GOBIERNO DE TI

Fundamentos del Gobierno de TI basados en ISO/IEC 38500 obierno

Por:Haris Hamidovic, CIA Traducido por: Ren Vladimir Contreras MBA, CISA Contreras,

el pasado los ejecutivos de negocios podan delegar, ignorar o evitar las decisiones de TI, rar ahora esto es imposible en la mayora de los sectores e industrias (3). Un descuido de la junta de directores en relacin r con las actividades de TI es peligroso, esto origina en riesgo a la organizacin de la misma manera que lo hara una falla en el proceso de auditora audito contable (4). De hecho, el Bank for International Settlements (BIS) ha anotado que los miembros de las juntas directivas en instituciones financieras fi deberan direccionar TI como un aspecto ms de su agenda estratgica (5). La dependencia crtica sob la tecnologa de sobre informacin hace un llamado para enfocar de manera especfica el gobierno de TI con el propsito de asegurar que las inversiones en esta rea generen el valor requerido para el negocio y que los riesgos asociados con TI sean mitigados (6). El objetivo principal de este artculo es facilitar una introduccin a los elementos clave del gobierno de TI, a los marcos de referencia ms , importantes usados por las organizaciones y facilitar principios que guen a los directores de estas ltimas hacia un uso eficiente, efectivo y aceptable de las tecnologas de informacin basado en ISO/IEC 38500:2008 (7). Este debera asistir a los miembros de la junta de directores para comenzar a cumplir las obligaciones con respecto al uso de TI en sus organizaciones. organi

a presencia de un efectivo sistema de si gobierno corporativo, en una compaa individual y a travs de una economa como un todo, ayuda a proveer un grado de confianza que es necesario para la apropiada funcin de una economa de mercado (1).

A travs de los aos, TI (Tecnologas de la informacin) se ha convertido en el elemento fundamental de los negocios hasta el punto que q sera imposible para muchos operar sin ella.T ya ella.TI no se encuentra separada de la organizacin, es un elemento esencial de esta ltima. Mientras en

Cul es el alcance del Gobierno de TI? G

ISACA BOGOTA CHAPTER

El gobierno es un proceso mediante el cual una junta de directores, a travs de la gerencia, gua una institucin en el cumplimiento de su misin corporativa y protege sus activos. Un gobierno efectivo ocurre cuando la junta de directores plantea una gua adecuada a la administracin considerando la direccin estratgica para la institucin y supervisa los esfuerzos de la gerencia para moverse en esta direccin (2).

El IT Governance Institute (ITGI) establece, que fundamentalmente el Gobierno de TI se encarga de dos cosas: la entrega de valor de TI al negocio y la mitigacin de los riesgos de TI. El primero se logra a travs del alineamiento estratgico de TI con el negocio. El segundo se alcanza haciendo de la responsabilidad algo inherente a la organizacin. Ambos necesitan ser soportados por recursos adecuados y medidos con el propsito de asegurar el logro de los objetivos. Esto conduce a las cinco principales reas que rigen el gobierno de TI, todas apalancadas por el valor de las distintas partes interesadas (stakeholders). Dos de ellas son resultados: la entrega de valor y la gestin de riesgos. Tres de ellas son facilitadores: alineamiento estratgico, gestin de recursos (los cuales se sobreponen entre ellos) y medicin del desempeo. El gobierno de TI es tambin un ciclo de vida continuo (8). El gobierno de TI es distinto de la administracin de TI. El gobierno determina quin toma las decisiones. La administracin es el proceso de toma de decisiones y su implementacin (9). El gobierno de TI es el encargado de tomar las decisiones ms importantes, quien posee la informacin clave y provee un adecuado direccionamiento para la implementacin de esas decisiones. Esto no es un sinnimo de la administracin de TI. El gobierno de TI est relacionado con la toma de decisiones correctas, mientras la administracin de TI hace referencia a la toma y la implementacin de decisiones especficas de TI (10).

