La firme apuesta que, desde el Capítulo de Madrid de ISACA, se viene haciendo en favor de la metadisciplina del Gobierno Corporativo de TI alcanza, ahora, un nuevo hito: el lanzamiento de la tercera convocatoria de su curso “Fundamentos del Buen Gobierno Corporativo de TI, basado en CobiT” (CobiT Foundation Course). Anunciada hace varias semanas, con motivo de la publicación del calendario de formación de la Asociación para el ejercicio 2010, esta nueva edición será celebrada los próximos días 11 y 12 de mayo.

Bajo la coordinación de D. Miguel García Menéndez, el curso se ofrecerá, nuevamente, en formato de dos sesiones de ocho horas y en su impartición se contará, asimismo, con la presencia del veterano experto D. Manuel (Manolo) Palao, maestro de no pocos CISAs que durante más de quince años acudieron a las sucesivas convocatorias académicas del Capítulo. La Asociación madrileña vuelve a confiar, de este modo, en el potencial de su base social de miembros, poniendo en valor el hecho de ser la comunidad ISACA que cuenta, en términos absolutos, con un mayor número de Instructores de CobiT Acreditados (Accredited CobiT Trainer, ACT) desde el año 2007: un total de siete, sobre un universo de cuarenta y cinco a nivel internacional.

En otro orden de cosas, y a tenor de los movimientos que se han dado en los últimos meses en torno al desarrollo de los modelos de referencia de ISACA  -publicación de Risk IT: Basado en CobiT, publicación de las “guías de auditoría” de Val IT: Basado en CobiT e inminente publicación de su nuevo “estudio de viabilidad” (“Business Case“), publicación del “Borrador sobre el diseño del futuro CobiT 5“, entre otros-  el próximo curso del Capítulo madrileño se presenta como una magnífica oportunidad para el intercambio de información y discusión sobre la futura evolución de tales modelos.

Como viene siendo habitual, ISACA, Capítulo de Madrid, pone a disposición de todos los interesados la dirección electrónica formacion@isacamadrid.es donde se podrá obtener mayor información sobre los diferentes aspectos del curso (contenido, lugar/horario de impartición, precios, …).

 

Comentarios recibidos tras las ediciones anteriores

  • Como comenté durante el curso y tras su finalización, realmente creo que se ha conseguido crear un curso fundamental y necesario, desde mi punto de vista, en relación con la formación que ofrece ISACA Madrid (ya querría yo haber tenido la oportunidad de disfrutar de este curso antes de empezar a estudiar el temario de CISA y, sobre todo, antes de meterme con el dominio de Gobierno de TI). Felicito y doy las gracias, pues hasta el planteamiento del curso me ha parecido perfecto“.
  • He aprobado el examen de ‘COBIT Foundation’. Hoy me lo han confirmado por correo electrónico desde el CobiTcampus. Me resultó un poco difícil, sobre todo porque me había estudiado principalmente la traducción de CobiT 4.1; pero, al final, obtuve un 75% de aciertos. Lo que es innegable, es que sin el curso hubiera sido imposible aprobar el examen“.

 

Artículos relacionados

Lo cierto es que no se ha hecho esperar. A finales de enero, Gobernanza de TI‘ les recomendaba un poquito de paciencia ante el, más que previsible, advenimiento de noticias sobre el futuro CobiT 5.

¡Esas noticias ya están aquí!

El pasado día 22 veía la luz el documento “CobiT 5 Design Paper. Exposure Draft“, un borrador, sometido a revisión pública hasta el próximo 12 de abril de 2010, en el que se presentan las líneas generales del que será futuro modelo de ISACA para el Gobierno Corporativo de TI.

En sus poco más de diez páginas, el informe justifica la necesidad de abordar en este momento la mencionada actualización; repasa los antecedentes internacionales más recientes y relevantes en el ámbito de referencia; muestra la orientación futura del nuevo modelo; y, ofrece un esbozo de los que habrán de ser sus principales componentes.

Un ¿nuevo? alcance: la rendición de cuentas sobre el (buen o mal) gobierno de las TI trasciende al CIO [como ya se sabía]

Desde las primeras líneas del texto, ahora publicado, se deja clara una idea: no ha de hablarse de un ‘gobierno de TI, desde TI‘, sino de un ‘gobierno de TI, desde la Empresa‘ (cabría decir “desde el negocio” o, mejor dicho, “desde la alta dirección de ese negocio u organización“). Este “nuevo” enfoque que, en el ámbito de ISACA, viene promoviéndose en los últimos meses a través de la adopción de la expresión “Enterprise Governance of IT” (Gobernanza Empresarial de TI) tuvo su puesta de largo con el acertado artículo “Moving from IT Governance to Enterprise Governance of IT“, firmado por los profesores de la Escuela de Negocios de la Universidad de Amberes (UAMS), Prof. Dr. D. Steven De Haes y Prof. Dr. D. Wim van Grembergen (1), en el número de mayo-junio de 2009 de la revista ISACA Journal.

Esta “aclaración” no constituye sino un reconocimiento del error  -acaso, interesado-  que durante más de diez años (1996-2006) se cometió al considerar CobiT como un modelo para el Gobierno Corporativo de TI, cuando, en sentido estricto, no lo era; o, al menos, no de forma plena. [En este punto, también, se confundirán aquellos que, aliviados, piensen: "¡Siempre lo he dicho, CobiT es un marco de Gestión de TI, como otros que ofrece el mercado!"]. Ni una cosa, ni la otra. CobiT [4.1] no es un modelo, completo, para el Gobierno de TI; pero tampoco es un modelo para la Gestión de TI. CobiT [4.1] es, en realidad, un modelo para el alineamiento TI-Negocio (esa es su principal aportación, frente a otros marcos existentes  -recuérdese su, probablemente poco conocida, jerarquía “objetivos de negocio>objetivos de TI>procesos de TI”-);  que incorpora, si se quiere decir así, un marco de referencia para la Gestión de TI (su, esta vez sí,  famosa, jerarquía “dominios>procesos>actividades”) (2).

El lanzamiento, en 2006, del modelo Val IT: Basado en CobiT, supuso, por vez primera, un cambio en la orientación original. A diferencia de lo que venía ocurriendo con CobiT, Val IT involucraba a nuevos actores dentro del plantel corporativo. Un rápido vistazo a las matrices RACI que acompañaban a ambos modelos permitía observar cómo, en el primer caso, CobiT centraba su discurso en torno al CIO (Director de Informática), mientras que Val IT ampliaba el campo de visión, incorporando nuevas figuras del organigrama empresarial, ubicadas “por encima”, y/o a los lados, de la Función Informática. Este hecho habría de repetirse, en 2009, con la aparición de Risk IT: Basado en CobiT.

Foco en el lado de la demanda: el “uso de las TI

Un segundo rasgo que delata la evolución del modelo CobiT, en la versión que se está cocinando, es la referencia explícita que, reiteradamente, se hace al “uso de las TI“. La fuente de esta nueva orientación  -CobiT había sido hasta ahora un modelo muy centrado en el lado de la oferta de TI-  ha de buscarse, sin duda, en la norma internacional “ISO/IEC 38500:2008, Corporate governance of IT“, de la cual también se toman los conceptos de evaluar, dirigir y supervisar ese mismo uso de las TI.

Sin embargo, la norma ISO no es la única referencia surgida tras la aparición de la, aún vigente, versión 4.1 del modelo CobiT, que se menciona en el borrador publicado: el “Código King de Gobierno Corporativo para las empresas sudafricanas, 2009” (King III) es, asimismo, citado explícitamente.

Cabe, por último, apuntar que ese enfoque más holístico, que trasciende el perímetro del área de TI y que pone el acento, con toda nitidez en el “uso de las TI”, tiene, también, su antecedente en la iniciativa de ISACA “Llevando el Gobierno más Allá” (del inglés, “Taking Governance Forward“, TGF), que verá la luz en breve, y mediante la cual se ha tratado de revisar el concepto de Gobierno Corporativo (Gobierno de la Empresa), como supraconjunto del Gobierno Corporativo de TI, considerando las necesidades de los diferentes grupos con intereses en una organización. Con el ánimo de descubrir y, al mismo tiempo, cubrir, tales necesidades, tanto TGF, como el nuevo CobiT 5 tratarán de dar respuesta a interrogantes como: ¿Por qué surgen tales necesidades (qué metas persigue cada grupo de interés)? ¿Cómo alcanzarlas (qué mecanismos se habrán de habilitar para ello)? ¿Dónde, dentro de la estructura de la organización, actuarán los implicados? ¿Qué habrá de hacer cada uno de ellos? ¿Quiénes serán (qué perfiles tendrán)?

