1. Principio: Atender las necesidades de las partes
1.1. Las partes interesadas (stakeholders) son la razón de la existencia de las organizaciones. Las organizaciones existen para atender un determinado propósito. Por tanto, deben crear valor para sus partes interesadas, como forma de mantener el equilibrio entre la entrega de valor y la optimización del riesgo y de los recursos. Consecuentemente, cualquier organización, independientemente del tamaño, naturaleza y finalidad, debe tener la creación de valor como uno de los objetivos de gobernanza.
1.2. jj
1.2.1. Necesidades de las partes interesadas
1.2.1.1. COBIT 5 presupone que cada organización debe identificar las necesidades de sus partes interesadas, traducirlas en términos de objetivos corporativos de alto nivel y, posteriormente, identificar los objetivos de TI correspondientes. Las necesidades de las partes interesadas pueden relacionarse a aspectos sociales, económicos, tecnológicos y ambientales, por ejemplo.
1.2.2. Entrega de valor
1.2.2.1. 2.1
1.2.2.1.1. Los beneficios (valores) para la organización pueden relacionarse a aspectos financieros, sociales, tecnológicos y/o ambientales. La entrega de valor en las organizaciones está directamente relacionado a la misión de la empresa, esto es, a su razón de existir, considerando, además, su naturaleza, porte, área de acción y objetivos de negocio.
1.2.2.2. 2.2
1.2.2.2.1. La creación de valor para la organización se alcanza cuando existe un equilibrio entre la generación de beneficios, la optimización de riesgos y la optimización de recursos.
1.2.3. Optimización de riesgos
1.2.3.1. 3.1
1.2.3.1.1. 3.1.1
1.2.3.1.2. Según la ISO GUIA 73 Gestión de riesgos – Vocabulario, riesgo es la combinación de probabilidades de un evento y sus consecuencias. Como uno de los objetivos de gobernanza, la optimización del riesgo implica su reconocimiento, su evaluación de impacto y probabilidad de ocurrencia así como el desarrollo de estrategias para minimizar el riesgo, reducir su efecto negativo y/o transferirlo, de forma que sea administrado en el contexto de la empresa y de su apetito de riesgo
2. Principio: cubrir la organización de punta a punta
2.1. COBIT considera que la gobernanza y la gestión de TI son aplicables a toda la organización. Para ello, el modelo adopta el término “punta a punta” (extremo a extremo). De esta forma, la gobernanza abarca las áreas estratégicas, tácticas y operacionales de las organizaciones, así como a todas las personas responsables del desempeño de sus actividades en el contexto de la empresa
2.1.1. En esta perspectiva, COBIT tiene como propósito: Integrar la gobernanza de TI a la gobernanza de la organización, esto es: el sistema de gobernanza corporativa de TI debe estar alineado con cualquier otro sistema de gobernanza. Cubrir todas las funciones y procesos necesarios para regular y controlar las informaciones de la organización y las tecnologías utilizadas.
2.1.1.1. Gobernanza de punta a punta
2.1.1.1.1. El enfoque de la gobernanza de punta a punta propuesto por COBIT está representado en esta figura. Este esquema, basado en el principio anterior (anterior figura), identifica los principales componentes de un sistema de gobernanza y de interacción de las partes involucradas en esta estructura.
2.1.1.1.2. La “creación de valor” representa el principal objetivo de la gobernanza, tal como se describe en el Principio 1. El principio 2 detalla cada componente del sistema de gobernanza propuesto en COBIT, en el contexto del enfoque de “punta a punta”.
2.1.1.2. Habilitadores de gobernanza
2.1.1.2.1. Algo (tangible o intangible) que apoya al éxito de la gobernanza. Factores que interfieren en el éxito de la gobernanza Componentes esenciales y necesarios para la gobernanza corporativa
2.1.1.3. COBIT define siete habilitadores para un eficiente sistema de gobernanza:
2.1.1.3.1. 1. Principios, políticas y modelos; 2. Procesos; 3. Estructuras Organizacionales; 4. Cultura, Ética y Comportamiento; 5. Información; 6. Servicios, Infraestructura y Aplicativos; 7. Personas, Habilidades y Competencias, a través de los cuales todas las acciones de gobernanza deben ser orientadas para el alcance de los objetivos corporativos
2.1.1.4. Alcance de la gobernanza
2.1.1.4.1. El alcance de la gobernanza abarca a toda la organización, área de negocios, activos tangibles e intangibles. También se pueden definir diferentes visiones de la organización en la cual la gobernanza es aplicable.
2.1.1.4.2. La definición del alcance del sistema de gobernanza de la organización es fundamental para encarrilar los esfuerzos necesarios para su aplicación en la organización según los diversos enfoques.
2.1.1.4.3. El alcance puede estar relacionado con la gestión de proyectos, evaluación de riesgos, seguridad de la información, desarrollo de sistemas, entre otros. Cada organización debe definir el alcance de la gobernanza.
2.1.1.5. Funciones, actividades y relaciones
2.1.1.5.1. Este componente genérico del sistema de gobernanza se refiere a las funciones, actividades y relaciones para lograr el éxito en el sistema de gobernanza.
2.1.1.5.2. Este sistema identifica los principales componentes a ser adoptados en una estructura organizacional.
3. Principio: Aplicar una estructura única e integrada
3.1. De acuerdo a lo descrito en el primer capítulo, existen diversas normas ISO, normas de mercado y buenas prácticas relacionadas con las Tecnologías de Información (TI). Cada estructura está compuesta por orientaciones específicas para un subconjunto de actividades de TI dependiendo del alcance y cobertura del modelo de referencia utilizado.
