martes, 5 de junio de 2012

COBIT 5: “Por fin un verdadero marco de referencia de Gobierno Corporativo TIC”

Es curioso, llevamos años hablando del concepto de Gobierno TIC, actualmente está muy de “moda” el término  GRC (Gobierno, Riesgos y Cumplimiento) y en el sector desde hace años se difunden estándares, conjuntos de buenas prácticas y marcos de referencia (ISO 38500, Cobit 4…) que hacen suyo el concepto. Muchas de las organizaciones que implementaban los procesos de Cobit 4 o de ITIL proclaman que en su organización se Gobiernan las TIC.
En los últimos años me he preguntado constantemente si ese Gobierno TIC que se difundía era el verdadero ideal que permitía alinear los objetivos de las TIC con los del Negocio y así entregar valor, alineación estratégica, gestionar riesgos, gestionar recursos y medir el desempeño…
Me gustaría centrar el foco en especial en Cobit (Objetivos de Control para las Tecnologías de la Información), ya que su eslogan desde los últimos años ha sido el Gobierno TIC. En sus primeras versiones, Cobit se definía como un marco de control para auditores de TI. En la revisión del año 2000, Cobit 3, incluía como producto/documento aparte  las Management Guidelines o  guía de gestión para la dirección, con una orientación más cercana al concepto de Gobierno TI. Posteriormente ISACA desarrolla el marco Cobit 4 y vende el mismo como la “biblia del Gobierno TIC” y estructura el mismo en 4 dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y dar Soporte y Medir y Reportar) que contemplan un conjunto total de 34 procesos. De esta forma implementando este conjunto de procesos teóricamente la organización estaba Gobernando las TIC. Más tarde ISACA lanza otros productos complementarios como VAL IT y RISK IT abarcando dos “patas” en mi opinión claves en el Gobierno TIC y que la versión 4.1 de Cobit no incluía, la Gestión de Inversiones TIC (Val IT) y la Gestión de Riesgos TIC (Risk IT).  Aunque ISACA difundió estos marcos como producto de la familia Cobit, entre los profesionales comenzó a hablarse de un Cobit 4 incompleto que dejaba de lado dos parámetros clave como son la inversión y los riesgos. Surgieron las dudas entre aquellos que habían creído  que Cobit 4 era la “panacea” de la Gobernanza TIC.

Así mismo en 2008 sale al mercado el estándar internacional ISO 38500 y las dudas aumentan al no verse clara la relación entre los procesos de Cobit 4 y el ciclo de Gobernanza expuesto por el estándar: “Evaluar, Dirigir y Monitorizar
Por fin ISACA reacciona, se da cuenta de su eslogan fallido en la versión 4, desarrollando y publicando hace mes y medio Cobit 5, entre una gran expectación entre los profesionales TIC. 

Esta nueva versión tiene un carácter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute). Así en esta versión, se dividen los procesos de Gestión de los de Gobierno (se incluye una nueva capa de procesos específicamente de Gobierno) en claro alineamiento con la norma, ISO 38500.

Por fin, después de años de dudas, tengo claro que ahora ya existe un marco de Gobierno TIC y que se desarrolla en Cobit 5. Gracias ISACA pero nos has tenido muy despistados unos cuantos años.

2 comentarios:

Rafael Flores dijo...

Considero que COBIT tiene gran importancia al impacto sobre los recursos de tecnología informática y el aseguramiento de su calidad, así como a los requerimientos de negocios, eficiencia, confidencialidad, integridad, disponibilidad y cumplimiento.

Además, proporciona informaciones para los requerimientos de negocio que son derivados de objetivos de control en lo referente a calidad con tecnología de información.

La orientación a negocios es el tema principal de COBIT, está diseñado para ser utilizado como una lista de verificación detallada para los propietarios de los procesos de negocio y ayudar a la mejora continua de las operaciones.

Liz Brito dijo...

La orientación a negocios es el tema principal de COBIT. Proporciona la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida. Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información de negocio: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.