• Bookmark

Adopción de COBIT 5 en una entidad gubernamental

Por Sean Atkinson, CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, CCSA, CEH, CFE, CISSP, CRMA, CSM, GCIH, N+, PMP, SCTS, Sec+, y Roger F. Aucoin, COBIT 5 Foundation, PMP

COBIT Focus | 19 de enero de 2015 Inglés

Sean Atkinson Roger F. Aucoin Imagine ser parte de las primeras etapas de una nueva agencia gubernamental en los Estados Unidos, concebida por primera vez en 1994 e implementada en el 2012, con la responsabilidad inicial de desarrollar un sistema de información que con el tiempo procesará más de mil millones de dólares estadounidenses en pagos por mes, producirá informes para toda la empresa, será implementada como Software como un Servicio (SaaS) a más de 85,000 usuarios en 72 agencias externas y por más de 100,000 proveedores. Además, imagine que su responsabilidad incluye asegurar que la incipiente empresa logre su misión conforme se adhiere a sus procesos y procedimientos documentados.


¿Por dónde empezar? ¿Cómo podemos saber si los procesos existentes eran suficientes?


En la petición de propuestas (RFP) original para el software (2008), COBIT fue seleccionado para ser implementado como un marco holístico para administrar y gobernar el software. Hasta el 2012, la empresa usaba COBIT 4.1 de manera limitada solamente debido a la falta de desarrollo y madurez en los procesos generales de la empresa.


En septiembre de 2012, la dirección ejecutiva tomó la decisión de ampliar la aplicación de COBIT de una forma más holística y de adoptar COBIT 5 y los 37 procesos (que internamente se conocen como "procesos empresariales") en toda la empresa (que no incluye los proveedores o agencias externas mencionadas anteriormente). La estrategia de COBIT ahora sería utilizarlo como el marco general de gobierno y gestión que proporciona un proceso integrado en el cual revisar, gestionar y controlar la empresa.


El proceso de planificación, la Fase 1, comenzó con el uso de los documentos de Implementación de COBIT 5 y COBIT 5: Procesos Habilitadores para orientar sobre la manera de proceder. Después de digerir el contenido de estos 2 documentos, se redactó un caso de negocio usando la estrategia de 7 fases recomendada en la Implementación de COBIT 5 y se entregó al patrocinador ejecutivo para su aprobación. La adopción de un marco holístico es una tarea abrumadora para cualquier institución, al igual que la decisión que condujo al compromiso de los recursos necesarios. Al momento de la aprobación del caso de negocio, el equipo de implementación original siguió adelante con la adopción de COBIT 5. El equipo de implementación de COBIT 5 estuvo conformado por personal de 2 áreas diferentes de la empresa: 2 miembros de personal de operaciones de seguridad (1 entrenador certificado en COBIT Foundation) y 3 miembros de personal del equipo de calidad de procesos/cumplimiento. Reunir a personal de 2 áreas diferentes de la organización proporcionó 2 perspectivas diferentes que fomentaron un entendimiento más profundo del valor y desafío de la adopción plena.


La fase dos, el paso "¿En dónde estamos ahora?", implicó que el personal identificara todos los procesos y procedimientos existentes, así como cualquier otro que fuera necesario y que aún no existiera. Estos procesos fueron comparados contra las 210 prácticas de COBIT 5. Este análisis de brecha indicó que la empresa no tenía procesos documentados que podrían relacionarse con 11 de los procesos COBIT y procesos incompletos que podrían relacionarse con los 26 procesos COBIT restantes. Este descubrimiento dio lugar a que el equipo revisara el caso de negocio original para incluir la recomendación para la dirección de que la organización debía analizar los requisitos regulatorios y de proceso para los 37 procesos de COBIT a nivel detallado y decidir cuales realmente son necesarios para este negocio específico. Esto llevó al proyecto a la fase 3 de Implementación de COBIT 5, la fase "¿En dónde queremos estar?".


El patrocinador ejecutivo no se sorprendió por estas noticias debido a la evolución de la empresa, su estructura general y el progreso acelerado de la empresa, la última de las cuales no había permitido una evaluación y entendimiento integral del gobierno y procesos normativos necesarios para el negocio.


