Para comprender el concepto de gobierno de TI, es necesario darle atención a la definición del término “gobierno corporativo”, que se refiere al conjunto de procesos, políticas, procedimientos, leyes, instituciones y demás normativas que influyen en la forma en la que una organización es administrada, controlada y/o dirigida, con la intención de que, como uno de los resultados generados, pueda procurarle transparencia e integridad a la información que es analizada por cualquier individuo o entidad interesada en ella.
Poniendo los estándares en práctica
El concepto de gobierno corporativo ha sido visto con un mayor interés en los últimos años, incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE),1 ha definido sus propios “Principios de Gobierno Corporativo” que ha publicado y difundido mediante su página Web, para crear conciencia en las organizaciones de la importancia que tiene este concepto.
Resulta imposible no asociar los conceptos gobierno corporativo y control interno, ambos interdependientes y estrechamente relacionados. Aunque un marco de control interno no requiere de un modelo de gobierno corporativo para funcionar; a la inversa, la relación sí es totalmente dependiente, por lo que para definir una estructura de gobierno corporativo, es indispensable que existan lineamientos robustos de control interno.
Este control interno depende de diferentes elementos; sin embargo, un actor central que influye de manera directa en su efectividad es el control interno de Tecnología de Información (TI), que, a su vez, es considerado el corazón o motor de un modelo de gobierno de TI.
La definición del término “gobierno de TI” puede variar de un autor a otro, aunque, hay conceptos fundamentales que siempre permanecen. Por ejemplo, la definición que hace el IT Governance Institute (ITGI):2 “el gobierno de TI es parte integral del gobierno corporativo y se constituye a partir del liderazgo y las estructuras organizacionales y procesos que aseguran que el área de TI de una organización sostiene sus estrategias y objetivos corporativos”.
Así, la estructura de control interno de TI de una organización es la que fundamenta, da vida y soporte a un modelo de gobierno de TI, buscando que las áreas de tecnología tengan un alineamiento completo con la estrategia organizacional, con el fin de soportar la efectividad del control interno.
Beneficios del gobierno de TI
La dependencia de la TI ha venido creciendo de forma importante con el tiempo, y la necesidad de que el área a cargo, deje de ser sólo un centro de costo para convertirse en uno de generación de valor, es indispensable.
El modelo de gobierno de TI, propuesto por el ITGI, se compone de cinco elementos que se detallan brevemente a continuación.
- Alineamiento estratégico (Strategic Alignment). Busca el alineamiento de la estrategia de TI con la de la organización completa, para que la operación de la primera soporte a la segunda.
- Entrega de valor (Value Delivery). Se refiere a que la ejecución de la propuesta de valor de TI se dé de forma natural durante todo el proceso de entrega de servicios, buscando que TI, efectivamente, entregue los beneficios prometidos para soportar la estrategia organizacional.
- Administración de recursos (Resource Management). Este elemento se relaciona con el cuidado de proveer a una administración adecuada de los recursos críticos de TI, incluyendo procesos, gente y tecnología.
- Administración de riesgos (Risk Management). Las prácticas de administración de riesgos deben buscar no sólo la identificación de agentes perturbadores, la posibilidad de que, efectivamente, aprovechen vulnerabilidades y el impacto que podrían causar en caso de que se materialicen.
- Administración del desempeño (Performance Measurement). Este último elemento busca monitorear que los demás funcionen, confirmando la implantación del alineamiento estratégico, la entrega de valor, el manejo de recursos, la gestión de riesgos y, en general, el desempeño de los procesos.
Los beneficios que una organización puede recibir de la implantación del gobierno de TI serán soportados por estos cinco elementos; sin embargo, pueden resumirse en dos temas:
- Reforzamiento en la efectividad del control interno de TI.
- Legitimación y claridad en la definición y entrega de la propuesta de valor de TI.
