COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa (I)

En 2012, ISACA [1] publicó COBIT 5, el vástago más joven de una generación de documentos normativos, que inició 15 años antes. Desde 2012, ISACA ha publicado un gran número de productos muy diversos derivados de la familia COBIT 5 (aparte de sus traducciones a diversos idiomas) [2].

COBIT 5 supuso una importante revolución en la familia, en al menos dos aspectos:

-explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TI; y

–abjura de su tradicional modelo de madurez de procesos ‘CMM’, basado, con adaptaciones, en el CMM del SEI de CMU, para abrazar el de capacidad de procesos de ISO/IEC 15504, SPICE.

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500, de la que hace una ‘transposición’, una adopción con variaciones.

COBIT 5 no es imperativo ni procedimental: recomienda, no prescribe; señala resultados deseables y ofrece métodos y métricas pero no impone procedimientos detallados. No es radical sino tolerante e incluso ‘promiscuo’: recomienda otras normas o marcos (como ISO 20000, ISO 27000 o ITIL), con los que propone una eficaz convivencia. De manera que una empresa u organización procede a ad@ptar™ (“cortar y pegar” de COBIT 5 y otros marcos y normas —a lo que COBIT 5 invita) [3] —, para así establecer su sistema propio de gobierno corporativo de las TI.

COBIT 5 no es un marco ‘implantable’  ni certificable (como, por ejemplo lo es la norma ISO 9001). COBIT 5 no se implanta: lo que se implanta —según ISACA— es un ”gobierno corporativo de las TI, usando COBIT 5”.   

Por ello, y porque —como consecuencia de la no certificabilidad [4]— no hay un registro de empresas certificadas, COBIT 5 no tiene la visibilidad de otras iniciativas de menos fuste (como ITIL). Sin embargo, cuenta con un amplio apoyo de los reguladores y lo usan empresas y organismos en todos los sectores y continentes.

El marco COBIT 5, se ha desarrollado a partir de unas necesidades de los interesados (stakeholders needs), abstraídas, como resultado de amplias encuestas mundiales que gestiona la escuela de negocios de la Universidad de Amberes.

Propone 7 categorías o ‘clases’ de elementos constituyentes o habilitadores (drivers) [llamados “catalizadores” en la versión española] altamente interrelacionados, para construir el sistema específico de gobierno y gestión: 

–procesos;

–cultura, ética, comportamientos;

-estructuras organizativas;

–información;

-principios y políticas;

–habilidades y competencias; y

-capacidades de servicio.

COBIT 5 se basa en cinco principios:

–Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, como he dicho, aunque propone un modelo de referencia de procesos (ver más abajo).

-Se rige por la persecución del valor para los interesados (stakeholders).

-Está orientado al negocio (en sentido genérico, ya que engloba administraciones públicas, ONGs, etc.)

–Se basa en los 7 habilitadores enunciados más arriba.

-Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados, pero interrelacionados.

COBIT 5 consta de 37 procesos de alto nivel —el modelo de referencia de procesos (ver Figura [5]). De ellos, 5 son de Gobierno Corporativo; los demás de Gestión.

Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al permitir su adopción fraccionada y flexible— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en otro documento COBIT 5 – Procesos Catalizadores (este de pago, para no miembros de ISACA) que contiene unas ‘fichas’ normalizadas, que describen —con gran riqueza de información— subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI [6].

En la próxima entrada, lo analizaremos con más detalle.

Notas y Referencias

-ISACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector». Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia. 

-El documento básico, el “Marco” —Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa— es muy recomendable y gratuito para cualquier interesado, aunque exige registro, con una opción de opt-out (darse de baja) en cualquier momento.

-El palabro “ad@ptar” lo acuñamos a estos efectos y publicamos Ricardo Bría y yo en: Palao, M. y Bría, R. (2008). “Implantación de Buen Gobierno de los SI y las TIC, ad@ptando COBIT, ITIL y VAL IT. Una caricatura respetuosa”. Novática, ISSN 0211-2124, Nº. 191, 2008. pp. 39-41.

-Si bien los organismos o sus procesos no son COBIT-certificables, ISACA administra diversas certificaciones relacionadas con COBIT: unas de conocimientos-habilidades profesionales; otras de capacidad de los procesos implantados.

-Fuente de la Figura: ISACA. (2012). COBIT 5 – Procesos Catalizadores. Rolling Meadows, IL 60008 EE.UU. p 33.

-La tabla RACI (Responsable-Alto_Responsable-Consultado-Informado) es una matriz unidades_empresariales – actividades_responsabilidades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio, esto es, órganos de gobierno.

 
Manolo Palao Garcia-Suelto es colaborador docente de las asignaturas de Planificación y Dirección Estratégica de Sistemas de Información de la Universitat Oberta de Catalunya y miembro de ISACA y del ITTrends Institute.