar, servicio y soporte.
  • Monitorear, evaluar y valorar.

Por cuestiones de espacio, dejaré para otra ocasión la explicación de los cambios en cada uno de los cuatro dominios que ya formaban parte de Cobit 4.

.

4. Modelo de madurez de procesos

Otra novedad muy importante es que ahora el modelo de madurez de los procesos se basa en el estándar ISO-15504, proporcionando un nivel de evaluación más acorde a los procesos de TI y aumentando el nivel de exigencia respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que el estándar mencionado plantea que se deben cumplir los nueve atributos definidos para cada proceso como requisito para acreditar dicho grado de madurez.

Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones ejecutadas bajo el modelo de COBIT 4, dado que se distorsionarían los resultados por ser distintas las exigencias. En general, aplicando el nuevo modelo de Cobit 5 que es más exigente, deberían esperarse resultados con un menor nivel de madurez.

Los niveles de madurez definidos en Cobit 5 son:

0. Proceso incompleto

1. Proceso desarrollado.

2. Proceso administrado.

2.1 Administración del desempeño.

2.2 Administración del producto del trabajo.

3. Proceso establecido

3.1 Definición del proceso.

3.2 Desarrollo del proceso.

4. Proceso predecible.

4.1 Administración del proceso.

4.2 Control del proceso.

5. Proceso optimizado.

5.1 Proceso de innovación.

5.2 Optimización del proceso.

.

Conclusión

Según indica ISACA, Cobit 5 es la mayor evolución estratégica de Cobit y representa el único marco de trabajo globalmente aceptado para el gobierno de TI que brinda a los interesados la guía más completa y actualizada para una mejor administración.

Sin embargo, desde mi punto de vista, el proceso de migración hacia Cobit 5 tiene cierta complejidad para aquellas organizaciones que han implementado oportunamente Cobit 4, debido principalmente a que los niveles de madurez en esta nueva versión no corresponden a los anteriores. Por otra parte, aquellas instituciones que pretendan implantar Cobit 5 “desde cero” estarán planteando un proyecto complejo que deberán planear minuciosamente para tener éxito.

Ya sea para migrar o implantar Cobit 5 es recomendable establecer un proyecto basado en fases, estableciendo los objetivos empresariales y utilizando los apéndices B, C y D, para mapearlos a los objetivos y procesos de TI. Las fases deben responder a las preguntas ¿Dónde estamos ahora?, ¿dónde queremos estar?, ¿qué necesitamos hacer?, ¿cómo logramos estar donde queremos?, y ¿cómo sabemos que ya lo logramos?, siendo fundamental establecer el nivel de cumplimiento de métricas y un proceso de mejora continua.

.

[email protected]