Follow us on:
Perspectives

Articles tagged with: COBIT 5

Sobre responsabilidad del consejo de administración: Ley de Buen Gobierno

Wednesday, 10 December 2014 Manolo Palao Posted in iTTi Views

Aprobado por el Consejo de Ministros -el día 23 de Mayo de 2014- el proyecto de Ley de sociedades de capital y mejora de gobierno corporativo. 

“Algunas de las modificaciones introducidas son que los administradores de empresas que cotizan en Bolsa deberán aprobar las operaciones tributarias relevantes de sus empresas. El artículo 41 del proyecto de Ley enumera cuáles son las "facultades indelegables" del consejo de administración. Entre ellas incluye la siguiente: "La aprobación de las inversiones u operaciones de todo tipo que por su elevada cuantía o especiales características, tengan carácter estratégico o especial riesgo fiscal, salvo que su aprobación corresponda a la junta general". Además, en otro apartado del mismo artículo añade: "La determinación de la política de control y gestión de riesgos, incluidos los fiscales...".” según aparece en el diario “El País” el día 26 de Mayo de 2014 pasado. 

Examinando otros países, se puede apreciar que el aumento de la responsabilidad de los Consejos de Administración es una tendencia que se extiende por los países de nuestro entorno. El proyecto de Ley de sociedades de capital para mejora del gobierno corporativo está inspirado en la normativa que han seguido dichos países, como por ejemplo: 

- En Reino Unido los directores financieros de las compañías cotizadas deben emitir un certificado con carácter anual asegurando la idoneidad de los sistemas de aplicación de impuestos y control de riesgos fiscales. 

- En Estados Unidos la Ley Sarbanes-Oxley y la norma contable FIN 48 garantizan que se controlen los riesgos fiscales. El control tributario de EE UU es tan exigente que existe una comisión en el congreso que investiga supuestas prácticas fiscales. Hace unos meses llamó a declarar a los primeros ejecutivos de las primeras compañías tecnológicas del país para que explicaran sus estrategias fiscales, cuestionadas en algunas jurisdicciones. 

- La autoridad fiscal de Canadá está analizando el riesgo tributario de las multinacionales. Las compañías que tengan un control fiscal elevado y sean cooperativas tendrán un control blando. 

- La normativa de Australia establece que para que las empresas sean consideradas socialmente responsables deben tener un plan detallado de riesgos fiscales. 

- Holanda, por su parte, ha establecido un sistema de relación cooperativa entre la autoridad fiscal y las compañías. De esta forma, las empresas que remitan a su Hacienda el plan detallado de riesgos fiscales recibirán un control menos exhaustivo. 

Pero, en estas modificaciones se hecha de menos la responsabilidad del Consejo de Administración acerca del Gobierno Corporativo de las TI, que como tal “Gobierno” debe ser un tema “indelegable”. Por ejemplo, el tema de riesgos tecnológicos debería estar explícitamente, al igual que “... control y gestión de riesgos, incluidos los fiscales”. 

Según “COBIT 5”, el marco de Gobierno Corporativo de TI, de ISACA,: 

"El consejo de administración, asistido por el comité de riesgos y auditoria, se asegurará de que el rendimiento del grupo de GEIT  es evaluado, supervisado, informado y conocido en un comunicado GEIT como parte del informe integrado. Tal afirmación se basará en los informes obtenidos de los equipos de riesgos, cumplimiento y auditoría interna y de la gestión de cada compañía filial significativa, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del desempeño del grupo de GEIT". 

"El consejo de administración hará que se informe sobre GEIT como parte del informe integrado, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del GEIT". 

Pero de esto se tienen que enterar los miembros de los consejos de administración, o los órganos legislativos, si aquellos no se dieran por enterados.  

* * *

 

COBIT 5 y el concepto de alineamiento

Wednesday, 20 August 2014 Miguel Garcia-Menendez Posted in Corporate Governance of IT

Las conversaciones mantenidas en cierta red social profesional siguen ofreciendo un rico escenario para el intercambio de ideas. Lo afirmé en mi primera intervención en este medio[i] y aún lo sigo manteniendo. 

Hace tan sólo unos días, un buen amigo, Óscar, advertía sobre la desaparición del término “alineamiento” en COBIT 5. Mis reflexiones sobre el particular quedan resumidas en la siguiente radiografía del modelo.

1. COBIT y el alineamiento: enfoque filosófico básico

Si algo ha sido COBIT en los últimos años, particularmente a partir de 2005 con la publicación de la versión 4.0, es un modelo para el alineamiento entre TI y el resto_del_negocio[ii]. Más allá de ofrecer un árbol de dominios, procesos y actividades - aún hoy, muchos no han avanzado más en su conocimiento de COBIT-, incorporó en sus apéndices algo totalmente revolucionario: las matrices de relación Metas para el resto_del_negocio-Metas para TI-Procesos para TI, siendo esta aportación diferencial, frente a otros conocidos marcos y normas basados en procesos, lo que convirtió a COBIT en “EL” marco de referencia para el alineamiento de TI con el resto_del_negocio.

Tan relevante fue dicha aportación hecha por la Universidad de Amberes a través de su IT Governance & Alignment Research Institute[iii], que se mantuvo y se revisó para la siguiente versión del modelo, COBIT 4.1 (2007) y se ha constituido en pieza central de la versión en vigor, COBIT 5 (2012). 

Podría pensarse, incluso, que la pronta revisión realizada en 2007 de un, todavía, joven COBIT 4.0, tuvo bastante que ver con esos apéndices. 

A pesar de la supresión del objetivo de control detallado ME4.2 Strategic Alignment (alineamiento estratégico) que existía en COBIT 4.1, la nueva versión declara al respecto que “In COBIT 5, alignment is considered to be the result of all governance and management activities” (en COBIT 5, se considera el alineamiento como el resultado de todas las actividades de gobernanza y gestión). 

Dicha declaración no hace sino subrayar lo señalado arriba, esto es, la consideración de todo el marco COBIT como un modelo para el alineamiento. 

Sin embargo, en contra de lo que el propio COBIT 5 declara, resulta oportuno indicar que el antiguo proceso ME4. Provide IT Governance (proporcionar gobierno corporativo de TI) y, con él, su subproceso ME4.2 no han desaparecido realmente, sino que subyacen en COBIT 5 a las prácticas y actividades de procesos como EDM01. Ensure Governance Framework Setting and Maintenance (garantizar el establecimiento y el mantenimiento de un marco de gobernanza) y EDM02. Ensure Benefits Delivery (Garantizar la materialización de beneficios). 

La conclusión de todo ello es que el alineamiento está absolutamente presente dentro de COBIT 5, hasta el punto de constituir una de sus partes más nucleares, si no la más.

2. COBIT y el alineamiento: los objetivos genéricos

Una rápida observación de las citadas matrices de objetivos genéricos, para el resto_del_negocio y para TI, permite identificar fácilmente un claro aroma a alineamiento en algunos de ellos. Sirvan como ejemplo los tres siguientes:

- La meta para el resto_del_negocio número 1: Stakeholder value of business investments (valor de las inversiones de negocio -incluidas las de trasfondo tecnológico- para los diferentes grupos de interés).

- La meta para TI número 1: Alignment of IT and Business strategy (alineamiento de las estrategias del resto_del_negocio y de TI).

- La meta para TI número 7: Delivery of IT services in line with Business requirements (entrega de servicios de TI en línea con las demandas del resto_del_negocio). 

Por cierto, las llamadas “metas para TI”, al final, son también objetivos del resto_del_negocio, puesto que son los objetivos que espera de TI. 

3. COBIT y el alineamiento: los procesos 

- APO02. Manage strategy (gestionar la estrategia), cuyo fin no es otro que “Align strategic IT plans with Business objectives“(alinear los planes estratégicos de TI con los objetivos del resto_del_negocio).

- APO03. Manage Enterprise Architecture (gestionar la arquitectura de empresa), en cuya definición aparece una nítida referencia a “Improve alignment” (mejorar el alineamiento).

4. COBIT y el alineamiento: referencias adicionales

En 2003, ISACA decía[iv] que “Fundamentally, IT governance is concerned about two things: IT’s delivery of value to the Business and mitigation of IT risks. The first is driven by strategic alignment of IT with the Business. The second is driven by embedding accountability into the enterprise” (básicamente, el gobierno corporativo de TI se refiere a dos cosas: la entrega de valor para el negocio, por parte de TI, y la mitigación de los riesgos vinculados a TI. Lo primero se logra mediante el alineamiento estratégico de las TI con el negocio. Lo segundo, integrando la rendición de cuentas dentro de la empresa). 

La frase resulta demoledora porque pone de relieve dos pilares básicos del gobierno corporativo de TI: la rendición de cuentas (imputabilidad) y el alineamiento (sincronización); los cuales, no pocas veces, están en la génesis de todos los problemas a los que se enfrentan las áreas de TI, y, por ende, las organizaciones. 

Por otra parte, bajo el referido mensaje de COBIT 5 -”alignment is considered to be the result of all governance and management activities“- se advierte de nuevo la mano del IT Alignment & Governance Research Institute, cuyos responsables, los profesores Van Grembergen y De Haes, decían en 2008[v] que “the ultimate goal of IT governance is the alignment of information technology with the business, often referred to as strategic alignment” (el objetivo último del gobierno corporativo de TI es el alineamiento de las tecnologías de la información con el negocio, a menudo denominado alineamiento estratégico). 

Los mismos autores publicaban en 2009 una obra de título igualmente revelador: “Enterprise Governance of IT: Achieving Alignment and Value“[vi], insistiendo en su idea del logro del alineamiento como una meta, más que como un motor.

Lo anterior recuerda el cuento de quién fue primero, ¿el huevo o la gallina? Dicho de otro modo, cabe pensar que:

1. El alineamiento resto_del_negocio y TI es resultado de la puesta en marcha, dentro de la organización, de un adecuado sistema de gobierno corporativo [de TI] y,

2. Al mismo tiempo, la existencia de un correcto engranaje (alineamiento) entre el resto_del_negocio y TI contribuye a que el sistema de gobierno corporativo [de TI] de la organización funcione óptimamente.

Por último cabe reseñar un párrafo -lamentablemente suprimido en la edición final de COBIT 5, pero que aparecía en un borrador[vii] y que decía así (pág. 63): “Alignment is not a specific (process) activity, but is achieved through successful execution of the processes in the governance and management areas. The combination of the ‘evaluate’ and ‘direct’ governance practices in the governance area and the resulting direction given to management constitutes alignment” (El alineamiento no es una actividad (proceso) específica, sino que se alcanza mediante la exitosa ejecución de los procesos que conforman las áreas de gobernanza y gestión. La combinación de las prácticas ‘evaluar’ y ‘establecer la dirección’ del área de gobierno corporativo y la propia dirección resultante indicada a los ejecutivos constituyen el alineamiento). 

En conclusión y, sin duda, una buena sincronización estratégica hará que las cosas funcionen bien; pero este último párrafo no parece que suene del todo mal ¡Si hace las cosas “bien”, al final, TI estará actuando con y para el resto_del_negocio (del que, naturalmente, forma parte)! 

* * *

This article was originally released by Mexican magazine "Magazcitum", on July, 11th, 2014.

------------------------------------

[i] García-Menéndez, Miguel. “COBIT 5, ¿un marco de referencia de negocio?”. Magazcitum, 6 de marzo de 2013. 

[ii] El autor prefiere emplear a lo largo del texto el término “resto_del_negocio”, en lugar del más habitual “negocio”, por entender que TI es una parte más del negocio/organización a la que da servicio. 

[iii] Universidad de Amberes. Escuela de Dirección de Amberes. Instituto para la Investigación del Alineamiento y el Gobierno Corporativo de las TI.

[iv] IT Governance Institute. “Board Briefin on IT Governance, 2nd edition”, 2003.

[v] Van Grembergen, Wim; Steven De Haes. “Implementing Information Technology Governance. Models, Practices and Cases”, IGI Publishing, 2008.

[vi] Van Grembergen, Wim; Steven De Haes. “Enterprise Governance of IT: Achieving Alignment and Value”, Springer, 2009. 

[vii] ISACA. “COBIT 5 Exposure Draft”, 27 de junio de 2011. 

 

COBIT 5—a business framework?

Wednesday, 12 June 2013 Posted in Corporate Governance of IT

In a popular professional social network recently, an individual penned a post suggesting that considering COBIT 5 a “business framework” was nonsense. He challenged readers to provide an explanation to justify such a definition for ISACA’s model.

Here goes mine! In its early years, COBIT was more of an IT model. Nonetheless, its latest edition—COBIT 5—has actually evolved into a “business framework.” This needs clarification; otherwise it would be easy to make the mistake of thinking that we are talking about a model for traditional business processes, such as sales, engineering, marketing, etc.

Nothing could be further from the truth! This is clearly detailed by ISACA, which describes COBIT 5 as “a business framework for the governance and management of enterprise IT.” That means—as anyone who knows the model’s background can tell you—that the new version maintains a focus on IT but with a more pronounced business approach and emphasis. The stakeholders on the business side can benefit along with those on the IT side. In other words, driving and controlling (governing) the IT behavior within any organization goes beyond the CIO’s realm.

In this way, COBIT 5 becomes a framework for the corporate governance of IT. Previous editions—from the first COBIT, introduced in 1996, to 2007’s COBIT 4.1—focused more on practices to help the CIO better manage the IT shop.

Of course, the message of COBIT 5 is not a new one. This message emerged seven years ago, back in 2006 when Val IT was born. Val IT was the first of ISACA’s models that provided a business standpoint of IT and its related issues, highlighting that there are many IT-related activities that should be performed by the “business people,” not the IT team.

If you explore this idea through the RACI matrix, to model the number of accountabilities and responsibilities beyond the CIO’s, you see how COBIT 5 is a framework not exclusively designed for the IT team.

Since it is a collection of good practices to be adopted and adapted in the implementation of an overarching IT governance-and-management system, COBIT 5 can be—should be—referred to as a business framework for the governance and management of enterprise IT.

There is nothing nonsensical about that.

 

This article was originally released by ISACA's "Now" blog, on June, 12th, 2013.

COBIT 5, ¿un marco de referencia de negocio?

Wednesday, 06 March 2013 Posted in Corporate Governance of IT

La pregunta que intitula este primer artículo -de una serie con la que se ofrecerá opinión y análisis sobre el panorama tecnológico corporativo actual- era planteada, recientemente, en uno de los foros de discusión de una afamada red social de carácter profesional. El autor de la consulta parecía haberla formulado, no sin cierta intencionalidad, insinuando que tal cosa -hablar de “marco de referencia de negocio”-  sonaba poco menos que a disparate y retando a los lectores a que le pintasen una figura con la que pudiese quedar representado semejante concepto.

Sin ánimo de pretender corregir al citado individuo sirvan las siguientes reflexiones como aclaración a la duda por él planteada y, de paso, como brevísima introducción a algunos conceptos que subyacen a la aparición de COBIT 5[i], el modelo de buenas prácticas de ISACA[ii].

La cuestión de cabecera se origina por la nueva consideración que ISACA tuvo para su creación. Identificado tradicionalmente como un modelo de TI, en su última versión ha sido rebautizado como un “marco de referencia de negocio”. Ello requiere una matización pues de otro modo, resultaría fácil caer en el error de pensar que de lo que se está hablando es de un modelo para los procesos tradicionales del negocio, tales como la atención al cliente, el diseño e ingeniería de producto, el desarrollo de nuevos mercados, etcétera.

