Gobierno corporativo de la tecnología de la información

Subconjunto de disciplina del gobierno corporativo

El gobierno de la tecnología de la información ( TI ) es un subconjunto de disciplina del gobierno corporativo , centrado en la tecnología de la información (TI) y su desempeño y gestión de riesgos . El interés en el gobierno de TI se debe a la necesidad constante dentro de las organizaciones de centrar los esfuerzos de creación de valor en los objetivos estratégicos de una organización y de gestionar mejor el desempeño de los responsables de crear este valor en el mejor interés de todas las partes interesadas. Ha evolucionado a partir de los Principios de Gestión Científica , la Gestión de Calidad Total y el sistema de gestión de calidad ISO 9001 .

Históricamente, los ejecutivos a nivel de junta directiva dejaban las decisiones clave de TI en manos de la administración de TI y los líderes comerciales de la empresa. Los objetivos a corto plazo de los responsables de la gestión de TI pueden estar en conflicto con los mejores intereses de otras partes interesadas a menos que se establezca una supervisión adecuada. El gobierno de TI involucra sistemáticamente a todos: miembros de la junta directiva, dirección ejecutiva, personal, clientes, comunidades, inversores y reguladores. Se utiliza un marco de Gobernanza de TI para identificar, establecer y vincular los mecanismos para supervisar el uso de la información y la tecnología relacionada para crear valor y gestionar los riesgos asociados con el uso de la tecnología de la información.

Existen varias definiciones de gobierno de TI. Mientras que en el mundo empresarial la atención se ha centrado en gestionar el rendimiento y crear valor, en el mundo académico la atención se ha centrado en "especificar los derechos de decisión y un marco de responsabilidad para fomentar el comportamiento deseable en el uso de TI". ^[1]

La definición del IT Governance Institute es: "... liderazgo , estructuras organizativas y procesos para garantizar que la TI de la organización sostenga y extienda las estrategias y objetivos de la organización". ^[2]

AS8015 , el Estándar Australiano para el Gobierno Corporativo de Tecnologías de la Información y la Comunicación (TIC), define el Gobierno Corporativo de las TIC como "El sistema mediante el cual se dirige y controla el uso actual y futuro de las TIC. Implica evaluar y dirigir los planes para el uso". de las TIC para apoyar la organización y monitorear su uso para lograr los planes. Incluye la estrategia y las políticas para el uso de las TIC dentro de una organización.

Fondo

La disciplina de gobierno de la tecnología de la información surgió por primera vez en 1993 como un derivado del gobierno corporativo y se ocupa principalmente de la conexión entre los objetivos estratégicos de una organización, las metas comerciales y la gestión de TI dentro de una organización . Destaca la importancia de la creación de valor y la responsabilidad por el uso de la información y la tecnología relacionada y establece la responsabilidad del órgano rector, en lugar del director de información o la gestión empresarial.

Los objetivos principales del gobierno de la información y la tecnología (TI) son (1) asegurar que el uso de la información y la tecnología genere valor comercial , (2) supervisar el desempeño de la administración y (3) mitigar los riesgos asociados con el uso de la información y la tecnología. Esto se puede hacer a través de la dirección a nivel de junta directiva, implementando una estructura organizacional con responsabilidad bien definida para las decisiones que impactan en el logro exitoso de los objetivos estratégicos e institucionalizando buenas prácticas a través de la organización de actividades en procesos con resultados de proceso claramente definidos que pueden vincularse con el objetivos estratégicos de la organización.

Tras los fracasos del gobierno corporativo en los años 1980, varios países establecieron códigos de gobierno corporativo a principios de los años 1990:

• Comité de Organizaciones Patrocinadoras de la Comisión Treadway (EE.UU.)
• Informe Cadbury (Reino Unido)
• Informe King (Sudáfrica).

Como resultado de estos esfuerzos de gobierno corporativo para gestionar mejor el apalancamiento de los recursos corporativos, se prestó atención específica al papel de la información y la tecnología subyacente para apoyar el buen gobierno corporativo. Pronto se reconoció que la tecnología de la información no sólo facilitaba la gestión empresarial, sino que, como recurso, también era un creador de valor que necesitaba una mejor gestión.

En Australia, la norma AS8015 Gobernanza corporativa de las TIC se publicó en enero de 2005. Se adoptó por vía rápida como ISO/IEC 38500 en mayo de 2008. ^[3]

El proceso de gobierno de TI impone un vínculo directo de los recursos y procesos de TI con los objetivos empresariales en línea con la estrategia. Existe una fuerte correlación entre la curva de madurez del gobierno de TI y la eficacia general de la TI.

Problemas

El gobierno de TI a menudo se confunde con la gestión de TI , el cumplimiento y los controles de TI . El problema se ve agravado por términos como "gobernanza, riesgo y cumplimiento (GRC)" que establecen un vínculo entre gobernanza y cumplimiento. El enfoque principal del gobierno de TI es la administración de los recursos de TI en nombre de varias partes interesadas cuya clasificación la establece el órgano de gobierno de la organización. Una forma sencilla de explicar el gobierno de TI es: qué se puede lograr aprovechando los recursos de TI. Mientras que la gestión de TI se trata de "planificar, organizar, dirigir y controlar el uso de los recursos de TI" (es decir, el cómo ), el gobierno de TI se trata de crear valor para las partes interesadas en función de la dirección dada por quienes gobiernan. ISO 38500 ha ayudado a aclarar el gobierno de TI al describir un modelo que deben utilizar los directores de la empresa.

Si bien los directores son responsables de esta administración, no es inusual delegar esta responsabilidad a la gerencia (negocios y TI) de quienes se espera que desarrollen la capacidad necesaria para lograr el desempeño esperado. Si bien gestionar el riesgo y garantizar el cumplimiento son componentes esenciales de la buena gobernanza , el objetivo principal es ofrecer valor y gestionar el rendimiento (es decir, "Gobernanza, entrega de valor y gestión del rendimiento" (GVP)).

A pesar de los esfuerzos por gestionar el desempeño y crear valor, un estudio centrado en el fraude en los EAU demostró que la gobernanza corporativa no desempeña un papel importante en la reducción del fraude, lo que indica que no existe una diferencia significativa en comparación con otras técnicas tradicionales para la prevención del fraude. Los investigadores han sostenido que debido a esta falta de contribuciones, debería haber una mejor supervisión por parte de la alta dirección. ^[4]

Marcos

Hay bastantes referencias de apoyo que pueden ser guías útiles para la implementación de la gobernanza de la información y la tecnología (TI). Algunos de ellos son:

• AS8015-2005 Estándar australiano para el gobierno corporativo de tecnologías de la información y las comunicaciones. AS8015 fue adoptado como ISO/IEC 38500 en mayo de 2008
• ISO/IEC 38500:2015 Gobierno corporativo de tecnología de la información, ^[5] (muy estrechamente basado en AS8015-2005) proporciona un marco para un gobierno efectivo de TI para ayudar a aquellos en el nivel más alto de las organizaciones a comprender y cumplir con sus obligaciones legales, regulatorias, y obligaciones éticas con respecto al uso de TI por parte de sus organizaciones. ISO/IEC 38500 es aplicable a organizaciones de todos los tamaños, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Este estándar proporciona principios rectores para los directores de organizaciones sobre el uso efectivo, eficiente y aceptable de la Tecnología de la Información (TI) dentro de sus organizaciones.
• COBIT es considerado el marco de control y gobierno de TI líder en el mundo. COBIT proporciona un modelo de referencia de 37 procesos de TI que normalmente se encuentran en una organización. ^[6] Cada proceso se define junto con las entradas y salidas del proceso, las actividades clave del proceso, los objetivos del proceso, las medidas de desempeño y un modelo de madurez. ISACA publicó COBIT2019 en 2019 como un "marco empresarial para el gobierno y la gestión de TI empresarial". COBIT2019 consolida y reemplaza a COBIT 5, que a su vez reemplazó a COBIT 4.1, Val IT y Risk IT en un marco único que actúa como un marco empresarial alineado e interoperable con TOGAF e ITIL.
• IGPMM: El modelo de madurez del proceso de gobernanza de la información ^[7] depende de la maduración de 22 procesos que ayudan a identificar (y mejorar la gestión) el valor, el costo y el riesgo de la información. CGOC actualizó el IGPMM en marzo de 2017. ^[8] Los procesos reflejan las necesidades de las partes interesadas clave en la información, incluidas las áreas jurídica, gestión de información de registros (RIM), privacidad y seguridad, líneas de negocio y TI. La maduración de cada proceso de negocio pasa por cuatro etapas:
  • Etapa 1: Ad hoc e inconsistente
  • Etapa 2: en silos y manual
  • Etapa 3: aislada, consistente e instrumentada
  • Etapa 4: Integrada, instrumentada y optimizada

Otros marcos ofrecen una visión parcial de los procesos de gestión y gobierno de TI:

• CMM - El Modelo de Madurez de Capacidades: enfoque en la ingeniería de software
• ITIL - Enfoque en la gestión de servicios de TI
• ISO/IEC 20000 - Enfoque en la gestión de servicios de TI
• ISO/IEC 27001 - Enfoque en la gestión de la seguridad de la información
• ISO/IEC 27005 - Enfoque en la gestión de riesgos de seguridad de la información
• ISO/IEC 29148 e IREB : enfoque en ingeniería de requisitos
• ISO/IEC 29119 e ISTQB : enfoque en pruebas de software

Los marcos de uso no específicos de TI incluyen:

• PRINCE2 y PMBOK : enfoque en la gestión de proyectos
• ISO 22301 : enfoque en la continuidad del negocio
• El Cuadro de Mando Integral (BSC): método para evaluar el desempeño de una organización en muchas áreas diferentes
• Six Sigma : enfoque en el aseguramiento de la calidad
• El Open Group Architecture Framework (TOGAF): metodología para alinear el negocio y la TI, lo que resulta en proyectos útiles y una gobernanza efectiva.

Certificado Profesional

• Certificado en Gobernanza de Tecnología de la Información Empresarial ( CGEIT ) es una certificación creada en 2007 por ISACA . Está diseñado para profesionales experimentados, que pueden demostrar 5 o más años de experiencia, desempeñando un rol de gestión o asesoramiento centrado en el gobierno y control de TI a nivel empresarial. También requiere aprobar una prueba de 4 horas, diseñada para evaluar la comprensión del solicitante sobre la gestión de TI empresarial. El primer examen se celebró en diciembre de 2008.
• COBIT5 Foundation, COBIT5 Assessor y COBIT5 Implementation son certificaciones creadas en 2012 por ISACA .

Ver también

• La seguridad informática
• Dato de governancia
• Arquitectura empresarial
• Gobernanza de la información
• Gestión de cartera de TI
• Gestión del proyecto
• Gobernanza de servicios

Referencias

1. Weill, P. & Ross, JW, 2004, Gobernanza de TI: cómo los mejores profesionales gestionan los derechos de decisión de TI para obtener resultados superiores ", Harvard Business School Press, Boston.
2. "Reunión informativa de la junta directiva sobre gobernanza de TI, segunda edición" (PDF) . Instituto de Gobernanza de TI. 2003 . Consultado el 24 de junio de 2014 .
3. Introducción a ISO 38500 ^{[ enlace muerto ]}
4. Halbouni, Sawsan Saadi; Obedece, nada; Garbou, Abeer (6 de junio de 2016). "Gobierno corporativo y tecnología de la información en la prevención y detección del fraude: evidencia de los Emiratos Árabes Unidos". Revista de Auditoría Gerencial . 31 (6/7): 589–628. doi :10.1108/MAJ-02-2015-1163.
5. Tranchard, Sandrine (5 de junio de 2008). "Estándar ISO/IEC para el gobierno corporativo de tecnologías de la información". Organización Internacional de Normalización . Archivado desde el original el 5 de diciembre de 2008.
6. Harguem, Saida (17 de enero de 2021). "Un marco conceptual sobre el impacto de la gobernanza de TI en el desempeño organizacional: una perspectiva de capacidad dinámica". Revista Académica de Estudios Interdisciplinarios . 10 (1): 136. doi : 10.36941/ajis-2021-0012 .
7. Smallwood, Robert F. (1 de octubre de 2018). Gobernanza de la información para profesionales de la salud: un enfoque práctico. Taylor y Francisco. ISBN 9781351339728.
8. Maher, Heidi (3 de marzo de 2017). "Nuevo IGPMM esencial para afrontar los desafíos de los datos". Perspectivas de cumplimiento corporativo . Consultado el 21 de noviembre de 2018 .

Otras lecturas

• Blitstein, Ron, 2012. "Gobernanza de TI: atasco burocrático o facilitador empresarial", Cutter Consortium.
• Brown, Allen E. y Grant, Gerald G. (2005) "Framing the Frameworks: A Review of IT Governance Research", Comunicaciones de la Asociación de Sistemas de Información: vol. 15, artículo 38.
• S. De Haes y W. Van Grembergen , “Exploración de la relación entre las prácticas de gobierno de TI y la alineación empresarial/TI a través del análisis de casos extremos en empresas financieras belgas de tamaño medio y grande”, Journal of Enterprise Information Management , vol. 22, núm. 5, 2009, págs. 615–637.
• Georgel F., Gobernanza de TI: Maitrise d'un systeme d'information , Dunod, 2004 (Ed1) 2006 (Ed2), 2009 (Ed3), ISBN 2-10-052574-3 . "Gobernanza, auditoría y seguridad de TI", CCH, 2008 (Ed1) ISBN 978-2-89366-577-1  
• Lutchen, M. (2004). Gestión de TI como empresa: una guía de supervivencia para directores ejecutivos. Hoboken, Nueva Jersey, J. Wiley., ISBN 0-471-47104-6 
• Renz, Patrick S. (2007). "Gestión del proyecto." Heidelberg, Physica-Verl. (Contribuciones a la economía) ISBN 978-3-7908-1926-7 
• Van Grembergen, W. , Estrategias para la gobernanza de la tecnología de la información , IDEA Group Publishing, 2004, ISBN 1-59140-284-0 
• Van Grembergen, W. y S. De Haes, Gobernanza empresarial de TI: lograr valor y alineación estratégica , Springer, 2009.
• Wim Van Grembergen y S. De Haes, “Un viaje de investigación sobre la gobernanza empresarial de TI, la alineación empresarial/TI y la creación de valor”, Revista internacional de gobernanza y alineación empresarial/TI , vol. Núm. 1, 2010, págs. 1–13.
• Weill, P. y Ross, JW (2004). Gobernanza de TI: cómo las empresas de alto rendimiento gestionan los derechos de decisión de TI para obtener resultados superiores, Boston, MA, Harvard Business School Publishing, ISBN 1-59139-253-5 
• Wilkin, CL y Chenhall, RH (2010). Una revisión de la gobernanza de TI: una taxonomía para informar a AIS, Journal of Information Systems, 24 (2), 107–146.
• Wood, David J., 2011. "Evaluación de la madurez de la gobernanza de TI: el caso de San Marcos, Texas". Proyectos de Investigación Aplicada, Universidad Estatal de Texas-San Marcos . (Este documento aplica un marco COBIT modificado a una ciudad de tamaño mediano). Archivado el 18 de marzo de 2012 en Wayback Machine.