3.1.1. COBIT tiene como tercer principio actuar como una estructura unificada integrada de alto nivel para la gobernanza y gestión de TI en la organización, alineándose a las otras normas, modelos y frameworks de buenas prácticas de TI.
3.1.1.1. También, COBIT puede ser considerado como una estructura única e integrada, porque tiene como premisa las siguientes prerrogativas:
3.1.1.1.1. Se basa en una arquitectura simple para estructurar las guías de orientaciones, a partir de un conjunto de productos;
3.1.1.1.2. Se alinea con otras normas y estructuras de mercado, permitiendo que la organización use este modelo como elemento integrados de la estructura de gobernanza y de gestión;
3.1.1.1.3. Es completo, cubriendo toda la empresa, ofreciendo una base para integrar con otras estructuras, normas y prácticas utilizadas
3.1.1.1.4. Integra el conocimiento provisto por otras normas de ISACA, por ejemplo COBIT 4.1, Val IT, Risk IT, BMIS, la publicación Board Briefing on IT Gobernance e ITAF.
3.1.1.2. COBIT 5 como modelo integrado de buenas prácticas
3.1.1.2.1. La siguiente figura sintetiza cómo COBIT 5 es utilizado como una estructura integrada para ser considerado un modelo único para el sistema de gobernanza de las organizaciones.
4. Principio: Permitir un enfoque holístico
4.1. Según el principio “Permitir un enfoque holístico”, la gobernanza y la gestión de TI de las organizaciones, para ser eficientes y eficaces, requieren un enfoque sistémico que considere diversos componentes entrelazados.
4.1.1. De esta forma COBIT define un conjunto de Guías Habilitadoras para apoyar la implementación de un sistema abarcador de gobernanza y de gestión de TI para las organizaciones. Estas guúas habilitadoras tienen como objetivo facilitar y auxiliar a la organización a alcanzar los objetivos corporativos.
4.1.1.1. Introducción a los siete habilitadores de COBIT 5
4.1.1.1.1. Los habilitadores son factores que, individualmente y/o en conjunto, influencian en el hecho de si algo va a funcionar efectivamente o no en un contexto definido.
4.1.1.1.2. 1- Principios, Políticas y Modelos Son instrumentos para traducir el comportamiento deseado por la gerencia en orientaciones prácticas para el día a día de la gestión
4.1.1.1.3. 2- Procesos Representa un conjunto de prácticas y actividades para alcanzar determinados objetivos, produciendo un conjunto de resultados en apoyo a la consecución general de los objetivos de TI
4.1.1.1.4. 3- Estructuras organizacionales Representa las principales entidades de toma de decisión en una organización
4.1.1.1.5. 4- Cultura, ética y comportamiento Representa un factor de éxito en las actividades de gobernanza y gestión relacionada con las personas y la organización, aunque es subestimado por la administración. Es el conjunto de creencias, ideas, prácticas y comportamientos, individuales y colectivos. Pertenecen a los individuos y, de forma colectiva, a la organización
4.1.1.1.6. 5- Información Penetra en toda la organización e incluye toda la información producida y utilizada por la organización. Es necesaria para mantener la organización en movimiento y bien regulada, más a nivel operacional, es muchas veces el principal producto de la organización
4.1.1.1.7. 6- Servicios, infraestructura y aplicativos Representa los recursos tecnológicos que proveen a la organización los servicios relacionados con TI
4.1.1.1.8. 7- Personas, habilidades y competencias Representa las personas necesarias para el éxito en la realización de todas las actividades
5. Principio: Separar la gobernanza de la gestión
5.1. La estructura del modelo de referencia de procesos de COBIT diferencia gobernanza de gestión. Para COBIT, estas dos disciplinas comprenden actividades y estructuras organizacionales diferenciadas, y tienen propósitos y objetivos distintos.
5.1.1. Concepto de gobernanza
5.1.1.1. La gobernanza debe garantizar que las necesidades, condiciones y direccionamiento de las partes interesadas sean evaluados a fin de determinar objetivos corporativos equilibrados y consensuados a ser alcanzados.
5.1.1.2. La gobernanza define la orientación, la toma de decisiones y monitorea el desempeño y la conformidad en relación con las orientaciones y a los objetivos consensuados.
5.1.2. Concepto de gestión
5.1.2.1. La gestión es responsable por la planificación, creación, ejecución y monitoreo de las actividades en consonancia con la orientación definida por el área de gobernanza a fin de alcanzar los objetivos corporativos
5.1.2.2. En la mayoría de las organizaciones, la gobernanza generalmente es de responsabilidad del Consejo de Administración (CA), bajo el liderazgo del presidente. En organizaciones más complejas y grandes, las responsabilidades de gobernanza específicas pueden ser delegadas a estructuras organizacionales de menor nivel.
5.1.2.3. Por otro lado, la responsabilidad sobre la gestión, en la mayoría de las organizaciones, le corresponde a la Dirección Ejecutiva (DE), bajo el liderazgo del Director Ejecutivo (CEO). Cada organización posee una estructura organizacional diferenciada, de acuerdo con sus necesidades
5.1.2.4. Además, considerando la distinción entre gobernanza y gestión, COBIT, con énfasis en el habilitador “Procesos”, se define un conjunto de procesos específicos para cada una de estas dos áreas.
5.1.3. Modelo de referencia de procesos
5.1.3.1. COBIT sugiere que las organizaciones implementen procesos de gobernanza y de gestión de tal forma que las principales áreas de las estructuras organizacionales estén cubiertas por un modelo de referencia.
5.1.3.2. La siguiente figura muestra el conjunto de 37 procesos del modelo de referencia descritos en COBIT. Estos procesos están divididos en 5 procesos para gobernanza de TI y 32 procesos para gestión de TI.