¿El fin de los modelos Val IT y Risk IT?

El documento-borrador corrobora la anunciada perspectiva global del nuevo CobiT, lo que lo convertirá en un metamodelo construido sobre la cimentación disponible actualmente: CobiT 4.1, Val IT 2.0 y Risk IT (sin olvidar otras referencias como BMIS e ITAF). Dicho de otro modo, no ha sido hasta contar con esos tres marcos  -orientados individualmente a aspectos particulares de la gobernanza de TI: alineamiento, valor y riesgo-,  cuando ISACA ha podido abordar el desafío de ofrecer un verdadero marco de referencia COMPLETO para el Gobierno Corporativo de TI.

La integración bajo un mismo paraguas, de nombre ‘CobiT 5′, de lo que ahora se demuestra que no eran sino “retales” (vistas parciales) de un enfoque holístico hacia la gobernanza de TI, plantea ciertas dudas sobre la continuidad y la validez de los esfuerzos dedicados a la promoción de las marcas “Val IT” y “Risk IT”.

Gobernanza de TI‘ ha tenido ocasión de plantearle esta cuestión al mexicano D. José Ángel Peña Ibarra, Vicepresidente Internacional de ISACA, en el transcurso de su última visita a España, hace tan sólo unos días. La conversación, mantenida de manera informal, durante la jornada-seminario sobre “Buen Gobierno Corporativo” que organizó, el pasado día 17 de marzo, la Cátedra ‘Oesía’ de Buen Gobierno TIC de la Universidad de Deusto, permitió concluir que, en ningún caso, los diferentes marcos existentes van a quedar integrados en una única referencia documental; esto es, ISACA seguirá ofreciendo una colección de documentos independientes (y, al mismo tiempo, firmemente interrelacionados) para los distintos dominios del gobierno de TI. Sin embargo, el tema del mantenimiento, o no, de las marcas es un aspecto que, al parecer, “aún se está debatiendo“.

La publicación, unos días después de producirse dicha conversación, del borrador sobre el futuro diseño de CobiT 5, ha permitido arrojar un poco más de luz sobre este asunto: según el diseño previsto, la aparición de unas u otras publicaciones de la familia CobiT 5 dependerá de la nueva arquitectura del modelo, cuyo componente central será la Base de Conocimiento de CobiT. Este elemento, unido al enfoque ‘multi-grupo de interés’ definido a partir de la iniciativa TGF, permitirá publicar documentos específicos para los diferentes enfoques y audiencias:

  • publicaciones por objetivos de la Gobernanza de TI (alineamiento, valor, riesgo, …);
  • publicaciones por mecanismos para la puesta en marcha de la citada Gobernanza de TI (procesos de TI, recursos de TI, …);
  • publicaciones por Criterios de Información (seguridad, calidad, …), los cuales han sufrido una evolución hacia un completo y complejo Modelo de Referencia de la Información, aún en desarrollo;
  • publicaciones por entidades organizativas (áreas de TI, oficinas de proyectos, áreas de Gestión de los Servicios de TI, …);
  • publicaciones por perfil de responsabilidad (órganos de gobierno, equipos de dirección/gestión, profesionales de la auditoría, …); y,
  • publicaciones con guías prácticas detalladas.

Esto, sin duda, corrobora las palabras del Sr. Peña. Sin embargo, la aparición, entre las futuras publicaciones, de nombres como “CobiT 5 for Value” o “CobiT 5 for Risk” ponen en seria duda la continuidad de los conocidos productos “based on CobiT” (basados en CobiT), Val IT y Risk IT;  al menos, tal y como hoy se conocen. Máxime si se recuerdan las palabras pronunciadas, hace un año, por la entonces Presidenta Internacional de ISACA, Lynn Lawton, cuando anunciaba, como parte de la Estrategia 2009-2011, el respaldo a la marca CobiT, de cara a las futuras versiones y sus derivados, por resultar un activo verdaderamente conocido, y reconocido, por el mercado; mucho más que otros productos de la Asociación.

Finalmente, un tono de color [verde] para dar un aire fresco al modelo

La iniciativa de ISACA de modernizar su marco CobiT será, asimismo, aprovechada, según anuncian desde la propia Asociación, para coger el tren de la sostenibilidad, de la mano de la llamada “Informática Verde”, que de alguna manera quedará incorporada al futuro modelo.

De ese mismo modo, también otras disciplinas como la Arquitectura de Empresa  -con una imperiosa necesidad de popularizarse, al menos, en el panorama corporativo español-,  el desarrollo de los RRHH y la gestión del cambio organizativo, o cambio cultural, serán nuevas áreas donde CobiT 5 pondrá el acento de manera especial.

 

Dentro de un año se podrá degustar la primera hogaza completa: un documento general de presentación y descripción detallada del nuevo marco de referencia de CobiT, edición 5; que incluirá unas primeras indicaciones para su adopción.

¡Más paciencia!

 

Artículos relacionados

 

(1) Van Grembergen y De Haes han firmado, también en 2009, la obra “Enterprise Governance of Information Technology: Achieving Strategic Alignment and Value“, publicada por Springer.

(2) Lamentablemente, haber dedicado [CobiT 4.1] sólo dos páginas a lo primero y doscientas a lo segundo no ha contribuido, en exceso, a aclarar este punto.

Sin embargo, el nuevo Modelo de Procesos Revisado que incorporará CobiT 5 identifica, directamente, como procesos de Gestión a aquellos incluidos en los, hasta ahora, conocidos como dominios PO, AI, DS y ME  -previsiblemente, cambiarán de nombre-.

Adicionalmente, CobiT 5 incorporará tres nuevos procesos de Gobierno  -Evaluar, Dirigir y Supervisar-,  en línea con lo que recoge la normativa internacional en este ámbito.

Dicha pseudo-integración de la norma ISO 38500 dentro del propio modelo constituirá, sin duda, un perfecto catalizador de  -y un respaldo a-  la adopción conjunta de la norma y de CobiT; iniciativa que algunas conocidas e importantes organizaciones ya están abordando.

El pasado martes, día 26, veía la luz el número catorce  -primero de 2010-  de la publicación CobiT Focus. Nacida hace casi cuatro años  -junio de 2006-,  ISACA venía definiéndola, hasta ahora, como “La revista dedicada a la comunidad de usuarios de CobiT“. Sin embargo, siguiendo la estela de cambios que está protagonizando la Asociación en las últimas semanas, con el presente número han podido verse varias novedades. Una de ellas, de forma, y que resulta absolutamente evidente, tiene que ver con el nuevo formato en que se van a entregar las notificaciones de la publicación de cada nuevo número. Se ha huído del tradicional mensaje de texto en claro y se ha pasado, como está ocurriendo con la nueva “@ISACA“, a mensajes enriquecidos a todo color, con enlaces a los principales contenidos del texto, etc.

La otra novedad, de fondo  -y, sin duda, la más relevante-,  hace referencia, precisamente, al nuevo lema que acompaña al título de la publicación. En la portada puede leerse ahora la siguiente cabecera: “CobiT Focus. Usando CobiT, Val IT, Risk IT, BMIS e ITAF“. Se hace patente, de este modo, la estrategia diseñada por la firma McKinsey & Co. para la Asociación: la unificación, a medio plazo, bajo una misma marca  -CobiT 5, en este caso-  de todos sus actuales marcos de referencia para el Gobierno Corporativo, la Seguridad y la Auditoría de los sistemas y tecnologías de la información y las comunicaciones.

Es de esperar, por tanto, que la estructura del nuevo CobiT 5 contemple e integre:

  • la actual propuesta de alineamiento Negocio-TI, del modelo CobiT 4.1;
  • las directrices para la contribución de TI a la generación de valor para el Negocio, del modelo Val IT 2.0;
  • el enfoque para la mitigación del riesgo coporativo vinculado a TI, del modelo Risk IT;
  • las conceptos básicos y recomendaciones para la sincronización de los programas de Seguridad de la Información con las estrategias corporativas, ofrecidos, actualmente, por el Modelo de Negocio para la Seguridad de la InformaciónBMIS (Business Model for Information Security) desarrollado a partir del modelo Systemic Security Management (Gestión Sistémica de la Seguridad) del Instituto para la Protección de las Infraestructuras de Información Críticas de la Escuela de Negocios Marshall de la Universidad del Sur de California; y,
  • finalmente, la guía de referencia de directrices y buenas prácticas de Auditoría de Sistemas de Información, dadas por el ITAF (IT Assurance Framework).

En definitiva, como ya se ha comentado desde estas páginas, se espera disponer, a partir de CobiT 5, de un verdadero marco, completo, para el Gobierno Corporativo de TI, con sus tres ejes básicos de sincronización/alineamiento, contribución al valor y mitigación del riesgo (“Metáfora de la Balanza“), “aderezado” con un complemento específico relativo a la Seguridad de la Información y al que se incorporará, además, un exhaustivo catálogo de directrices de auditoría.

¡Sea paciente y permanezca atento. Aparecerán más “miguitas” en el camino!

Finalizadas las conmemoraciones de su cuadragésimo aniversario, ISACA, la antigua Information Systems Audit and Control Association, se presenta ante el nuevo año con un cambio en su imagen corporativa. El cambio va más allá de la obligada eliminación del número “40” que ha acompañado durante 2009 al logotipo de la Asociación, y se extiende a su lema, que pasa de ser “Serving IT Governance Professionals“, al nuevo “Trust in, and value from, information systems“. De este modo, ISACA se convierte en organización promotora de la confianza en, y del valor aportado por, los sistemas de información, dejando, aparentemente, de servir a los profesionales dedicados al buen gobierno corporativo de las tecnologías de la información y las comunicaciones. Pero, ¿es cierta tal afirmación? En opinión de Gobernanza de TI, rotundamente, NO.

Principio de “Equilibrio del Valor” o la metáfora de la balanza

Hasta tal punto el cambio de lema, por parte de ISACA, no supone un “abandono” de su comunidad de asociados dedicados a la gobernanza de las TI -sino, al contrario, un afianzamiento de su respaldo a los mismos-,  que la nueva leyenda elegida resume la esencia del principio de “Equilibrio del Valor” de las TI  -subyacente al concepto mismo de Gobierno Corporativo de TI-,  en el que concurren los dos componentes clave de tal equilibrio: el propio valor, y el riesgo, o mejor dicho, la mitigación de dicho riesgo, entendida como garantía de confianza.

El principio de “Equilibrio del Valor” podría quedar enunciado así: “a partir de una determinada estrategia para las TI  -que necesariamente ha de venir fijada por la estrategia previa del negocio, al que las TI sirven-  [sincronización estratégica TI-Negocio], han de ponerse en marcha dos fuerzas: una, en el sentido de crear valor para el negocio [aportación de valor]; y otra, en el sentido de preservar el valor creado [mitigación del riesgo de destrucción de valor]“.

Como se ha desgranado en la propia definición, el principio recoge los tres elementos fundamentales (dominios) del Gobierno Corporativo de las TIC:

  • la sincronización de las TI con el negocio al que sirven;
  • la aportación de valor al negocio, por parte de las citadas TI; y,
  • la mitigación de los riesgos que, del propio uso de dichas TI, se pueden derivar.

En este punto aparece, también, la metáfora de la balanza que constituye, quizás, la forma más clara de representar gráficamente, no sólo el principio de “Equilibrio del Valor” de las TIC, sino, también, el concepto mismo de su Gobierno Corporativo. Piénsese en una simple balanza compuesta por un brazo del que penden dos platos: el brazo representaría el alineamiento (sincronización) entre TI y el negocio; un primer platillo, vendría a simbolizar el valor aportado por el empleo de esas TI; y, finalmente, el otro platillo, contendría los riesgos para la organización, nacidos de la adopción de tales tecnologías.

En suma, la imagen de la balanza viene a recordar tres sencillas ideas: en primer lugar, las TI han de estar al servicio de, y en línea con, las necesidades del negocio del que forman parte; en segundo, existe un indudable beneficio para las organizaciones en el uso de las TIC, materializado en el valor añadido que les aportan; y, en tercer lugar, no todo son ventajas, sino que el mismo empleo de esas tecnologías puede suponer una serie de perjuicios, nacidos de los riesgos asociados a su uso. Un Buen Gobierno Corporativo de las TIC habrá de garantizar el paralelismo entre los objetivos a establecer para las áreas de TI dentro de la organización y los del negocio al que aquellas dan sustento, al tiempo que tratará de buscar el necesario equilibrio entre las ventajas y desventajas  -valor aportado y riesgo-  derivadas del uso de las tecnologías.

Los modelos de ISACA y la metáfora de la balanza

Ese mismo planteamiento es el que ha seguido ISACA durante los últimos quince años, a través de la publicación de sus diferentes modelos: CobiT (1996), Val IT (2006)  y, ahora, Risk IT (2009). Tomados de manera individual, ninguno de ellos constituye un verdadero marco de Gobierno Corporativo de TI, tal y como defienden, incluso, algunos de los más reputados difusores de la gobernanza de TI. Tomados de manera individual no son, sino, meros componentes de un marco global. Este marco global, esta balanza, ha podido completarse con la reciente publicación del modelo Risk IT, de modo que la balanza de ISACA para el Gobierno de TI dispone, ahora sí, de sus tres elementos esenciales:

  • un brazo para la sincronización TI-Negocio, representado por el modelo CobiT (véanse Apéndices I y II del modelo);
  • un platillo simbolizando la aportación de valor por parte de las TI, ámbito de desarrollo natural de Val IT; y,
  • otro platillo, que ha de equilibrarse con el primero y que representa los riesgos nacidos del uso de las TI, para cuyo gobierno ha nacido Risk IT.

Sin embargo, no será hasta la aparición de CobiT 5, prevista para no antes de 2011/12, cuando se ofrezca esta visión global, completa, de conjunto. Bajo el paraguas de CobiT 5 se ubicarán los actuales modelos CobiT, Val IT y Risk IT, así como algún otro marco de referencia de los actualmente puestos a disposición por parte de la Asociación.

¡Parece que su compromiso con los profesionales ocupados en el Gobierno de TI está más que garantizado!

 

Comentario: El nuevo lema y los capítulos

El cambio de lema de la Asociación había sido anunciado en las últimas semanas a todos los responsables de sus más de ciento setenta (170) capítulos a nivel mundial; sin embargo, en el momento de escribir este artículo sólo una pequeña parte de ellos habían adoptado la nueva directriz, actualizando convenientemente las cabeceras de sus páginas web. Se trata de los capítulos de:

  • Alemania;
  • Canadá (Valle del Ottawa);
  • EEUU (Área Metropolitana de Nueva York, Baton Rouge, Centro del Estado de Ohio, Hawaii, Los Ángeles, Poniente de La Florida, San Antonio de Béjar/Sur de Texas, Sur de La Florida,  Tulsa y Valle del Willamette);
  • España (Valencia);
  • Estonia;
  • India (Bangalore, Chennai y Cochin);
  • Italia (Milán);
  • Japón (Tokyo);
  • Pakistán (Karachi); y,
  • Trinidad y Tobago.

Dos capítulos más, Puget Sound (EEUU) y Suecia, aún no habiendo actualizado sus cabeceras, sí han optado por hacer del nuevo lema el motivo central de sus páginas web en este día 1 de enero de 2010.

¡Finalmente, ha llegado!

Gobernanza de TI lo adelantaba el pasado día 1: el mes de noviembre no habría de acabar sin ver la publicación del nuevo marco basado en CobiT, Risk IT. El anuncio llegaba el viernes, 20, de la mano de ISACA y, con él, hacía público su modelo para el gobierno de los riesgos corporativos asociados a las TIC.

Desde que, hace exactamente diez meses, se publicara un borrador del que habría de ser el nuevo modelo de la “familia CobiT”, estas páginas han venido informando puntualmente de los diferentes anuncios que, desde la Asociación, se han realizado sobre la inminente publicación de un marco que vendría a complementar, tanto al propio CobiT, como a su hermano Val IT, en la constitución de un verdadero enfoque, completo, de Gobierno Corporativo de TI.

A las prestaciones como modelo de sincronización estratégica negocio-TI que ofrece CobiT y a las que aporta Val IT como referente para la contribución de TI a la generación de valor para el negocio, se une ahora, Risk IT, con objeto de ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC. De este modo, queda cerrado el triángulo Sincronía-Valor-Riesgo, que conforma la base de la aproximación de ISACA y su IT Governance Institute a la Gobernanza de TI, y sobre la que se apoyará el futuro CobiT 5, cuyo desarrollo se anunciaba el pasado mes de abril, como parte de la estrategia de ISACA para el trienio 2009-2011.

Risk IT viene, en esta primera edición, distribuido en dos documentos principales:

  • el Marco de Referencia propiamente dicho (“The Risk IT Framework“), disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios (3) y procesos (9) ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI; y,
  • la Guía para el Especialista (“The Risk IT Practitioner Guide“), disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos (creación de escenarios de riesgo específicos, basados en escenarios genéricos; creación de mapas de riesgo; definición de criterios de impacto y su relevancia para el negocio; identificación de indicadores clave de riesgo, KRI  -Key Risk Indicator-;  o, combinación práctica con los otros modelos  -CobiT y Val IT-).

Adicionalmente, este paquete documental viene acompañado por un conjunto de herramientas de trabajo (una serie de ficheros en formato Word) que, a modo de material complementario, proporcionan una versión editable de determinadas figuras (tablas) empleadas en “The Risk IT Practitioner Guide“.

Tal y como se viene anunciando en las últimas semanas, se prevé que antes de que finalice el mes en curso será publicado el nuevo marco de gobierno de los riesgos corporativos de TI, Risk IT, de ISACA.

Se completará, de este modo, el marco general de Gobierno Corporativo de TI propuesto por la Asociación americana, cerrando el triángulo formado por CobiT, Val IT y, ahora, el propio Risk IT; esto es, el triángulo Sincronía-Valor-Riesgo, paradigma de la Gobernanza de TI. Dicho marco general constituirá el núcleo del futuro CobiT 5, del que se comenzó a hablar en el pasado mes de abril, tras la publicación de la estrategia de la Asociación para el período 2009-2011.

Risk IT vendrá, en esta primera edición, distribuido en dos documentos: el Marco de Referencia propiamente dicho (“The Risk IT Framework“) y la guía para especialistas (“The Risk IT Practitioner Guide“). El primero, con una estructura similar a la de CobiT y/o Val IT mostrará el repertorio de dominios y procesos ligados al Gobierno de los Riesgos Corporativo, derivados de las TI. El segundo, por su parte, ofrecerá una visión en mayor detalle de ciertos aspectos concretos (creación de escenarios de riesgo específicos, basados en escenarios genéricos; creación de mapas de riesgo; definición de criterios de impacto y su relevancia para el negocio; identificación de indicadores clave de riesgo, KRI  -Key Risk Indicator-;  combinación práctica con los otros modelos  -CobiT y Val IT-).

El próximo martes, día 3 de noviembre, ISACA ofrecerá un seminario web específico sobre riesgos y marcos de TI, que, sin duda, servirá para la presentación en sociedad del nuevo modelo.

Eso, al menos, es lo que declaran ITGI/ISACA, con respecto a la publicación del que será su nuevo marco para el gobierno de los riesgos corporativos, derivados de las TIC: Risk IT.

En la tarde de ayer, fue retirado el enlace a la versión borrador del modelo, de la página principal de ISACA, una vez que hubo transcurrido el período de revisión pública, iniciado el pasado 29 de enero de 2009, como anunciaba ‘Gobernanza de TI‘ hace unas semanas.

Comienza, ahora, un proceso de análisis e incorporación de los comentarios recibidos, que, con toda probabilidad, se extenderá más allá del verano. Considerando las previsiones habituales de la Asociación, no sería descabellado pensar que el nuevo modelo esté disponible, como muy pronto, a finales de año.

El nuevo marco, derivado de CobiT, vendrá, de ese modo, a sumarse a este último, y a Val IT, como componente de la terna que, a día de hoy, constituye la oferta del IT Governance Institute para cubrir los tres pilares del buen gobierno corporativo de las Tecnologías de la Información y las Comunicaciones: sincronía negocio-TI (CobiT), aporte de valor (Val IT) y contención de los riesgos (Risk IT).

La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la “torpeza” de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

  • ¿Cuánto debe gastar una organización en TI?
  • ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
  • ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
  • ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
  • ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
  • ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la “Gobernanza de TI” como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

  • ¿QUIÉN toma la decisión?
  • ¿CÓMO se toma la decisión?
  • ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese “qué” –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

  • herramientas?;
  • operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
  • gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran “haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM“, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

  • independencia de herramientas;
  • una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
  • unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
  • simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

  • Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
  • Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
  • Adquisición: adquirir TIC de forma válida;
  • Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
  • Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
  • Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.

El pasado jueves, 29 de enero de 2009, vio la luz  – de momento, en versión borrador –  el nuevo marco de gobierno corporativo de los riesgos empresariales, derivados de las TIC, Risk IT, del IT Governance Institute.

El documento estará expuesto para revisión pública durante unas pocas semanas.

El nuevo marco, derivado de CobiT, viene a sumarse a este último, y a Val IT, como componente de la terna que, a día de hoy, constituye la oferta del Instituto para cubrir los tres pilares del buen gobierno corporativo de las Tecnologías de la Información y las Comunicaciones: sincronía negocio-TI (CobiT), aporte de valor (Val IT) y contención de los riesgos (Risk IT).

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 66 seguidores