UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Curso: Auditoría del Sistema de Información

Gobierno de TI
 Agenda

• Antecedentes
• Gobierno de TI
– ¿Qué es Gobierno Empresarial?
– ¿Qué es Gobierno de Tecnologías de
Información (TI)?
– Importancia del Gobierno de TI
– Gobierno de TI en los negocio
– Requerimientos de Calidad, Fiduciarios
y Seguridad.

2
Antecedentes

3
4
 Antecedentes
Importancia de las TI para el suministro de la estrategia general del negocio y la visión

Se considera importante o muy

importante para la aplicación de
la estrategia general del negocio
y la visión en casi todos los
encuestados (94 por ciento).

Esta respuesta no ha variado

significativamente en los últimos
años que la encuesta se ha
realizado.

Fuente: IT Governance Global Status Report 2011

5
 Antecedentes
Contribución de la TI con el negocio

Fuente: IT Governance Global Status Report 2011

6
 Gobierno Empresarial

• Conjunto de responsabilidades y
prácticas ejercidas por la dirección y
la administración ejecutiva
– Para proporcionar una dirección
estratégica,
– Asegurar el logro de objetivos y manejo
adecuado de riesgos
– Verificar que los recursos de la empresa
se utilicen de manera responsable.

7
 Gobierno Corporativo y de Activos Críticos
Gobierno Corporativo
Otros
Accionistas Accionistas
Junta
Directiva
Divulgación
Monitoreo

Alta Dirección

Comportamiento
Estrategia
Deseable

Activos Críticos
Activos Activos Activos Activos Información Activos de
Propiedad
Humanos Financieros Físicos Activos IT Relaciones
Intelectual

Mecanismos Mecanismos
Gobierno Financiero Gobierno IT
(comités presupuestos)
(comités presupuestos)

Gobierno de activos críticos

Gobierno IT 2003 MIT Sloan School Center for information System Research.

8
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE CIENCIAS CONTABLES
Curso: Auditoría del Sistema de Información

Gobierno de TI

https://www.isaca.org/
10
 IT Governance Institute (ITGI)

• Establecida en 1998 en reconocimiento al estado critico cada vez mayor

de TI para el éxito de la empresa.
• Conduce la investigación sobre las prácticas mundiales y las percepciones
de el gobierno de TI para la comunidad empresarial.
• Tiene como objetivo ayudar a los líderes empresariales para que
entienden cómo el gobierno eficaz puede que sea un éxito en el apoyo a
la misión de la empresa y sus objetivos

11
Gobierno de TI

12
 Nace de contexto propio
• Tendencia regulatoria es global.
– Por industria y geografía.
• Escándalos 2002 dan auge al tema gobierno corporativo.
– Enron, Worldcom, Tyco, ...
– Reacción: Sarbanes Oxley y otras regulaciones.
• Del gobierno corporativo al gobierno de TI
– Principal objetivo: dar confianza a inversionistas!!
• Han pagado primas hasta de 20% en inversiones por compañías con
gobierno transparente.
• Latinoamérica:
– Tímidos avances sobre regulaciones de gobierno corporativo.
Más lentamente en TI.
– Hay más en iniciativas privadas.
– Multinacionales generalmente.

13
 ¿Qué es Gobierno de TI?

• Accionistas y ejecutivos
esperan:
– Reducir costos
– Reducir riesgos
– Incrementar rentabilidad
– Mayor participación en el
mercado
• Clientes y operativos
esperan:
– Mayor funcionalidad a bajo
costo
– Facilidad de uso
• La sociedad espera:
– Mayor control sobre los
ejecutivos de las
compañías
Expectativas sobre las TI

14
 Gobierno de TI

• Es el sistema por el cual se dirige y controla las TI

dentro de las empresas.
• La estructura de Gobierno de TI establece
derechos y responsabilidades entre:
– el Directorio,
– los gerentes de negocios y
– personal de TI.
• Explica en detalle las reglas y procedimientos para
tomar decisiones sobre las tecnologías.
• Provee la estructura a través del cuál los objetivos
de TI deben ser establecidos, y los medios para
lograr los objetivos y monitorear el rendimiento”
(The Organisation of Economic Cooperation and Development OECD)

15
 Gobierno de TI

• TI es esencial para manejar transacciones,

la información y los conocimientos
necesarios para iniciar y mantener
actividades económicas y sociales.
• Estas actividades dependen cada vez más
de TI en todo el mundo para tener éxito.
• Son fundamentales para:
– apoyar,
– sostener y
– hacer crecer el negocio.

16
 Gobierno de TI

• Crea relaciones
constructivas y una
comunicación efectiva entre
el negocio y la TI, y los
socios externos.
• Insistir en que la estructura
de control de la TI se
adopte e implemente
• Medir el desempeño de la
TI

17
Principales responsabilidades

• Alinear la estrategia de
TI con la estrategia del
negocio;
• Proveer dirección a los
procesos que
implementan la
estrategia;
• Garantizar la obtención
de los resultados
deseados.

18
 ¿Le gustaría saber si la TI de su empresa:

• logrará sus objetivos?

• se resistirá bastante en aprender y
adaptarse?
• está manejando de manera juiciosa los
riesgos que enfrenta?
• reconoce adecuadamente las
oportunidades y actúa de acuerdo con
ellas?

19
Importancia del Gobierno de TI

20
 Importancia del Gobierno de TI

• Nivel Directivo y Ejecutivo

– Debe promover medidas efectivas y
oportunas encaminadas a tratar:
• Manejo adecuado de la TI
• Proporcionar el liderazgo, procesos y
estructuras de organización necesarios
• Asegurar que la TI sustente y
• Amplíe los objetivos y las estrategias de la
organización.

21
Importancia del Gobierno de TI

• Debe convertirse en parte integral

del manejo total de una empresa.
• Inversionistas informados y
asertivos han mostrado su
preocupación acerca del manejo
inteligente de sus intereses.

22
 Importancia del Gobierno de TI

• Surgen normas y reglamentaciones de

dirección corporativa para el manejo
total de la empresa
• Dichas disposiciones establecen:
– Responsabilidades de la dirección; y,
– Exigen que se realice el esfuerzo
necesario para establecer una estrategia
y asegurarse de que la administración la
lleva a cabo.

23
 Importancia del Gobierno de TI

– Capacidad habilitadora para crear nuevos

modelos de negocio y cambiar las
prácticas comerciales
– Equilibrar su creciente costo, con el
aumento del valor de la información para
obtener retorno positivo
– Los riesgos de hacer negocio en un
mundo digital interconectado y depender
de entidades más allá del control directo
de la empresa

24
 Importancia del Gobierno de TI

– Impacto en la continuidad del negocio

debido al apoyo cada vez mayor en la
información y la TI en todos los aspectos
de la empresa
– Capacidad para crear y guardar el
conocimiento esencial
• Para que el negocio crezca y se mantenga
– Disminuyendo sus errores
• Para que crezca su reputación como
herramienta poderosa y por ende, su valor
empresarial
25
26
26
27
27
 Propósitos del Gobierno de TI

• Dirigir las iniciativas de la misma para asegurarse de

que su desempeño cumpla los siguientes objetivos:
– Que la TI esté alineada con la empresa y produzca los
beneficios prometidos
– Que la TI habilite a la empresa para que pueda explotar
sus oportunidades y generar los máximos beneficios
– Que los recursos relacionados con la TI se empleen
responsablemente
– Que los riesgos relacionados con la TI se administren
adecuadamente

28
 Proceso del Gobierno de TI

• Comienza al establecer los objetivos para la TI de la

empresa, proporcionando la dirección inicial.
• Se establece un circuito continuo de desempeño que
se mide y compara con los objetivos,
– Da como resultado una nueva dirección en las
actividades, cuando sea necesario, o
– Cambio de objetivos, cuando sea conveniente.
• Los objetivos son principalmente responsabilidad de
la dirección y las medidas de desempeño de la
administración, deben desarrollarse en armonía,
– Los objetivos sean realistas y las medidas
representen correctamente los objetivos

29
 Marco de Gobierno de TI

• En respuesta a la instrucción recibida,

es necesario enfocar la función de la
TI en:
– La producción de beneficios al
incrementar la automatización y hacer a
la empresa más eficaz al reducir los
costos y hacer que toda la organización
sea más eficiente; y en
– Manejar los riesgos (seguridad, confianza
y cumplimiento de las normas).
30
 Marco de Gobierno de TI

