Lo cierto es que no se ha hecho esperar. A finales de enero, Gobernanza de TI‘ les recomendaba un poquito de paciencia ante el, más que previsible, advenimiento de noticias sobre el futuro CobiT 5.

¡Esas noticias ya están aquí!

El pasado día 22 veía la luz el documento “CobiT 5 Design Paper. Exposure Draft“, un borrador, sometido a revisión pública hasta el próximo 12 de abril de 2010, en el que se presentan las líneas generales del que será futuro modelo de ISACA para el Gobierno Corporativo de TI.

En sus poco más de diez páginas, el informe justifica la necesidad de abordar en este momento la mencionada actualización; repasa los antecedentes internacionales más recientes y relevantes en el ámbito de referencia; muestra la orientación futura del nuevo modelo; y, ofrece un esbozo de los que habrán de ser sus principales componentes.

Un ¿nuevo? alcance: la rendición de cuentas sobre el (buen o mal) gobierno de las TI trasciende al CIO [como ya se sabía]

Desde las primeras líneas del texto, ahora publicado, se deja clara una idea: no ha de hablarse de un ‘gobierno de TI, desde TI‘, sino de un ‘gobierno de TI, desde la Empresa‘ (cabría decir “desde el negocio” o, mejor dicho, “desde la alta dirección de ese negocio u organización“). Este “nuevo” enfoque que, en el ámbito de ISACA, viene promoviéndose en los últimos meses a través de la adopción de la expresión “Enterprise Governance of IT” (Gobernanza Empresarial de TI) tuvo su puesta de largo con el acertado artículo “Moving from IT Governance to Enterprise Governance of IT“, firmado por los profesores de la Escuela de Negocios de la Universidad de Amberes (UAMS), Prof. Dr. D. Steven De Haes y Prof. Dr. D. Wim van Grembergen (1), en el número de mayo-junio de 2009 de la revista ISACA Journal.

Esta “aclaración” no constituye sino un reconocimiento del error  -acaso, interesado-  que durante más de diez años (1996-2006) se cometió al considerar CobiT como un modelo para el Gobierno Corporativo de TI, cuando, en sentido estricto, no lo era; o, al menos, no de forma plena. [En este punto, también, se confundirán aquellos que, aliviados, piensen: “¡Siempre lo he dicho, CobiT es un marco de Gestión de TI, como otros que ofrece el mercado!“]. Ni una cosa, ni la otra. CobiT [4.1] no es un modelo, completo, para el Gobierno de TI; pero tampoco es un modelo para la Gestión de TI. CobiT [4.1] es, en realidad, un modelo para el alineamiento TI-Negocio (esa es su principal aportación, frente a otros marcos existentes  -recuérdese su, probablemente poco conocida, jerarquía “objetivos de negocio>objetivos de TI>procesos de TI”-);  que incorpora, si se quiere decir así, un marco de referencia para la Gestión de TI (su, esta vez sí,  famosa, jerarquía “dominios>procesos>actividades”) (2).

El lanzamiento, en 2006, del modelo Val IT: Basado en CobiT, supuso, por vez primera, un cambio en la orientación original. A diferencia de lo que venía ocurriendo con CobiT, Val IT involucraba a nuevos actores dentro del plantel corporativo. Un rápido vistazo a las matrices RACI que acompañaban a ambos modelos permitía observar cómo, en el primer caso, CobiT centraba su discurso en torno al CIO (Director de Informática), mientras que Val IT ampliaba el campo de visión, incorporando nuevas figuras del organigrama empresarial, ubicadas “por encima”, y/o a los lados, de la Función Informática. Este hecho habría de repetirse, en 2009, con la aparición de Risk IT: Basado en CobiT.

Foco en el lado de la demanda: el “uso de las TI

Un segundo rasgo que delata la evolución del modelo CobiT, en la versión que se está cocinando, es la referencia explícita que, reiteradamente, se hace al “uso de las TI“. La fuente de esta nueva orientación  -CobiT había sido hasta ahora un modelo muy centrado en el lado de la oferta de TI-  ha de buscarse, sin duda, en la norma internacional “ISO/IEC 38500:2008, Corporate governance of IT“, de la cual también se toman los conceptos de evaluar, dirigir y supervisar ese mismo uso de las TI.

Sin embargo, la norma ISO no es la única referencia surgida tras la aparición de la, aún vigente, versión 4.1 del modelo CobiT, que se menciona en el borrador publicado: el “Código King de Gobierno Corporativo para las empresas sudafricanas, 2009” (King III) es, asimismo, citado explícitamente.

Cabe, por último, apuntar que ese enfoque más holístico, que trasciende el perímetro del área de TI y que pone el acento, con toda nitidez en el “uso de las TI”, tiene, también, su antecedente en la iniciativa de ISACA “Llevando el Gobierno más Allá” (del inglés, “Taking Governance Forward“, TGF), que verá la luz en breve, y mediante la cual se ha tratado de revisar el concepto de Gobierno Corporativo (Gobierno de la Empresa), como supraconjunto del Gobierno Corporativo de TI, considerando las necesidades de los diferentes grupos con intereses en una organización. Con el ánimo de descubrir y, al mismo tiempo, cubrir, tales necesidades, tanto TGF, como el nuevo CobiT 5 tratarán de dar respuesta a interrogantes como: ¿Por qué surgen tales necesidades (qué metas persigue cada grupo de interés)? ¿Cómo alcanzarlas (qué mecanismos se habrán de habilitar para ello)? ¿Dónde, dentro de la estructura de la organización, actuarán los implicados? ¿Qué habrá de hacer cada uno de ellos? ¿Quiénes serán (qué perfiles tendrán)?

¿El fin de los modelos Val IT y Risk IT?

El documento-borrador corrobora la anunciada perspectiva global del nuevo CobiT, lo que lo convertirá en un metamodelo construido sobre la cimentación disponible actualmente: CobiT 4.1, Val IT 2.0 y Risk IT (sin olvidar otras referencias como BMIS e ITAF). Dicho de otro modo, no ha sido hasta contar con esos tres marcos  -orientados individualmente a aspectos particulares de la gobernanza de TI: alineamiento, valor y riesgo-,  cuando ISACA ha podido abordar el desafío de ofrecer un verdadero marco de referencia COMPLETO para el Gobierno Corporativo de TI.

La integración bajo un mismo paraguas, de nombre ‘CobiT 5’, de lo que ahora se demuestra que no eran sino “retales” (vistas parciales) de un enfoque holístico hacia la gobernanza de TI, plantea ciertas dudas sobre la continuidad y la validez de los esfuerzos dedicados a la promoción de las marcas “Val IT” y “Risk IT”.

Gobernanza de TI‘ ha tenido ocasión de plantearle esta cuestión al mexicano D. José Ángel Peña Ibarra, Vicepresidente Internacional de ISACA, en el transcurso de su última visita a España, hace tan sólo unos días. La conversación, mantenida de manera informal, durante la jornada-seminario sobre “Buen Gobierno Corporativo” que organizó, el pasado día 17 de marzo, la Cátedra ‘Oesía’ de Buen Gobierno TIC de la Universidad de Deusto, permitió concluir que, en ningún caso, los diferentes marcos existentes van a quedar integrados en una única referencia documental; esto es, ISACA seguirá ofreciendo una colección de documentos independientes (y, al mismo tiempo, firmemente interrelacionados) para los distintos dominios del gobierno de TI. Sin embargo, el tema del mantenimiento, o no, de las marcas es un aspecto que, al parecer, “aún se está debatiendo“.

La publicación, unos días después de producirse dicha conversación, del borrador sobre el futuro diseño de CobiT 5, ha permitido arrojar un poco más de luz sobre este asunto: según el diseño previsto, la aparición de unas u otras publicaciones de la familia CobiT 5 dependerá de la nueva arquitectura del modelo, cuyo componente central será la Base de Conocimiento de CobiT. Este elemento, unido al enfoque ‘multi-grupo de interés’ definido a partir de la iniciativa TGF, permitirá publicar documentos específicos para los diferentes enfoques y audiencias:

  • publicaciones por objetivos de la Gobernanza de TI (alineamiento, valor, riesgo, …);
  • publicaciones por mecanismos para la puesta en marcha de la citada Gobernanza de TI (procesos de TI, recursos de TI, …);
  • publicaciones por Criterios de Información (seguridad, calidad, …), los cuales han sufrido una evolución hacia un completo y complejo Modelo de Referencia de la Información, aún en desarrollo;
  • publicaciones por entidades organizativas (áreas de TI, oficinas de proyectos, áreas de Gestión de los Servicios de TI, …);
  • publicaciones por perfil de responsabilidad (órganos de gobierno, equipos de dirección/gestión, profesionales de la auditoría, …); y,
  • publicaciones con guías prácticas detalladas.

Esto, sin duda, corrobora las palabras del Sr. Peña. Sin embargo, la aparición, entre las futuras publicaciones, de nombres como “CobiT 5 for Value” o “CobiT 5 for Risk” ponen en seria duda la continuidad de los conocidos productos “based on CobiT” (basados en CobiT), Val IT y Risk IT;  al menos, tal y como hoy se conocen. Máxime si se recuerdan las palabras pronunciadas, hace un año, por la entonces Presidenta Internacional de ISACA, Lynn Lawton, cuando anunciaba, como parte de la Estrategia 2009-2011, el respaldo a la marca CobiT, de cara a las futuras versiones y sus derivados, por resultar un activo verdaderamente conocido, y reconocido, por el mercado; mucho más que otros productos de la Asociación.

Finalmente, un tono de color [verde] para dar un aire fresco al modelo

La iniciativa de ISACA de modernizar su marco CobiT será, asimismo, aprovechada, según anuncian desde la propia Asociación, para coger el tren de la sostenibilidad, de la mano de la llamada “Informática Verde”, que de alguna manera quedará incorporada al futuro modelo.

De ese mismo modo, también otras disciplinas como la Arquitectura de Empresa  -con una imperiosa necesidad de popularizarse, al menos, en el panorama corporativo español-,  el desarrollo de los RRHH y la gestión del cambio organizativo, o cambio cultural, serán nuevas áreas donde CobiT 5 pondrá el acento de manera especial.

 

Dentro de un año se podrá degustar la primera hogaza completa: un documento general de presentación y descripción detallada del nuevo marco de referencia de CobiT, edición 5; que incluirá unas primeras indicaciones para su adopción.

¡Más paciencia!

 

Artículos relacionados

 

(1) Van Grembergen y De Haes han firmado, también en 2009, la obra “Enterprise Governance of Information Technology: Achieving Strategic Alignment and Value“, publicada por Springer.

(2) Lamentablemente, haber dedicado [CobiT 4.1] sólo dos páginas a lo primero y doscientas a lo segundo no ha contribuido, en exceso, a aclarar este punto.

Sin embargo, el nuevo Modelo de Procesos Revisado que incorporará CobiT 5 identifica, directamente, como procesos de Gestión a aquellos incluidos en los, hasta ahora, conocidos como dominios PO, AI, DS y ME  -previsiblemente, cambiarán de nombre-.

Adicionalmente, CobiT 5 incorporará tres nuevos procesos de Gobierno  -Evaluar, Dirigir y Supervisar-,  en línea con lo que recoge la normativa internacional en este ámbito.

Dicha pseudo-integración de la norma ISO 38500 dentro del propio modelo constituirá, sin duda, un perfecto catalizador de  -y un respaldo a-  la adopción conjunta de la norma y de CobiT; iniciativa que algunas conocidas e importantes organizaciones ya están abordando.