Archivos Mensuales: febrero 2013
Los Procesos de Gestión de TI
COBIT 5 ha generado una serie de procesos de referencia para el Gobierno de TI. El libro que describe estos procesos se llama «COBIT 5 Enabling Processes» y la traducción oficial del libro es «COBIT 5 Procesos Catalizadores». A los que no estamos en el mundo de la química, nos puede parecer difícil asimilar el término en el área de las Tecnologías de la Información.
Un catalizador es, según la Real Academia de la Lengua Española, un cuerpo (químico) capaz de producir una transformación catalítica. La Catálisis está definida, por el mismo ente, como el “Favorecer o acelerar el desarrollo de un proceso”. Sin embargo, el concepto no está limitado al área química, es por lo tanto, genérico. En el caso que nos ocupa, se trata de favorecer o acelerar el desarrollo del proceso de Gobierno de TI.
El concepto de “catálisis” queda bien al Marco de Referencia COBIT. Cuando un Gerente de TI en la década de inicio de este siglo se sentaba a dirigir las operaciones de TI de una organización, la principal dificultad era el identificar qué se tenía que llevar a cabo para una gestión exitosa, mientras la Alta Dirección presionaba por resultados inmediatos, mejoras en el servicio de TI para la organización y lo más exigentes o visionarios, la agregación de valor al negocio a través del uso de las Tecnologías de la Información. La situación era crítica para muchos que sólo tenían estudios relacionados con la Ingeniería de Sistemas, las Ciencias de la Computación y similares. Les iba mejor a los que tenían segundas o primeras carreras en áreas como Administración de Empresas, Ingeniería Industrial o incluso Maestrías en Administración de Negocios. Estos últimos identificaban rápidamente puntos críticos del negocio y tomaban decisiones rápidamente. También eran más habilidosos para obtener el presupuesto necesario para implementar los procesos de gestión de TI y la adquisición de herramientas que permitieran implementaciones efectivas y sólidas.
La función de TI es eminentemente técnica, pero requiere de otras habilidades no técnicas para lograr resultados de manera exitosa. Esto implica la necesidad de procesos catalizadores. De esta manera, aparte de encender equipos y operar sistemas, un gerente de TI debe de conocer que hacer en la Gestión de TI.
Lo que debe de hacer la gestión de TI ha sido definido por la Asociación de Auditoría y Control de Sistemas de Información, ISACA, a través de la investigación exhaustiva de las mejores prácticas y su uso en empresas de diferentes tamaños y tipos. Los procesos que la Gerencia de TI debe de adoptar ya están definidos y son considerados catalizadores porque acelerarán la gestión exitosa de TI, sin ser un fin en sí mismos. Por esta razón, las habilidades técnicas deben de seguir siendo el principal eje de acción de la Gerencia de TI, para planificar la adecuada infraestructura tecnológica, la selección de software a desarrollar o adquirir, los procesos de desarrollo del personal técnico y usuario de la tecnológica, con el fin importante, de apoyar significativamente los procesos de negocio. Los procesos de gestión de TI permitirán que estas importantes funciones sean mejor administradas, controladas, analizables y mejorables, proporcionando una ruta a seguir en la mejora de la Gestión de TI. Siendo redundantes, podemos decir que ayudan a mejorar la Gestión de TI, mientras se mejoran los resultados que TI provee al negocio.
La Evaluación de los Procesos de TI
Esta semana ISACA liberó los libros de evaluación de los procesos de TI de la versión 5 de COBIT. Los libros incluyen tanto el modelo de evaluación, como la guía para asesores y herramientas de diagnóstico. Revisando los documentos, recordé los momentos en los que me ha tocado discutir con gerentes de TI sobre el nivel de cumplimiento sobre un determinado proceso y la tendencia que las gerencias de TI tienen a pretender cumplir un requerimiento regulatorio con procedimientos con fallas de diseño, que a veces no son los más efectivos al momento de su implementación y que aunque no están aportando valor a la gestión del negocio, se mantienen porque no existe un criterio que defina el nivel de cumplimiento, especificando qué es y cómo se evidencia, monitorea y evalúa un determinado proceso o control. De alguna manera, esta tendencia es alimentada por pobres requerimientos regulatorios, que emiten la necesidad de implementar un control, pero no especifican medidas de evaluación objetivas, soportadas por evidencia, que muestren claramente la naturaleza auto evaluadora del control interno y su fin último de mejorar las operaciones del negocio. He visto muy pocas legislaciones que tengan ese nivel de detalle, tal vez contadas con los dedos de una mano.
En el caso de COBIT, desde la versión 4 implemento un Modelo de Evaluación de Procesos, que definitivamente ayuda a establecer una metodología de revisión, que incluso está soportada por un estándar internacional, el “ISO/IEC 15504-2:2003, Information Technology-Process assessment-part 2: Performing an assessment”. Seguir una metodología ayuda a evitar las discusiones sobre el nivel de cumplimiento o el nivel de desempeño que un control de TI debe de tener para ser considerado el necesario para el cumplimiento de los objetivos de negocios de la organización. Es definitivamente algo recomendable.
La implementación exitosa de procesos de TI se puede lograr en ambientes en los que la evaluación se entiende como un proceso independiente de aseguramiento de que los controles de TI cumplen con los requerimientos establecidos, tienen criterios de diseño bien definidos y estos son cumplidos y se ejecutan con un nivel de desempeño adecuado para el cumplimiento de los requerimientos del negocio. Esto deja claro que debe de existir en la Gerencia de TI el conocimiento de las variables por las que serán evaluados los procesos de TI y debe de ser parte de sus funciones el asegurar su implementación, funcionamiento, así como la mejora el desempeño.
La Gerencia de TI debe de pensar de manera integral la implementación de procesos de TI, teniendo una idea clara de los procesos de TI que requiere, del nivel de implementación requerido y de la forma en la que debe de autoevaluar el funcionamiento de los procesos. Esto proporciona una ruta de mejora, que permitirá a la función de TI desarrollarse mejor. Esta claridad también permitirá la división de funciones, asignando tareas de diseño e implementación a unas personas y permitiendo el ingreso de evaluadores independientes a realizar la evaluación de los procesos. Esta es la forma en la que un Framework como COBIT ayuda a comunicarse mejor, entender qué se está evaluando, aportar objetividad y facilitar la mejora continua.
Gestión y Auditoría de TI 