Volver al blog
Gobierno TI5 de junio de 20267 min de lectura

COBIT 2019: Cómo explicarle el Gobierno TI al directorio

El directorio necesita entender cómo TI genera valor, no cómo funciona. COBIT 2019 es el puente entre ambos mundos. Guía práctica para CTOs que necesitan convencer al CEO y al CFO.

Gobierno TI para el directorio: cómo COBIT 2019 conecta tecnología con negocio en Chile

Hay una escena que se repite en organizaciones de todo Chile: el CTO presenta al directorio un plan de inversión tecnológica —migración cloud, ciberseguridad, modernización de sistemas— y la reacción es un silencio incómodo seguido de la misma pregunta: “¿Y esto cuánto retorna?”

El problema no es la inversión. El problema es que TI y el directorio hablan idiomas diferentes. TI habla de uptime, latencia, vulnerabilidades y arquitectura. El directorio habla de riesgo, retorno, competitividad y cumplimiento regulatorio. Sin un marco común, la conversación se estanca y las decisiones tecnológicas se toman con información incompleta o, peor aún, no se toman.

COBIT 2019 existe precisamente para resolver este problema. No es un framework técnico: es un traductor entre tecnología y negocio que permite al directorio gobernar TI con la misma claridad con que gobierna las finanzas o la estrategia comercial.

Qué es COBIT 2019 en términos no técnicos

COBIT (Control Objectives for Information and Related Technologies) es un marco de gobernanza desarrollado por ISACA que responde una pregunta fundamental: ¿cómo se asegura el directorio de que la tecnología genera valor, gestiona riesgos y cumple regulaciones?

No es un estándar de implementación técnica como ITIL (que se enfoca en operaciones de TI) ni un framework de seguridad como NIST o ISO 27001. COBIT opera a un nivel superior: define quién decide qué respecto a la tecnología en la organización, cómo se mide el desempeño de TI en términos de negocio, y cómo se asegura que las inversiones tecnológicas estén alineadas con la estrategia corporativa.

Para el CEO y el CFO, COBIT es el equivalente tecnológico de lo que COSO es para el control interno financiero: un marco que permite supervisar sin necesidad de entender cada detalle técnico.

Los 5 principios que el directorio debe conocer

COBIT 2019 se sostiene sobre principios que cualquier miembro del directorio puede comprender y aplicar:

1. Cada organización necesita un sistema de gobierno para TI. Así como existe gobierno corporativo para las finanzas y la estrategia, TI requiere un sistema formal de toma de decisiones, supervisión y rendición de cuentas. Sin él, las decisiones tecnológicas se toman de forma fragmentada y reactiva.

2. El gobierno de TI debe partir de las necesidades de las partes interesadas. No se trata de lo que TI quiere implementar, sino de lo que el negocio, los reguladores, los clientes y los accionistas necesitan de la tecnología. Cada inversión tecnológica debe trazarse a una necesidad concreta del negocio.

3. El sistema de gobierno debe ser holístico. TI no opera en un silo. Las decisiones tecnológicas impactan operaciones, riesgo, cumplimiento y estrategia. El gobierno de TI debe integrarse con el gobierno corporativo existente, no ser una estructura paralela.

4. Gobierno y gestión son cosas distintas. El directorio gobierna (establece dirección, supervisa, evalúa). La gerencia de TI gestiona (planifica, implementa, opera, monitorea). Confundir ambos roles genera ineficiencia y falta de accountability.

5. El sistema debe adaptarse a la organización. COBIT 2019 no es una receta rígida. Se diseña según el tamaño, la industria, el perfil de riesgo y la madurez tecnológica de cada organización. Una empresa agroindustrial mediana no necesita el mismo nivel de gobierno TI que un banco, pero ambas necesitan gobierno.

Cómo COBIT conecta TI con los objetivos de negocio

El modelo EDM (Evaluate, Direct, Monitor) de COBIT 2019 es donde la magia ocurre para el directorio:

  • Evaluate (Evaluar): El directorio evalúa las necesidades tecnológicas del negocio, los riesgos asociados y las opciones disponibles. ¿Necesitamos migrar a la nube? ¿Cuál es el riesgo de no invertir en ciberseguridad? ¿Cómo se compara nuestra madurez tecnológica con la industria?

  • Direct (Dirigir): El directorio establece la dirección estratégica: prioridades de inversión, tolerancia al riesgo tecnológico, políticas de seguridad, y expectativas de desempeño. Traduce la estrategia corporativa en mandatos claros para TI.

