Reminiscencias Basadas en COBIT

Lucio Molina Focazzio | CISM | CRISC | CISA | ITIL

CEO LMF/ GovernaTI | COBIT Trainer | Certified Assesor

raíz de los 20 años de CoBiT estaba pensando en el día que conocí a Erik Guldentops[1], en un evento al que asistí como Vicepresidente Internacional de ISACA en Australia en el 2006. Erik, un belga, docente retirado y catalogado como el padre de CoBiT por haber liderado su desarrollo desde sus inicios y por ello es el único miembro vitalicio de ISACA, me habló un poco de sus experiencias con CoBiT demostrando su gran sencillez y conocimiento. Luego, gracias a información provista por Elia Fernandez, la chavita que siempre fue nuestra gran representante en ISACA HQ (Headquarters, sede principal de ISACA ubicada en Chicago) nos remontamos por allá a 1996  cuando se llevó a cabo un North América CACS en la ciudad de Houston, Texas, durante el cual se llevó a cabo el Primer Taller de COBIT impartido por Erik y por John Lainhart[2] de Estados Unidos.

De acuerdo con Elia, aquel primer Taller de COBIT incluyó casos de implementación de COBIT en un par de organizaciones entre las cuales había una empresa Sudafricana y otra de la industria química. Por primera vez se reunían aproximadamente 120 profesionales de la auditoría de Sistema de diversos países del mundo, para participar en un taller que dio el banderazo para lo que hoy son 20 años de éxito de COBIT.

Gracias a los comentarios de Elia entablé comunicación con John Lainhart, quien me comentó que en junio de 1993, asistió en Minneapolis a la reunión anual y conferencia de la Asociación. Durante el crucero de gala del evento, Erik lo arrinconó para preguntarle si aceptaría hacer parte del equipo de trabajo (Task Force) para crear COBIT. Erik le hizo la invitación porque John había escrito un documento de Objetivos de Control para ISACA, el cual sería reemplazado por COBIT.

John no estaba “sintonizado” con el concepto de COBIT que Erik había desarrollado pero entendió que Erik quería que John fuera la persona más crítica en el equipo de trabajo de COBIT con el fin que cuestionara lo que se estaba haciendo para estar seguros que COBIT fuera de real valor para los miembros de ISACA. Como se pudo apreciar después, John se convenció, una vez se desarrolló COBIT, que Erik era un visionario y COBIT era muchísimo mejor que los Objetivos de Control que había desarrollado y que COBIT se convirtió en el estándar de facto para el Gobierno de TI y para los controles de TI que el mundo estaba necesitando.

John Lainhart se quedó trabajando con COBIT a partir de ese día, desempeñando varias funciones que apoyaron el desarrollo de las versiones 1, 2, 3, 4 y 5. Esta última versión fue apoyada por John y desarrollada con Derek Oliver.

De acuerdo con las palabras de John Lainhart “Erik tuvo la visión que nos hacía falta para la generación del producto más valioso de ISACA y, por ende, de sus miembros. COBIT es su bebé – un homenaje en vida a Erik!”

Siguiendo con las reminiscencias sobre CoBiT me fui al año 2000, sí, el año del Y2K, pero año también del lanzamiento de la versión 3 de COBIT, cuando los indicadores y el modelo de madurez de la capacidad entraron a hacer parte de CoBiT. Por esa época (2003) conformamos un equipo para atender una solicitud de ISACA HQ relacionada con la revisión de la traducción de esta versión al español.

Este equipo fue conformado por Johann Tello (quien también fue vicepresidente Internacional de ISACA, así como presidente del Capítulo de Panamá y uno de los más grandes apoyos latinoamericanos ante el Board de ISACA HQ), Gustavo Solís Montes, otro de nuestros excelentes vicepresidentes internacionales y presidente del Capítulo de México DF por varios años y  por Rocio Torres Suarez, una de mis estudiantes de la Especializacion de Auditorías de Sistemas de una universidad bogotana y quien actualmente se desempeña en un alto cargo en una entidad Aseguradora, quien proveyó un apoyo invaluable en las revisiones, y por mi como Chair (director). Aunque parezca sencillo, este tipo de trabajos no son fáciles, implican trabajo adicional al normal de nuestra cotidianidad, trasnochos, conversaciones por internet pues no solo es necesario revisar la terminología para que sea lo más neutral posible sino también el sentido de las oraciones pues muchas veces quien traduce no conoce o entiende todo el concepto de lo que traduce. Como ustedes saben ISACA se apoya en voluntarios y por ello, aunque no recibimos pago en dinero si fuimos relacionados con nuestros nombres dentro del framework, lo cual para nosotros representó un gran honor.

Este trabajo fue uno de mis mayores orgullos y me llevó a profundizar mucho más sobre mis conocimientos sobre este framework, que para mí es el “MAS” (¿recuerdan a Animal Planet?? Cuando hablan del más venenoso, del que más corre, del que más come, del que más vuela??) Pues CoBiT es el “MAS” ya que es el titiritero que direcciona y coordina todos los demás Frameworks, estándares y normas internacionales relacionadas con TI para ayudarle a TI a alcanzar sus objetivos y a implementar Gobierno y Gestión de TI en la organización.

Empezamos a realizar auditorías de sistemas en diferentes entidades financieras, industriales y de petróleos a nivel latinoamericano. Y gracias a esto las áreas de TI empezaron a “blindarse” implementando los controles recomendados por COBIT. “El principal sueño de las áreas de TI es que la auditoría no encuentre nada que decir”. Y se empezó a enseñar CoBiT en las universidades a nivel de posgrado y es tema obligado en los LatinCACS.