En la fase 3, el equipo necesitó la asistencia de expertos en el tema (SMEs, en inglés subject matter experts) para tener una mejor visión de la situación en conjunto con su apoyo para cerrar las brechas. Para empezar, los miembros del equipo y el patrocinador ejecutivo obtuvieron sus certificados de COBIT 5 Foundation. La dirección ejecutiva participó a través de una sesión de capacitación modificada del curso de COBIT 5 Foundation, que incluyó una discusión de los resultados del análisis inicial de brecha, una demostración en tiempo real del procesos que realizó el equipo de COBIT 5 para identificar las brechas (llamado el "Método de autor de proceso"), y el plan propuesto para seguir adelante (figura 1). Esto generó la aprobación para la siguiente etapa del plan, que incluyó presentar una sesión de capacitación ejecutiva de 2 horas a los subordinados directos de la dirección ejecutiva (líderes de equipos), en conjunto con una sesión informativa de media hora para todos los miembros del equipo (reunión de "Todo el personal" en la figura 1).


Figura 1—Estrategia general de la implementación de COBIT 5
Figura 1
Ver gráfico grande
Fuente: Atkinson y Aucoin; reimpreso con permiso.


Debido a que la empresa se propuso alinearse formalmente con los 37 procesos de COBIT 5, se crearon 37 documentos organizativos los cuales fueron llamados documentos de proceso empresarial. Cada documente contiene la información general y descripción original de COBIT 5; las prácticas y las actividades; las matrices RACI de Responsable, Aprobador (Quien rinde cuentas), Consultado e Informado, modificadas para adecuarse a la estructura de gestión de la organización; y las entradas y salidas (inputs y outputs) y tablas de orientación relacionadas. 1


La figura 1 muestra una representación gráfica de la implementación hasta el punto en que se crean todos los documentos del proceso empresarial y se identifican todas las brechas. El punto de partida en esta etapa de la participación fue el Método de autor de proceso. Esta estrategia implica identificar el líder de equipo propietario de cada proceso empresarial. Después de determinar lo anterior, el miembro del personal líder se convierte en el autor de proceso para ese documento de proceso empresarial. Por ejemplo, el APO07 Gestión de recursos humanos claramente pertenece al dominio de la unidad de recursos humanos (RR. HH.) de la empresa, de modo que el líder de RR. HH. de la organización se convirtió en el autor de proceso. Sin embargo, en el caso del BAI06 Gestión de cambios, que atravesaba una serie de dominios dentro de la organización, varios líderes de equipo se convirtieron en los autores de proceso, cada uno responsable por su parte individual del proceso. Los autores de proceso posteriormente identificaron los SMEs involucrados, dando inicio a las charlas de desarrollo.


Para facilitar los múltiples propietarios de un proceso, el equipo de implementación sirvió como intermediario para coordinar el objetivo general y la conclusión exitosa de los puntos dentro del proceso.


Esto, entonces, condujo al corazón de la estrategia: las sesiones facilitadoras para los procesos empresariales. En estas reuniones, el equipo de COBIT 5 interactuó con el autor de proceso y recibieron los aportes de los SMEs. Esta estrategia produjo varios beneficios: Inicialmente, se preparó el escenario para que los equipos se familiarizaran con sus procesos y desarrollaran un sentido de propiedad hacia los mismos. Esto también dio pie a los aportes del equipo de implementación que proporcionaron materiales relevantes, orientación sobre cumplimiento y recomendaciones de mejores prácticas.


Dentro del proceso general de actualización (figura 2), los autores de proceso recibieron el documento del proceso empresarial del cual eran responsables por desarrollar para determinar la necesidad de apoyo. Entonces, el equipo de implementación se reunió individualmente con cada autor de proceso (en conjunto con cualquier SME identificado por el autor de proceso) para desarrollar el documento de proceso empresarial buscando determinar lo siguiente:

  • ¿La organización necesita el proceso empresarial?
  • ¿La definición del proceso en COBIT 5 es correcta para la empresa? De no ser así, se modificó.
  • ¿Es correcta la definición de COBIT 5 para cada práctica? De no ser así, se modificó.

Figura 2—Desarrollo de proceso empresarial—Flujo de actividades
Figura 2
Ver gráfico grande


El equipo de implementación alentó a los autores de proceso a realizar modificaciones en las definiciones de COBIT para representar mejor la relación del proceso con la organización, pero sin cambiar la intención original. Como un paso general de implementación, las versiones originales de los procesos, prácticas y actividades se preservaron para facilitar las consultas futuras, en caso de surgir preguntas. Se agregaron notas a los procesos empresariales en donde se modificó la descripción.