de acciones por parte de la gerencia media. Tales documentos son conocidos como marcos de referencia para el gobierno de TI. Algunos de los ms frecuentemente citados son: (11) COBIT (12) IT Infrastructure Library (ITIL) (13) ISO/IEC 27001 (14) Aunque estn caracterizados como Marcos de referencia para el gobierno de TI, algunos de ellos son marcos de referencia hechos para la administracin (15). Esos marcos de referencia no son alternativas de tratamiento para los mismos aspectos. COBIT es un marco de referencia para el gobierno de TI y es un conjunto de herramientas de apoyo que permiten a los gerentes de TI encadenar los conceptos asociados a los requerimientos de control, los aspectos tcnicos y los riesgos de negocio. COBIT habilita el desarrollo de polticas claras y buenas prcticas para el control de TI en las organizaciones. Hace nfasis en el cumplimiento regulatorio, ayuda a las organizaciones a incrementar el valor que ha alcanzado TI, habilita el alineamiento y simplifica la implementacin del marco de referencia COBIT (16). ITIL es esencialmente una serie de documentos que son usados para ayudar en la implementacin de un marco de referencia para la administracin de los servicios de TI. Este marco de referencia, que se puede personalizar, define cmo la administracin del servicio es aplicada en una organizacin. Aunque ITIL fue originalmente creado por la Agencia de Telecomunicaciones y Computacin Central (CCTA, por sus siglas en ingls), una agencia del gobierno del Reino Unido, hoy en da est siendo adaptado y usado alrededor del mundo como un estndar de facto para las mejores prcticas en la provisin de servicios de TI. Aunque ITIL cubre un nmero de

Marcos de referencia para el gobierno de TI Los expertos sugieren marcos de referencia detallados y dirigidos a apoyar la implementacin

ISACA BOGOTA CHAPTER

reas, su principal foco est en la administracin de servicios de TI (17). ISO/IEC 27001:2005 es un estndar que establece los requerimientos de un sistema de gestin de la seguridad de la informacin. Este ayuda a identificar, gestionar y minimizar el rango de amenazas a las cuales est expuesta regularmente la informacin. Est diseado para asegurar la seleccin de controles adecuados que protejan los activos de informacin y brinden confianza a las partes interesadas, incluyendo los clientes de la organizacin (18).

Principios para el buen gobierno corporativo de TI

Como un ejemplo de la creciente importancia del gobierno de TI, ISO liber en 2008 un nuevo estndar mundial, cuyo objetivo fue proporcionar un marco de referencia de principios dirigido a los directores cuando evalan, dirigen y monitorean el uso de TI en sus organizaciones. En este estndar, ISO presenta seis principios para el gobierno de TI (19): Responsabilidad: los individuos y los grupos en la organizacin entienden y aceptan sus responsabilidades con respecto al suministro y la demanda de los servicios de TI. Aquellos con la responsabilidad sobre ciertas acciones, tambin tienen la autoridad de desarrollarlas. Estrategia: la estrategia de negocio de la organizacin tiene en cuenta las actuales y futuras capacidades de TI, los planes estratgicos para TI satisfacen las necesidades actuales y en marcha de la estrategia de negocio de la organizacin. Adquisicin: las adquisiciones de TI son efectuadas por razones vlidas, sobre la base de un anlisis apropiado y dinmico, con toma de decisiones transparentes y claras. Existe un apropiado balance entre beneficios,

oportunidades, costos y riesgos tanto en el corto como en el largo plazo. Desempeo: TI se ajusta al propsito de apoyar a la organizacin y proveer los servicios, los niveles de servicios y la calidad de servicio necesarios para alcanzar los requerimientos actuales y futuros del negocio. Conformidad: TI cumple con todas las regulaciones y la legislacin. Polticas y prcticas estn claramente definidas, implementadas y sealadas con carcter obligatorio. Conducta humana: polticas, prcticas y decisiones de TI demuestran respecto por la conducta humana, incluyendo las necesidades actuales y de evolucin para toda la gente en el proceso.

ISO/IEC 38500 recomienda que los directores debieran gobernar a travs de tres principales tareas: Evaluacin del uso actual y futuro de TI. Preparacin directa e implementacin de planes y polticas para asegurar que el uso de TI se ajusta a los objetivos del negocio. Monitoreo de la conformidad de las polticas y el desempeo en relacin con lo planeado.