¡Nada más lejos de la realidad! Y para ello -de ahí la señalada intencionalidad del autor de la consulta original- no hace falta más que leer el título completo de la guía COBIT, que reza[iii]A Business Framework for the Governance and Management of Enterprise IT”. Ello significa  -como cabría esperar por cualquiera que conozca los antecedentes del modelo- que esta nueva versión sigue hablando de las TI pero con un acento de negocio aún más marcado.

En definitiva el nuevo título sugiere que el lector de COBIT ha de leerlo desde una óptica de negocio. Quienes han de captar los mensajes de COBIT han de ser, mayoritariamente, aquellos que se ocupan del negocio de la organización (no de TI). Dicho de otro modo, dirigir y controlar el “comportamiento” de las TI, dentro de cualquier organización, trasciende el perímetro del CIO[iv].

De ese modo, COBIT 5 se convierte por primera vez en un verdadero marco de referencia para el gobierno corporativo de las TI. Las versiones precedentes -de la 1 (1996) a la 4.1 (2007)-  nunca pasaron de ser conjuntos de buenas prácticas para ayudar al CIO a gestionar mejor el departamento de TI.

El mensaje no es nuevo en absoluto; surgió por vez primera hace siete años, en 2006, con el nacimiento de Val IT. Este -del cuál COBIT 5 es heredero- sí fue el primer modelo de ISACA que ofreció una perspectiva de las TI y de sus problemáticas asociadas desde la óptica del negocio, con una clara indicación en el sentido de que hay un cúmulo de actividades relacionadas con las TI que deben ser ejecutadas por la “gente de negocio”, no por el grupo de TI.

Volviendo a COBIT 5, bastaría “asomarse” a las matrices RACI[v] que incorporan el modelo para comprobar las numerosas altas responsabilidades (A) y responsabilidades (R) asociadas a perfiles, más allá del propio de CIO. Definitivamente esto hace de COBIT 5 un marco de referencia dirigido no al equipo de TI  (o, al menos, no SOLO al equipo de TI), a diferencia de CobiT 4.1 y versiones anteriores.

En suma, siendo COBIT 5 una colección de buenas prácticas (que han de ser adoptadas y adaptadas) para poner en marcha un sistema de gobierno corporativo de TI (y también de gestión), no es extraño referirse a él como “marco de referencia de negocio (para el gobierno y la gestión de las TI de la empresa)".


PD. El documento "COBIT 5 Design Paper. Expore Draft" publicado por ISACA el 22 de marzo de 2010, brinda una representación gráfica muy clara de lo explicado más arriba. La figura 6, página 14, muestra de izquierda a derecha cómo la responsabilidad sobre los diferentes procesos COBIT varía desde TI (los situados más a la izquierda), hasta el negocio (los de la derecha), en función de su "sustancia". ¡Tal vez sea la figura que estaba buscando quien planteó la duda inicialmente!

 

This article was originally released by Mexican magazine "Magazcitum", on March, 6th, 2013. 



[i] COBIT 5. Última revisión del modelo de buenas prácticas para el gobierno corporativo y la gestión de las Tecnologías de la Información, creado por ISACA en 1996. Esta vigente versión del modelo, anteriormente llamado “Objetivos de Control para la Información y sus Tecnologías Afines”, vio la luz el pasado 10 de abril de 2012.

[ii] ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de Información. Creada en 1969, hoy la asociación profesional ISACA está presente en casi un centenar de países a través de su red de más de doscientos capítulos, ofreciendo servicios a su comunidad de profesionales procedentes de las disciplinas del Control Interno de las Tecnologías de Información, Auditoría de los Sistemas de Información, Seguridad de la Información y Gobierno Corporativo y Gestión de las Tecnologías de la Información.

[iii] El autor hace referencia a la edición en inglés del marco COBIT 5. Durante el proceso de edición de este artículo, ha visto, también, la luz la edición en español, traducida en el Capítulo de Madrid de ISACA y disponible en la dirección electrónica http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.

[iv] CIO. Director de Sistemas de Información (del inglés, Chief Information Officer).

[v] RACI. (R)esponsable, (A)lto responsable (del inglés, accountable), (C)onsultado, (I)nformado.

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk