GOBIERNO DE TI
Fundamentos del Gobierno
no d
de TI basados en ISO/IEC 38500
Por:Haris Hamidovic, CIA
Traducido por: René Vladimir Contreras
eras, MBA, CISA
el pasado los ejecutivo
tivos de negocios podían
delegar, ignorar o evitar
vitar las decisiones de TI,
ahora esto es imposible
ible en la mayoría de los
sectores e industrias (3).
El gobierno es un proceso mediant
iante el cual una
junta de directores, a través de la ggerencia, guía
una institución en el cumplimiento
nto de su misión
corporativa y protege sus activos.
os. Un gobierno
efectivo ocurre cuando la junta
ta d
de directores
plantea una guía adecuada a la aadministración
considerando la dirección estraté
ratégica para la
institución y supervisa los esfuerzos
zos de
d la gerencia
para moverse en esta dirección (2).
A través de los años, TI (Tecno
cnologías de la
información) se ha convertido en el elemento
fundamental de los negocios hasta
sta el punto que
sería imposible para muchos operar
erar sin ella.TI ya
no se encuentra separada de la org
organización, es
un elemento esencial de esta última.
ima. Mientras en
La dependencia crítica
ca sobre
s
la tecnología de
información hace un llamado
llam
para enfocar de
manera específica ell go
gobierno de TI con el
propósito de asegurar que las inversiones en esta
área generen el valor requerido
requ
para el negocio y
que los riesgos asociados
os con
c TI sean mitigados (6).
El objetivo principal de este
e
artículo es facilitar
una introducción a los elementos clave del
gobierno de TI, a los marcos
ma
de referencia más
importantes usados por las organizaciones y
facilitar principios quee guíen
gu
a los directores de
estas últimas hacia un
n u
uso eficiente, efectivo y
aceptable de las tecno
cnologías de información
basado en ISO/IEC 38500
500:2008 (7). Este debería
asistir a los miembross de la junta de directores
para comenzar a cumpl
mplir las obligaciones con
respecto al uso de TI en
n su
sus organizaciones.
¿Cuál es el alcance
ce del
d Gobierno de TI?
ISACA BOGOTA CHAPTER
L
a presencia de un efectiv
ctivo sistema de
gobierno corporativo, en u
una compañía
individual y a través dee una
u economía
como un todo, ayudaa a proveer un
grado de confianza que
ue es necesario
para la apropiada func
función de una
economía de mercado (1).
Un descuido de la junta
ta de
d directores en relación
con las actividades de TI es peligroso, esto origina
en riesgo a la organizació
ación de la misma manera
que lo haría una falla en el proceso de auditoría
contable (4). De hecho,
o, el
e Bank for International
Settlements (BIS) ha anota
notado que los miembros de
las juntas directivas en instituciones
i
financieras
deberían direccionar TI como
co
un aspecto más de
su agenda estratégica (5).
4
El segundo se alcanza haciendo de la
responsabilidad algo inherente a la organización.
Ambos necesitan ser soportados por recursos
adecuados y medidos con el propósito de
asegurar el logro de los objetivos.
Esto conduce a las cinco principales áreas que
rigen el gobierno de TI, todas apalancadas por el
valor de las distintas partes interesadas
(stakeholders). Dos de ellas son resultados: la
entrega de valor y la gestión de riesgos. Tres de
ellas son facilitadores: alineamiento estratégico,
gestión de recursos (los cuales se sobreponen
entre ellos) y medición del desempeño. El
gobierno de TI es también un ciclo de vida
continuo (8).
El gobierno de TI es distinto de la administración
de TI. El gobierno determina quién toma las
decisiones. La administración es el proceso de
toma de decisiones y su implementación (9).
El gobierno de TI es el encargado de tomar las
decisiones más importantes, quien posee la
información clave y provee un adecuado
direccionamiento para la implementación de esas
decisiones. Esto no es un sinónimo de la
administración de TI. El gobierno de TI está
relacionado con la toma de decisiones correctas,
mientras la administración de TI hace referencia a
la toma y la implementación de decisiones
específicas de TI (10).
Marcos de referencia para el gobierno de TI
Los expertos sugieren marcos de referencia
detallados y dirigidos a apoyar la implementación
de acciones por parte de la gerencia media. Tales
documentos son conocidos como marcos de
referencia para el gobierno de TI. Algunos de los
más frecuentemente citados son: (11)
• COBIT (12)
• IT Infrastructure Library (ITIL) (13)
• ISO/IEC 27001 (14)
Aunque están caracterizados como “Marcos de
referencia para el gobierno de TI”, algunos de
ellos son marcos de referencia hechos para la
administración (15).