Implementacin del gobierno de TI

Las organizaciones implementan sus esquemas de gobierno a travs de un conjunto de mecanismos de gobierno: estructuras, procesos y comunicaciones (20). Mecanismos de gobierno bien diseados, entendidos y transparentes promueven comportamientos deseables de TI. En contraste, si los mecanismos son implementados de una manera inadecuada, entonces los esquemas de gobierno fallarn en el propsito de alcanzar los resultados deseados. Un gobierno efectivo adopta tres diferentes tipos de mecanismos:

ISACA BOGOTA CHAPTER

Estructuras de toma de decisiones: unidades organizacionales y roles responsables de la toma de decisiones, tales como comits, equipos ejecutivos y gerentes de relaciones entre las instancias de negocios e TI. Procesos de alineamiento: procesos formales para asegurar que las conductas del da a da son consistentes con las polticas de TI y proporcionan elementos de juicio para la toma de decisiones. All se incluyen los procesos de evaluacin y propuesta de inversiones en TI, procesos de excepcin en arquitectura, acuerdos de niveles de servicio y mtricas. Enfoques de comunicacin: comunicados, recomendaciones, canales y esfuerzos de educacin que difundan los principios y polticas del gobierno de TI y los resultados de los procesos de toma de decisiones de TI.

Entonces ellos quieren accin, necesitan seguimiento. Es esencial determinar no solamente la accin sino tambin quin es el responsable de entregar qu y para cundo (22). El Instituto Canadiense de Contadores (CICA, por sus siglas en ingls) liber un folleto denominado 20 preguntas que los directores deberan hacer acerca de TI, para asistir a los directores corporativos en el desempeo de sus responsabilidades. El documento tambin pretende ser una ayuda para los auditores y los comits de direccin de TI (23). Las preguntas indican claramente que la responsabilidad principal recae sobre la administracin con relacin a la implementacin de los procedimientos necesarios. Los miembros de la junta de directores necesitan determinar que la administracin ha adoptados tales procedimientos. Adems, si los directores quisieran ejercer un rol poco cuidadoso y atento a las actuaciones de la gerencia, ellos seran negligentes al confiar en los requerimientos y acciones de esta ltima, sin importar qu tan honesta y confiable pueda ser. Por consiguiente, algunas evidencias corroborativas seran esenciales. Los directores deben determinar que los procedimientos se han adoptado, que son apropiados y deben obtener una evidencia corroborativa (24).

Qu preguntas deberan surgir?

El presidente de la Sociedad Australiana de Computacin, Richard Hogg, dijo: As como los gerentes de tecnologas de informacin y comunicaciones (TIC) hoy en da necesitan fortalecer sus habilidades para obtener un mejor entendimiento de los procesos y las estructuras de negocios, en la misma medida se solicita su apoyo; as, las juntas de directores deben otorgar mayor importancia a los aspectos relacionados con las TIC. Las juntas de directores deben aprender qu preguntas plantear acerca del gobierno de las TIC . . . delegar el gobierno de las TIC a niveles gerenciales es seal de un gobierno corporativo pobre. Las TIC son una parte integral de su negocio y el gobierno de las TIC es una parte integral del gobierno corporativo (21). Hacer preguntas slidas es una forma efectiva para dar inicio a la implementacin del gobierno de TI. Por supuesto, los responsables del gobierno esperan buenas respuestas a esas preguntas.

Conclusin
La madurez del gobierno de los activos clave vara significativamente en las organizaciones hoy en da. Los activos fsicos y financieros son tpicamente los mejor gobernados, y los activos de informacin aparecen entre los peor gobernados. Sin embargo, el gobierno de TI debera ser una parte integral del gobierno corporativo. Plantear preguntas apropiadas es una forma efectiva de dar inicio a la implementacin del gobierno de TI. Los miembros de las juntas de directores deben aprender qu preguntas plantear acerca del gobierno de TI. Entonces, ellos necesitan buenas

ISACA BOGOTA CHAPTER

respuestas a esas preguntas y deben requerir accin. El siguiente paso es implementar esquemas de gobierno a travs de un conjunto de mecanismos de gobierno tales como estructuras, procesos y comunicaciones.

