Posteado por: FrancoIT_GRC | 14/04/2012

COBIT 5 – Comparativo con COBIT 4.1 (UPDATE)

El pasado 10 de abril de 2012, ISACA publicó oficialmente la nueva versión de COBIT 5, la cual posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011, que fue analizada en su momento en un artículo de este blog.

En consencuencia, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, para que refleje con mayor exactitud la versión de COBIT 5 publicada por ISACA como definitiva y oficial:

COBIT - Diagrama de Procesos - Abril 2012 - FrancoITGRC

COBIT – Diagrama de Procesos – Abril 2012 – FrancoITGRC

Para comenzar el análisis del Framework de COBIT 5, nada mejor que la “big picture” que nos brinda este mapa mental que anticipé en el post anterior:

COBIT 5 Mapa Mental Final Abril 2012 por FrancoIT_GRC

COBIT 5 Mapa Mental Final Abril 2012 por FrancoIT_GRC (click para ampliar)

Una vez apreciada la complejidad de las relaciones entre los distintos elementos que componen el nuevo COBIT 5, voy a pronfundizar en esta entrega exclusivamente en los cambios principales respecto a COBIT 4.1, ampliamente utilizado o inclusive en vías de implementación en organizaciones de diversas características.

La nueva versión (ya definitiva) de COBIT 5 incluye los siguientes cambios principales respecto a la versión anterior 4.1:

Procesos y Dominios:

A nivel de la estructura de Procesos y Dominios esto es lo más relevante del comparativo entre ambas versiones:

  • Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4.
  • La cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se agregó APO013 “Gestionar Seguridad”).
  • Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:
    • PO10 – Administrar los proyectos, pasó al Dominio BAI.
    • AI5 – Procurar recursos de IT, pasó al Dominio APO.
    • DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO.
    • DS2 – Administrar los servicios de Terceros, pasó al Dominio APO.
    • DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI.
    • DS6 – Identificar y asignar costos, pasó al Dominio APO.
    • DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO.
  • En el dominio APO – Administrar, Planear y Organizar, es donde se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.
  • El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad
  • Existen nuevos procesos cuyo contenido es mayormente producto de COBIT 5, destacándose:
    • EDM1 – Definir el Framework para el Governance
    • APO1 – Definir el Framework para el Management
    • APO4 – Gestionar Innovación
    • APO13 – Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los Servicios de Seguridad)
    • BAI8 – Gestión del Conocimiento

A continuación, se expone un cuadro con el mapeo realizado entre los procesos de COBIT 4.1 y su cobertura en COBIT5, destacando que se tomó como fuente el material de ISACA incluido en Anexo de la Guía de Procesos de Referencia, pero dado que estaba desglosado por Objetivo de Control, se lo consolidó a nivel Proceso, destacando como “Primaria” al Proceso de COBIT 5 que mayor cobertura (en %) les brinda a los objetivos de control del antiguo proceso de COBIT 4.1.

COBIT5-Mapeo-COBIT41-FrancoITGRC

COBIT5-Mapeo-COBIT41-FrancoITGRC (click para agrandar)

Metas de Negocio y Metas de TI:

  • Respecto a la relación habitual entre Metas de Negocio y Metas de TI, COBIT 5 ha mejorado en cuanto a la precisión del grado de relevancia de dicho nexo, dado que ahora se la discrimina en “Primaria” o “Secundaria”, mientras que en COBIT 4 sólo se la marcaba con una tilde genérico.

  • En COBIT 5 se mantiene la cantidad de Metas de Negocio (17) pero ha cambiado de COBIT 4.1 sus contenidos y la distribución respecto a las Perspectivas del Balanced Scorecard, tal como se detalla a continuación:

  • Con respecto a las Metas de TI, COBIT 5 ha efectuado dos cambios importantes comparativamente con COBIT 4.1:
    • Disminuyó la cantidad de 28 a 17 Metas.
    • Para cada Meta de TI se indica a cuál Perspectivas del Balanced Scorecard corresponde:

El Pentágono de COBIT 4.1 para el Gobierno de TI:

Otro de los cambios significativos es el haber transformado el famoso “Pentágono” del Gobierno de TI de COBIT 4.1 prácticamente en el nuevo dominio denominado “EDM – Evaluar / Dirigir & Monitorear”:

El Cubo de COBIT 4.1 para los Criterios de la Información:

  • El último de los cambios fundamentales que presenta la nueva versión COBIT es el novedoso Modelo de la Información que viene a reemplazar a los 7 Criterios que durante toda la vigencia de COBIT 4.1 dieron forma al célebre “cubo”:

El nuevo Modelo de la Información (IM) será descripto ampliamente en las sucesivas entregas de este análisis sobre el nuevo framework provisto por ISACA: COBIT 5.

Modelo de Madurez:

COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – Process Assessment Standard”, diferente en su diseño y uso al modelo de madurez que incluía COBIT 4.1.

Modelo de Madurez según COBIT 4.1

Modelo de Madurez según COBIT 4.1

Sin embargo, el nuevo “Process Capability Model” de COBIT 5, plantea modificaciones, no sólo de nombres de cada nivel, que no se limitan a lo que se aprecia en el gráfico siguiente:

Nuevo Modelo de Madurez "Process Capability Model" de COBIT 5

Nuevo Modelo de Madurez “Process Capability Model” de COBIT 5

Este nuevo modelo plantea las siguientes diferencias:

  • Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, dado que este estándar plantear que se deben cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar dicho grado de madurez.
  • Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se distorsionarían los resultados por ser distintas las exigencias.
  • Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de niveles más bajos de madurez.

A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:

Comparación entre ambos Modelos de Madurez

Comparación entre ambos Modelos de Madurez

Conclusión del Comparativo:

Según indica ISACA en sus papers “COBIT 5, que saldría para los inicios del 2012, es la mayor evolución estratégica de COBIT 4.1, él único framework globalmente aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT.”

Sin embargo, el proceso de migración hacia COBIT 5 puede revestir cierta complejidad para aquellas organizaciones que han implementado oportunamente COBIT 4. En este sentido, es importante destacar que aquellas organizaciones que ya habían alcanzado bajo COBIT 4 un nivel de madurez mínimo de 2 (según el criterio de la ISO 15504), encontrarán el upgrade relativamente fácil, mientras que para el resto puede significar un verdadero desafío que justificará evaluar la conveniencia de directamente comenzar con COBIT 5 “desde cero” como nuevo Framework.

Asimismo, cuando una organización ya ha hecho importantes inversiones en implementar COBIT 4.1 y se encuentra a mitad del proyecto, es recomendable que complete dicha iniciativa en lugar de mezclar las 2 versiones.

En conclusión, con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que implicará que todos los involucrados, más alla del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolucionemos estratégicamente sincronizados con este nuevo estándar.

Este artículo continua con las siguientes entradas adicionales:

COBIT 5 – Parte II Beneficios de su implementación

COBIT 5 – Parte III – Esquema de Objetivos en Cascada

Anuncios

Responses

  1. […] NOTA IMPORTANTE: El artículo original fue escrito en Diciembre/2011 sobre la Versión DRAFT de COBI… […]

  2. […] esta segunda entrega, una vez ya conocidos los cambios más relevantes respecto a  COBIT 4.1, vamos a analizar a la porción del Mapa  Mental de COBIT 5 que abarca los Beneficios de su […]

  3. […] esta tercer entrega, una vez ya conocidos los cambios más más relevantes respecto a  COBIT 4.1 y los principales Beneficios de su implementación, vamos a analizar a la porción del Mapa  […]

  4. […] es una excelente excusa para analizar a fondo, en el siguiente artículo, las características más relevantes de esta radical actualización de uno de los estándares […]

  5. Reblogged this on Prof. Albino Goncalves and commented:
    Información de interés sobre COBIT 5

  6. […] la nueva versión de COBIT 5, cuyas principales novedades fueron analizadas en su momento en un artículo de este blog. En esta oportunidad, intentaremos enumerar algunas de las características de COBIT 5 que podrían […]

  7. […] leer esta novedad, inmediatamente recordé que el nuevo COBIT 5, el cual fue largamente analizado en este blog, también ha incorporado un nuevo proceso dedicado a […]

  8. […] COBIT 5 define la Optimización de Riesgos como: “Garantizar que los riesgos para el Negocio […]

  9. […] de conocimiento propia con varios procesos a la Gestión de Riesgos de Proyectos, en el caso de COBIT 5 sólo se incluye 1 práctica de gestión (BAI01.10) de 1 de sus procesos (BAI01) para ese tema, […]

  10. […] COBIT 5 – Comparativo con COBIT 4.1 (UPDATE) […]


Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: