En el artículo anterior mencioné los cambios más representativos de la nueva versión de Cobit y ahora me concentraré en el modelo de referencia de procesos que propone para el gobierno empresarial de TI, el cual puede consultarse en un producto de la familia de documentos de Cobit titulado “Enabling Processes”, que forma parte de las guías habilitadoras.
Como parte del esfuerzo de posicionar a Cobit como el marco de referencia preferido, en su diseño se toman conceptos de:
- COSO.
- ISO 9001.
- ISO 20000.
- ISO 27001.
- ISO 27002.
- ISO 31000.
- ISO 38500.
- King III.
- Los principios de gobierno corporativo de la OECD.
- The Open Group Architecture Forum TOGAF 9.
- ITIL v3 2011.
- Skills Framework for the Information Age SFIA.
- PMBOK.
- PRINCE2.
- La guía NIST SP800-53 Rev. 1.
Lo que conocíamos como objetivos de control de alto nivel ahora se llaman “procesos” y los objetivos de control detallados ahora son identificados como “prácticas”, ya sea de gobierno o de administración, dependiendo del dominio que, como mencioné antes, son cinco para esta nueva versión: el primero corresponde a gobierno y los siguientes cuatro a administración.
Es importante resaltar que ahora para cada “práctica” se detallan las entradas y salidas, que son los productos de trabajo que toman de otras prácticas, y los entregables que produce o genera dicha práctica, que van hacia otras prácticas de otros procesos respectivamente. En la versión anterior de COBIT solo se definían las entradas y salidas por proceso, lo cual ahora proporciona un desarrollo más detallado de las actividades que se tienen que realizar y sus correspondientes productos a generar.
En esta versión de Cobit los consultores y auditores de sistemas vamos a utilizar mucho el modelo de referencia de procesos pues en él se encuentran explicados con detalle los 37 procesos, con un apartado que describe lo siguiente para cada proceso: identificación, descripción, declaración de propósito, cascada de metas, metas y métricas, matriz RACI, actividades, prácticas, guía relacionada, entradas y salidas.
- Identificación del proceso: que se forma a partir del prefijo del dominio (EDM = evaluate direct and monitor; APO = align, plan and organize; BAI = build, acquire and implement; DSS = deliver, service and support o MEA = monitor, evaluate and assess, y el número de proceso. Así pues, por ejemplo, el segundo proceso del dominio EDM se identifica como “EDM02 – ensure benefits delivery”. También se incluye una breve descripción del proceso, indicando el tema principal del proceso y el área del proceso, ya sea gobierno o administración.
- Descripción del proceso: visión general de qué es lo que hace el proceso y cómo logra su propósito.
- Declaración de propósito del proceso: contiene la descripción del objetivo principal a alcanzar por el proceso.
- Cascada de metas: indica cuáles de las 17 metas relacionadas con la tecnología de información dan soporte o apoyo a este proceso. Cabe señalar que en la versión anterior el número de metas de TI eran 28, por lo cual podemos deducir que se seleccionaron las más representativas. También se listan las métricas que se pueden utilizar para medir el logro de los objetivos relacionados con la tecnología de la información, recordando que solo son sugerencias y no debemos tomarlo como algo obligatorio.
- Metas y métricas del proceso: en esta sección se presenta un conjunto de objetivos de proceso, que dicho sea de paso se seleccionan de los 17 objetivos con que cuenta esta versión de Cobit. Adicionalmente se lista un número reducido de métricas para cada objetivo de gobierno. No debemos confundir las metas del proceso y las metas de las tecnologías de información, ya que debido a que son el mismo número, puede hacernos dudar.
- Matriz RACI: una de las herramientas que más nos ayudan para definir responsabilidades en la estructura organizacional de las empresas es lo que corresponde a la matriz RACI, que en esta versión cuenta con 26 diferentes roles o estructuras (la versión anterior de COBIT solo proponía 11). Para cada práctica de gobierno o administración, se define quiénes pueden ser los responsables de ejecutar las prácticas, quién es el responsable final o auditable, a quién se le debe consultar y, por último, a quién se debe informar. Debemos recordar que es solo una guía y que depende de la estructura organizacional de la empresa a la que le estemos realizando el análisis, qué puestos corresponden a qué perfiles o estructuras.
- Prácticas del proceso, entradas y salidas: una vez que las prácticas del proceso se han listado en la matriz RACI, en esta sección Cobit proporciona el nombre y la descripción de cada práctica con sus respectivas entradas y salidas, indicando el origen y el destino de los productos de trabajo de las prácticas involucradas en el proceso en particular.
- Actividades: ya casi al final se describen las actividades correspondientes que deben realizarse para efectuar dicho proceso.
- Guía relacionada: al final de cada proceso se encuentra la guía de documentos que utilizaron para definir cada una de las diferentes secciones de especificación del proceso, como objetivo, propósito, roles, métricas, entradas, salidas y actividades.
Otro de los cambios importantes respecto a las versiones anteriores de Cobit está en el modelo de nivel de madurez de cada proceso, el cual, como mencionamos en el artículo anterior, ahora toma como referencia a ISO/IEC 15504 en lugar del CMM. Para poder identificar el nivel de madurez de cada práctica de gobierno o de administración, se debe utilizar otro documento de ISACA llamado “process assessment model (PAM) using COBIT 4.1”, que, a pesar de estar orientado a COBIT 4.1, como es genérico se puede ocupar para COBIT 5.
En resumen, la nueva versión de Cobit busca ser el referente principal para procesos de tecnologías de información, ayudando a diseñar procesos, definir responsabilidades, establecer prácticas y actividades, así como a definir los entregables. Todo con el propósito de contar con una correcta administración de servicios de tecnología de información, proporcionando con esto una calidad mejorada en la entrega de servicios de TI vía procesos.
Tengo una inquietud, ¿las entradas y salidas especificadas en CobIT 5, son documentos entregables?