COBIT 5 – Comparativo con COBIT 4.1 (UPDATE)

El pasado 10 de abril de 2012, ISACA publicó oficialmente la nueva versión de COBIT 5, la cual posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011, que fue analizada en su momento en un   artículo de este blog .

En consencuencia, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, para que refleje con mayor exactitud la versión de COBIT 5 publicada por ISACA como definitiva y oficial:

COBIT – Diagrama de Procesos – Abril 2012 – FrancoITGRC

Para comenzar el análisis del Framework de COBIT 5, nada mejor que la “big picture” que nos brinda este mapa mental que anticipé en el post anterior:

COBIT 5 Mapa Mental Final Abril 2012 por FrancoIT_GRC (click para ampliar)

Una vez apreciada la complejidad de las relaciones entre los distintos elementos que componen el nuevo COBIT 5, voy a pronfundizar en esta entrega exclusivamente en los cambios principales respecto a COBIT 4.1, ampliamente utilizado o inclusive en vías de implementación en organizaciones de diversas características.

La nueva versión (ya definitiva) de COBIT 5 incluye los siguientes cambios principales respecto a la versión anterior 4.1:

Procesos y Dominios:

A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:

Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4.

La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”).

Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:

o PO10 – Administrar los proyectos, pasó al Dominio BAI.o AI5 – Procurar recursos de IT, pasó al Dominio APO.o DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio

APO.o DS2 – Administrar los servicios de Terceros, pasó al Dominio APO.o DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI.o DS6 – Identificar y asignar costos, pasó al Dominio APO.o DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO.

En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo

proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.

El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad

Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose:

o EDM1 – Definir el Framework para el Governanceo APO1 – Definir el Framework para el Managemento APO4 – Gestionar Innovacióno APO13 – Gestionar Seguridad (también hay un Proceso DSS05

Gestionar los Servicios de Seguridad)o BAI8 – Gestión del Conocimiento

A continuación, se expone un cuadro con el mapeo realizado entre los procesos de COBIT 4.1 y su cobertura en COBIT5, destacando que se tomó como fuente el material de ISACA incluido en Anexo de la Guía de Procesos de Referencia, pero dado que estaba desglosado por Objetivo de Control, se lo consolidó a nivel Proceso, destacando como “Primaria” al Proceso de COBIT 5 que mayor cobertura (en %) les brinda a los objetivos de control del antiguo proceso de COBIT 4.1.

COBIT5-Mapeo-COBIT41-FrancoITGRC (click para agrandar)

Metas de Negocio y Metas de TI:

Respecto a la relación habitual entre Metas de Negocio y Metas de TI, COBIT 5 ha mejorado en cuanto a la precisión del grado de relevancia de dicho nexo, dado que ahora se la discrimina en “Primaria” o “Secundaria”, mientras que en COBIT 4 sólo se la marcaba con una tilde genérico.

En COBIT 5 se mantiene la cantidad de Metas de Negocio (17) pero ha cambiado de COBIT 4.1 sus contenidos y la distribución respecto a las Perspectivas del Balanced Scorecard, tal como se detalla a continuación:

Con respecto a las Metas de TI, COBIT 5 ha efectuado dos cambios importantes comparativamente con COBIT 4.1:

o Disminuyó la cantidad de 28 a 17 Metas.o Para cada Meta de TI se indica a cuál Perspectivas del Balanced

Scorecard corresponde:

El Pentágono de COBIT 4.1 para el Gobierno de TI:

Otro de los cambios significativos es el haber transformado el famoso “Pentágono” del Gobierno de TI de COBIT 4.1 prácticamente en el nuevo dominio denominado “EDM – Evaluar / Dirigir & Monitorear”:

El Cubo de COBIT 4.1 para los Criterios de la Información:

El último de los cambios fundamentales que presenta la nueva versión COBIT es el novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que durante toda la vigencia de COBIT 4.1 dieron forma al célebre “cubo”:

El nuevo Modelo de la Información (IM) será descripto ampliamente en las sucesivas entregas de este análisis sobre el nuevo framework provisto por ISACA: COBIT 5.

Modelo de Madurez:

COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – Process Assessment Standard”, diferente en su diseño y uso al modelo de madurez que incluía COBIT 4.1.