El siguiente paso fue una revisión de las 1.112 actividades de COBIT 5. Las revisiones fueron complicadas ya que la infraestructura de TI de esta empresa tiene funciones que son realizadas por proveedores de servicios, por lo tanto, no todas las actividades fueron consideradas necesarias para la empresa. Cada actividad fue analizada usando la misma estrategia (autores de proceso y SMEs) para aumentar la información de COBIT 5 relativa a cada actividad: La descripción se modificó según fue necesario para hacer la documentación del proceso relevante para la empresa y cada actividad fue clasificada para simplificar y organizar las respuestas:

  • ¿La actividad se realiza, pero no está documentada?
  • ¿La actividad se realiza, pero la documentación necesita ser actualizada?
  • ¿La actividad se realiza, se documenta y no necesita actualizaciones?
  • ¿La actividad no se realiza, pero es necesaria?
  • ¿La actividad no se realiza y no es necesaria actualmente?
  • ¿La actividad es realizada por uno o más de los proveedores de servicios de la empresa?

Finalmente, se analizó la matriz RACI en busca de cualquier necesidad de cambios para reflejar títulos y responsabilidades específicas a la empresa.


Entonces se enviaron los documentos de proceso empresarial al equipo completo, que incluyó a la dirección ejecutiva y a todos los autores de proceso/líderes de equipo, para una revisión final a fin de determinar la necesidad de cualquier cambio adicional antes de publicar los documentos para su posterior desarrollo. Ya que cada documento contenía en promedio 10 a 12 páginas y las revisiones se distribuyeron en 6 reuniones de revisión, la tarea fue manejable. Las aprobaciones para seguir adelante con el documento se lograron con base en un consenso de la dirección ejecutiva, cuyos miembros basaron su decisión en la posibilidad de éxito y sostenibilidad a través de la revisión y posterior mejora de procesos. La organización define la aprobación con la media simple soportada por la decisión de la mayoría del equipo con el análisis de brecha y cualquier actualización efectuada durante las reuniones de revisión y que la dirección ejecutiva haya autorizado el trabajo necesario para cerrar las brechas con el fin de comenzar. Fue gratificante notar que estas reuniones de revisión y aprobación fueron alegres en ocasiones y no simplemente aprobaciones formales de los documentos. Esto habla del valor percibido por los participantes en el proceso general.


Después de ser aprobados para desarrollo posterior, los documentos se almacenaron en el repositorio central de documentos de la organización. Las actividades que requerían modificaciones fueron priorizadas por los autores de proceso con aportes de la dirección y se planificó el trabajo. Cada planificación de proceso empresarial fue determinado por el (los) autor(es) de proceso y se administró a través del repositorio central.


Todas estas actividades proporcionaron el alcance de trabajo para la fase 4, "¿Qué debe hacerse?". A manera de perspectiva, los resultados iniciales incluyeron que:

  • 9 procesos empresariales fueron identificados como completos (no eran necesarias modificaciones adicionales)
  • 28 procesos empresariales tenían brechas (por lo menos una actividad necesitaba desarrollo adicional)
  • A nivel de actividad:
    • 139 actividades eran realizadas, pero no estaban documentadas
    • 208 actividades eran realizadas, pero la documentación requería actualizaciones
    • 476 actividades eran realizadas, documentadas y no necesitaban actualizaciones
    • 189 actividades no eran realizadas, pero eran necesarias
    • 47 actividad no eran realizadas y no eran necesarias actualmente
    • 53 actividades eran realizadas por uno o más de los proveedores de servicios de la empresa

La empresa, entonces, avanzó hacia la fase 5, o "¿Cómo lo logramos?". Aquí es en donde se encuentran los miembros del equipo actualmente y se anticipa que esta fase tendrá una duración de al menos 18 meses. Las actividades que pertenecen a uno o más proveedores de servicios serán evaluadas con el proveedor de servicios y se incluirán en el acuerdo de nivel de servicio (SLA), según corresponda, y aplicarán métricas para permitir el seguimiento del progreso y celebración del éxito conforme suceda.