  • Monitor (Monitorear): El directorio supervisa el desempeño de TI contra los objetivos establecidos, utilizando métricas que entiende: costo por transacción, disponibilidad de sistemas críticos, nivel de riesgo, cumplimiento regulatorio, ROI de proyectos tecnológicos.

Este modelo transforma la relación directorio-TI de una dinámica de "pedir presupuesto y esperar" a una de gobierno activo con accountability clara.

Implementación por etapas: empezar sin certificación formal

Uno de los mitos más dañinos sobre COBIT es que requiere una implementación formal completa con certificación. La realidad es que las organizaciones pueden adoptar COBIT de forma progresiva, obteniendo valor desde la primera etapa:

Etapa 1 — Fundamentos (meses 1-2): Definir la estructura de gobierno TI mínima: quién toma qué decisiones, con qué información y con qué frecuencia. Establecer un comité de gobierno TI que incluya representantes del directorio, no solo de TI. Identificar los 5-7 procesos COBIT más relevantes para la organización.

Etapa 2 — Medición (meses 3-4): Evaluar la madurez tecnológica de la organización en los procesos seleccionados usando el modelo de capacidad de COBIT (niveles 0-5). Esto genera un baseline objetivo que permite medir progreso y compararse con la industria.

Etapa 3 — Optimización (meses 5-6): Cerrar las brechas identificadas en los procesos prioritarios. Establecer métricas de gobierno y reportes periódicos al directorio. Integrar el gobierno TI con los demás procesos de gobierno corporativo.

Etapa 4 — Maduración (continua): Expandir gradualmente el alcance a más procesos COBIT según las necesidades del negocio. Considerar certificación formal solo cuando la madurez lo justifique y el negocio lo requiera.

Este enfoque pragmático es particularmente relevante para la madurez tecnológica de organizaciones en Chile, donde muchas empresas están en etapas tempranas de gobierno TI y necesitan resultados rápidos que justifiquen la inversión ante el directorio.

Métricas que el directorio entiende: ROI de gobierno TI

El CTO que logra traducir el gobierno TI en métricas de negocio gana la confianza del directorio. Estas son las métricas que recomendamos presentar:

  • Costo de TI como porcentaje de los ingresos. Benchmark: 3-7% según industria. Permite al CFO evaluar si la inversión tecnológica está en rango.
  • Tasa de proyectos entregados en plazo y presupuesto. Métrica directa de la capacidad de ejecución de TI. El promedio global es 35%; superar el 60% ya es diferenciador.
  • Tiempo de recuperación ante incidentes críticos (RTO). Traduce la resiliencia técnica en impacto operacional: cada hora de caída de un sistema crítico tiene un costo cuantificable.
  • Índice de riesgo tecnológico. Una métrica compuesta que refleja vulnerabilidades, cumplimiento regulatorio y exposición a amenazas. Debe presentarse en escala de semáforo, no en jerga técnica.
  • ROI de iniciativas tecnológicas. Cada proyecto significativo debe tener un business case con retorno esperado y medición post-implementación.

Cuando el CTO presenta estas métricas trimestralmente, el directorio deja de ver TI como un centro de costo y comienza a verlo como lo que es: un habilitador estratégico del negocio.

Conclusión

El gobierno TI no es burocracia. Es la diferencia entre una organización que toma decisiones tecnológicas estratégicas y una que reacciona a las emergencias. COBIT 2019 ofrece el marco para que esa conversación entre TI y el directorio ocurra con claridad, con datos y con propósito.

En Vertexium, acompañamos a CTOs y CIOs en el diseño e implementación de marcos de gobierno TI basados en COBIT 2019, adaptados a la realidad de cada organización en Chile. Nuestro enfoque es pragmático: resultados visibles para el directorio en 90 días, no certificaciones formales que tardan años.


¿Necesita evaluar la madurez de gobierno TI de su organización? Realizamos diagnósticos de madurez COBIT con entregables ejecutivos en 4 semanas. Solicitar diagnóstico de madurez TI →

¿Listo para llevar tu estrategia al siguiente nivel?

Conversemos sobre cómo Vertexium puede ayudar a tu organización a adoptar inteligencia artificial con seguridad, gobernanza y resultados medibles.

CO

Cristian Orellana

Fundador & Director Ejecutivo · Vertexium