Modelo de Madurez según COBIT 4.1

Sin embargo, el nuevo “Process Capability Model” de COBIT 5, plantea modificaciones, no sólo de nombres de cada nivel, que no se limitan a lo que se aprecia en el gráfico siguiente:

Nuevo Modelo de Madurez “Process Capability Model” de COBIT 5

Este nuevo modelo plantea las siguientes diferencias:

Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que este estándar plantear que

se deben cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar dicho grado de madurez.

Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se distorsionarían los resultados por ser distintas las exigencias.

Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de niveles más bajos de madurez.

A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:

Comparación entre ambos Modelos de Madurez

Conclusión del Comparativo:

Según indica ISACA en sus papers “COBIT 5, que saldría para los inicios del 2012, es la mayor evolución estratégica de COBIT 4.1, él único framework globalmente aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT.”

Sin embargo, el proceso de migración hacia COBIT 5 puede revestir cierta complejidad para aquellas organizaciones que han implementado oportunamente COBIT 4. En este sentido, es importante destacar que aquellas organizaciones que ya habían alcanzado bajo COBIT 4 un nivel de madurez mínimo de 2 (según el criterio de la ISO 15504), encontrarán el upgrade relativamente fácil, mientras que para el resto puede significar un verdadero desafío que justificará evaluar la conveniencia de directamente comenzar con COBIT 5 “desde cero” como nuevo Framework.

Asimismo, cuando una organización ya ha hecho importantes inversiones en implementar COBIT 4.1 y se encuentra a mitad del proyecto, es recomendable que complete dicha iniciativa en lugar de mezclar las 2 versiones.

En conclusión, con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que implicará que todos los involucrados, más alla del rol (CEO,

CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolucionemos estratégicamente sincronizados con este nuevo estándar.

COBIT 5 – Parte II Beneficios de su implementación

En esta segunda entrega, una vez ya conocidos los cambios más relevantes respecto a   COBIT 4.1, vamos a analizar a la porción del Mapa   Mental de COBIT 5 que abarca los Beneficios de su implementación a la hora sincronizar a TI con Negocio.

COBIT5-Beneficios-COBIT-ISACA-Mapa

Beneficios de Implementar COBIT 5:

COBIT 5, tal como lo describe ISACA, es un Framework para alcanzar los objetivos empresariales de Governance y de Management de la Información y de todos sus recursos tecnológicos relacionados, con origen en las Necesidades de los Stakeholders y cobertura de TI de punta a punta, pudiendo ser aplicado en cualquier tipo de organización, inclusive en aquellas que no poseen fin de lucro y en el sector público.

La aparición de COBIT 5 es consecuencia de buscar la forma más adecuada desde ISACA de brindar oportuna respuestas a las siguientes necesidades;

Consolidar lo mejor de los estándares de ISACA (COBIT, Val IT, Risk IT, BMIS, ITAF, etc), haciendo un material más fácil de navegar.

Conectar y alinear, de forma clara y consistentes ante los Stakeholders, este Framework con otros estándares interancionales relevantes tales como:

o ITIL® (Information Technology Infrastructure Library).o PMBOK (Project Management Body of Knowledge).o TOGAF (The Open Group Architecture Forum.o PRINCE2 (Projects IN Controlled Environments 2).o Distintas normas ISO (International Organization of Standards).

Proveer lineamientos avanzados en áreas de alto interés, como la arquitectura empresarial, gestión de activos y servicios y el gerenciamiento de la innovación en TI.

La necesidad de que a nivel empresarial, se alcancen e incrementen los siguientes beneficios:

o Mayor creación de valor para la Empresa a través de TIo Más satisfacción de los usuarios con los servicios de TIo Compliance con leyes relevantes, regulaciones y políticas

COBIT5-Beneficios-Niveles-COBIT-ISACA

Para poder capturar estos beneficios en todos los niveles, COBIT 5 cuenta con este esquema de Capacidades que posibilitan Beneficios para conseguir un Impacto positivo (basado en la Figura 6 del libro COBIT 5 – El Framework de ISACA):

COBIT5-Beneficios-Visión-COBIT-ISACA (click para ampliar)

Por último, en este enlace del sitio CompianceWeek ,se puede apreciar un Podcast (en inglés, formato mp3), donde ISACA detalla como los ejecutivos relacionados con GRC

(Governance, Risk & Compliacen) pueden capitalizar los beneficios de este nuevo enfoque.

Conclusión:

Más allá de que los objetivos de Gobierno de una empresa se focalicen en optimizar los costos, gestionar de mejor forma los riesgos y/o brindar mayor realización de beneficios, la aplicación de COBIT 5 como framework GRC puede brindar un aporte muy valioso a distintos niveles de la organización, justificando ampliamente los esfuerzos para posibilitar su efectiva implementación.

COBIT 5 – Parte III – Esquema de Objetivos en Cascada

En esta tercer entrega, una vez ya conocidos los cambios más más relevantes respecto a   COBIT 4.1 y los principales Beneficios de su implementación, vamos a analizar a la porción del Mapa   Mental de COBIT 5 que abarca los los siempre útiles mapeos que nos brinda este Framework a la hora sincronizar a TI con Negocio.

Mapeos incluídos en COBIT 5 – El Framework:

El documento distribuído en Junio del 2011 por ISACA, incluye los siguientes mapeos (marcados con flechas rojas) que son de suma utilidad a la hora de poder enlazar los distintos elementos que vinculan la capa más alta del Negocio con las actividades relacionadas con TI de los distintos Procesos de COBIT 5.

COBIT5 - Esquema de Objetivos en Cascada

Este modelo de relaciones es denominado “Objetivos en cascada” (COBIT 5 Goals Cascade) y está basado en investigaciones efectuadas por la Universidad de Antwerp Management School (UAMS), IT Alignment and Governance Institute en Bélgica.

Aplicando el modelo:

Para comenzar, COBIT 5 incluye en el Apéndice D del Framework una lista (no limitativa) de las típicas Necesidades de los Stakeholders (Internos / Externos) y su relación con las Metas del Negocio (clasificadas por la perspectiva correspondiente al Balanced Scorecard), tal como se desarrolla en el esquema de ejemplo que se brinda a continuación:

COBIT5-Ejemplo Relación Necesidades de Stakeholders y Metas del Negocio

Otra forma de iniciar el análisis, de acuerdo con el esquema inicial, es a través de los Objetivos de Gobierno, los cuales gracias  al mapeo detallado incluido en COBIT 5, nos va a permitir también arribar a las Metas del Negocio (clasificadas por la perspectiva correspondiente al Balanced Scorecard) que soportan tanto en forma primaria (P) como secundaria (S) a dicho Objetivo, tal como se ejemplifica a continuación mostrando una Meta del Negocio desde cada Perspectiva:

COBIT5-Ejemplo-Relación Negocio con Objetivos Gobierno

Una vez relacionados los Objetivos de Gobierno con las Metas del Negocio, se podría vincular fácilmente (Apéndice B de COBTI 5) a estas últimas con las Metas de TI, tanto en forma primaria (P) como secundaria (S), tal como se ejemplifica a continuación mostrando una Meta de TI desde cada Perspectiva, relacionada en forma Primaria con las Metas del Negocio ejemplificadas en la tabla anterior:

COBIT5-Ejemplo-Relación Metas Negocio con Metas TI

Ahora que ya tenemos identificadas las Metas de TI que debemos alcanzar en forma Primaria, deberíamos utilizar el siguiente Mapeo incluido en COBIT 5 (Apéndice C), para conocer cuáles son los Procesos relacionados, nuevamente clasificados en forma Primaria (P) o Secundaria (S), tal como lo muestra el siguiente esquema, limitado a exponer a modo de ejemplo a un Proceso de cada Dominio:

Por último, una vez identificados los procesos más relevantes que deberíamos implementar o potenciar para cumplir con las Necesidades del Negocio, también necesitaremos establecer la forma en que utilizaremos el resto de los Facilitadores indicados por COBIT 5 (Cultura, Estructura organizacional, Información, Políticas, Habilidades y Capacidades de Servicio), definiendo para cada uno de ellos los objetivos, métricas, atributos e interrelaciones para que los Procesos de TI puedan alcanzar los Objetivos de Gobierno seleccionados al inicio.

Conclusión:

Este esquema de “Objetivos en cascada”, basado en mapeos y tablas provistas por COBIT 5, lejos está de presentarse como una verdad absoluta aplicable a toda organización, pero pueden ser un excelente lineamiento y guía orientadora para poder establecer un vínculo coherente y consistente para traducir las Necesidades de los Stakeholders del Negocio y los Procesos propios de IT.