COBIT y el gobierno corporativo de las TIC

Entendemos por gobierno (o gobernanza) corporativo de las TIC el conjunto de mecanismos para la toma de decisiones empresariales estratégicas con relación al uso y la gestión de las TIC en un determinado contexto organizativo. Se refiere, por tanto, a 1) qué tipo de decisiones estratégicas requieren del gobierno corporativo, 2) quién las debe tomar, 3) cómo se deben tomar y 4) cómo se mide y se hace un seguimiento de su ejecución.

Se puede considerar que el gobierno es lo que hace la alta dirección o los órganos superiores de gobierno de las empresas. Tienen que ver (o deberían) con las decisiones de cuánto, en qué y cómo gastamos en informática y cuáles son las políticas generales de gestión de la oferta y la demanda de servicios de TI. 

El mensaje importante es que las decisiones críticas sobre la informática no corresponden al departamento de informática, sino a la alta dirección de la empresa (el consejo de administración u otros órganos) y que se debe encontrar un equilibrio adecuado entre los diferentes interesados y sus objetivos. Lo hemos explicado por aquí alguna vez. Los reguladores, los analistas y los académicos abogamos por que exista un gobierno corporativo de las TIC.

En la práctica, sin embargo, muchas empresas de todos los tamaños (especialmente las PYMES, pero también el sector público) no tienen mecanismos formales de decisión sobre la informática residenciados en la alta dirección y muchas de estas decisiones se toman en el marco de la gestión (la dirección de informática, la dirección financiera, el director general o el comité de dirección) y en la discusión política entre los directivos y mandos.

Aunque el origen del gobierno de las TIC tiene casi cincuenta años, ha sido a partir de los 2000 y debido principalmente a la presión regulatoria cuando ha alcanzado mayor relevancia, tanto en Estados Unidos como en Europa y seguidamente en Latinoamérica y Asia. La transformación digital, que hace que todas las organizaciones sean en mayor o menor medida organizaciones tecnológicas, ha hecho aún más importante su aplicación.

Durante ese periodo se han desarrollado marcos de referencia para la gestión funcional u operativa de las TIC, o sea, lo que hacen en general los departamentos de informática. Los más conocidos son ITIL (para la gestión de servicios de TI), PMBOK o Prince2 (para la gestión de proyectos), CMMI (para la gestión de la producción de software), TOGAF (para la arquitectura de empresa), así como varias normas ISO, para la gestión de procesos o la seguridad. COBIT, sobre lo que hablamos aquí algunas veces, se propone como un marco de referencia integrador y no normativo y resulta fácil de mapear con estos modelos y normas. 

COBIT aparece en 1996 pero es un producto que no deja de evolucionar desde entonces. La versión actual es del 2019 (COBIT 2019, que no es lo mismo que COVID 2019, ya es casualidad). La mejor manera de conocer COBIT es a través del estudio de los materiales de ISACA, de la formación con profesionales calificados y del despliegue de un modelo de gobierno propio en cada contexto organizativo, inspirado o asistido por los principios y mejores prácticas que proporciona COBIT. Aunque COBIT no es certificable, ISACA proporciona varias certificaciones que requieren el conocimiento de COBIT. 

Ahora hemos preparado unos materiales para los estudiantes de las asignaturas de dirección y planificación estratégica de los sistemas de información de algunos de nuestros programas de Máster Universitario (los de Ingeniería Informática, Telecomunicación y Ciberseguridad) y en el Posgrado en Dirección y Gestión de Proyectos. Estos materiales son fundamentalmente una guía introductoria del marco COBIT. 

Presentamos el núcleo del marco de referencia y siempre la documentación disponible en el momento de la redacción del material:

• La cascada de metas, que permite relacionar los objetivos empresariales con los objetivos de TI y los temas que deben ser gobernados.
• Los procesos de gobierno y los procesos de gestión de cualquier empresa y su agrupación en dominios.
• La librería de estructuras organizativas, o sea, los órganos individuales o colegiados a los que se asigna responsabilidad sobre los procesos.
• Los modelos de madurez, capacidad y gestión del desempeño, o sea, cómo podemos medir la mayor o menor bondad del gobierno de TI.
• Una guía abreviada para la implantación.

Hay que decir que la UOC tiene, con asesoramiento académico, un gobierno corporativo de las TIC de cierto prestigio internacional. O sea, que lo enseñamos y lo practicamos.