La contundencia con la que estos temas puedan percibirse en cada organización, dependerá del nivel de madurez que el gobierno de TI tenga en ellas. Para medirlo, COBIT (un marco referencial que, brevemente, se analizará más adelante) cuenta con un modelo de madurez que puede usarse como benchmark, y permitir que una organización identifique no sólo dónde está, sino a dónde quiere llegar en términos de dicho modelo de gobierno de TI.
Como parte de sus esfuerzos de investigación, desde hace varios años el ITGI, prepara el estudio denominado IT Governance Global Status Report (Reporte de estado global del gobierno de TI), en el cual hace un análisis de la situación que esta disciplina guarda en todo el mundo.
En la gráfica 1, puede verse cómo la edición 2008 del IT Governance Global Status Report del ITGI, muestra el nivel de madurez que guarda el gobierno de TI, y cómo la mayoría de las organizaciones considera importante este tema, aunque hay que continuar trabajando en esfuerzos de implantación.
Los estándares, ¿qué puedo usar como marco referencial?
Implantar un modelo de gobierno de TI no es una tarea sencilla, demanda recursos, experiencia, tiempo y una inversión. Sin embargo, la recepción de los beneficios justifica las medidas. La optimización que puede darse en los procesos de TI, por medio de la mejora de los marcos de control interno, resulta sensible y positiva si es aplicada correctamente.
La buena noticia es que, a pesar de que la implantación de estos modelos represente un reto de importancia, existen estándares y guías reconocidas, en el mundo, como prácticas líder, que pueden ser usadas como marcos referenciales para hacer esta tarea más sencilla.
En seguida, se presentan algunos marcos referenciales, reconociendo que —si bien hay más de naturaleza muy específica y dirigida a funciones particulares de TI—, los descritos son los de mayor relevancia y los que con frecuencia se utilizan en la implantación del gobierno de TI.
- Marcos regulatorios diversos. La Ley Sarbanes Oxley (SOX), su equivalente japonés (J-SOX), su homólogo europeo (la 8ª. Directiva de la Unión Europea), o normativas específicas y locales por giro, como la Circular Única de Bancos, que en nuestro país reconoce la existencia del denominado “riesgo tecnológico”. Todos estos marcos normativos contemplan en su haber, secciones relacionadas de manera particular con el control interno en las áreas de TI, por ello, su cumplimiento refuerza las prácticas de buen gobierno de TI.
- ITIL/ISO20000. La Biblioteca de Infraestructura de Tecnologías de Información, abreviada como ITIL (Information Technology Infrastructure Library, por sus siglas en inglés), es un marco referencial que ofrece prácticas líder relacionadas con la entrega de servicios de TI.
- ISO 27000. Teniendo su origen en el estándar británico 7799 (conocido como BS7799), la serie 27000 de las normas ISO ofrece todo un marco referencial para definir un sistema de gestión de la seguridad de la información.
- BS 25999. Aunque aún no se ha elevado al nivel de una norma ISO, el estándar británico 25999, es hoy un marco de referencia obligado en lo que se refiere a la continuidad de las operaciones.
- CMMI. Respaldado por la Oficina de la Defensa de los Estados Unidos, el Capability Maturity Model Integration (CMMI), es un modelo que persigue la definición de software con una calidad y costo, predecibles y mejorados.
- PMBOK. El Project Management Body of Knowledge (PMBOK), del Instituto de Administración de Proyectos o Project Management Institute (PMI, por sus siglas en inglés), refuerza las prácticas de buen gobierno de TI en lo que se refiere a proyectos de TI en lo individual, programas o portafolios más complejos.
- VAL IT. Definido igualmente por el ITGI, este marco referencial busca la identificación del valor en las operaciones de TI, mediante cuatro cuestionamientos: ¿Estamos haciendo las cosas correctas? ¿Las estamos haciendo de la forma correcta? ¿Estamos llegando a los resultados correctos? ¿Estamos consiguiendo los beneficios? Sus dominios son tres: gobierno de valor, administración de portafolios y administración de inversiones.
