Posteado por: FrancoIT_GRC | 07/06/2012

IT GRC según COBIT 5 (Parte 1 – IT Governance)

El pasado 10 de abril de 2012, ISACA publicó oficialmente la nueva versión de COBIT 5, cuyas principales novedades fueron analizadas en su momento en un artículo de este blog. En esta oportunidad, intentaremos enumerar algunas de las características de COBIT 5 que podrían potenciar el IT Governance, Risk Management y Compliance (IT-GRC) de una organización. La primera parte de esta entrega se focalizará sobre el concepto de IT Governance según COBIT 5.

IT - GRC por FrancoIT_GRC

IT – GRC por FrancoIT_GRC

A continuación veremos:

  • Definición inicial de IT-GRC
  • Problemática frecuente a la hora de aplicar este enfoque
  • Definición de IT Governance según COBIT 5 y su diferencia con el IT Management
  • Aportes de COBIT 5 al IT Governance
  • Próximas entregas sobre Potenciando el IT-GRC según COBIT 5

Definición inicial de IT-GRC:

Enfoque holístico para maximizar la creación de valor desde IT para los stakeholders, alineando e integrando las actividades que la organización realiza sobre:

  • G: Gobierno Corporativo
  • R: Gestión Integral del Riesgo (ERM)
  • C: Cumplimiento de leyes y regulaciones aplicables.

Problemática frecuente a la hora de aplicar IT-GRC:

  • Comprensión parcialde Directorio del impacto por IT-GRC
  • Problemas de integración con el GRC Corporativo
  • Stakeholders no involucrados en las actividades de IT-GRC
  • IT-GRC no alineado con las necesidades del negocio
  • Solapamiento/silos: duplicación de tareas/falta de cobertura
  • Falta de recursos para ejecutar las iniciativas de IT-GRC
  • Complejidad de más regulaciones y evolución tecnológica.

IT Governance según COBIT 5:

Comenzaremos con la definición de Governance que nos brinda COBIT 5,  a partir de su influencia desde la ISO 38500, donde claramente se diferencia el IT Governance del IT Management, tal como se aprecia en el siguiente gráfico con sus definiciones posteirores.

COBIT 5 - Governance versus Management - IT - GRC

COBIT 5 – Governance versus Management – IT – GRC

Governance: Asegura que los objetivos de la empresa son alcanzados evaluando las necesidades de los stakeholders, condiciones y alternativas; dirigiendo a través de la priorización y la toma de decisiones y monitoreandola performance, el compliance y el progreso contra la dirección acordada y los objetivos establecidos. (EDM).

Management: Planifica, construye, ejecuta y monitorea actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos empresariales. (PBRM).

Elementos que aporta COBIT 5 para el IT – Governance:
COBIT 5 - Procesos de IT Governance

COBIT 5 – Procesos de IT Governance  (click para agrandar)

COBIT 5 trae un nuevo Dominio específico para el IT Governance, el cual incluye 5 procesos que, a grandes rasgos, responden a las siguiente premisas:
  • 1 Proceso que fija las “reglas de juego” para el IT Governance (EDM01)
  • 3 Procesos que responden a cada uno de los Objetivos de Enterprise Governance según COBIT 5 (EDM02, EDM03 y EDM04)
  • 1 Proceso que busca garantizar la transparencia los Stakeholders, tanto internos como externos. (EDM05)
Para cada uno de los procesos mencionados en el nuevo Dominio de COBIT 5 referido a “Evaluar, Dirigir y Monitorear”, se incluyen 3 prácticas de gobierno (con sus inputs, outputs y actividades), junto con los roles necesarios para un adecuado Gobierno de TI a través de lo especificado por COBIT 5 en las diversas matrices RACI. A continuación tomaremos como ejemplo el Proceso EDM01 por ser el que brinda la base para el resto de los proceso del Dominio de IT Governance.
EDM01 – Garantizar que se define y mantiene un Framework para el IT Governance:
Ejemplos de Metas de IT que soporta este proceso y algunas métricas posibles relacionadas:
  • Alineamiento entre IT y la estrategia del Negocio
    • Métrica: % de objetivos estratégicos de la empresa que son soportados por objetivos estratégicos de IT.
  • Compromiso del Management Ejeutivo para la toma de decisioens relacionadas con IT
    • Métrica: % de roles del Management Ejecutivo con responsabilidades claras para las tomas de decisiones de IT.
  • Entrega de Servicios de IT en línea con los requerimientos del Negocio
    • Métrica: Número de interrupciones en el Negocio causados por incidentes de IT.
Ejemplo de Meta de este proceso y alguna métrica posible relacionada:
  • Se obtiene Aseguramiento de que el sistema de IT Governance está funcionando en forma efectiva.
    • Métrica: Frecuencia de revisiones independientes del sistema de IT Governance
Matriz RACI de este proceso EDM01 según COBIT 5:
COBIT 5 - Matriz RACI EDM01

COBIT 5 – Matriz RACI EDM01 (click para agrandar)

Prácticas de Governance incluídas en este proceso, con sus ejemplos de Input, Outputs y Actividades:
    • EDM01.01: Evaluar el sistema de IT Governance
      • Input: Tendencias del entorno del Negocio
      • Output: Principios y lineamientos de Enterprise Governance
      • Actividades: Analizar e identificar los factores internos y externos relacionados con el contexto legal, regulatorio y las tendencias en el Negocio que podrían influenciar el diseño del sistema de IT Governance.
    • EMD01.02: Dirigir el sistema de IT Governance
      • Input: COBIT 5 no específica inputs específicos para esta práctica de IT Governance, más allá de lo recibido desde EDM01.01
      • Output: Sistema de incentivos para impulsar la adopción del nuevo sistema de IT Governance en la cultura organizacional
      • Actividades: Asignar responsabilidades y autoridades en línea con los principios diseñados y consensuados para el IT Governance.
    • EDM01.03: Monitorear el sistema de IT Governance
      • Input: Reportes de performance sobre el sistema de IT Governance
      • Output: Feedback sobre la efectividad y la performance del sistema de IT Governance
      • Actividades: Evaluar la efectividad del sistema de IT Governance diseñado e identificar acciones para rectificar los desvíos detectados.
Otros estándares internacionales relacionados con este Proceso EDM01 según COBIT 5:
  • Committee of Sponsoring Organizations of the Treadway Commission (COSO)
  • ISO/IEC 38500
  • King III
  • Organisation for Economic Co-operation and Development (OECD)
 Próximas entregas a publicar:
  • 2da Parte: Risk Management según COBIT 5
  • 3ra Parte: Compliance según COBIT 5
  • 4ta Parte: 10 Beneficios y 10 Aplicaciones del enfoque IT-GRC según COBIT 5
Anuncios

Responses

  1. […] de las organizaciones, puede ser útil también para aquellos profesionales involucrados en el IT Governance/Management, dado […]

  2. […] Tal como se aprecia en la tabla anterior, mientras que PMBOK5 y la ISO 21500 son específicos para la Gestión de Proyectos y le dedican un área de conocimiento propia con varios procesos a la Gestión de Riesgos de Proyectos, en el caso de COBIT 5 sólo se incluye 1 práctica de gestión (BAI01.10) de 1 de sus procesos (BAI01) para ese tema, dado que la orientación de este estándar es hacia otro fin (Maximizar la creación de valor para el negocio). […]


Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: