Archivo del sitio
COBIT 2019: Midiendo el desempeño del Gobierno de TI
Estamos en agosto de 2019. Hace siete años escribía en este mismo blog sobre el lanzamiento de COBIT 5. Pues bien, el tiempo pasa y la siguiente evolución de este marco de gobierno ya se ha dado. De hecho, fue lanzado en noviembre de 2018, pero recibió el nombre de COBIT 2019. Escribo hasta ahora al respecto, porque creo que si tengo resistencia al cambio en el tema de los marcos de gobierno y normas de gestión de TI en general. Igual me pasó hace siete años, yo la pasaba muy bien con COBIT 4 y no le veía por qué tener una nueva versión. En siete años he tenido la oportunidad de ir asimilando, en las diferentes experiencias de trabajo que he afrontado, la razón por la que este marco de referencia tenía que evolucionar. Como siempre hablando desde la experiencia profesional en El Salvador, no tuve la oportunidad de ver una sola implementación de COBIT 5 en el área. ¡En siete años! Puede ser sorprendente, sin embargo, así es nuestro medio, va evolucionando poco a poco, tanto así que un ciclo de 7 años parece no afectar en el cambio de prácticas de gestión de TI. Sí debo decir que los que ya tenían COBIT 4 siguieron con su implementación y las diferencias no les obligaron a cambiar. Nuevamente, la resistencia al cambio se manifiesta.
Pero profundizando un poco en el porqué de una nueva versión, debo admitir que ha esta versión si le veo mucho sentido y espero que los Gerentes de TI y los responsables de la adopción de Tecnologías de la Información en las empresas también lo entiendan. Me parece que el principal cambio en esta versión radica en hacer énfasis en el desempeño. No es que desde antes no existiera, pero es importante recalcarlo porque muchos Gerentes de TI al momento de pensar en sus procesos de gestión de TI se olvidan de que el diseño es una fase, mientras que la ejecución es el día a día, constituyéndose en la forma de entregar valor a la organización. COBIT 2019 introduce el término COBIT Performance Management (CPM) y es importante porque el desempeño es importante para el logro de objetivos, en primera instancia, y para la mejora continua, en el mediano y largo plazo. El Gobierno y la Gestión de TI no terminan cuando el proyecto de implementación de COBIT termina, ahí recién comienza. Cumplir con métricas mes a mes es importante para garantizar que los procedimientos funcionan, que el alineamiento de TI con el negocio permanece funcionando de la manera adecuada. Aún desde COBIT 4, las mejores implementaciones que he visto han incluido un Cuadro de Mando que permite, de un vistazo, conocer el estado de la Gestión de las Tecnologías de la Información. CPM está soportado por un conjunto de principios muy consistentes con las mejores prácticas observadas a través de los años. Incluso, haciendo énfasis en la autoevaluación, además de la evaluación formal, aspecto que es representativo de un sistema de control interno maduro, muy desarrollado.
En conclusión, sí ha cambiado el contexto en el cual usamos las Tecnologías de la Información en siete años, por lo que tiene sentido que se actualice el marco de gobierno para considerar una mejora en sus características. Por un lado, TI nos puede proporcionar más beneficios, pero hay que gestionarla de manera eficiente, midiendo el desempeño. Pero por otro, las Tecnologías de la Información nos han llevado a escenarios de implementación más complejos, que a la par de las ventajas traen diferentes amenazas que tienen que ser controladas, también con un nivel de desempeño óptimo. Por lo que es importante que los interesados en mejorar el desempeño de la inversión que su empresa ha realizado en las Tecnologías de la Información recurran a COBIT 2019 para buscar la mejor manera de asegurar los beneficios del uso de las Tecnologías de la Información gestionando eficientemente los riesgos y la complejidad.
Los Procesos de Gestión de TI
COBIT 5 ha generado una serie de procesos de referencia para el Gobierno de TI. El libro que describe estos procesos se llama «COBIT 5 Enabling Processes» y la traducción oficial del libro es «COBIT 5 Procesos Catalizadores». A los que no estamos en el mundo de la química, nos puede parecer difícil asimilar el término en el área de las Tecnologías de la Información.
Un catalizador es, según la Real Academia de la Lengua Española, un cuerpo (químico) capaz de producir una transformación catalítica. La Catálisis está definida, por el mismo ente, como el “Favorecer o acelerar el desarrollo de un proceso”. Sin embargo, el concepto no está limitado al área química, es por lo tanto, genérico. En el caso que nos ocupa, se trata de favorecer o acelerar el desarrollo del proceso de Gobierno de TI.
El concepto de “catálisis” queda bien al Marco de Referencia COBIT. Cuando un Gerente de TI en la década de inicio de este siglo se sentaba a dirigir las operaciones de TI de una organización, la principal dificultad era el identificar qué se tenía que llevar a cabo para una gestión exitosa, mientras la Alta Dirección presionaba por resultados inmediatos, mejoras en el servicio de TI para la organización y lo más exigentes o visionarios, la agregación de valor al negocio a través del uso de las Tecnologías de la Información. La situación era crítica para muchos que sólo tenían estudios relacionados con la Ingeniería de Sistemas, las Ciencias de la Computación y similares. Les iba mejor a los que tenían segundas o primeras carreras en áreas como Administración de Empresas, Ingeniería Industrial o incluso Maestrías en Administración de Negocios. Estos últimos identificaban rápidamente puntos críticos del negocio y tomaban decisiones rápidamente. También eran más habilidosos para obtener el presupuesto necesario para implementar los procesos de gestión de TI y la adquisición de herramientas que permitieran implementaciones efectivas y sólidas.
La función de TI es eminentemente técnica, pero requiere de otras habilidades no técnicas para lograr resultados de manera exitosa. Esto implica la necesidad de procesos catalizadores. De esta manera, aparte de encender equipos y operar sistemas, un gerente de TI debe de conocer que hacer en la Gestión de TI.
Lo que debe de hacer la gestión de TI ha sido definido por la Asociación de Auditoría y Control de Sistemas de Información, ISACA, a través de la investigación exhaustiva de las mejores prácticas y su uso en empresas de diferentes tamaños y tipos. Los procesos que la Gerencia de TI debe de adoptar ya están definidos y son considerados catalizadores porque acelerarán la gestión exitosa de TI, sin ser un fin en sí mismos. Por esta razón, las habilidades técnicas deben de seguir siendo el principal eje de acción de la Gerencia de TI, para planificar la adecuada infraestructura tecnológica, la selección de software a desarrollar o adquirir, los procesos de desarrollo del personal técnico y usuario de la tecnológica, con el fin importante, de apoyar significativamente los procesos de negocio. Los procesos de gestión de TI permitirán que estas importantes funciones sean mejor administradas, controladas, analizables y mejorables, proporcionando una ruta a seguir en la mejora de la Gestión de TI. Siendo redundantes, podemos decir que ayudan a mejorar la Gestión de TI, mientras se mejoran los resultados que TI provee al negocio.
El Control Interno de TI
Desde mi propia experiencia, aprender sobre el control interno no es fácil. Aunque la palabra control aparece en todos los libros de Gestión de Empresas y Producción de Bienes y Servicios, parece que a la mayoría de los profesionales nos entusiasma más el hacer cosas que el controlarlas sistemáticamente. Así, vemos industrias que se desarrollan haciendo cosas, con controles precarios o sin control y son exitosas. Estas experiencias exitosas en las que la falta de control no fue obstáculo para lograr objetivos, llevan a muchos profesionales de la Gestión a pensar que el control no es necesario. Tal vez sólo cuando se administra dinero, como pasa en las organizaciones financieras y entidades comerciales que manejan mucho dinero en efectivo, como los supermercados y almacenes, es que las actividades de control parecen naturales. Es decir, como se puede pensar en darle efectivo a una persona, permitirle que reciba ingresos de efectivo de los clientes y al final del día dejar que se vaya a su casa sin rendir cuentas minuciosamente de todas las transacciones realizadas durante el día. En este caso, incluso se ven controles adicionales, como el de la seguridad del lugar de trabajo, la ejecución de cortes de caja frecuentes para reducir riesgos de robo o pérdida y otros más. Esto implica que cuando se trata de ingresos, se entiende la necesidad de control. ¿Por qué no se entiende de la misma forma la protección de activos informáticos? A pesar de que han existido casos de fraude en lo que se no se roba dinero en efectivo, sino que se aplican transacciones ficticias, como pagos a créditos o descuentos no autorizados a ciertos clientes. Incluso, cosas más allá del ambiente interno, como el que se roben la información de tarjetas de crédito de los clientes de un almacén, perdiendo la confidencialidad de las operaciones. O que tal de los casos en los que se han tomado el sitio Web de una organización, perdiendo reputación. Y existen muchos casos más, pero todos estos casos, parecen no tener efecto en el entendimiento de que se necesita crear un ambiente de control interno en las operaciones de TI.