Después de que el documento sea considerado completo y todos los procesos y procedimientos necesarios se hayan establecido y estén en funcionamiento, el ciclo de mejora de proceso para cada documento de proceso empresarial comienza y está establecido en un año. Esto lleva gradualmente a la organización a la fase 6 ("¿Lo logramos?") hasta que los 37 documentos estén completos. Está planificado tener completos todos los procesos para el final de 2015.


Es entonces cuando las evaluaciones y auditorías de proceso facilitarán la fase 7, la fase "¿Cómo mantenemos el impulso?", para involucrar a la empresa en la mejora continua. El nuevo documento EDMO1 Programa de Auditoría/Aseguramiento para Garantizar el Establecimiento y el Mantenimiento del Marco de Gobierno (el cual incluye un enfoque sobre la evaluación del habilitador proceso), y/o el Programa de Valoración de COBIT (Guía para el Asesor de COBIT: Usando COBIT 5 y el Modelo de evaluación de procesos (PAM) de COBIT: Usando COBIT 5, el cual se enfoca en la capacidad de los procesos de COBIT 5) serán utilizados para valorar efectivamente los procesos empresariales y los acuerdos organizacionales del GEIT como un todo. Estos ayudarán en la identificación de procesos y procedimientos (prácticas y actividades) o de otros aspectos de GEIT que requieren atención para mejorar su desempeño.


Comience con COBIT 5

Es posible que ahora se pregunte, "¿Qué gana mi organización?" o "¿Por dónde comienzo?". Cualquier organización puede comenzar como lo hizo esta al seguir los mismos pasos:

  1. No se abrume con la cantidad de conocimiento encapsulado en COBIT 5 y su alcance, puede parecer desalentadora.
  2. Empiece con el documento de Implementación de COBIT 5. Úselo para comprender el proceso de implementación que apuntala a COBIT 5 y reconozca que tomará un tiempo adoptarlo por completo. Busque la división del trabajo en trozos digeribles para que su organización no se vea abrumada por el trabajo.
  3. Luego continúe con el documento COBIT 5: Procesos Habilitadores. Analice a conciencia todos los procesos, prácticas y actividades para responder las mismas preguntas planteadas aquí y establezca un plan para resolver cualquier brecha identificada.

O podría verse tentado a decir: "Ya tenemos todo lo que necesitamos". Si ese es el caso, COBIT 5 ofrece la oportunidad para autoevaluar el estado actual de la organización y potencialmente iluminar áreas que puedan requerir un poco de trabajo para asegurar que la organización pueda cumplir razonablemente su misión.


Evolución con COBIT 5

La comprensión de COBIT 5 y su ciclo de vida de implementación avanza a buen ritmo para la empresa en este caso de ejemplo. Conforme avanza, la colaboración entre las unidades y propietarios de procesos será necesaria ya que los procesos definidos cruzarán las líneas de la organización y cerrarán las brechas entre el soporte del servicio, la gestión operativa y el gobierno general de la organización. Estas consecuencias previstas de un entorno integrado y operativo permitirán a la empresa medir el retorno de la inversión (ROI) y evaluar la contribución de COBIT 5 hacia la meta general de una holística y administrada empresa, alentar la colaboración y crear un proceso sistemático de excelencia entre todos los equipos. El progreso a través del ciclo de vida de la implementación hasta un punto de medición de la capacidad es el siguiente paso en la evolución como un equipo de implementación.


Sean Atkinson, CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, CCSA, CEH, CFE, CISSP, CRMA, CSM, GCIH, N+, PMP, SCTS, Sec+

Es un oficial de control interno, gerente de riesgo y oficial de seguridad de la información con más de 10 años de experiencia trabajando en funciones de seguridad y auditoría. También imparte un curso de introducción a las ciencias de la información en una universidad local.


Roger F. Aucoin, COBIT 5 Foundation, PMP

Tiene más de 34 años de experiencia en tecnología de la información, 16 de esos años como gerente de proyecto, y más recientemente, gestionando la adopción de COBIT 5. También imparte un curso online de gestión de proyectos para una universidad local.


Notas finales

1 Los títulos de estas secciones se originaron del documento de Microsoft Excel “10 actividades prácticas de gobierno y gestión de COBIT 5” disponible en el Kit de herramientas de COBIT 5 y COBIT 5: Procesos habilitadores.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.