ACERCAMIENTO – IMPLEMENTACIÓN COBIT 5

Quiero en el día de hoy, especialmente para los hispano-hablantes mostrar algunas de las formas de implementar este marco de trabajo de Gobierno Corporativo de Tecnologías de Información. Y la idea es hacerlo lo más visual posible.

Antes de realizar esquemas visuales, algunos tomados de la página de ISACA y otros creados de manera sencilla por mí, quiero comentar algunas generalidades de la implementación de este marco de trabajo:

El gobierno empresarial de T.I., (sus siglas en inglés, GEIT) es ampliamente reconocida por la dirección superior como parte esencial del gobierno corporativo empresarial en los países del primer mundo. Nuestro desafío en latino américa es convencer a los interesados que este marco de trabajo les ayudara a realizar los beneficios empresariales, optimización del riesgo y los recursos empresariales.

Las tecnologías de Información son cada vez más parte de todos los aspectos de negocios y la vida pública; son como omnipresentes.

Hoy más que nunca y cada vez habrá la necesidad que el área de T.I., entregue mayor valor empresarial; Esto conlleva a que habrá que invertir de forma más inteligente las inversiones en T.I. y gestionar un conjunto cada vez mayor de riesgos relacionados con T.I., que de no actuar oportunamente convertirán en graves riesgos empresariales.

Cada vez aumenta la regulación y legislación sobre uso de la información del negocio interno y externo; Además esto nos lleva a tener una mayor conciencia de la importancia de un entorno de T.I. bien gobernado y administrado.

Recordemos el Ciclo de vida de Implementación de COBIT 5, proporcionado por ISACA:

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Uno de los mayores desafíos para la implementación de COBIT, especialmente en estos países está dado por lo siguiente:

Hay que establecer el GEIT dentro de una empresa. Es decir, tenemos que vender adecuadamente no como una solución temporal sino ponerlo en marcha y alinearlo con el ciclo de vida de toda la empresa.

Indicar a los interesados cuales son los primeros pasos hacia la implementación de GEIT, los retos a superar por la compañía y mostrar cuales podrán ser los primeros factores de éxito.

Mostrar cual será el Cambio organizacional necesario para la compañía y comportamiento empresarial relacionados con GEIT; Establecer cómo se administrará la mejora continua del programa general y como ejecutará la gestión de programas de habilitación.

Utilizar, COBIT 5 y sus componentes, sus recomendaciones. También establecer mecanismos de capacitación y actualización empresarial.


Utilizando COBIT 5 y sus componentes

Los componentes que propone usar COBIT 5, son los siguientes:

Los cinco principios de COBIT.

  1. Conocer las necesidades de los interesados.
  2. Cubrimiento a la empresa de extremo a extremo.
  3. Aplicar un Marco de Trabajo Integrado.
  4. Aplicar enfoque holístico.
  5. Separar Gobierno de Gestión.

Los Objetivos habilitadores de COBIT.

  1. Procesos.
  2. Estructuras Organizacionales.
  3. Ética, Cultura y comportamiento.
  4. Principios, políticas y Marcos de Referencia.
  5. Información.
  6. Servicios, Infraestructura y aplicaciones.
  7. Personas, habilidades y competencias.

La Guía de Implementación: Desarrollaré este alcance en el presente Blog.

Programa de Evaluación de Procesos: Este programa de evaluación de capacidad de procesos y de madurez que ha sido adoptado por ISACA para COBIT 5.


Implementación: Pasos

Más allá de seguir el ciclo de vida de la guía como vemos en la imagen de la implementación de COBIT, quiero establecer los pasos y explicarlos y tratar de visualizarlos de la manera mas sencilla posible, conociendo que una implementación en puede ser muy compleja en ambientes  empresariales.