Referencias

(1) Organizacin para la Cooperacin y el

Desarrollo Econmico (OCDE), los Principios de Gobierno Corporativo de la OCDE, Francia, 2004. (2) Rock, Raquel, Mara Otero, Sonia Saltzman, Principios y Prcticas de Gobernabilidad de microfinanzas, ACCION International, EE.UU., en agosto de 1998. (3) Van Grembergen, Wim; Dehaes Steven; aplicacin gobierno Tecnologas de la Informacin: Prcticas y Modelos, Casos y Publicaciones de IGI, EE.UU., 2008. (4) Nolan, Richard; McFarlen F. Warren, "Tecnologa de la Informacin y la Junta de Directores", Harvard Business Review, 01 de octubre 2005. (5) Banco de Pagos Internacionales (BPI), "Mejora de la gobernanza empresarial en Organizaciones Bancarias", septiembre de 1999, se hace referencia en el IT Governance Institute (ITGI), Liberacin de valor: un Primer Ejecutivo sobre el Papel Fundamental de Gobierno de TI, EE.UU., 2008. (6) Opcit, Grembergen Van y Dehaes de 2008 (7) Organizacin Internacional de Estndares (ISO) y la Comisin Electrotcnica Internacional (IEC), ISO / IEC 38500:2008, la gobernanza corporativa de tecnologa de la informacin, 2008, www.iso.org/iso/catalogue_detail.htm?csnum ber=51639 (8) ITGI, Informe de la Junta de Gobierno de TI, 2da edicin, EE.UU., 2003. (9) Weill, Pedro, Juana Ross; Gobierno de TI: Cmo gestiona la alta direccin las decisiones

en TI para obtener mejores resultados, Prensa de Negocios de Harvard, EE.UU., 2004. (10) Broadbent, Marianne, "Significado de gobernabilidad de TI", CIO de Canad, 01 de abril 2003. (11) Musson, David, "La gobernabilidad de TI: Una revisin crtica de la literatura," Gobernanza y Gestin de Tecnologas de la Informacin de servicio: Marcos y adaptaciones, Ed. AileenCater-Steel, Referencia de Ciencias de la Informacin, EE.UU., 2009. (12) ITGI, COBIT, 1996-2007, www.isaca.org / COBIT. (13) Oficina de Comercio de Gobierno, IT Infrastructure Library (ITIL) V3, Reino Unido, 2009. (14) ISO y la IEC, ISO / IEC 27001, la informacin Tcnicas de seguridad de tecnologa de informacin, sistemas de gestin de la seguridad-Requisitos de 2005, www.iso.org/iso/catalogue_detail?csnumber= 42103. (15) Van Bon, Jan; Arjen de Jong, Axel Kolthof; Pieper Mike; Tjassing Ruby, van der VeenAnnelies; VerheijenTieneke, Fundamentos de la Gestin de Servicios TI basada en ITIL V3, Editorial Van Haren, Pases Bajos, 2007. (16) ISACA, www.isaca.org / COBIT (17) Gestin de Servicios de Zona, www.itil.org.uk (18) BSI Management Systems, www.bsiemea.com (19) Opcit, ISO / IEC 38500:2008 (20) OpcitWeill, y Ross (21) Australia ComputerSociety (ACS), "Destaca ACS Necesidad de una mejor gobernanza de las TIC", comunicado de prensa, 05 de marzo 2002. (22) Opcit, ITGI, 2003 Canad (23) Canadian Institute of Chartered Accountants (CICA), "Administracin 20 Preguntas que deben hacer al respecto", de 2004.

ISACA BOGOTA CHAPTER

(24) Trites, Gerald, "Director de Responsabilidad de Gobierno de TI", Revista Internacional de Sistemas de Informacin de Contabilidad, vol. 5, nmero 2, julio de 2004.

Es el autor de cuatro libros y ms de sesenta artculos para publicaciones relacionadas con negocios y tecnologa. Hamidovic es un experto certificado en Tecnologa de Informacin por parte del Ministro Federal de Justicia de Bosnia y Herzegovina.

El autor
HarisHamidovic est certificado CIA, y es actualmente CISO (Chief Information Security Officer) en Microcredit Foundation EKI ubicada en Sarajevo, Bosnia y Herzegovina. Hamidovic se ha desempe tambin como especialista de TI en la Organizacin para el Tratado del Atlntico Norte (NATO, por sus siglas en ingls), donde lider la Fuerza de Estabilizacin (SFOR, por sus siglas en ingls) en Bosnia y Herzegovina.

Traduccin
Ren Vladimir Contreras, MBA, es certificado CISA y actualmente es auditor de sistemas en COPIDROGAS.

ISACA BOGOTA CHAPTER