Esta semana ISACA liberó los libros de evaluación de los procesos de TI de la versión 5 de COBIT. Los libros incluyen tanto el modelo de evaluación, como la guía para asesores y herramientas de diagnóstico. Revisando los documentos, recordé los momentos en los que me ha tocado discutir con gerentes de TI sobre el nivel de cumplimiento sobre un determinado proceso y la tendencia que las gerencias de TI tienen a pretender cumplir un requerimiento regulatorio con procedimientos con fallas de diseño, que a veces no son los más efectivos al momento de su implementación y que aunque no están aportando valor a la gestión del negocio, se mantienen porque no existe un criterio que defina el nivel de cumplimiento, especificando qué es y cómo se evidencia, monitorea y evalúa un determinado proceso o control. De alguna manera, esta tendencia es alimentada por pobres requerimientos regulatorios, que emiten la necesidad de implementar  un control, pero no especifican medidas de evaluación objetivas, soportadas por evidencia, que muestren claramente la naturaleza auto evaluadora del control interno y su fin último de mejorar las operaciones del negocio. He visto muy pocas legislaciones que tengan ese nivel de detalle, tal vez contadas con los dedos de una mano.

En el caso de COBIT, desde la versión 4 implemento un Modelo de Evaluación de Procesos, que definitivamente ayuda a establecer una metodología de revisión, que incluso está soportada por un estándar internacional, el “ISO/IEC 15504-2:2003, Information Technology-Process assessment-part 2: Performing an assessment”. Seguir una metodología ayuda a evitar las discusiones sobre el nivel de cumplimiento o el nivel de desempeño que un control de TI debe de tener para ser considerado el necesario para el cumplimiento de los objetivos de negocios de la organización. Es definitivamente algo recomendable.

La implementación exitosa de procesos de TI se puede lograr en ambientes en los que la evaluación se entiende como un proceso independiente de aseguramiento de que los controles de TI cumplen con los requerimientos establecidos, tienen criterios de diseño bien definidos y estos son cumplidos y se ejecutan con un nivel de desempeño adecuado para el cumplimiento de los requerimientos del negocio. Esto deja claro que debe de existir en la Gerencia de TI el conocimiento de las variables por las que serán evaluados los procesos de TI y debe de ser parte de sus funciones el asegurar su implementación, funcionamiento, así como la mejora el desempeño.

La Gerencia de TI debe de pensar de manera integral la implementación de procesos de TI, teniendo una idea clara de los procesos de TI que requiere, del nivel de implementación requerido y de la forma en la que debe de autoevaluar el funcionamiento de los procesos. Esto proporciona una ruta de mejora, que permitirá a la función de TI desarrollarse mejor. Esta claridad también permitirá la división de funciones, asignando tareas de diseño e implementación a unas personas y permitiendo el ingreso de evaluadores independientes a realizar la evaluación de los procesos. Esta es la forma en la que un Framework como COBIT ayuda a comunicarse mejor, entender qué se está evaluando, aportar objetividad y facilitar la mejora continua.