En ese orden de ideas, los pasos podrían ser:

  1. 1. Hacer claridad a los interesados acerca de la implementación de COBIT.
  2. 2. Seleccionar los procesos que harán parte de la implementación de COBIT.
  3. 3. Determinar cuáles instancias de procesos son esenciales para la implementación.
  4. 4. “Mapear” los procesos empresariales con los procesos del modelo de referencia COBIT 5.
  5. 5. Establecer las brechas actuales de la organización y el mapa de ruta para mejoramiento empresarial.
  6. 6. Construir la capacidad de los procesos:
    1. Procesos con ciclo de vida discreto
    2. Procesos que son sistemas de gestión
    3. Procesos que comprenden colección de tareas “ad-hoc”
  7. 7. Controlar el trabajo realizado en la implementación.
  8. 8. Reportar el Progreso de la implementación de COBIT 5.

Cuando Estamos haciendo claridad a los interesados sobre el alcance de una implementación de COBIT, debemos colocar los elementos ojalá de forma visual, para que todos los actores de negocio entiendan hasta donde llega un programa de este tipo. Lo más recomendable es dividir el programa en múltiples proyectos para para no distorsionar el alcance y sea perfectamente viable la implementación.

Miremos el siguiente diagrama:

Basado y tomado de ITgovernance.com

Basado y tomado de ITgovernance.com

Recordemos que, para generar valor, que es el  centro de cualquier programa de implementación empresarial (SOX, COBIT, COSO, ISO XXXX, etc.), deben estar encaminados a realizar los beneficios económicos y no económicos, optimizar el riesgo y optimizando a los recursos. Los interesados deben llegar y cumplir la visión empresarial y para esto necesitan una serie de motivadores que les permitan llegar a cumplir con la visión propuesta; sin embargo, estas motivaciones surgen de tener metas empresariales específicas y prioritarias, que deben llevar a la empresa a una capacidad deseada y al cumplimiento del gobierno corporativo, en la imagen GRC (sus siglas en inglés Governance, Risk Management, Compliance).

Para cumplir el gobierno corporativo, debemos mejorar los procesos de negocio; para mejorar los procesos de negocio debemos cumplir una ruta para ese mejoramiento de esos procesos de negocio y se hace necesario el plan de acción de parte del área de T.I., es quién con sus herramientas y esquemas de trabajo, hará posible el cumplimiento de la visión de empresa.

El CIO debe garantizar a la empresa, que cuenta con las capacidades suficientes, y mediante un sistema de administración de programas (una PMO por ejemplo), se ejecutará los diversos programas y proyectos que remueven o van en camino a mitigar las brechas o puntos de dolor empresarial (es decir lo que le hace falta efectivamente a la compañía para cumplir la visión empresarial). Y también hay que establecer funciones del control en los programas de proyectos específicos que deben garantizar que se están mitigando las brechas de negocio manteniendo informados a los patrocinadores de los programas de proyectos quienes deben dar cumplimiento a lo estipulado en los requerimientos del Gobierno corporativo (GRC).

La auditoría externa sera la garante que el requerimiento de GRC se cumpla a cabalidad; por otra parte los líderes de negocio deben saber cuáles son las brechas que están impidiendo a la compañía cumplir con los objetivos para patrocinar los programas de proyectos que van encaminados a la mitigación de las brechas de negocio o puntos de dolor encontradas.

¿Y que obtenemos de la implementación?

Marco de trabajo de gobierno personalizado a la compañía.

Mejor Administración del Riesgo Empresarial.

Mejoras en los controles para mitigar los riesgos encontrados y / o cumplimiento de obligaciones empresariales.

Resolución de la brecha empresarial.

Optimización de procesos de acuerdo a las salidas deseadas. Es claro que en la primera interacción del programa de implementación seguramente, no habrá optimización de procesos, pero seguramente si procesos implementados.

Identificación y sensibilización sobre procesos empresariales claves.

Eliminación de brechas en las actividades de procesos

Asociación de los riesgos empresariales encontrados versus los procesos construidos.

Estandarización de Procesos

Sinergia Empresarial

Construir / mejorar las capacidades de los procesos como es deseado. Por ejemplo

  • – Resolución de Incidencias
  • – Velocidad de la aprobación de cambios tecnológicos.
  • – Cumplimiento de obligaciones empresariales especificas
  • – Protección de Datos sensibles de la compañía

¿Qué Procesos podrían hacer parte de una implementación?

Volviendo al segundo punto (Seleccionar los procesos que harán parte de la implementación de COBIT), revisemos todos los procesos que propone COBIT 5:

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Si hay metas empresariales relacionadas con Productividad operacional y de los empleados, porque se han encontrado brechas o puntos de dolor empresarial, entonces los procesos de gobierno a establecer por ejemplo en una primera iteración será el EDM2 y EDM4; Porque esta meta está directamente relacionada con los beneficios para la empresa (en este caso en primera medida internos) y con la optimización de recursos empresariales. Posteriormente el Proceso EDM1, se debe implementar que es el que crea todo el marco de trabajo de gobierno, y es justamente uno de los entregables. Es un primer acercamiento a la implementación de procesos

Ahora los procesos que se deben implementar de gestión, continuemos usando la cascada de metas. Esta meta de negocio está directamente relacionada con las siguientes metas de Tecnología de Información:

  • – Realización de beneficios del portafolio de Inversiones y Servicios relacionados con las TI
  • – Uso adecuado de aplicaciones, información y soluciones tecnológicas
  • – Optimización de activos, recursos y capacidades de las TI
  • – Capacitación y soporte de procesos de negocio integrando aplicaciones y – tecnología en procesos de negocio
  • – Personal del negocio y de las TI competente y motivado

Si observamos bien, la primera meta de TI, tiene que ver más con la parte financiera de una compañía, y como vimos esta meta de negocio pertenece más al deseo de cerrar una brecha interna. La segunda meta “Uso adecuado de aplicaciones, información y soluciones tecnológicas”, está mucho más orientado hacia la una de las razones de la compañía y su existencia y son sus clientes. La ultima meta “Personal del negocio y de las TI competente y motivado” está pensada mas en la capacitación y el desarrollo del personal de la compañía.

Nos quedan dos metas de T.I., que si están relacionadas con el aspecto interno de la compañía que son “Optimización de activos, recursos y capacidades de las TI” y “Capacitación y soporte de procesos de negocio integrando aplicaciones y – tecnología en procesos de negocio”. Miremos que procesos de COBIT nos ayudan a cumplir estas metas. Para Capacitación y soporte de procesos de negocio integrando aplicaciones y – tecnología en procesos de negocio:

  • S: EDM02 Asegurar la Entrega de Beneficios
  • S: APO01 Gestionar el Marco de Gestión de TI
  • S: APO02 Gestionar la Estrategia
  • S: APO03 Gestionar la Arquitectura Empresarial
  • P: APO08 Gestionar las Relaciones
  • P: BAI02 Gestionar la Definición de Requisitos
  • S: BAI03 Gestionar la Identificación y la Construcción de Soluciones
  • S: BAI05 Gestionar la introducción de Cambios Organizativos
  • S: BAI06 Gestionar los Cambios
  • P: BAI07 Gestionar la Aceptación del Cambio y de la Transición
  • S: DSS03 Gestionar los Problemas
  • S: SS04 Gestionar la Continuidad
  • S: DSS05 Gestionar los Servicios de Seguridad
  • S: DSS06 Gestionar los Controles de los Procesos del Negocio

Para Optimización de activos, recursos y capacidades de las T.I. tenemos:

  • S: EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno
  • S: EDM02 Asegurar la Entrega de Beneficios
  • P: EDM04 Asegurar la Optimización de los Recursos
  • P: APO01 Gestionar el Marco de Gestión de TI
  • S: APO02 Gestionar la Estrategia
  • P: APO03 Gestionar la Arquitectura Empresarial
  • P: APO04 Gestionar la Innovación
  • S: APO05 Gestionar el portafolio
  • S: APO06 Gestionar el Presupuesto y los Costes
  • P: APO07 Gestionar los Recursos Humanos
  • S: APO08 Gestionar las Relaciones
  • S: APO09 Gestionar los Acuerdos de Servicio
  • S: APO10 Gestionar los Proveedores
  • S: APO11 Gestionar la Calidad
  • S: BAI01 Gestionar los Programas y Proyectos
  • S: BAI02 Gestionar la Definición de Requisitos
  • S: BAI03 Gestionar la Identificación y la Construcción de Soluciones
  • P: BAI04 Gestionar la Disponibilidad y la Capacidad
  • S: BAI05 Gestionar la introducción de Cambios Organizativos
  • S: BAI06 Gestionar los Cambios
  • S: BAI08 Gestionar el Conocimiento
  • P: BAI09 Gestionar los Activos
  • P: BAI10 Gestionar la Configuración
  • P: DSS01 Gestionar las Operaciones
  • P: DSS03 Gestionar los Problemas
  • S: DSS04 Gestionar la Continuidad
  • S: DSS05 Gestionar los Servicios de Seguridad
  • S: DSS06 Gestionar los Controles de los Procesos del Negocio
  • P: MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

 Observen los procesos resaltados. Estos procesos ya nos dan una idea acerca de qué procesos debemos implementar o construir si es la primera iteración; si ya existe algún indicio de estos, la idea es mejorarlos justamente como parte de los entregables de la implementación.

Conclusión los procesos a implementar son los siguientes para esta meta corporativa donde la compañía tiene problemas:

  • EDM04 Asegurar la Optimización de los Recursos
  • APO01 Gestionar el Marco de Gestión de TI
  • APO03 Gestionar la Arquitectura Empresarial
  • APO04 Gestionar la Innovación
  • APO07 Gestionar los Recursos Humanos
  • APO08 Gestionar las Relaciones
  • BAI02 Gestionar la Definición de Requisitos
  • BAI04 Gestionar la Disponibilidad y la Capacidad
  • BAI09 Gestionar los Activos
  • BAI10 Gestionar la Configuración
  • BAI07 Gestionar la Aceptación del Cambio y de la Transición
  • DSS01 Gestionar las Operaciones
  • DSS03 Gestionar los Problemas
  • MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad
  • EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno
  • EDM02 Asegurar la Entrega de Beneficios

Aquí nos podríamos, preguntar, ¿y los otros procesos? No es que sean menos importantes los otros, sino que son secundarios para efectos de cumplir esta meta en particular del negocio que he usado como ejemplo. Ahora, si existieran otras metas de negocio incluidas en la implementación saldrían también como parte de la lista a implementar.


¿Cuáles instancias de procesos son esenciales para la implementación?

Ahora bien, necesitamos indicar las instancias de proceso. Usando el listado de procesos a implementar, me referiré a las instancias como aquellos entes que serán los responsables de cómo construir los procesos dentro de una organización.

Entonces en este modelo de procesos que se van a implementar, las instancias podrían ser algo como lo vemos en el siguiente esquema a modo de ejemplo:

En este ejemplo, las instancias que realizaran los procesos de:

  • EDM04 Asegurar la Optimización de los Recursos
  • APO01 Gestionar el Marco de Gestión de TI
  • APO03 Gestionar la Arquitectura Empresarial
  • EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EA
  • EDM02 Asegurar la Entrega de Beneficios

Sera la oficina de Arquitectura empresarial, pensando en que esta existe dentro de la compañía y es que la que ayuda a ejecutar la estrategia empresarial; Por su parte la oficina de T.I., será la encargada de construir los procesos de:

  • BAI02 Gestionar la Definición de Requisitos
  • BAI04 Gestionar la Disponibilidad y la Capacidad
  • BAI09 Gestionar los Activos
  • BAI10 Gestionar la Configuración
  • DSS01 Gestionar las Operaciones
  • DSS03 Gestionar los Problemas

Por su parte, el área de recursos humanos, será la encargada de hacerlos procesos de:

  • APO04 Gestionar la Innovación
  • APO07 Gestionar los Recursos Humanos
  • APO08 Gestionar las Relaciones
  • BAI07 Gestionar la Aceptación del Cambio y de la Transición

Finalmente, el área de calidad, si existe, será la instancia encargada de hacer este proceso.

  • MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

Hay que tener en cuenta que la instancia rectora será el consejo directivo, que puede estar conformado por los directores y otros interesados en la implementación.


“Mapear” los procesos empresariales con los procesos del modelo de referencia COBIT

Ya tenemos y sabemos que procesos debemos implementar para esta menta de negocio en particular. También podríamos saber que instancias son las responsables de la construcción de los procesos y todo lo que conlleva.

Entonces aquí lo que debemos verificar si los procesos que se van a construir, ya existen en la organización. De existir, lo relacionamos directamente, apoyándonos en el mapa de procesos de la organización. De no existir, señalamos claramente que es uno de los puntos de dolor o brecha de la organización porque el no tenerlo no nos permite llegar a la meta corporativa.


Ruta de Mejoramiento empresarial

Usando el mismo ejemplo y la misma meta corporativa y después de hacer un mapeo empresarial de lo existente contra los procesos que se proponen implementar, pensemos que los procesos que son brechas organizacionales porque no se tienen son los siguientes:

  • EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno
  • EDM02 Asegurar la Entrega de Beneficios
  • EDM04 Asegurar la Optimización de los Recursos
  • BAI02 Gestionar la Definición de Requisitos
  • BAI04 Gestionar la Disponibilidad y la Capacidad
  • APO04 Gestionar la Innovación
  • APO08 Gestionar las Relaciones
  • BAI07 Gestionar la Aceptación del Cambio y de la Transición

El mapa de ruta podría ser para la implementación algo como esto:

Nos hemos limitado únicamente a los procesos; pero lo que estamos diciendo aquí es que los procesos que deben a comenzar a implementarse son en su orden EDM04, APO04, BAI02, APO08, BAI04, EDM01 y BAI07 y muestra las instancias responsables y los hitos con sus fechas. Estos hitos serán importantes para el control del programa de proyecto mostrar el avance correspondiente a los interesados en la implementación. este fue solo un ejemplo, seguramente puede haber muchas mas posibilidades y estas podrían cambiar en función de prioridades y también de disponibilidad de recursos a nivel del programa de la oficina de proyectos.


Construir la capacidad deseada de los procesos

Aquí tenemos que tener en cuenta tanto lo existente en la empresa y también la capacidad de proceso; es decir si este no existe, hay que implementarlo, formalizarlo y documentarlo. Si ya existe pero se hace de forma intuitiva o “ad-hoc” habrá que formalizarlo, documentarlo y comenzar a extraer ciertas métricas.

Tenemos 3 posibles casos para construir capacidad que son Procesos con ciclo de vida discreto, Procesos que son sistemas de gestión y Procesos que comprenden colección de tareas “ad-hoc”

Por ejemplo en el listado de procesos vamos a suponer que el proceso de innovación es un proceso ad-hoc. Procedamos a formalizar la innovación interna, realizada por el área de talento humano:

Ahora miremos los procesos BAI02 Gestionar la Definición de Requisitos y BAI04 Gestionar la Disponibilidad y la Capacidad. Estos procesos pueden hacer parte perfectamente de un sistema de gestión de servicios empresariales ya existente. Entonces la implementación aquí, podría ser incluir estos procesos dentro este sistema. Esto podría ser crear o adquirir los componentes de la aplicación que ejecuten estos proceso al sistema ya existente.


Control del Programa de Implementación y Reporte de Progreso

Para controlar el programa de implementación aquí es de gran utilidad una oficina de proyectos (PMO) o si no se cuenta con ella un outsourcing de proyectos que también tenga la posibilidad de realizar un gobierno a la implementación propiamente que es hacer los controles correspondientes y verificar los entregables propuestos y realizar las evaluaciones y auditorías  correspondientes para reportar al consejo directivo los avances y las observaciones a la implementación.

Veamos un esquema siguiendo el ejemplo que hemos venido manejando con la meta de negocio Productividad operacional y de los empleados:

Aquí hago resumen donde muestro los procesos a implementar de las instancias determinantes en el programa de implementación, los “paint points” a remover con la creación ó mejora de procesos y como la realización de este programa entregará el beneficio de optimización de recursos empresariales y el consejo directivo podría hacer evaluaciones al programa de implementación para hacer los ajustes que sean requeridos durante la ejecución del mismo.

La encargada de llevar el reporte es la misma PMO y también a través de evaluaciones al programa, durante la ejecución del mismo, pueden surgir recomendaciones a la implementación donde el objetivo del programa es entregar la capacidad deseada para cumplir la meta de negocio y entregar el valor a la compañía.

Si desea saber más contácteme aquí.