El Control Interno, es definido en COBIT 4.1. como “las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos”. Esta es una definición simple, fácil de seguir, que nos enseña que el control interno se trata de simples reglas a seguir, para documentar la forma en la que se realizan las actividades, como se realizan, como se supervisan, como se organización la empresa para asignar responsabilidades de supervisión y control. Esto permite evitar desviaciones que nos alejen de los objetivos institucionales, agregando valor y eliminando riesgos. Es cierto que en el caso de las Tecnologías de la Información las complejidades técnicas pueden llevarnos a tener dificultades para comunicar los mecanismos de control, pero por ejemplo, el especificar una política de seguridad de la información, acompañado de un plan documentado de seguridad y un manual de procedimientos de seguridad, proporcionan una mayor garantía a la Alta Dirección, de que la Gestión de TI esta efectivamente manteniendo un ambiente de control interno sano, que ha identificado los controles necesarios y los está ejecutando. Después de todo, le toca a la Auditoría Interna el verificar el diseño y efectividad de los controles, por lo que la Alta Dirección tiene así un balance de funciones para quienes le soportan todas sus operaciones y por lo tanto, no necesita conocer el detalle técnico de cada cosa. Los Auditores si necesitan saber detalles técnicos y por eso existen los Auditores de Sistemas, que normalmente son profesionales en las Tecnologías de la Información, con experiencia y certificaciones que garantizan a las organizaciones que las auditorías realizadas tendrán la calidad requerida y aportarán valor a la organización, a través del fortalecimiento del control interno.
El Método de Gestión de las Tecnologías de la Información.
Muchas veces veo en las organizaciones al personal de Tecnologías de la Información realizando un tareismo infructuoso, que no deja valor para la organización, ni satisfacción para el profesional de TI que desempeña las tareas. Siempre existen cosas urgentes que hacer, tareas que eran para ayer y no se han concluido, próximos proyectos que se prevé no se terminarán a tiempo, muchas dudas en el significado de cada tarea para todo el conjunto de servicios de TI. También veo a Gerentes de TI que se aferran a la idea de que las cosas mejorarán cuando se realice un próximo proyecto de implementación de ITIL o COBIT o cualquier estándar similar, para lo cual se ha solicitado presupuesto y tiempo, desgraciadamente medido en meses y a veces hasta años. Es impresionante el ver como las soluciones de Gestión de TI se plantean como proyectos, cuando la Gestión de TI es un proceso continuo, sujeto a mejora continua, que debe de visualizarse como una práctica común en las operaciones diarias de TI. Me parecería que a la Gestión de TI le está pasando lo mismo que le pasaba a la Gestión de la Calidad en las décadas de los 60 a los 90. Después de la revolución industrial, cuando la producción en masa se hizo común, salieron muchas teorías sobre como administrar la producción. Una de ellas fue la del Control Estadístico de la Calidad. Bajo este enfoque, la Gestión de la Producción dedicaba esfuerzos a capturar datos estadísticos de los errores, o productos fabricados con desperfectos, para ponerse como meta crear procesos de producción que redujeran el porcentaje de error anterior. Este enfoque originaba en primer lugar, ciclos infructuosos de reducción en el porcentaje de errores, para luego volver a los valores iniciales y a veces hasta sobrepasarlos. En todo caso, sea un porcentaje mayor o menor de producción con errores, era producción perdida, trabajo perdido y recursos no recuperables. A partir de los años 90, la cultura japonesa nos heredo los círculos de calidad. Bajo esta filosofía, el mismo trabajador es responsable de decir porque no se trabaja con calidad y de definir las recomendaciones para evitar los problemas que originan el producir con errores. Comparto una frase que me impacto bastante: “Es mejor medir dos veces y cortar una”. Pequeño detalle. Pero una gran realidad de los ambientes de producción, en el que gran parte del desperdicio se debe a fallos en la tarea de medición.
