COBIT 5. Comentarios

Hace unos días ISACA publicaba los dos primeros documentos de COBIT5, el marco (framework) y la guía de referencia de los procesos (Process Reference Guide) para realizar comentarios (plazo: hasta el 31 de julio). Hemos realizado un primer análisis de los documentos liberados y, aunque detallaremos nuestros comentarios a continuación, nos ha parecido que, en general, tiene un enfoque muy […]

Hace unos días ISACA publicaba los dos primeros documentos de COBIT5, el marco (framework) y la guía de referencia de los procesos (Process Reference Guide) para realizar comentarios (plazo: hasta el 31 de julio). Hemos realizado un primer análisis de los documentos liberados y, aunque detallaremos nuestros comentarios a continuación, nos ha parecido que, en general, tiene un enfoque muy acertado del proceso de gobierno o, al menos, como nosotros lo concebimos.

  • En primer lugar, la “cascada de objetivos” es una herramienta fundamental. Con independencia de que nosotros prefiramos la Teoría de las Limitaciones – TOC: Theory of Constraints (y en especial, el Árbol de Objetivos Intermedios para estos casos) al Cuadro de Mando Integral, trazar, relacionar las actividades cotidianas y los proyectos que se abordan a los objetivos de la organización es la base para la construcción de cualquier esquema de buen gobierno. En este sentido, también pensamos que el objetivo final puede ser prácticamente común a todas las organizaciones, aunque con TOC, la redacción cambia, esto es un tema casi formal.
  • En relación a este tema, decir que la distinción que se hace en las relaciones entre objetivos entre primaria y secundaria no nos gusta mucho. Quizás por nuestro sesgo hacia TOC, que se apoya más en las lógicas de suficiencia y necesariedad, esta distinción creemos que complica el modelo puesto que, al final, si algo es necesario, lo es, sin necesidad de más calificativos.
  • Respecto al carácter integrador de COBIT5, decir que vemos claro y, de hecho la propia Guía de referencia así lo revela, la integración de ValIT y RiskIT con COBIT4.1, pero vemos mucho más complicado la integración de otros como, por ejemplo, BMIS – Business Model for Information Security. Tendremos que esperar a uno de los documentos que componen COBIT5 relativo a la seguridad: COBIT5 for Security, para desvelar el encaje, puesto que la seguridad de la información es más que la seguridad informática.
  • En cuanto a los procesos que componen ahora COBIT5, nos encontramos con 36 procesos y 208 prácticas que incluyen tanto los de gobierno como los de gestión, que están claramente diferenciados y donde, se han eliminado algunos procesos de COBIT4.1 (en concreto, tres) y se han fusionado los procesos de los 3 marcos mencionados anteriormente.
  • En resumen, el proceso que nos propone COBIT5 (y en el que tienen encaje todos los estándares que queramos puesto que este es el enfoque de la nueva versión, actuar como una especie de supra-marco en el que tenga cabida cualquier otro estándar que queramos utilizar para aspectos concretos) comienza por la estrategia, del que se derivan los objetivos de negocio y, a continuación, los objetivos de TI. Finalmente, para alcanzar estos objetivos, se nos proponen 7 habilitadores (enablers) cada uno con sus grupos de interés, objetivos y métricas, ciclo de vida, buenas prácticas y unos atributos específicos, además de un Modelo de Madurez (que ya fue publicado hace algunos meses como anticipo). Desde nuestro punto de vista, además de lo comentado sobre la utilización del Cuadro de Mando Integral, quizás echemos en falta una estrategia específica también para el área de TI o de seguridad que marque claramente la misión y visión de la función en el contexto de la organización.
  • Una de las novedades que incluye la nueva versión es el Plan de Implantación (que también dará lugar a un documento específico, Framework Implementation Guide) lo que nos parece un claro guiño a ITIL v3, puesto que además se deja claro que se deja abierto a que cada empresa utilice lo que considere más adecuado a su realidad.
  • Para finalizar, resaltar dos aportaciones que nos han parecido muy relevantes: Por un lado, la clara distinción entre lo que es gobierno y lo que es gestión y, por otro, el esfuerzo realizado en que existan métricas para todos los objetivos mencionados anteriormente, lo que facilita comprobar que se cumplen dichos objetivos.

En cualquier caso, todavía no son documentos definitivos, por lo que habrá que esperar a su publicación definitiva y a su utilización real en la práctica para poder emitir un juicio definitivo sobre el tan esperado, COBIT5.

Síguenos en twitter.com/enplusone