Novedades – COBIT
Ajuste de las cosas en claro: Convencer dirección con un valor de COBIT en Gestión de Riesgos
Aunque COBIT sigue siendo una herramienta muy valiosa para la gestión de riesgos de TI, muchas empresas de América Latina todavía se encuentran un poco confundido al tratar de entender lo que se necesita para llevar a cabo una implementación completa o parcial de COBIT.De hecho, las organizaciones siguen luchando con la forma de lograr negocios a largo plazo y los objetivos de TI a través del uso adecuado de las herramientas del marco, y el asesoramiento de profesionales con experiencia o conocimiento de causa, no se busca, porque la alta dirección menudo considera que cualquier consultoría externa como un gasto con poco o ningún retorno de la inversión.Además, debido a las múltiples fusiones y adquisiciones que tienen lugar en la actualidad, existe un interés creciente en la región en la implementación de COBIT como un marco de gestión de riesgos de TI e incluso como una forma de cumplir con las normas aceptadas a nivel mundial, en particular los EE.UU. Sarbanes-Oxley 2002(SOX).
En esos términos, el principal reto que debe ser atendido por los médicos de COBIT está animando a la alta dirección para participar activamente en el proceso de transformación para la integración y normalización de las prácticas de gestión de TI. Además, el practicante COBIT debe centrarse en ayudar a los actores involucrados entienden que «chicos de TI» son amigos interesados en llevar a la empresa al siguiente nivel y ofrecer soluciones, no enemigos que bueno llamar la atención a la hora de buscar cabezas de turco. Algunos de los elementos a tener en cuenta al implementar COBIT como una referencia para las prácticas de gestión de riesgos son los siguientes:
- Según la cascada de objetivos COBIT, todos los esfuerzos en relación con los facilitadores de la empresa debe ser impulsada por objetivos relacionados con las TI, que también son aprovechados por los objetivos de la empresa y las necesidades de los interesados, que incluye la optimización de riesgo.
- Estar de acuerdo con esta definición, el concepto y el alcance de la gobernabilidad de TI de la empresa (GEIT) debe clarificarse y comunicadas dentro de la organización para permitir el logro de los objetivos en los cuales tiene participación y la rendición de cuentas. Una vez GEIT se ha establecido, se establece la piedra angular del modelo de control interno de TI.
- Además, un modelo de negocio debe ser generado para crear una interfaz entre las expectativas de las partes interesadas y se propone como referencia en la publicación de COBIT 5 para la obtención de beneficios de negocios .Las definiciones incluidas en el modelo de negocio antes mencionado será la confirmación de que el objetivo es generar GEIT beneficios potenciales para la organización en su conjunto, teniendo en cuenta el carácter universal de TI.
- De acuerdo con el libro blanco de introducción del gobierno corporativo de TI de las empresas (GEIT) y en la experiencia de este autor, GEIT garantiza una mayor alineación de la funcionalidad de TI con las necesidades empresariales. Sin embargo, el compromiso de la dirección de la empresa al más alto nivel (por ejemplo, C-suite, consejo de administración) es fundamental para asegurar una implementación exitosa y un modelo sostenible.
Sobre la base de los hechos antes mencionados y en cada organización fondo determinada por factores tales como la industria, la tasa de automatización de sus procesos, y la regulación aplicable (por ejemplo, SOX, contra el lavado de dinero, prevención del fraude), también es importante para el practicante de COBIT para de aclarar la situación con la alta dirección de la organización sobre la cultura y las prácticas que deben ser abrazada al adoptar el marco en sus organizaciones:
- Definición de las estructuras de gobierno y de gestión necesarios para la implementación de prácticas de COBIT no es un esfuerzo de una sola vez.
- La efectividad de las prácticas de gestión de riesgos del marco depende del fomento de gestión y el fomento de facilitadores de COBIT como un compromiso primario.
- A pesar de que debe participar activamente en la definición de las prácticas, el mantenimiento de COBIT y el examen periódico deben ser patrocinados por actividad principal y dependencias de control.
- La administración debe tener en cuenta que no hay una línea de tiempo estándar para la implementación COBIT. Por lo tanto, los profesionales de COBIT deben establecer expectativas realistas con la gestión de la hora de definir y analizar los cuales se llevarán a cabo facilitadores de COBIT y el número de recursos (por ejemplo, tiempo, dinero, personas) estarán obligados a utilizar prácticas de COBIT y garantizar su sostenibilidad a través de apoyo a la vida temprana y otra examen de la gestión y las actividades de seguimiento. En algunos casos, incluso podría tomar años para llegar al nivel de madurez acordados por la empresa!
Entonces, ¿qué deben hacer los profesionales de COBIT para luchar contra estos conceptos erróneos? ¿Qué acciones va a generar más seguidores de COBIT, en base a la aplicabilidad del marco, y contrarrestar cualquier percepción de que COBIT es una excusa inventada por consultores para vender productos de alta calidad y obtener un ingreso constante sobre una base periódica? En este caso, la experiencia de los expertos, la visión y el juicio son fundamentales, no sólo para establecer una piedra angular sólida para la gestión de riesgos, sino también para asegurar los procesos de negocio serán optimizados gracias a los beneficios de COBIT, debido a la importancia asignada por la norma a los objetivos de la gestión. La presentación preparada por el implementador COBIT y las personas a las que se presenta también afectará el resultado, ya que la misma presentación no se debe utilizar para la alta dirección, áreas de negocio, personal de apoyo y de dependencias. No obstante, el mensaje principal debe seguir siendo coherente: Toda la organización es responsable del éxito de COBIT y un funcionamiento correcto, con consultas periódicas de expertos externos.
Otro factor importante es la asignación adecuada rendición de cuentas para garantizar las prácticas definidas por una correcta aplicación y actuar en concordancia con el tiempo. actividades y procesos adecuados sin la rendición de cuentas son prácticamente inútiles. La responsabilidad de las partes interesadas para cada proceso debe ser definido de acuerdo con los objetivos de negocio y necesidades, y esa persona debe actuar como traductor del plan estratégico general y como un mediador cuando el cambio es para ser implementado. La parte interesada responsable tiene que ser también conscientes del nivel de madurez del proceso, lo que se requiere para alcanzar el nivel siguiente (suponiendo que la empresa ha acordado que un mayor nivel es óptimo para el negocio) y lo que debe ser cambiado después de una revisión se lleva a cabo. Frases como «Yo no tengo que cambiarlo ya que no hemos tienen problemas de cobertura» o «Siempre he hecho las cosas de esta manera y he estado con la organización desde hace más de 20 años» plantean un enorme desafío para el actor responsable, lo que sugiere su / su papel también se debe tener en cuenta las habilidades para hacer frente al cambio y transformarla en una oportunidad para comprender la importancia y el impacto que cada factor tiene para una organización.
Con eso se dice, al iniciar una aplicación de COBIT, los profesionales deben instruir a las partes interesadas del proyecto con los siguientes mensajes:
- COBIT mantenimiento requiere recursos y la infraestructura, pero, al final, se mejorará en gran medida la postura de una organización con respecto a la gestión de riesgos.
- COBIT promueve la importancia del liderazgo y trabajo en equipo, ya que, sin la debida orientación, el compromiso y la asignación de roles y responsabilidades, las políticas, procedimientos y normas que vienen junto con la caída de COBIT en la percepción de que es un gasto.
Artículo Publicado por 