La nueva versión de COBIT está en camino

Gobierno de TI – una evolución constante

COBIT es el modelo de referencia adoptado a nivel mundial en cuanto a prácticas de gobierno de tecnologías de información (TI). La versión vigente es la 4.1 y fue publicada en el año 2007. Desde entonces, las prácticas y procesos de gobierno de TI han evolucionado en forma constante hasta merecer la atención de la ISO, quien en 2008 publicó la norma internacional ISO/IEC 38500 que es certificable al nivel de una organización.
En este contexto, ISACA está trabajando en el desarrollo de la versión 5 de COBIT. Al recorrer el borrador preliminar de esta versión se puede apreciar el grado de madurez, la mejor relación con otros estándares y prácticas y su amplia cobertura.

Modelos que se complementan en un único marco
ISACA ha desarrollado un conjunto de modelos de referencia con focos específicos y objetivos complementarios, como se puede observar en la tabla siguiente;

Sigla Nombre del modelo Foco Objetivo
COBIT Control Objectives for Information and Related Technologies Objetivos de control y gobierno de TI Proveer un modelo de procesos con objetivos para asegurar la alineación de TI al negocio
Val-IT Governance of IT Investments Modelo de procesos para el gobierno de las inversiones de TI Complementar la visión de COBIT desde el punto de la gestión financiera de las inversiones y costos de TI
Risk IT Governance of IT Risks Modelo de procesos para el gobierno de los riesgos de TI Asegurar que la gestión de riesgos de TI se integre con la gestión del riesgo corporativo
BMIS Business Model for Information Security Modelo conceptual para la gestión de la seguridad de la información empresarial Asegurar que la visión de la seguridad de información está alineada y contribuye con los objetivos del negocio
ITAF IT Assurance Framework Mejores prácticas y lineamientos para auditoría y aseguramiento de TI Estandarizar la práctica profesional de la auditoría y aseguramiento de TI

Con COBIT 5 se persigue desarrollar un modelo único e integrado de principios, modelos de gobierno, gestión y aseguramiento de TI para sustentar las necesidades de los distintos stakeholders internos y externos de una organización. Para lograrlo COBIT 5 estará organizado en 5 vistas principales, cada una de las cuales incluye los siguientes componentes:

Vista Foco Componentes principales
Objetivos ¿Por qué los actores hacen lo que hacen? Riesgos
Valor
Recursos
Recursos ¿Cómo los actores logran los resultados esperados? Procesos
Información
Aplicaciones
Personal
Funciones ¿Qué criterios aplican los actores? Seguridad
Privacidad
Conformidad
Organizacional ¿Cómo se relacionan los actores en la organización? TI
Proyectos
Gestión de Servicios
Responsabilidad ¿Quiénes son responsables, ejecutores y aseguran la ejecución? Gobierno
Gestión
Aseguramiento

 

Dado que no todos los componentes han sido desarrollados aún, en esta instancia es posible describir los lineamientos de algunos de los aspectos nuevos o rediseñados.
Desde la perspectiva del Gobierno de TI (perspectiva de Responsabilidad) se ha perseguido una alineación más explícita con los conceptos centrales de la norma ISO 38500: Evaluar, Dirigir y Monitorear. Estas tres dimensiones son centrales en las prácticas de gobierno de Riesgos, Valor y Recursos (perspectiva de Objetivos).
En cuanto a los Procesos de COBIT 5 (perspectiva de Recursos) se han revisado los 4 dominios de COBIT 4.1 (esto es, Planificar y Organizar, Adquirir e Implementar, Entregar y Soportar, Monitorear y Evaluar) para que cada uno sea un continuo de objetivos que van desde la responsabilidad específica de TI hacia una responsabilidad más compartida entre TI y el Negocio. A modo de ejemplo, el primer dominio ahora se llama Alinear, Planificar y Organizar y cuenta con siete objetivos de control de alto nivel (en lugar de los 10 objetivos que componen la versión 4.1), a saber:

1. Gerenciar la organización de TI (responsabilidad principalmente de TI)
2. Definir la arquitectura empresarial
3. Gerenciar las inversiones y finanzas
4. Definir la estrategia de TI
5. Evaluar los riesgos
6. Gerenciar la calidad
7. Gerenciar la cartera de inversiones y de servicios (responsabilidad principalmente del Negocio)

En este ejemplo se puede observar la intención del diseño de COBIT 5 de dar un sesgo de mayor gradualidad a la transición entre TI y el Negocio que muchas veces resulta difícil de materializar en la práctica. Este mismo concepto ha sido aplicado al resto de los dominios.
A su vez, COBIT 5 también intenta ser más explícita en su alineación con otros estándares y mejores prácticas de la industria como ITIL 3 (gestión de servicios de TI), la serie ISO 27000 (seguridad de información), TOGAF 9 (arquitectura), ISO 9000:2008 (calidad de organizaciones de servicio), BS 25999 (continuidad del negocio), BS 25777 (continuidad de servicios de TI), OCEG GRC (gobierno corporativo), PMBOK (gestión de proyectos) y CMMI (ciclo de vida del desarrollo de software y sistemas), entre otros.

¿Cuáles son los beneficios de COBIT 5 para mi organización?
Los estándares y mejores prácticas son útiles para la organización solamente si se implementan y adaptan a ella en forma efectiva. En este sentido, COBIT 5 continúa el proceso iniciado por ISACA con sus modelos y versiones anteriores en cuanto a su alineación y respuesta a los requerimientos de los stakeholders dentro y fuera de la organización:

  • Internos: CEO, CFO, CIO, Directorio, responsables de riesgo y seguridad, responsables de servicio, recursos humanos y auditores, usuarios, dueños de procesos de negocio, gerentes de negocio y de TI, etc.
  • Externos: aliados, accionistas, reguladores, usuarios externos, clientes, certificadores, auditores externos, etc.

De esta manera, como la construcción del modelo de COBIT 5 se realiza tomando como punto de partida las preocupaciones y requerimientos de estos interesados, así se logra trazabilidad y sustento entre cada elemento del modelo y los requerimientos iniciales. Por lo tanto COBIT 5 nace pensando en el destinatario final, asegurando de esta manera un traje a la medida del usuario.

 

En Estratega, podemos ayudarlo a:…

» Revisar la estructura de TI (posiciones, roles, responsabilidades     y entregables) en base a COBIT
» Diseñar el Tablero de Control de TI
» Definir el Ecosistema de Procesos de Valor de TI
» Revisar el diseño de los KPIs del Tablero de Control de TI

Acerca del autor de este artículo

Sergio Sperat es socio de e-STRATEGA y tiene una trayectoria de más de 20 años como consultor en estrategia de áreas de TI y negocios, desarrollada en una amplia variedad de industrias en Argentina, Chile, México y Estados Unidos. Es Licenciado en Análisis de Sistemas de la Universidad de Buenos Aires (Argentina, 1988), hizo su Programa de Dirección de Empresas en el IAE Business School en 1995, completó su Maestría en Administración de Empresas en IDEA (Argentina, 2000) y London Business School (Reino Unido, 2001). Ha sido profesor adjunto de Dirección Estratégica del postgrado del Master en Administración de Empresas de IDEA.
Sergio está certificado en CobiT y CGEIT y se desempeña como responsable de Aseguramiento de Calidad y Dirección de Proyectos de e-STRATEGA.