Esos marcos de referencia no son alternativas de
tratamiento para los mismos aspectos.
COBIT es un marco de referencia para el gobierno
de TI y es un conjunto de herramientas de apoyo
que permiten a los gerentes de TI encadenar los
conceptos asociados a los requerimientos de
control, los aspectos técnicos y los riesgos de
negocio.
COBIT habilita el desarrollo de políticas claras y
buenas prácticas para el control de TI en las
organizaciones. Hace énfasis en el cumplimiento
regulatorio, ayuda a las organizaciones a
incrementar el valor que ha alcanzado TI, habilita
el alineamiento y simplifica la implementación del
marco de referencia COBIT (16).
ITIL es esencialmente una serie de documentos
que son usados para ayudar en la implementación
de un marco de referencia para la administración
de los servicios de TI. Este marco de referencia,
que se puede personalizar, define cómo la
administración del servicio es aplicada en una
organización. Aunque ITIL fue originalmente
creado por la Agencia de Telecomunicaciones y
Computación Central (CCTA, por sus siglas en
inglés), una agencia del gobierno del Reino Unido,
hoy en día está siendo adaptado y usado
alrededor del mundo como un estándar de facto
para las mejores prácticas en la provisión de
servicios de TI. Aunque ITIL cubre un número de
ISACA BOGOTA CHAPTER
El IT Governance Institute (ITGI) establece, que
fundamentalmente el Gobierno de TI se encarga
de dos cosas: la entrega de valor de TI al negocio y
la mitigación de los riesgos de TI. El primero se
logra a través del alineamiento estratégico de TI
con el negocio.
5
áreas, su principal foco está en la administración
de servicios de TI (17).
•
Principios para el buen gobierno
corporativo de TI
Como un ejemplo de la creciente importancia del
gobierno de TI, ISO liberó en 2008 un nuevo
estándar mundial, cuyo objetivo fue proporcionar
un marco de referencia de principios dirigido a los
directores cuando evalúan, dirigen y monitorean
el uso de TI en sus organizaciones. En este
estándar, ISO presenta seis principios para el
gobierno de TI (19):
• Responsabilidad: los individuos y los grupos
en la organización entienden y aceptan sus
responsabilidades con respecto al suministro y
la demanda de los servicios de TI. Aquellos
con la responsabilidad sobre ciertas acciones,
también tienen la autoridad de desarrollarlas.
• Estrategia: la estrategia de negocio de la
organización tiene en cuenta las actuales y
futuras capacidades de TI, los planes
estratégicos para TI satisfacen las necesidades
actuales y en marcha de la estrategia de
negocio de la organización.
• Adquisición: las adquisiciones de TI son
efectuadas por razones válidas, sobre la base
de un análisis apropiado y dinámico, con toma
de decisiones transparentes y claras. Existe
un apropiado balance entre beneficios,
•
•
ISO/IEC 38500 recomienda que los directores
debieran gobernar a través de tres principales
tareas:
• Evaluación del uso actual y futuro de TI.
• Preparación directa e implementación de
planes y políticas para asegurar que el uso de
TI se ajusta a los objetivos del negocio.
• Monitoreo de la conformidad de las políticas y
el desempeño en relación con lo planeado.
Implementación del gobierno de TI
Las organizaciones implementan sus esquemas de
gobierno a través de un conjunto de mecanismos
de
gobierno:
estructuras,
procesos
y
comunicaciones (20). Mecanismos de gobierno
bien diseñados, entendidos y transparentes
promueven comportamientos deseables de TI.
En contraste, si los mecanismos son
implementados de una manera inadecuada,
entonces los esquemas de gobierno fallarán en el
propósito de alcanzar los resultados deseados.
Un gobierno efectivo adopta tres diferentes tipos
de mecanismos:
ISACA BOGOTA CHAPTER
ISO/IEC 27001:2005 es un estándar que establece
los requerimientos de un sistema de gestión de la
seguridad de la información. Este ayuda a
identificar, gestionar y minimizar el rango de
amenazas a las cuales está expuesta regularmente
la información. Está diseñado para asegurar la
selección de controles adecuados que protejan los
activos de información y brinden confianza a las
partes interesadas, incluyendo los clientes de la
organización (18).
oportunidades, costos y riesgos tanto en el
corto como en el largo plazo.
Desempeño: TI se ajusta al propósito de
apoyar a la organización y proveer los
servicios, los niveles de servicios y la calidad
de servicio necesarios para alcanzar los
requerimientos actuales y futuros del negocio.
