COBIT

A la luz de la transformación digital, la información y la tecnología (I&T) se han vuelto cruciales en el soporte, sostenibilidad y crecimiento de las empresas. Anteriormente, juntas directivas y altos directivos podrían delegar, ignorar o evitar decisiones relacionadas con I&T. En la mayoría de los sectores e industrias, tales actitudes ahora están desaconsejadas.

La creación de valor para las partes interesadas (es decir, obtener beneficios a un costo óptimo de recursos mientras se optimiza el riesgo) a menudo es impulsado por un alto grado de digitalización en nuevos modelos de negocio, procesos eficientes, innovación exitosa, etc.

Las empresas digitalizadas dependen cada vez más de I&T para su supervivencia y crecimiento.

La gobernanza de la información y la tecnología ha surgido en las últimas tres décadas. Se considera una parte esencial dentro del gobierno corporativo. Se ejerce por la junta que supervisa la definición e implementación de procesos, estructuras y mecanismos relacionales en la organización para posibilitar que el personal de negocios y de TI ejerzan sus funciones apoyándose en los objetivos de la empresa y la creación de valor comercial.

Así surge COBIT. Desde su fundación en la comunidad de auditoría de TI, COBIT se ha convertido en un marco de gobernanza y gestión amplio y completo.

Aquí te explico en qué consiste y para qué sirve COBIT.

¿Qué es COBIT?

COBIT es un marco para la gestión de la tecnología y la información y para el gobierno de la empresa, aplicable a cualquier tipo de empresa. Se entiende como I&T toda la tecnología y el tratamiento de información que aplica la empresa para conseguir sus objetivos, con independencia del departamento de la empresa donde se aplique. En otras palabras, la I&T empresarial no se limita al departamento de TI de una organización, aunque sí lo incluye.

Dentro de COBIT se diferencia claramente entre gobernanza y gestión. Estas dos disciplinas necesitan distintas estructuras organizativas, se usan para diferentes fines y comprenden distintas actividades.

La gobernanza garantiza:

  • La evaluación de las condiciones, necesidades y opciones de las partes interesadas con la finalidad de establecer objetivos empresariales proporcionados y pactados.
  • El establecimiento de la dirección a través de la toma de decisiones y la priorización.
  • El control del cumplimiento y la productividad de acuerdo a los objetivos previstos.

En la mayoría de las empresas, el gobierno general es responsabilidad de la junta directiva, bajo el liderazgo del presidente. Se pueden delegar responsabilidades específicas de gobernanza en estructuras organizativas especiales, particularmente en empresas más grandes y complejas.

A través de la gestión se planifica, construye, ejecuta y supervisa las actividades de administración de la información y la tecnología para lograr los objetivos de la empresa.

COBIT explica los elementos necesarios para crear y mantener un sistema de gobierno: estructuras organizacionales, habilidades e infraestructura, procesos, políticas y procedimientos, cultura y comportamientos y circulación de información.

También define los factores de diseño que la empresa debe considerar para construir un sistema de gobierno más ajustado a sus objetivos.

Historia

COBIT (Objetivos de control para la información y tecnologías relacionadas) apareció por primera vez en 1996 como un conjunto de elementos que tenían la finalidad de ayudar a los auditores financieros a conocer mejor el entorno tecnológico a través de un control de estas tecnologías.

En 1998 se aprueba una nueva versión donde se amplía a otros ámbitos distintos de la auditoría. La tercera versión fue lanzada en el año 2000 y en ella se incluyen nuevos métodos de gobernanza y gestión de la información y las tecnologías.

En 2005 aparece COBIT 4 y en 2007 COBIT 4.1. Ambos contienen una mayor información sobre la gestión de las tecnologías de información y comunicaciones.

En 2012 ISACA aprueba COBIT 5, actualizado en 2013. Aquí también se añade más información para el gobierno de la tecnología e información por las empresas.

Finalmente, en noviembre de 2018 surge COBIT 2019. Este nuevo marco es mucho más completo y coherente. Establece nuevos planteamientos que pretenden adaptar el sistema de gobierno a las distintas necesidades de la empresa.

Las áreas de enfoque establecidas son prácticamente ilimitadas ya que pueden unir elementos de gobierno comunes con otros diferentes. Dentro de esas áreas de enfoque están:

  • Seguridad
  • Organización de pymes
  • Reguladores
  • Desarrollo y gestión de software

Características de COBIT 2019

Las nuevas tecnologías y la informática están creciendo a pasos agigantados. Y con ello aparecen nuevos sistemas y tipos de prestación de servicios que no se planteaban en COBIT 5.

En la actualidad, la información es la base principal de todo proceso de digitalización por lo que su gestión debe estar al más alto nivel dentro de la empresa. Por eso este nuevo marco se llama «Gobierno de la Información y Tecnología de las empresas».

No es lo mismo TI que I&T. TI se denomina normalmente al departamento que se dedica a la tecnología dentro de la empresa. Y I&T es toda la información recogida, tratada y usada por la empresa para conseguir sus objetivos y la tecnología con la que cuenta para ello.

Con COBIT 2019 se remarca la trascendencia de las tecnologías necesarias y de la información para las empresas.

Principios

COBIT 2019 establece seis principios que todo sistema de gobierno debe tener en cuenta a la hora de gestionar la tecnología y la información. Por otro lado, también establece tres principios para un marco de gobierno que puede usarse para crear un sistema de gobierno.

Respecto al sistema de gobierno, los principios son los siguientes:

  • Es necesario un sistema de gobierno en la empresa con el que se añada más valor usando las tecnologías de la información y se cumplan las necesidades de los interesados.
  • El sistema de gobierno está compuesto por diferentes elementos que trabajen unidos de forma completa.
  • Se exige un sistema de gobierno dinámico. Es decir, si se modifica alguno de los factores de diseño debe considerarse el efecto de esa modificación en todo el sistema.
  • El sistema de gobierno tiene que diferenciar de forma clara las actuaciones y estructuras de gestión y el gobierno.
  • Es necesario que el sistema de gobierno se adecue a las necesidades de la empresa y priorice y adapte sus elemento tomando como medida determinados factores de diseño.
  • Un sistema de gobierno no debe centrarse solo en el ámbito de TI sino que debe abarcar a toda la empresa. Debe cubrir todo el tratamiento de información y la tecnología utilizada.

Los principios referidos al marco de gobierno son:

  • Automatización y coherencia: el marco de gobierno debe fundamentarse en un modelo conceptual que reconozca los elementos clave y las relaciones entre ellos.
  • Flexibilidad y carácter abierto: con el marco de gobierno debe poder añadirse nuevo contenido y afrontar nuevos problemas de la forma más flexible posible.
  • Adaptación a las regulaciones y estándares más destacados.

Objetivos de gobierno y gestión

Para que la información y la tecnología contribuyan a los objetivos de la empresa, su gobierno y gestión deben alcanzar los objetivos.

Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:

  • Un objetivo de gobierno o gestión siempre se relaciona con un proceso (con un nombre idéntico o similar) y una serie de componentes relacionados de otros tipos para ayudar a lograr el objetivo.
  • Un objetivo de gobierno se relaciona con un proceso de gobierno, mientras que un objetivo de gestión se relaciona con un proceso de gestión.

Los objetivos de gobierno y gestión en COBIT se agrupan en cinco dominios. Los dominios tienen nombres con
verbos que expresan el propósito clave y las áreas de actividad del objetivo contenido en ellos:

  • Los objetivos de gobierno se agrupan en el dominio Evaluar, dirigir y supervisar (EDM). En este dominio, la dirección evalúa las opciones estratégicas, comunica a la alta gerencia las opciones estratégicas elegidas y supervisa el logro de la estrategia.
  • Los objetivos de gestión se agrupan en cuatro dominios:
    • Alinear, Planificar y Organizar (APO): aborda la organización general, la estrategia y las actividades de apoyo para I&T.
    • Construir, adquirir e implementar: trata la definición, adquisición e implementación de soluciones I&T y su integración en procesos de negocio.
    • Entrega, Servicio y Soporte: aborda la entrega operativa y el soporte de los servicios de I&T, incluyendo la seguridad.
    • Monitorear y evaluar: aborda el monitoreo del desempeño y la conformidad de I&T con los objetivos de rendimiento, de control interno y requisitos externos.

Componentes del sistema de gobierno

Para satisfacer los objetivos de gobierno y gestión, cada empresa necesita establecer, adaptar y mantener un sistema de gobierno a partir de una serie de componentes.

Los componentes son factores que, individual y colectivamente, contribuyen a las buenas operaciones de la empresa. Estos interactúan entre sí, lo que da como resultado un sistema de gobierno holístico para I&T.

Los componentes pueden ser de diferentes tipos. Los más familiares son los procesos. Estos establecen una serie de actividades y prácticas para conseguir determinados objetivos generales relacionados con TI.

Pero, dentro de los componentes de un sistema de gobierno se engloban también:

  • Estructuras organizativas: son los órganos esenciales para la toma de decisiones en una empresa.
  • Políticas y procedimientos: traducen el comportamiento deseado en orientación práctica para el día a día de la administración.
  • Artículos de información: se refiere a toda la información creada y tratada por la empresa. COBIT se enfoca en la información requerida para el funcionamiento efectivo del sistema de gobierno de la empresa.
  • Cultura y comportamiento: estos también son factores importantes para el éxito de las actividades de gobierno y gestión.
  • Destrezas y competencias: Se requieren personas, habilidades y competencias para tomar buenas decisiones, ejecutar acciones correctivas y tener éxito para finalizar todas las actividades.
  • Servicios, infraestructura y aplicaciones: incluye todos aquellos de los que dispone la empresa para el tratamiento de I&T.

Los componentes de todos los tipos pueden ser genéricos o pueden ser variantes de componentes genéricos.

