Gobernabilidad TI – IT Governance

La gobernabilidad de las tecnologías de información, o Gobernabilidad TI es un subconjunto de la disciplina Gobernabilidad Corporativa enfocada a los sistemas correspondientes a las tecnologías de información y, a la gestión de su performance y riesgos. El aumento del interés por la Gobernabilidad TI se debe a las nuevas obligaciones para las empresas, que han surgido debido a regulaciones como la Sarbanes-Oxley (USA) y Basel II (Europa), como también a que frecuentemente los proyectos TI se van fuera de control y afectan profundamente los resultados de las compañías.

Un aspecto fundamental que tiene que ver con la Gobernabilidad TI es que los sistemas de información ya no pueden ser considerados como cajas negras. Hoy tanto los directores de las empresas, como sus ejecutivos y personal deben tener un conocimiento respecto a cuales son sus funciones y como generan la información. Por otra parte las nuevas regulaciones hacen responsables tanto a los directores como a los gerentes de las compañías.

El directorio necesita comprender la arquitectura global del portafolio de aplicaciones informáticas de su empresa … El directorio debe asegurarse que la administración conoce que recursos de información que dispone, bajo que condición se han generado, y que rol juegan en la generación de los resultados…

Nolan, R. and F. W. McFarlan (2005). “Information Technology and the Board of Directors.” Harvard Business Review
(October 2005).

Para contextualizar con la realidad, cual es la opinión que tiene los directores de la situación actual de la TI, a continuación van algunas conclusiones obtenidas de la encuesta realizada el año 2005 por el IT Governance Institute (ITGI) en 22 países y publicada este año.

• Las TI son más críticas que nunca para el negocio.
  Para el 87 por ciento de los participantes, las TI son muy importantes para hacer realidad las estrategias y visiones corporativas. Para el 63 por ciento de los encuestados, las TI están regularmente o siempre en la agenda del directorio.
• Los gerentes generales tienen un sentimiento más positivo hacia las TI que los gerentes de TI.
  Los gerentes generales le asignan a las TI un nivel de crititicidad e importancia mayor que el que les dan los gerentes de TI. Adicionalmente, los gerentes generales están más satisfechos con las TI y con el alineamiento de la estrategia con el negocio.
• Existen diferencias significativas entre los distintos sectores industriales.
  Los servicios de IT/telecom y financieros son los con más desarrollo en la Gobernabilidad TI. Mientras que el retail y la industria manufacturera van más atrás. Esto es concordante con el grado de importancia estratégica que le asignan estos sectores a las TI.
• El staft de TI es el problema más importante relacionado con las TI.
  Cuando se analizan todos los aspectos de un problema (relacionado con TI), tales como la frecuencia de ocurrencia, la severidad del problema y su evolución futura, el staff TI surge como el problema TI más importante.
• La seguridad TI no es el problema más importante relacionado con las TI
  Cuando se consideran todas las 8 categorías de problemas TI considerados en la encuesta, la seguridad ocupa el último lugar en el ranking.

Para mayores detalles respecto a esta encuesta ir a IT Governance Global Status Report 2006 (PDF, 420K)

¿Qué es Gobernabilidad TI?
La disciplina de la Gobernabilidad TI deriva de la Gobernabilidad Corporativa[1], y trata principalmente de la relación entre el negocio y la gestión informática de una organización. Resalta la importación de las materias concernientes a TI en las organizaciones modernas y recomienda que las decisiones estratégicas de TI deban ser tomadas por el Directorio, en vez del CIO u otros ejecutivos del área de TI.

Los objetivos principales de la Gobernabilidad TI son: (1) asegurar que las inversiones en TI generen valor comercial, y (2) mitigar los riesgos asociados a las TI. Esto puede lograrse por medio de la implementación de una estructura organizacional con los roles, muy bien definidos, para las funciones de información, procesos de negocios, aplicaciones, infraestructura, etc.

La Gobernabilidad TI es soportada por otras disciplinas como ser:

• Gestión del portafolio TI.
• Arquitectura Corporativa —Enterprise Architecture—.
• Gestión de proyectos informáticos.
• Gestión de los servicios TI.

Existen algunos mecanismos o metodologías –frameworks– que se han desarrollado para guiar la implementación de la Gobernabilidad TI, algunos de ellos son:

• La IT Infrastructure Library (ITIL), que es una metodología con instrumentos que permiten establecer una Gobernabilidad TI satisfactoria.
• Control Objectives for IT (COBIT) es otro enfoque para estandarizar buenas prácticas para el control y seguridad de las TI.
• Metodología Val IT, basada en la COBIT y que la extiende al ámbito de la evaluación financiera de los activos informáticos.

¿Qué beneficios ofrece a una empresa la Gobernabilidad TI?
Es reconocido que las TI son esenciales para manejar las transacciones, la información y el conocimiento necesario para ejecutar y sostener actividades económicas y sociales. Estas actividades cada vez son más globalizadas y requieren de la colaboración entre distintas entidades para ser satisfactorias. Por consiguiente, las TI son parte fundamental para soportar, sustentar y hacer crecer los negocios.