Proporcionar
Dirección

Establecer Objetivos Actividades de la TI

• TI alineado con el • Aumentar
negocio Automatización
• TI habilita el (hacer eficaz el
negocio y produce negocio)
Comparar • Reducir costos
máximos beneficios
(hacer eficiente a la
• Manejo adecuado empresa)
de riesgos • Manejar Riesgo
relacionados con TI (seguridad confianza y
cumplimiento
reglamentario)

Medir
Desempeño
31
 ¿Es importante el Gobierno de TI?

• Será el principal conductor de riqueza económica en el siglo

XXI.
• Sirve como una ventaja competitiva y ofrece una manera de
aumentar la productividad.
• Para transformar la empresa y crear productos y servicios con
valor agregado se ha convertido en una habilidad universal en
el mundo de los negocios.
• Es fundamental para la conducción de recursos de la
empresa; indispensable para el manejo de la relación con el
cliente; permite cada vez más transacciones a nivel mundial y
sin materiales, y es clave para registrar y diseminar el
conocimiento del negocio.
32
 ¿Es importante el Gobierno de TI?

• Para sostener y permitir que se alcancen las metas de la organización, su

manejo eficaz genera verdaderos beneficios empresariales, tales como:
– reputación,
– confianza,
– liderazgo en productos,
– costos reducidos y
– tiempo para llevar un producto o servicio al mercado,
– lo cual incrementa el valor del inversionista.
• Es fundamental para mantener las operaciones, es igualmente esencial
para hacer crecer e innovar el negocio.

33
 TI: Elemento Empresarial

• Se necesita poner especial atención en ella,

revisando cuánto se apoya la empresa en
ésta y cuán importante es para la ejecución
de la estrategia empresarial, donde:
– La TI es crítica en el soporte y conexión con las
metas empresariales.
– La TI es estratégica en los negocios.
(Crecimiento e Innovación)
– La TI incrementa la rapidez en las adquisiciones
y combinaciones de negocios.

34
 ¿Qué comprende el Gobierno de TI?

• Le conciernen dos cosas:

– Que produzca valor comercial y
– Que se mitiguen sus riesgos.
• La primera se lleva a cabo por la alineación
estratégica de la TI con la estrategia de negocio.
• La segunda se realiza al establecer responsabilidades
(accountability) dentro de la empresa.
• Ambas necesitan medición, por ejemplo, por medio
de un Cuadro de Mando Integral (BSC).

35
 Gobierno de TI

• Es un continuo ciclo de vida, donde se puede

ingresar por cualquier punto.
• Se comienza con la estrategia y alineamiento a
través de la empresa.
• Su implementación, entrega el valor prometido en la
estrategia y direcciona la mitigación de los riesgos.
• A intervalos regulares, la estrategia necesita
monitorearse, midiendo los resultados logrados,
informando las diferencias, y realizando las
correcciones necesarias.
• Generalmente, una vez al año usualmente, la
estrategia debe ser evaluada y realineada si es
necesario.

36
 Áreas de Foco de Gobierno de TI

Valor derivado de
la TI

Alineación Conductores del Manejo de

estratégica de TI valor del riesgos
inversionista

Medir
Desempeño

37
 Foco del Gobierno de TI

• El ciclo de vida no toma lugar en el

vacío.
• Cada empresa funciona en un entorno
y es influenciado por:
– Valor del accionista
– La misión, visión y valores de la empresa.
– La comunidad donde está inserta, ética y
cultura de la empresa
– Leyes, Políticas y regulaciones aplicables.
– Prácticas de la industria. 38
 Foco del Gobierno de TI

• Proceso donde la estrategia de TI maneja los procesos de TI,

definiendo los recursos necesarios para poder exigir sus
responsabilidades.
• El Proceso de TI informa acerca de las responsabilidades que
el proceso genera, su ejecución, los riesgos aceptados y
mitigados, y los recursos utilizados.
• Ese informe debe ser comparado con la estrategia para
determinar si fue correctamente ejecutado, o entregar las
correcciones para redireccionar la dirección o la estrategia si
es necesario.

39
 Procesos de Gobierno de TI

Directivas Procesos

Medir
Mejorar
Conductores Conductor
del valor Estrategia
del Accionista Recursos
-Conocimiento
-Capacidad
Informar
-Información
Confirmar -………….
O
Resultados:
Cambiar
-Resultados
-Ejecución
-Riesgos
-Activos

40
 ¿Qué motiva el Gobierno de TI?

• Objetivos:
– Agregar valor al negocio
– Mitigar riesgos por IT
• Drivers:
– Alineamiento estratégico
– Administración de recursos
– Medición de desempeño

41
Gobierno de TI
• La responsabilidad del
Directorio y la gerencia de
la organización.
• Un parte integral del
gobierno empresarial,
consistente en el liderazgo,
estructura organización y
procesos que aseguren que
las TI soporten los objetivos
y estrategias de la
organización

2005
2003

42
 ¿Qué pueden hacer al respecto?

• Gestión de Control de Objetivos

estratégicos
– Alinear los planes, políticas, procesos y
áreas con el negocio, controlando el
cumplimiento de los objetivos estratégicos
planteados
• Gestión de servicios de TI
– Alinear los servicios de TI con las
necesidades de la organización y buscando
el beneficio para el usuario final
• Gestión de Seguridad de la Información
– Administración de la Información, sus
riesgos, accesibilidad, confidencialidad,
integridad y disponibilidad

43
Visión y estrategia de TI

44
 Dominios del Gobierno de TI

Alineamiento estratégico • Permite:

– Lograr el potencial de la
organización.
– Identificar y capitalizar
oportunidades de negocio que
pudieran ser habilitadas por la
TI
– Evitar costos más altos de
operación y perder
competitividad (falta de
automatización)
– Foco correcto o efectivo de
recursos de TI
– Posibilidad de reclutar y
retener personal de alta
“La Alineación de las TI es el calidad
– Evitar disminución de valor en
viaje, no el destino” el tiempo

45
 Alineación estratégica de la TI

– La inversión en TI está en armonía con sus objetivos estratégicos

(propósito, estrategia actual y metas empresariales), creando así la
capacidad necesaria para producir valor para el negocio.
– La alineación, es compleja, multifacética y nunca se logra por
completo.
– Se trata de seguir en la dirección correcta y estar mejor alineado que
los competidores.
– Las metas empresariales cambian con demasiada rapidez, aunque no
obstante sea una ambición que valga la pena debido a que existe un
verdadero interés acerca del valor que tiene invertir en TI.

“La alineación de la TI es el viaje, no el destino”

46
 Alineación de TI

• Sinónimo de estrategia, ¿la estrategia de la TI se sustenta en

la estrategia de la compañía?
• Comprende más que la integración estratégica entre la
(futura) organización de la TI y la (futura) organización de la
empresa.
• También implica que las operaciones de la TI estén alineadas
con las operaciones empresariales en curso
• Es difícil lograr la alineación de la TI cuando las unidades de la
compañía están mal alineadas.

47
 Alineamiento Empresa y TI

Estrategia
Empresarial

Operaciones Actividades de Estrategia

de la Alineación de TI
empresa

Operaciones
De TI

48
 Estrategia de TI

• Debe considerar:
– Agregar valor a productos y servicios
– Ayudar en el posicionamiento competitivo
– Administrar eficaz y eficientemente los costos
– Incrementar la eficacia de la administración
• Debe articularse con la intención de lograr alguna o
todas estas razones.
• Unir lo esencial de los negocios con la entrega de
valor reconocible de la TI, para la empresa.

49
 Estrategia de TI

• Debe considerar:
– Objetivos de negocios y entorno competitivo
– Tecnología concurrente y futura y sus costos, riesgos y beneficios que
esta puede entregar a la empresa.
– La capacidad de organización de la TI para entregar nieveles de
servicio razonables en el presente y el futuro, y que el cambio de
tecnología y su inversión sea razonable.
– El costo de la TI debe entregar suficiente valor agregado al negocio
– Aprender de los fallos y problemas para mejorar.
• Puede ser desarrollada para asegurar que todo los objetivos
estratégicos del negocio serán logrados con la ayuda de la TI.

50
 Objetivos Estratégicos soportados por TI

Estrategia
Empresarial

Funciones de
Negocio

Arquitectura de
Aplicaciones

Infraestructura
Técnica

Sourcing/
Staffing

Funding

51
 Valor derivado de la TI

• Los principios básicos son:

– entregar a tiempo,
– dentro del presupuesto y
– con los beneficios prometidos.
• En términos del negocio, esto a menudo se traduce como:
– ventaja competitiva,
– tiempo transcurrido para cumplir con el pedido/servicio,
– satisfacción del cliente,
– tiempo de espera del cliente,
– la utilidad y productividad del empleado.

“El valor de la TI está en el ojo del espectador”

52
Apoyo de TI a la estrategia
ESTRATEGIA
CORPORATIVA

FUNCIONES DEL
NEGOCIO

ARQUITECTURA DE
APLICACIONES

INFRAESTRUCTURA
TECNICA

GOBERNABILIDADES
TECNOLOGICAS

BASE
TECNOLOGICA

53
 Dominios del Gobierno de TI

Entrega de Valor • Optimizar costos y

proveer valor al
negocio para:
– Obtener ventajas
competitiva
– Mejorar tiempo de
llegada al mercado
– Mejorar la satisfacción
de clientes
– Incrementar
“El valor de las TI está en el
productividad de
ojo del espectador” empleados

54
Vistas del Valor de la TI

55

55
 Dominios del Gobierno de TI
Medición de Desempeño
“En TI, si usted participa en el
juego y no lleva el marcador,
solamente está practicando”
• Seguimiento a proyectos y
medición del desempeño de
procesos de TI:
– Creación de valor se da por
intangibles, usualmente no
medibles
– Balanced Scorecard (BSC)
• BSC: Convierte estrategia en
acciones para logro de
objetivos y mide aspectos
clave como orientación al
cliente, eficiencia de
procesos, capacidad de
aprender y crecer
56
 Dominios del Gobierno de TI

Administración de recursos • Optimizar conocimiento

e infraestructura para
maximizar el beneficio:
– Maximizar el uso de los
recursos en la tarea y
lugar apropiados
– Calidad de servicios de TI,
acuerdos de nivel de
servicio con el negocio
– Talento humano
– Entrenamiento y
desarrollo de habilidades
– Instalaciones

57
 Dominios del Gobierno de TI

Administración del riesgo

58
 Dominios del Gobierno de TI

Administración del Riesgo • Involucra:

– Proactividad
– Análisis de riesgos y nivel
de riesgo aceptable para
el negocio
– Responsabilidad final de la
gerencia por la
administración de riesgos
– Sistema de control interno
costo-eficiente
– Administración de riesgo
“Los problemas de TI que como parte integral de la
Usted no vea lo tomarán por operación del negocio
sorpresa”
59
 Riesgos de la TI

• Los negocios se hacen de manera ininterrumpida e internacional,

– El tiempo de reparación del sistema y de la red se ha vuelto demasiado costoso para
cualquier empresa.
• La TI es un recurso competitivo necesario para diferenciar y proporcionar
una ventaja competitiva.
– En muchas otras determina la supervivencia, no sólo la prosperidad.
• La red económica ha aportado mercados más eficientes, ha permitido la
modernización de procesos y ha optimizado las cadenas de suministro.
• Ha creado nueva tecnología y riesgos empresariales, así como nueva
información y requerimientos de flexibilidad.
• Determinan que el gobierno de la TI sea más eficaz y transparente.

60
 Dominios del Gobierno de TI

Administración del Riesgo

61
Gobierno de TI

62
 Importancia del Gobierno de TI

Las organizaciones requieren un enfoque estructurado para manejar los

retos.
Asegurará que existan objetivos de TI acordados, buenos controles de
administración y un efectivo monitoreo del rendimiento para evitar
resultados no esperados.
63
 Gobierno de TI en los negocios

¿Su empresa ha implementado, está en proceso de implementación o

está considerando implementar un framework de Gobierno de TI?