Factores de diseño

Los factores de diseño son aquellas circunstancias que pueden influir en el diseño del sistema de gobierno de una empresa y conseguir su éxito en el uso de I&T. Los factores de diseño incluyen cualquier combinación de lo siguiente:

  • Estrategia empresarial: las empresas pueden tener diferentes estrategias, como el crecimiento, la innovación, el servicio al cliente o la reducción de costes.
  • Objetivos de la empresa: para apoyar la estrategia empresarial se establecen una serie de objetivos a conseguir, como productos y servicios competitivos, cumplimiento financiero de las leyes, servicio orientado al cliente, continuidad y disponibilidad del servicio, etc.
  • Perfil de riesgo de la empresa y situación actual de riesgos en I&T: debe determinarse el riesgo al que está expuesta la empresa y las áreas que presentan mayores riesgos.
  • Problemas sobre I&T: la empresa debe realizar una evaluación de riesgos en materia de I&T.
  • Perspectivas de amenazas: la empresa puede situarse en un ámbito de amenazas normal o alto.
  • Requisitos de cumplimiento: estos pueden ser bajos, medios o altos.
  • Función de TI: se clasifica como entrega, estrategia, soporte o fábrica.
  • Modelo de compras para TI: puede catalogarse como Cloud, Outsourcing, Insourcing o míxto.
  • Sistemas de aplicación de TI: estos se dividen en Agile, DevOps, tradicional o híbrido.
  • Estrategia de adaptación tecnológica: esto puede hacerse de manera rápida o lenta.
  • Tamaño de la empresa: se distingue entre pyme y gran empresa.

Implementación de COBIT en la empresa

Hay siete fases para implementar COBIT en la empresa:

  1. ¿Cuáles son los controladores?
  2. ¿Dónde estamos ahora?
  3. ¿Dónde queremos estar?
  4. ¿Qué hay que hacer?
  5. ¿Cómo llegamos allí?
  6. ¿Podemos llegar?
  7. ¿Cómo mantenemos el impulso?

Vamos a analizar cada una de ellas.

1. ¿Cuáles son los controladores?

En esta primera fase se identifican los impulsores de cambio actuales y se crea a niveles de gestión ejecutiva un deseo de cambio que luego se expresa en un resumen de un caso de negocios.

Un controlador de cambio es interno o externo evento, condición o problema clave que sirve como estímulo para el cambio. Eventos, tendencias (industria, mercado o técnica), las deficiencias de rendimiento, las implementaciones de software e incluso los objetivos de la empresa pueden actuar como impulsores del cambio.

El riesgo asociado con la implementación del programa en sí se describe en el caso de negocio y se gestiona a lo largo del ciclo de vida. Preparar, mantener y monitorear un caso de negocios es fundamental para justificar, apoyar y asegurar resultados exitosos para cualquier iniciativa, incluida la mejora del sistema de gobierno.

2. ¿Dónde estamos ahora?

En esta fase se alinean los objetivos relacionados con I&T con las estrategias y el riesgo de la empresa, y prioriza los objetivos más importantes para la empresa. Para ayudar a esta selección se utilizan los factores de diseño.

Con base en la empresa seleccionada y los objetivos relacionados con TI y otros factores de diseño, la empresa debe identificar objetivos de gobierno y gestión y procesos subyacentes que tienen la capacidad suficiente para garantizar resultados exitosos La gerencia necesita conocer su capacidad actual y dónde pueden existir deficiencias. Esto puede lograrse mediante una evaluación del estado actual de los procesos seleccionados.

3. ¿Dónde queremos estar?

Esta tercera fase establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones.

Algunas soluciones serán rápidas y otras tareas tendrán que realizarse a largo plazo. Se debe dar prioridad a los proyectos que son más fáciles de lograr y es probable que proporcionen el mayor beneficio.

4. ¿Qué hay que hacer?

Aquí se describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos respaldados por negocios justificables y un plan de cambio para la implementación. Un caso de negocio bien desarrollado puede ayudar a garantizar que en el proyecto los beneficios se identifican y se monitorizan continuamente.

5. ¿Cómo llegamos allí?

La quinta fase prevé la implementación de las soluciones propuestas a través de las prácticas diarias y el establecimiento de medidas y sistemas de monitorización para asegurar que se logre la alineación comercial y que se pueda medir el rendimiento.

El éxito requiere compromiso, conciencia y comunicación, comprensión y compromiso de la alta dirección y de los propietarios de negocios y procesos de TI afectados.

6. ¿Podemos llegar?

Esta fase se centra en la aplicación sostenible de las prácticas mejoradas de gobierno y gestión a la normalidad de las operaciones de negocios. Además, se enfoca en monitorizar el logro de las mejoras utilizando el rendimiento métricas y beneficios esperados.

7. ¿Cómo mantenemos el impulso?

Esta última fase revisa el éxito general de la iniciativa, identifica más requisitos de gobierno o gestión y refuerza la necesidad de mejora continua. También prioriza nuevas oportunidades para mejorar el gobierno del sistema.

La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada uno de las siete fases para garantizar que el rendimiento del programa esté en buen camino, se actualicen el caso de negocio y el riesgo y se planifique la siguiente fase según corresponda.