Mientras muchas empresas están de acuerdo con los beneficios potenciales que les pueden dar las TI, las empresas exitosas son las que logran entender y gestionar los riesgos asociados a la implementación de nuevas tecnologías[2]. Para obtener los beneficios los desafíos y preocupaciones que las empresas deben considerar son:

• Alinear la estrategia TI con la estrategia del negocio.
• Diseminar el conocimiento de la estrategia y metas de la empresa en todos los niveles de la organización.
• Establecer estructuras organizacionales que faciliten la implementación de las estrategias y el logro de las metas.
• Insistir en el establecimiento de una metodología para la Gobernabilidad TI.
• Medir la performance de las TI en uso en la empresa.

Es parte de las responsabilidades del Directorio y de los Gerentes implementar una efectiva Gobernabilidad TI, para obtener los beneficios derivados del uso de las TI en su compañía. Esta generación de resultados ya no es más asunto que concierne sólo a los ejecutivos y profesionales informáticos. Para ello la metodología de Gobernabilidad TI debe permitir gestionar tópicos como el alineamiento estratégico, la medición de performance de los activos informáticos, la gestión de riesgo informático, la generación de valor y la administración de los recursos y activos de TI.

COBIT – Control Objectives for Information and Related Technology
COBIT es una metodología y un conjunto de herramientas que soporta la implementación de la Gobernabilidad TI, tal que permite a los gerentes superar las diferencias que existen entre el control del los requerimientos, los aspectos técnicos y los riesgos del negocio. COBIT permite habilitar políticas claras para el desarrollo y ejecución de buenas prácticas de TI, ayudando a su control en todos los niveles e instancias de la organización. La última versión de esta metodología: la COBIT 4.0; enfatiza su foco en las regulaciones existentes (SoX, Basel II, etc.) y simplifica su implementación.

La metodología COBIT debe ser ajustada a la realidad y necesidades de cada empresa, básicamente consiste en un conjunto de “Objetivos a Controlar” por medio de la TI, diseñados de tal manera que se posibilite su auditoría.

Los “Objetivos a Controlar” se agrupan en 34 “Procesos”, denominados “Objetivos a Controlar de Alto Nivel”, los que a su vez se organizan en 4 “Dominios”, que gráficamente se representan en la figura siguiente.

 

Para mayor información de la metodología COBIT ir a Metodología COBIT.

Val IT
La metodología Val IT amplía y complementa la COBIT, específicamente se centra en las decisiones de inversión y en la generación de los beneficios esperados, mientras que COBIT se focaliza en la ejecución.

La gobernabilidad TI para que sea efectiva debe comenzar con un liderazgo, compromiso y soporte de parte de los niveles superiores de la organización: Directorio y Gerente General. Val IT provee un soporte para este liderazgo[3], entregando una guía para que los directores y gerentes puedan entender sus roles en relación a las TI, en particular en asuntos como:

• Incrementar el entendimiento y transparencia de los costos, riesgos y beneficios asociados a las TI.
• Aumentar la probabilidad de elegir aquellas inversiones en TI con el mayor potencial de retorno.
• Incrementar la probabilidad de éxito en la ejecución de las inversiones TI seleccionadas, tal de lograr o superar los beneficios esperados.
• Reducir los costos de las TI no haciendo las cosas que no se deben hacer y tomando las medidas correctivas tempranamente o dando por terminadas las inversiones que se ve no darán los retornos esperados.
• Reducir los riesgos de falla o fracaso de los proyectos TI, especialmente en aquellos de alto impacto.
• Reducir las sorpresas relativas a los costos y los entregables de TI, aumentar la generación de valor, reducir los costos innecesarios e incrementar los niveles de confianza con las TI.

La siguiente figura muestra cuatro preguntas fundamentales que trata de responder la metodología Val IT.

Sarbanes – Oxley
Sarbanes-Oxley (SoX)[4] es una ley de los Estados Unidos de Norteamérica vigente desde el año 2002 y su propósito es fortalecer los gobiernos Corporativos (de las Sociedades Anónimas) y restituir la confianza de los inversionistas. Es ley –Acta- fue promovida por el Senador Paul Sarbanes y el Representante Michael Oxley.

Esta ley tiene un amplio rango de acción y establece nuevos estándares y mejoras a los existentes para los directorios de compañías públicas norteamericanas y de las compañías que cotizan sus acciones, ADR, etc. en bolsas de USA, implica también nuevas obligaciones para la administración y para las compañías de auditoría.

La ley SoX tiene 11 títulos, que van desde las responsabilidades adicionales para el directorio hasta penas criminales por incumplimientos. La organización encargada de implementar esta ley y verificar su cumplimiento es la Security and Exchange Comisión (SEC).

La SoX impacta directamente el quehacer del área informática según lo que se indica en su sección 404, que resumidamente se refiere a normas para mantener la documentación de los sistemas al día y mecanismos para controlar las modificaciones que sufren los sistemas.

Referencias
[1] Information technology governance, http://en.wikipedia.org/wiki/It_governance#_note-0
[2] About IT Governance, http://www.itgi.org/
[3] Val IT framework, http://www.isaca.org/Template.cfm?Section=COBIT6&template=/ContentManagement/ContentDisplay.cfm&ContentID=25060
[4] Sarbanes – Oxley Act, http://fl1.findlaw.com/news.findlaw.com/cnn/docs/gwbush/sarbanesoxley072302.pdf