Ya han
implementado

En proceso de
implementación

Consideran
implementarlo

No Consideran
implementarlo

Fuente: IT Governance Global Status Report 2008

64
 Requerimientos de Calidad, Fiduciario y
Seguridad
Los requerimientos de negocio con respecto a la información pueden clasificarse en:

• REQUERIMIENTO DE CALIDAD:
– Calidad,
– Costo
– Tiempo de Entrega de Servicio.
• REQUERIMIENTOS FIDUCIARIOS:
– Efectividad y
– Eficiencia de Operaciones,
– Confiabilidad de la Información,
– Cumplimiento de las Leyes y Regulaciones.
• REQUERIMIENTOS DE SEGURIDAD:
– Confidencialidad,
– Integridad,
– Disponibilidad.

65
 Un efectivo marco de Gobierno de TI

• ¿El Comité de Organización o Dirección se

preocupa y hace preguntas sobre la TI que
se utiliza en la organización?
• ¿Este comité es informado regularmente
sobre las mayores iniciativas de TI, su
estatus y sus resultados en la gestión del
negocio?
• ¿El comité ha participado y aprobado la
estrategia de TI utilizada en la empresa?
• ¿Cuenta el comité con un representante con
conocimientos de estrategia de TI tan bueno
como de estrategia de negocios?

66
Un efectivo marco de Gobierno de TI

– ¿Qué tan importante es la TI para

mantener la empresa?
– ¿Cuál es su trascendencia para el
crecimiento de la compañía?
– ¿Qué tan lejos debe ir la empresa en la
mitigación de riesgos? y ¿el costo justifica
el beneficio?

67
Un efectivo marco de Gobierno de TI

– ¿La TI es un tema regular en el programa

de la dirección y se atiende de manera
estructurada?
– ¿El nivel de los informes del director de TI
corresponde a la importancia que tiene la
TI en la empresa?

68
Marco de Gobierno de TI

69
Herramientas para el Gobierno de TI

70
Modelo de Madurez
• Son escalas basadas en
criterios:
– Conciencia y comunicaciones
– Políticas, estándares y
procedimientos
– Herramientas y automatización
– Habilidades
– Responsabilidad
– Definición de objetivos y
medición
• Ayudan a determinar la
posición actual y futura relativa
al manejo de IT y la madurez en
el control
• Permiten realizar un análisis de
brechas para determinar qué
se necesita hacer para
alcanzar cierto nivel

71
Modelo de Madurez

72
Factores Críticos de éxito

• Son los aspectos que

contribuyen a que el proceso de
IT alcance su objetivo:
– Estratégicamente
– Técnicamente
– Organizacionalmente
– Procedimentalmente
• Son señales visibles y medibles
de éxito
• Enfocados a la ejecución de
acciones específicas

73
Key Goal Indicators (KGI)

• Son indicadores de éxito del

proceso que:
– Se enfocan en el cumplimiento
de metas del negocio (Goals)
– Son expresados en términos de
contribución al negocio
– Están orientados a TI pero
direccionados por el negocio
– Se enfocan en los criterios de
información identificados como
de mayor importancia

74
Key Performance Indicators (KPI)

• Son indicadores medibles de

rendimiento que:
– Definen “cuán bien” se está
ejecutando el proceso
(Desempeño)
– Permiten predecir la
probabilidad de éxito o falla en el
futuro
– Están orientados a procesos
pero direccionados por TI
– Son expresados en términos
medibles precisos

75
 Resumen

• La clara dependencia de informática en los

procesos de negocio es una oportunidad de
eficiencia que no esta exenta de riesgos.
• Las lecciones aprendidas establecen que
las organizaciones no tienen una madurez o
formalidad necesaria en sus procesos y
controles TI.
• Gobierno de TI ayuda a las organizaciones a
administrar los riesgos de negocio con los
objetivos TI.

76
 Retos de TI

Simplificar TI Reducir costos y Mejorar

Y Administración complejidad Seguridad

• Mantenimiento PCs
• Crecimiento • Ataques maliciosos,
• Servicio al cliente • Expansión de virus y spam.
• Cumplimiento de servidores
• Reducir “huecos de
políticas • Plataformas Legacy seguridad”
• Admin. de • Deployment y
dispositivos • Patch management,
mantenimiento VPN, etc.
• Consolidación y
virtualización de Identity
• Acceso seguro
servidores y management
(Empleados, socios y
aplicaciones • Actualizaciones de clientes)
software

77