Conformidad: TI cumple con todas las
regulaciones y la legislación. Políticas y
prácticas están claramente
definidas,
implementadas y señaladas con carácter
obligatorio.
Conducta humana: políticas, prácticas y
decisiones de TI demuestran respecto por la
conducta humana, incluyendo las necesidades
actuales y de evolución para toda la “gente en
el proceso”.
6
•
•
Estructuras de toma de decisiones: unidades
organizacionales y roles responsables de la
toma de decisiones, tales como comités,
equipos ejecutivos y gerentes de relaciones
entre las instancias de negocios e TI.
Procesos de alineamiento: procesos formales
para asegurar que las conductas del día a día
son consistentes con las políticas de TI y
proporcionan elementos de juicio para la
toma de decisiones. Allí se incluyen los
procesos de evaluación y propuesta de
inversiones en TI, procesos de excepción en
arquitectura, acuerdos de niveles de servicio y
métricas.
Enfoques de comunicación: comunicados,
recomendaciones, canales y esfuerzos de
educación que difundan los principios y
políticas del gobierno de TI y los resultados de
los procesos de toma de decisiones de TI.
¿Qué preguntas deberían surgir?
El presidente de la Sociedad Australiana de
Computación, Richard Hogg, dijo:
Así como los gerentes de tecnologías de
información y comunicaciones (TIC) hoy en día
necesitan fortalecer sus habilidades para obtener
un mejor entendimiento de los procesos y las
estructuras de negocios, en la misma medida se
solicita su apoyo; así, las juntas de directores
deben otorgar mayor importancia a los aspectos
relacionados con las TIC. Las juntas de directores
deben aprender qué preguntas plantear acerca
del gobierno de las TIC . . . delegar el gobierno de
las TIC a niveles gerenciales es señal de un
gobierno corporativo pobre. Las TIC son una parte
integral de su negocio y el gobierno de las TIC es
una parte integral del gobierno corporativo (21).
Hacer preguntas sólidas es una forma efectiva
para dar inicio a la implementación del gobierno
de TI. Por supuesto, los responsables del gobierno
esperan buenas respuestas a esas preguntas.
Entonces ellos quieren acción, necesitan
seguimiento. Es esencial determinar no solamente
la acción sino también quién es el responsable de
entregar qué y para cuándo (22).
El Instituto Canadiense de Contadores (CICA, por
sus siglas en inglés) liberó un folleto denominado
“20 preguntas que los directores deberían hacer
acerca de TI”, para asistir a los directores
corporativos en el desempeño de sus
responsabilidades.
El documento también
pretende ser una ayuda para los auditores y los
comités de dirección de TI (23). Las preguntas
indican claramente que la responsabilidad
principal recae sobre la administración con
relación a la implementación de los
procedimientos necesarios. Los miembros de la
junta de directores necesitan determinar que la
administración ha adoptados tales procedimientos.
Además, si los directores quisieran ejercer un rol
poco cuidadoso y atento a las actuaciones de la
gerencia, ellos serían negligentes al confiar en los
requerimientos y acciones de esta última, sin
importar qué tan honesta y confiable pueda ser.
Por
consiguiente,
algunas
evidencias
corroborativas serían esenciales. Los directores
deben determinar que los procedimientos se han
adoptado, que son apropiados y deben obtener
una evidencia corroborativa (24).
Conclusión
La madurez del gobierno de los activos clave varía
significativamente en las organizaciones hoy en
día.
Los activos físicos y financieros son
típicamente los mejor gobernados, y los activos de
información aparecen entre los peor gobernados.
Sin embargo, el gobierno de TI debería ser una
parte integral del gobierno corporativo. Plantear
preguntas apropiadas es una forma efectiva de
dar inicio a la implementación del gobierno de TI.
Los miembros de las juntas de directores deben
aprender qué preguntas plantear acerca del
gobierno de TI. Entonces, ellos necesitan buenas
ISACA BOGOTA CHAPTER
•
7
•
•
Referencias
•
•
•
•
•
•
•
•
•
(1) Organización para la Cooperación y el
Desarrollo Económico (OCDE), los Principios
de Gobierno Corporativo de la OCDE, Francia,
2004.
(2) Rock, Raquel, María Otero, Sonia Saltzman,
Principios y Prácticas de Gobernabilidad de
microfinanzas, ACCION International, EE.UU.,
en agosto de 1998.
(3) Van Grembergen, Wim; Dehaes Steven;
aplicación gobierno Tecnologías de la
Información: Prácticas y Modelos, Casos y
Publicaciones de IGI, EE.UU., 2008.
(4) Nolan, Richard; McFarlen F. Warren,
"Tecnología de la Información y la Junta de
Directores", Harvard Business Review, 01 de
octubre 2005.
(5) Banco de Pagos Internacionales (BPI),
"Mejora de la gobernanza empresarial en
Organizaciones Bancarias", septiembre de
1999, se hace referencia en el IT Governance
Institute (ITGI), Liberación de valor: un Primer
Ejecutivo sobre el Papel Fundamental de
Gobierno de TI, EE.UU., 2008.
(6) Opcit, Grembergen Van y Dehaes de 2008
(7) Organización Internacional de Estándares
(ISO)
y
la
Comisión
Electrotécnica
Internacional (IEC), ISO / IEC 38500:2008, la
gobernanza corporativa de tecnología de la
información, 2008,
www.iso.org/iso/catalogue_detail.htm?csnum
ber=51639
(8) ITGI, Informe de la Junta de Gobierno de
TI, 2da edición, EE.UU., 2003.
(9) Weill, Pedro, Juana Ross; Gobierno de TI:
Cómo gestiona la alta dirección las decisiones
•
•
•
•
•
•
•
•
•
•
•
•
en TI para obtener mejores resultados, Prensa
de Negocios de Harvard, EE.UU., 2004.
(10) Broadbent, Marianne, "Significado de
gobernabilidad de TI", CIO de Canadá, 01 de
abril 2003.
(11) Musson, David, "La gobernabilidad de TI:
Una revisión crítica de la literatura,"
Gobernanza y Gestión de Tecnologías de la
Información
de
servicio:
Marcos
y
adaptaciones,
Ed.
AileenCater-Steel,
Referencia de Ciencias de la Información,
EE.UU., 2009.
(12) ITGI, COBIT, 1996-2007, www.isaca.org /
COBIT.
(13) Oficina de Comercio de Gobierno, IT
Infrastructure Library (ITIL) V3, Reino Unido,
2009.
(14) ISO y la IEC, ISO / IEC 27001, la
información Técnicas de seguridad de
tecnología de información, sistemas de
gestión de la seguridad-Requisitos de 2005,
www.iso.org/iso/catalogue_detail?csnumber=
42103.
(15) Van Bon, Jan; Arjen de Jong, Axel Kolthof;
Pieper Mike; Tjassing Ruby, van der
VeenAnnelies;
VerheijenTieneke,
Fundamentos de la Gestión de Servicios TI
basada en ITIL ® V3, Editorial Van Haren,
Países Bajos, 2007.
(16) ISACA, www.isaca.org / COBIT
(17) Gestión de Servicios de Zona,
www.itil.org.uk
(18) BSI Management Systems, www.bsiemea.com
(19) Opcit, ISO / IEC 38500:2008
(20) OpcitWeill, y Ross
(21) Australia ComputerSociety (ACS),
"Destaca ACS Necesidad de una mejor
gobernanza de las TIC", comunicado de
prensa, 05 de marzo 2002.
(22) Opcit, ITGI, 2003 Canadá
(23) Canadian Institute of Chartered
Accountants (CICA), "Administración 20
Preguntas que deben hacer al respecto", de
2004.
ISACA BOGOTA CHAPTER
respuestas a esas preguntas y deben requerir
acción. El siguiente paso es implementar
esquemas de gobierno a través de un conjunto de
mecanismos de gobierno tales como estructuras,
procesos y comunicaciones.
8
•
(24)
Trites,
Gerald,
"Director
de
Responsabilidad de Gobierno de TI", Revista
Internacional de Sistemas de Información de
Contabilidad, vol. 5, número 2, julio de 2004.
El autor
Hamidovic es un experto certificado en Tecnología
de Información por parte del Ministro Federal de
Justicia de Bosnia y Herzegovina.
Traducción
René Vladimir Contreras, MBA, es certificado CISA
y actualmente es auditor de sistemas en
COPIDROGAS.
ISACA BOGOTA CHAPTER
HarisHamidovic está certificado CIA, y es
actualmente CISO (Chief Information Security
Officer) en Microcredit Foundation EKI ubicada en
Sarajevo, Bosnia y Herzegovina. Hamidovic se ha
desempeñó también como especialista de TI en la
Organización para el Tratado del Atlántico Norte
(NATO, por sus siglas en inglés), donde lideró la
Fuerza de Estabilización (SFOR, por sus siglas en
inglés) en Bosnia y Herzegovina.
Es el autor de cuatro libros y más de sesenta
artículos para publicaciones relacionadas con
negocios y tecnología.
9
View publication stats