Pasó el tiempo y llegó COBIT 4 y empezamos a hablar con más propiedad sobre gobierno de TI basados en el pentágono, (lo recuerdan?? Alineamiento estratégico, entrega de valor, gestión de riesgos, gestión de recursos y gestión del desempeño). Y aparecieron los instructores acreditados (COBIT Trainers) por ISACA para enseñar el uso y aplicación de COBIT a través de sus cursos de Fundamentos y de Implementación.

La banca a nivel mundial y obviamente en Colombia también empezó a aplicar COBIT, algunos sin saberlo pues los reguladores financieros, incluyendo la Superintendencia Financiera de Colombia, nunca ha dicho que sus normas se basan en COBIT, pero si enuncia, define y describe sus procesos de acuerdo con COBIT. La superintendencia Financiera (Conasif) de Costa Rica ha sido más clara en dar a entender que su normatividad a nivel de TI se basa en CoBiT y acaba de emitir una norma donde obliga a sus supervisados a aplicar CoBiT 5 para implementar Gobierno y gestión de TI en las entidades vigiladas. Cientos de profesionales empezaron a certificarse especialmente en Fundamentos.

Pero llegó el momento en que Ecopetrol, la mayor empresa petrolera de Colombia y una de las más grandes de la región latinoamericana, empezó a cotizar en Bolsa de New York (fue la primera empresa colombiana en hacerlo) y… ¡ohhh que sorpresa!, era necesario encontrar un framework que definiera los controles mínimos a implementar a nivel de TI para cumplir con la ley Sarbanes Oxley. Y luego de una exhaustiva búsqueda Ecopetrol encontró que la solución era COBIT y gracias a un equipo extraordinario, interdisciplinario entre funcionarios de Ecopetrol y terceros, del cual hice parte, y a un trabajo titánico esta entidad petrolera cumplió con los requerimientos SOX y fue considerado por ISACA como un caso de éxito[3]. Todo esto apoyados también por documentos como COBIT for SOX del cual ya hay una versión para COBIT 5[4].

Claro, ya venía COBIT 5, una versión muy esperada. Para la elaboración de este framework ISACA HQ me invitó a participar en el equipo de elaboración y revisión de los diferentes documentos desde el 2010. Otro trabajo titánico con talleres en Chicago, envío y remisión de documentos y finalmente en mayo de 2012 es publicada esta versión. Por fin vemos una clara separación entre Gobierno y Gestión de TI. Por esa época ISACA me solicita que dé el primer taller de COBIT 5 en Bogota durante el LatinCACS de ese año. A dicho taller asistieron profesionales de toda la región quienes quedaron muy motivados para profundizar y aplicar COBIT 5.

Y ya estamos en el 2017, ya contamos con instructores (personas y empresas) denominados ATOs (Authorized Trainer Organizations) para impartir cursos de COBIT a nivel de Fundamentos, Implementación y Asesor / evaluador. Adicionalmente, ISACA provee la certificación de CoBiT Certified Assessor a quienes han pasado los exámenes y demuestran experiencia en la aplicación del modelo de valoración. Cada vez hay más interés por estas certificaciones y cada vez más profesionales de todo el mundo se interesan en el tema. Es una bola de nieve que sigue creciendo. Cada vez más empresas solicitan que sus funcionarios estén certificados y que quien aspire a un puesto dentro de áreas de Gobierno, gestión, control, auditoría, riesgos, seguridad y cumplimiento esté certificado por lo menos en Fundamentos.

Y aquí llego con mi historia solo para agregar que COBIT 4 sigue vivo, que las empresas que se encuentren aplicando esta versión no tienen problemas y, como lo pude comprobar en una reunión celebrada con la banca colombiana hace un tiempo, no todos los bancos están interesados en pasar a COBIT 5, pues están en su área de confort con la versión 4. ISACA sigue soportando esta versión y prueba de ello es la publicación del PAM (Process Assessment Model) para CoBiT 4.  Y los que quieran migrar, como ya lo están haciendo algunas organizaciones, no deben olvidar que el modelo de valoración cambio y que habrá que hacer lobby para explicar a la alta gerencia este cambio para no parecer que los procesos se degradaron luego de venir siendo valorados con COBIT 4 y ahora hacerlo con COBIT 5 ya que existe una alta probabilidad que un proceso que estaba en nivel 3 de la versión 4 quede en nivel 1 al aplicar el modelo de valoración de CoBiT 5.

En esta historia hay muchos héroes (unos anónimos y otros no) a nivel mundial y de Latinoamérica que no puedo nombrar pues no los recuerdo a todos aunque pueden ver la relación de profesionales en las páginas de agradecimientos de los documentos de COBIT. Entre algunos de los que recuerdo están: Erik Guldentops de Bélgica, A. Rafeq de India, Gary Hardy de Sudáfrica, Steven de Haes de Bélgica, Max Shanahan de Australia, Urs Fischer de Suiza, Sushil Chatterji de Singapur, Derek Oliver de Reino Unido, John Beveridge de Estados Unidos, Gustavo Solís de México, Mauro Eidi Villola Assano de Brasil, Robert Parker de Canadá, Rafael Fabius de Uruguay, Gary Bannister de Inglaterra. Y en nuestra región no puedo dejar de mencionar otros expertos que han venido promoviendo la difusión de COBIT: Fabiana Marges de Argentina, Antonio de Sousa de Brasil, Milthon Chávez de Venezuela, Gustavo Adolfo Solís de México, Johann Tello de Panamá, Alexander Zapata de Colombia, Juan Carlos López de Ecuador y Juan Dávila del Perú.

REFERENCES