Pues bien, mi opinión es que al igual que los procesos de calidad modernos, la Gestión de TI debe de practicarse desde el día uno. Identificando las causas que están originando que no se avance en el objetivo de tener una coordinación adecuada entre las Tecnologías de la Información y el negocio. Creando pequeñas tareas que tengan problemas únicos a resolver y no permitiendo que los errores se cometan dos veces. Revisando el resultado de las decisiones tomadas y estando listos a resolver el siguiente problema. Este método de gestión de las TI seguramente hará funcionar mejor el soporte que las Tecnologías de la Información proporcionan al negocio, de tal manera que en el mediano plazo se perciban los beneficios y se ordene la Gestión de TI.
Aplicación de Estándares de TI
Es común, más de lo que la gente quiere admitir, que profesionales de TI tengan problemas a la hora de buscar una ruta práctica para implementar estándares. Una raíz de este problema se basa en la incomprensión completa del término, confusión con otros términos como políticas y procedimientos y la decisión o el conocimiento de qué poner en cada tipo de documento. En esta ocasión nos enfocaremos en los estándares. Para poner un punto de referencia válido de comparación, se anexa el significado de la palabra “estándar”, de acuerdo a la Real Academia Española. Mi experiencia como Ingeniero Industrial, me dejo saber hace mucho tiempo que los estándares en buen español son “normas” que se deben cumplir en orden a seguir un acuerdo común logrado sobre una forma de resolver un problema a través del trabajo de organizaciones que se dedican a la identificación, construcción, discusión y divulgación de estos acuerdos o normas. Esta es una labor importante para todas las áreas del conocimiento, no solo para las tecnologías de la información. Los estándares son los que permiten que al construir o hacer productos, estos tengan una referencia común que permita garantizar que tienen las características requeridas y que podrán operar con otros productos. Por ejemplo, la gasolina tiene que cumplir con un estándar de producción para garantizar que puede operar con cualquier marca de vehículo. Este es un ejemplo de interoperabilidad, que permite visualizar fácilmente la importancia de un estándar y como funciona, dado que sin importar quién fabricó la gasolina, el seguimiento del estándar de fabricación y de las características del producto final, las gasolinas de diferentes productores cumplen su función con un nivel de variabilidad muy pequeño. Esto es, hay un margen de tolerancia, aún en la industria, para la aplicación de estándares.
Definición de «estandar». Fuente: Sitio web de la Real Academia de la Lengua Española.
Cuando se aplican estándares a servicios o productos intangibles, como el software, el tono ha sido el buscar la unificación de diferentes teorías de conocimiento, a efectos de cerrar una discusión que sería muy extensa, dado que cada fabricante puede proporcionar su versión de “la mejor práctica a seguir”, haciendo imposible para los tomadores de decisiones tener una garantía mínima de que en la organización se está siguiendo una práctica adecuada. Los estándares en el área de las Tecnologías de la Información proporcionan los requisitos mínimos que se deben de cumplir para garantizar que se realiza una determinada función o se presta un servicio con una variabilidad muy pequeña respecto de las mejores prácticas. Esto garantiza a la Alta Dirección, que la función de TI se desempeña de una manera aceptable, conforme al conocimiento actual.
Existen estándares para todas las áreas de las Tecnologías de la Información, tanto en hardware, como en software, como en los procesos de gestión. En nuestro medio, deberíamos de estar conscientes de los estándares relacionados con la gestión de TI, para que al momento de resolver un problema, la solución siga un patrón común, que consiste en aprender qué dice el estándar que hay que considerar, evaluar su adopción completa o parcial, de acuerdo a las condiciones específicas de la organización, su tamaño, objetivos, apetito de riesgo, etc. Definir los elementos del estándar que se implementarán y proceder a su aplicación. Esto último es necesario porque en los temas de gestión de TI no todas las organizaciones necesitan aplicar un estándar completo para resolver un problema. Hay que entender que la definición de un estándar de TI, visto desde un entorno nacional, y a veces mundial, debe de considerar elementos que son necesarios en grandes corporaciones. La práctica sana es acotar el estándar aplicado en una organización para enfocar los esfuerzos en esas partes del estándar que garantizan la obtención de los beneficios esperados. Esto permite resolver el problema con el mínimo de esfuerzo y dejar un camino establecido para la mejora continua, a partir de la implementación de más partes del estándar.
Como conclusión, un Gerente de TI debería de acostumbrarse a decir ante la Alta Dirección cosas como “Se ha realizado un Plan de Seguridad, basado en la norma ISO/IEC 27001”. Este tipo de declaraciones le proporciona mayor validez a su trabajo y seguramente mejores resultados.
La Arquitectura Empresarial: los procesos de negocio.
En el año 2007, durante un viaje a Japón para entrenarme para ser un CIO, de acuerdo al estándar de ese país, conocí acerca de la Arquitectura Empresarial. Este concepto, expone la introducción de Tecnologías de la Información a las empresas a través de un enfoque metódico, que pasa por definir, a través de modelos, los procesos de negocios, la información de la organización, los sistemas, el diseño tecnológico y hasta las operaciones. Habiendo estudiado Ingeniería Industrial, tenia amplia experiencia en términos como la Reingeniería de Procesos, los círculos de calidad y la documentación de procesos de negocio. Por esa razón, asimilé el concepto de Arquitectura Empresarial con un alto grado de facilidad, como algo muy familiar. Adicionalmente, también me permitió visualizar muy fácilmente, la diferencia entre las culturas empresariales japonesas y la salvadoreña.
En primer lugar, la arquitectura empresarial obliga a tener claro los procesos de negocio. A optimizar la forma en la que se consiguen los objetivos de la organización. La discusión de los procesos, no se hace a través de ideas expuestas por uno y otro personaje en una sala de reuniones, sino a partir de un diagrama que muestra objetivamente la situación actual de la forma de hacer negocios. A partir de esta dinámica, la modificación de procesos consiste en la generación de gráficos que muestran exactamente como se realizará el proceso y las ventajas en términos de dinero, tiempo o beneficios de otra clase que tiene el modelo propuesto. De esta manera, el Ingeniero Japonés no discute, expone las mejoras, cuestiona la necesidad de una tarea, de una actividad, de un proceso, plantea escenarios de trabajo alternativos, respaldando sus ideas con diseños. Esto considerado a un nivel empresarial, muestra un modelo de negocios integral, con el que funcionará la empresa. Gracias a esta base inicial para usar tecnología en la organización, en Japón uno se encuentra con sistemas que han funcionado por más de 20 años sin cambios. Resolviendo el problema para el que fueron diseñados y sin requerir mayores inversiones en su mantenimiento. Por supuesto, es mucho más fácil diseñar sistemas optimizados y robustos en Japón, que en un país como El Salvador. Por varios motivos. Japón obliga a la utilización de la arquitectura empresarial en la integración de tecnologías a la empresa, en El Salvador no. En Japón la Arquitectura Empresarial es conocida por los profesionales que tendrán algún rol dentro del proceso de sistematización de la organización, en El Salvador no. En Japón, las horas de discusión de los procesos de negocio son vistas como necesarias, en El Salvador no.
Los empresarios salvadoreños, así como los de otros países de Latinoamérica, deben de exigir a los profesionales que laboran para ellos el aprendizaje y la puesta en práctica de estas metodologías de trabajo, como es la Arquitectura Empresarial, con el objetivo de lograr una integración de la tecnología a las organizaciones que sea eficiente, optimizada, con la integración de los procesos de negocio como primer elemento del proceso de sistematización. Ideal sería, que el gobierno creara las instancias correspondientes para definir o elegir el estándar de referencia en la integración de tecnologías. Menciono “elegir” porque en muchos países desarrollados, se han creado estándares locales de Arquitectura Empresarial, razón por la cual en El Salvador no deberíamos de reinventar la rueda, pero si seguir todos el mismo estándar.
Impacto de la gestión de TI en la economía
El término ITSM, Information Technology Service Management, en español, Gestión del Servicio de las Tecnologías de la Información, ha sido acuñado a partir de la gran difusión que ha tenido la Biblioteca de Infraestructura de Tecnologías de la Información, conocida como ITIL (Information Technology Infrastructure Library) en la gestión de los servicios de TI. El objetivo de este artículo es dirigir la atención a los orígenes de estas prácticas, que para sorpresa de muchos, viene del sector gobierno, más que de los fabricantes de tecnologías o institutos de investigación.
Si buscamos al propietario intelectual de ITIL, encontramos que es la Oficina del Gabinete del Reino Unido, una entidad que se encuentra en el centro del gobierno, destinada a coordinar y soportar a todas las áreas de gobierno en dicho país. Si nos remontamos a los orígenes de ITIL, hallaremos que nació de una organización llamada Oficina de Comercio Gubernamental, Office of Government Commerce. Esta organización es responsable de la creación de ITIL y otros marcos de referencia en áreas como la administración de proyectos, la administración de programas y la gestión de riesgos. Lo interesante de estos modelos, es que no solo fueron elaborados para dirigir las prácticas gubernamentales en dichas áreas, sino que han sido incorporadas como propiedad intelectual del Reino Unido y se han hecho disponibles, a través de medios comerciales para el uso en todo el mundo.
Lo que debe de llamar la atención es que estás prácticas fueron definidas por el Gobierno del Reino Unido como necesarias para poder coordinar las adquisiciones de tecnología con los procesos de atención a los ciudadanos, los clientes, en un ambiente que busca la optimización de recursos a través de la eficacia y la eficiencia. No puedo pensar de una organización, gubernamental o privada, que no busque estos mismos objetivos en sus operaciones. En general, la adopción de estas prácticas, terminará impactando en la economía global de cada nación. Por ejemplo, el reino unido, a través de la oficina del gabinete, reporta para este año ahorros por £5.5 billones, de los cuales más de £1 billón están relacionados a las iniciativas de las Tecnologías de la Información y Comunicaciones. La medición de estos ahorros, no sería posible, sino se estuviesen siguiendo metodologías que permitan conocer el nivel de inversión y el costo real de las operaciones en TI, que es el verdadero control que interesa a los gobiernos y a las empresas.
Hay que entender bien, que el Reino Unido no es un gobierno que limita el uso de las tecnologías de la Información como un medio para reducir gastos. Más bien, lo utiliza como un instrumento de optimización de procesos de negocio, en un marco de procesos de gestión de TI, estandarizado, que permite tomar las decisiones correctas para invertir en TI y hacer un uso óptimo de dicha inversión. La misma tendencia es observada en otros países como Estados Unidos, Japón y Corea del Sur. Estos países están, desde hace más de 15 años, siguiendo el paso de una Economía digital, que se basa cada vez más en el uso de las TI, que crece y que se gestiona a través de procesos de gestión de TI, ya sean estos los que indique ITIL, COBIT u otro estándar o norma similar. Empresas privadas en estos países, siguen la misma tendencia de sus gobiernos, gestionando el uso de las Tecnologías de la Información de similar manera, contribuyendo a la creación de una mejor economía.
Gestión y Auditoría de TI 