- COBIT. Definido por la división de ISACA que, posteriormente, se convertiría en ITGI, COBIT (Control Objectives for Information and Related Technology) es el marco referencial por excelencia en lo que concierne a control interno y gobierno de TI, por eso se analizará como último en la lista de estándares y marcos referenciales.
En definitiva, la lectura y el entendimiento de COBIT debe considerarse seriamente al buscar la implantación de un modelo de gobierno de TI, ya que éste es su tema central, y, en consecuencia, puede convertirse en la columna vertebral de un proyecto de implantación de gobierno de TI.
Ahora las preguntas son: ¿Cuál es mejor? ¿Debo usarlos todos? ¿Cómo los relaciono? Las respuestas son: todos son buenos, puede usarse uno o varios. El mensaje es: cada organización tiene riesgos distintos, en consecuencia, sus controles pueden variar, por lo que la necesidad de usar uno u otro marco referencial será también distinta. Cabe recordar que no hay receta de cocina, sino guías. Cada organización deberá desarrollar su propio proceso de implantación.
Los estándares en práctica: implantación de un modelo de gobierno de TI
¿Qué tanto se han implantado los modelos de gobierno de TI en el mundo? El IT Governance Global Status Report, del ITGI, tiene una respuesta a esta pregunta, ya que ha hecho el análisis en todo el mundo y lo ha dividido por regiones, las gráficas 2 y 3 muestran los resultados.
Como puede apreciarse, el desinterés marcado por la respuesta “no considera implantación”, ha bajado dramáticamente, mientras que quienes consideran una implantación o están en proceso de arrancarla, han crecido también de forma importante, lo que significa que la adopción del gobierno de TI está creciendo.
Al hablar de regiones, llama la atención ver el atraso y la resistencia que Sudamérica tiene al respecto, mientras que Asia, Europa y Norteamérica muestran un interés de relevancia en la adopción del tema.
Y bien, ¿cómo empezamos?
El factor principal en la definición de un modelo de gobierno de TI es el “análisis de riesgos”, ¿cómo pretende un área de TI alcanzar su estrategia si no sabe qué elementos podrían impedirle la persecución de tal iniciativa? ¿Cómo puede un área de TI pretender que su control interno es efectivo, si no conoce a fondo sus riesgos? ¿Cómo ofrecer integridad y transparencia en información y procesos, si no se sabe qué puede comprometer tales propósitos?
Este análisis de riesgos debe comprender, tanto el riesgo inherente como el residual, lo que significa que debe incluir una evaluación de la efectividad del control interno en el área de TI.
El alcance puede variar en términos de los procesos de TI a incluir en este ejercicio (aunque la recomendación es incluirlos todos) y las aplicaciones e infraestructura que debe también incluirse (la recomendación es incluir los componentes más sensibles junto con sus elementos de soporte o asistencia).
Una vez que el análisis de riesgos está definido, es posible comenzar la definición de las reglas de control interno que le darán vida al modelo de gobierno de TI; es decir, sabiendo dónde está el problema, es más fácil deducir qué solución aplicar.
La definición de controles debe atender a los resultados del análisis de riesgos que, a su vez, deben atender a lo dispuesto por la estrategia organizacional. Además, se tiene que considerar también el utilizar las tres dimensiones que son requeridas para mantener un entorno de control completo: tecnología, procesos y gente a nivel organización. Pareciera que no ocurre, pero la inclinación que los modelos de gobierno de TI, llegan a tener sobre la tecnología, hace que a veces se olviden los procesos y la gente, lo que, como se verá más adelante, puede hacer que falle su efectividad.
Una vez que los controles han sido definidos como marco de gobierno, el siguiente paso es implantarlos y en este sentido, la concientización de la gente al respecto resulta ser crucial. Los ejercicios de concientización requieren diseñarse de manera diferente para cada nivel al que van dirigidos.
