Cómo evaluar COBIT 5 con ISO 15504 (parte 1 de 2)

En una encuesta realizada por ISACA en el año 2010, un 89% de  los 1400 entrevistados citó que las mejoras más prioritarias para COBIT deberían centrarse en el modelo de evaluación de los procesos de TI. Desde ese momento, eligieron ISO 15504 como modelo de evaluación.
No puedo ocultar que ver que COBIT también se suma a la ISO 15504 ha sido para nosotros una alegría, ya que como muchos sabéis, en nuestro caso llevamos años trabajando con la 15504 (muchas de las experiencias con ISO 15504 os las he ido dejando el blog, y en este sentido algunos de los post que más os pueden ayudar son lo que hemos aprendido después de más de 30 proyectos con ISO 15504 y los fundamentos de la norma).
Os dejo en esta serie de dos post las claves y temas más importantes a conocer sobre cómo evaluar COBIT 5 con ISO 15504.
Antes de nada, empezamos con una breve introducción a COBIT e ISO 15504…

COBIT

El objetivo de COBIT (Control Objectives for Information and related Technology) es desarrollar, publicar y promover objetivos de control (el tan estudiado, en auditoría, control interno) para las tecnologías de la información (TI), que sean de amplia aceptación y para el uso cotidiano por la gerencia de empresas y los auditores. Una serie de buenas prácticas para una eficiente dirección y gestión de una empresa de TI.
COBIT proporciona una relación (bastante amplia, por cierto) de “controles internos”, es decir,  políticas, procedimientos,  prácticas y estructuras organizativas diseñadas para asegurar que la tecnología ayude, y se alinee, con los objetivos empresariales o del negocio.
Normalmente se considera que COBIT opera en el ámbito del llamado “Gobierno TI”, ayudando a mejorar los controles internos de las TI, directivas de aseguramiento, medidas de desempeño, resultados, factores críticos de éxito y modelos de madurez.
La versión actual de COBIT es la 5, que apareció hace unas semanas; se basa en versiones previas y toma buenas prácticas de otros importantes y conocidos modelos, como, por ejemplo: Val IT y Risk IT, de ISACA, ITIL y la norma ISO 15504.

ISO 15504

En este post no me voy a extender mucho contando qué es la 15504 porque hay ya en el blog decenas de post con ese objetivo. Solo resumir que es una norma internacional para evaluar la capacidad o madurez de los procesos de una organización. Para entendernos… “me vale para poner nota a la calidad de los procesos de una organización” (y no estrictamente procesos software o TI).
Si quieres ampliar el tema, te dejo la lista de empresas certificadas en ISO 15504 SPICE. Y tres post imprescindibles: los fundamentos, los principales esquemas y organizaciones en la aplicación de la 15504 y mitos sobre la 15504. También te recomiendo visitar la reciente ISOQF (ISO Software Quality Forum), que tiene el objetivo de promover la ISO de calidad software y que tiene previsto lanzar en junio una certificación personal para auditores y consultores, y el portal de la www.iso15504.es (en castellano).

El “Process Assessment Model (PAM)”, o cómo evaluar COBIT con ISO 15504

Como comentaba al principio del post, una de las principales críticas al COBIT era su modelo de evaluación. Razón por la que ISACA se vio obligada a presentar un nuevo modelo de evaluación, denominado “Process Assessment Model (PAM)” que explica como evaluar COBIT 5 con ISO 15504.
La versión previa a COBIT 5, el COBIT 4.1 (que aparece en 2007), nació usando CMM como modelo de evaluación de sus procesos (nótese que es CMM, no CMMI), pero tiempo después de su aparición apareció un documento llamado “Process Assessment Model (PAM)” (en 2011), que mostraba como evaluar COBIT con ISO 15504, en vez de CMM.
Para los conocedores de la ISO 15504 (o para los que ya habéis leído los post que os recomendaba antes), en el PAM, por un lado, está el modelo de procesos de COBIT y en otro la  “Dimensión de Capacidad de cada proceso”, medida con atributos de la norma ISO/IEC 15504 parte 1 y 2.
En el siguiente post veremos los atributos, y los niveles de capacidad, necesarios para evaluar COBIT 5 con ISO 15504.

jgarzas

Ph.D. en informática, Postdoctorado en la Carnegie Mellon (EE.UU) e Ingeniero en Informática.

Primera vez que me tocó hacer una gestión Ágil en una empresa... año 2001. Desde entonces he trabajado en, o para, más de 90. Y he formado a más de 2000 alumnos.

También soy profe de la Universidad Rey Juan Carlos.

0 comentarios en “Cómo evaluar COBIT 5 con ISO 15504 (parte 1 de 2)”

  1. Pingback: Bitacoras.com

  2. Pingback: Primera certificación, para profesionales, para Auditor o Consultor de ISO 15504 de la ISOQF - Javier Garzás, sobre calidad software y otros temas relacionados

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *