La clave de flexibilidad de COBIT 5 para

el éxito

Autor: Mark Thomas, presidente, Escoute Consulting

Fecha de publicación: 14 de octubre de 2014

Nueve ejecutivos (incluido el autor) estaban en una sala de conferencias,

cuando el vicepresidente de operaciones de TI declaró que debido a
problemas recientes dentro de la organización, deberían estar buscando
un marco centrado en la gobernanza llamado COBIT. Los ocho
ejecutivos restantes lo miraron sin comprender.

Este proveedor de servicios gestionados ofrecía servicios de TI

subcontratados para el mercado pequeño y mediano a nivel nacional. El
centro de datos era un entorno de múltiples inquilinos que proporcionaba
correo electrónico, infraestructura, aplicaciones, desarrollo,
administración de proyectos y funciones de mesa de servicio
subcontratadas. La estructura era típica de este tipo de organización en
el sector privado, con funciones de administración, finanzas, ventas y
marketing, operaciones y TI. Los esfuerzos de seguridad, riesgo y
cumplimiento se delegaron en gran medida a TI y, por lo general, solo se
discutieron cuando surgieron problemas. Había varios marcos y
estándares en uso, aunque su adopción estaba fragmentada. La
organización estaba sufriendo de lo que las partes interesadas llamaron
“agotamiento del marco” y, por lo tanto, se esperaba que la adopción de
COBIT fuera difícil de vender, pero sorprendentemente no lo fue.
En cambio, los eventos recientes hicieron de COBIT una necesidad. La
empresa experimentó un gran revés cuando su primer y mayor cliente
decidió recurrir a un competidor para obtener los mismos
servicios. Además de la pérdida de este importante cliente, hubo varios
puntos débiles adicionales:

 La organización había experimentado una caída significativa en los

puntajes de satisfacción del cliente.
 Aproximadamente una de las cinco migraciones recientes de
nuevos clientes había estado a punto de fallar.
 El porcentaje de disponibilidad general había caído en los últimos
nueve meses debido a varios incidentes importantes.

Estos problemas provocaron una revisión de la administración que

determinó que había una única causa raíz: la falta de gobernanza sobre
TI.

Abogando por COBIT

Al argumentar la adopción de COBIT, las partes interesadas

esencialmente analizaron los cinco principios de COBIT y los
emparejaron con las necesidades específicas de la organización como se
aborda en la figura 1 :
 

Figura 1 — Paso de peatones de la solución COBIT

Principio de Solución
COBIT Necesidades organizativas COBIT
Cascada de
objetivos
desde las
necesidades
Concéntrese en crear valor para las de las partes
Satisfacer las partes interesadas, obteniendo interesadas
necesidades de las beneficios al mismo tiempo que hasta los
partes interesadas optimiza los riesgos y los recursos. facilitadores
Cubriendo la Transición de la TI que se rige a sí Modelo de
empresa de punta a misma a la gobernanza de la TI roles,
punta empresarial (GEIT). actividades
y relaciones
desde los
propietarios
 y las partes
interesadas
hasta las
operaciones
y la
ejecución.
Integrador
de marco
COBIT que
hace
referencia a
estándares y
Aplicar un único Consolide múltiples marcos bajo una marcos
marco integrado sola estructura de gobierno. relevantes
Siete
facilitadores
Deje de centrarse únicamente en los y sus cuatro
Permitiendo un procesos y expanda todos los dimensiones
enfoque holístico habilitadores de gobernanza. comunes
Modelo de
referencia
de procesos
COBIT con
un dominio
de
gobernanza
Separar la y cuatro
gobernanza de la Delinear claramente entre procesos de dominios de
gestión gobernanza y procesos de gestión. gestión
Fuente: Mark Thomas. Reproducido con permiso.

Aplicación práctica de COBIT

Hubo varias aplicaciones útiles del marco en este escenario, pero dos se
destacaron como inmediatamente útiles. Uno era la cascada de metas y
el otro era el modelo de referencia del proceso.

La cascada de objetivos se utilizó para orientar y priorizar

específicamente los esfuerzos. La estrategia fue utilizar la
documentación cartográfica de COBIT sin modificaciones. Por lo tanto,
las partes interesadas pudieron agregar un mapeo adicional en la
cascada de objetivos con objetivos específicos de la organización. Un
aspecto único descubierto fue que las partes interesadas podían mapear
no solo los procesos, sino también los otros habilitadores. Los siguientes
pasos ( figura 2 ) demuestran cómo se utilizó la cascada de objetivos:

Figura 2 — Uso de la cascada de metas de COBIT

1. Impulsores de las partes interesadas: estos se asignaron

directamente a los objetivos organizacionales específicos.
2. Metas organizacionales específicas: estas metas eran exclusivas de
este negocio e incluían metas específicas de desempeño y
crecimiento. Por lo tanto, las necesidades de las partes interesadas
se agregaron y se mapearon directamente en el modelo.
3. Necesidades de las partes interesadas No fueron necesarias
modificaciones. El mapeo de COBIT fue suficiente.
4. Objetivos de la empresa No fueron necesarias modificaciones. El
mapeo de COBIT fue suficiente.
5. Metas relacionadas con TI No fueron necesarias modificaciones. El
mapeo de COBIT fue suficiente.
 6. Facilitadores: desde una perspectiva de proceso, la cascada de
objetivos reveló 10 procesos que debían abordarse. Sin embargo,
no bastaba con centrarse únicamente en los procesos. Dado que la
organización es una organización de servicios, los objetivos
también se asignaron a los servicios de la cartera (más
específicamente, el catálogo de servicios). Esto permitió un
enfoque más holístico. Estas asignaciones no existen en COBIT,
por lo que las partes interesadas las crearon. Los planes actuales
son incorporar los otros habilitadores en este mapeo de objetivos
en el futuro.

Además de la cascada de objetivos, el modelo de referencia de

procesos, junto con la guía COBIT 5: Procesos habilitadores ,
proporcionó los detalles necesarios para seleccionar los habilitadores
más críticos para mejorar. Las partes interesadas alinearon este enfoque
con la función de auditoría interna para garantizar que las partes
interesadas brinden seguridad en función del riesgo relativo del
habilitador. Como se mencionó anteriormente, el ejercicio en cascada de
metas produjo 10 procesos que tuvieron un impacto significativo en el
logro de las metas de la organización. Debido a que las partes
interesadas no tenían la capacidad para mejorar todos los procesos,
estos se clasificaron en una cuadrícula con los ejes X e Y como "facilidad
de implementación" y "beneficios esperados". Esto ofreció información
sobre proyectos de rápida ganancia que podrían generar beneficios
fácilmente.

El uso de COBIT 5: Procesos habilitadores estableció prácticas y

actividades clave para los procesos seleccionados. Por ejemplo,
BAI06 Manage changes fue uno de los primeros procesos en este
esfuerzo. El propietario del proceso pudo formalizar BAI06 con muy
pocas modificaciones:

1. Descripción y propósito del proceso No se necesitaron

modificaciones.
2. Métricas de objetivos de procesos y TI:  hay muchas entre las que
elegir en la guía. En este caso, las partes interesadas eligieron los
objetivos más pertinentes para utilizar en función de los factores
críticos de éxito del negocio y la capacidad de recopilar la
información.
3. Cuadro de Responsable, Responsable, Consultado e Informado
(RACI): debido a que las partes interesadas no tenían todos los
 roles sugeridos en la guía, esto se modificó para cumplir con los
roles específicos de la organización.
4. Prácticas y actividades de gestión: todas las prácticas y actividades
de gestión se adoptaron sin modificaciones.
5. Entradas y salidas: se modificaron. La organización no había
adoptado completamente todos los procesos en este momento, por
lo que hubo muchas entradas y salidas que no fueron reconocidas
formalmente. Varios de estos artefactos / productos de trabajo no
se abordarán hasta que esos procesos se vuelvan más formales.
6. Orientación relacionada: se utilizó para determinar a qué partes de
otros marcos y estándares se haría referencia. En el caso de
BAI06, estos incluyeron ITIL e ISO / IEC 20000.

Alineación continua con COBIT

COBIT no es solo académico. El éxito de este esfuerzo se basó en gran

medida en la capacidad de las partes interesadas para modificar y ajustar
COBIT para adaptarse a la organización. Hubo varias áreas importantes
que fueron las más beneficiosas. La cascada de objetivos visualizó cómo
los procesos de TI respaldaron las necesidades de las partes
interesadas. Este esfuerzo se ha convertido en una actividad que ocurre
con regularidad y que apoya la alineación continua de los
objetivos. Además, los habilitadores ampliaron la visión de la
organización más allá de los procesos. El uso de todos los habilitadores
permitió a las partes interesadas analizar los efectos de un cambio en un
habilitador sobre los demás. Además, este esfuerzo fomentó la
colaboración entre TI y aseguramiento, lo que agilizó los esfuerzos para
satisfacer el desempeño y la conformidad.

Mark Thomas, CGEIT

Es un experto en gobernanza de TI de renombre internacional y

presidente de Escoute Consulting. Su experiencia abarca más de 20
años de experiencia profesional, incluidos roles de liderazgo desde
director de información (CIO) hasta consultoría de gestión y TI. Thomas
ha liderado grandes equipos en arreglos de TI subcontratados,
administrado implementaciones de aplicaciones empresariales e
implementado procesos de gobierno y riesgo en múltiples
industrias. Además, se ha forjado una competencia acreditada como
formador consultivo y orador en varias disciplinas, incluidas COBIT, ITIL
y gobernanza de TI.