Lo último que es necesario en el camino de la implantación es la definición de un programa de monitoreo y de mejora continua, que permita que el modelo de gobierno de TI se mantenga funcionando siempre con vigencia para la organización. Los riesgos no descansan, así que los controles tampoco deberían hacerlo. Los “jugadores” en la implantación de un modelo de gobierno de TI son varios, el administrador del proyecto tendrá la habilidad para darles juego a todos, por ejemplo, alta dirección, consejo, comité de auditoría, comité de riesgos. En la gráfica 4 se representa el modelo metodológico de Ernst & Young para estas iniciativas.
¿Qué puede fallar?
En la implantación de un modelo de gobierno de TI, deben considerarse varios elementos, de los cuales se citan algunos:
- Falta de visión completa de la estrategia organizacional.
- Falta de integración de los ejecutivos clave en el análisis de riesgos.
- Falta de patrocinio de la alta dirección.
- Alineamiento con marcos referenciales incorrectos.
- Desequilibrio entre efectividad de control y eficiencia operativa.
- Invisibilidad del valor generado.
- Aislamiento de áreas específicas de TI o negocio en la ejecución de las prácticas de gobierno.
- Sesgo sobre una de las dimensiones que deben considerarse: tecnología, procesos o gente.
Además de lo anterior, puede haber otras fallas que variarán de un proyecto a otro; sin embargo, las ya mencionadas constituyen las que se consideran de mayor importancia en un ejercicio como éste.
Al respecto, ITGI también ha hecho un análisis en su edición 2008, del IT Governance Global Status Report, y la gráfica 5, presenta lo que, de acuerdo con ese análisis del ITGI, constituye los principales obstáculos en la implantación de un modelo de gobierno de TI.
Fuente: ITGI’s IT Governance Global Status Report, 2008
Como puede apreciarse, después de los temas financieros, la preocupación se centra en temas de gente (desconocimiento del concepto o, simplemente, falta de candidatos).
Para cerrar estas brechas, ISACA e ITGI han liberado una certificación personal que muestra experiencia individual en el gobierno de TI, la certificación es conocida como CGEIT (Certified in the Governance of Enterprise IT), la cual ha comenzado a cobrar mayor fuerza y relevancia en los dos últimos años. Sugiero que quien esté al frente de una iniciativa de gobierno de TI, sea alguien que ostente esta certificación, con el fin de demostrar su experiencia y dominio acerca del tema.
Conclusión
Al considerar lo que hemos visto hasta el momento, se puede concluir que el valor que arroja la implantación de un modelo de gobierno de TI, sí existe, puesto que las tendencias lo dicen y la experiencia también, la reducción de riesgo generada mediante una iniciativa de este tipo y la mejora en eficiencia, que un proceso puede tener como consecuencia de un reforzamiento atinado de control interno, serán de beneficio para cualquier organización siempre que estén alineados con su estrategia.
Referencias
www.itgi.org
www.isaca.org
www.oecd.org
www.ey.com
www.drii.org
www.bsi-global.com
COBIT
IT Governance Implementation Guide (ITGI)
ITIL
PMBOK
VAL IT
1. Los Principios de Gobierno Corporativo de la Organización para la Cooperación y el Desarrollo Económico (OCDE), pueden encontrarse en: http://www.oecd.org/corporate/ca/corporategovernanceprinciples/37191543.pdf
2. El IT Governance Institute (ITGI) se estableció en 1998 con la intención de convertirse en el actor central que ayude a las organizaciones, por medio de la generación de conocimiento, en laresponsabilidad de hacer exitosa al área de TI en su búsqueda por alimentar la misión y el cumplimiento de los objetivos organizacionales, pero, sobre todo, en la de servir de elemento de soporte a la infraestructura de gobierno corporativo y control interno. Si bien, el ITGI está basado en los EE.UU., su motor está constituido por un amplio número de profesionales de gobierno de TI repartidos en todo el mundo.
Lic. Carlos Alberto Chalico
LI, CISA, CISSP, CISM
Socio y Responsable de Asesoría en TI para México y Centroamérica
Ernst & Young
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx