Gobierno corporativo de las tecnologías de la información

Subconjunto de la disciplina del gobierno corporativo

La gobernanza de las tecnologías de la información ( TI ) es una disciplina del subconjunto de la gobernanza corporativa , centrada en las tecnologías de la información (TI) y su gestión del rendimiento y. El interés por la gobernanza de las TI se debe a la necesidad constante de las organizaciones de centrar los esfuerzos de creación de valor en los objetivos estratégicos de la organización y de gestionar mejor el rendimiento de los responsables de crear este valor en beneficio de todas las partes interesadas. Ha evolucionado a partir de los Principios de la gestión científica , la gestión de la calidad total y el sistema de gestión de la calidad ISO 9001 .

Históricamente, los ejecutivos de nivel directivo delegaban las decisiones clave de TI en la gerencia de TI y los líderes empresariales de la empresa. Los objetivos a corto plazo de los responsables de la gestión de TI pueden entrar en conflicto con los intereses de otras partes interesadas a menos que se establezca una supervisión adecuada. La gobernanza de TI involucra sistemáticamente a todos: miembros de la junta directiva, gerencia ejecutiva, personal, clientes, comunidades, inversores y reguladores. Un marco de gobernanza de TI se utiliza para identificar, establecer y vincular los mecanismos para supervisar el uso de la información y la tecnología relacionada con la misma para crear valor y gestionar los riesgos asociados con el uso de la tecnología de la información.

Existen diversas definiciones de gobernanza de TI. Mientras que en el mundo empresarial el enfoque se ha centrado en la gestión del rendimiento y la creación de valor, en el mundo académico el enfoque se ha centrado en "especificar los derechos de decisión y un marco de rendición de cuentas para fomentar el comportamiento deseable en el uso de TI". ^[1]

La definición del IT Governance Institute es: “… liderazgo , estructuras organizacionales y procesos para asegurar que la TI de la organización sustente y amplíe las estrategias y objetivos de la organización”. ^[2]

AS8015 , la Norma Australiana para la Gobernanza Corporativa de las Tecnologías de la Información y la Comunicación (TIC), define la Gobernanza Corporativa de las TIC como "El sistema mediante el cual se dirige y controla el uso actual y futuro de las TIC. Implica evaluar y dirigir los planes para el uso de las TIC en apoyo de la organización y monitorear este uso para lograr los planes. Incluye la estrategia y las políticas para el uso de las TIC dentro de una organización".

Fondo

La disciplina de la gobernanza de las tecnologías de la información surgió por primera vez en 1993 como un derivado de la gobernanza corporativa y se ocupa principalmente de la conexión entre los objetivos estratégicos de una organización, las metas de negocio y la gestión de TI dentro de una organización . Destaca la importancia de la creación de valor y la rendición de cuentas por el uso de la información y la tecnología relacionada y establece la responsabilidad del órgano de gobierno, en lugar del director de información o la dirección de la empresa.

Los objetivos principales de la gobernanza de la información y la tecnología (TI) son (1) asegurar que el uso de la información y la tecnología genere valor comercial , (2) supervisar el desempeño de la administración y (3) mitigar los riesgos asociados con el uso de la información y la tecnología. Esto se puede lograr mediante la dirección a nivel de directorio, implementando una estructura organizacional con una rendición de cuentas bien definida para las decisiones que impactan en el logro exitoso de los objetivos estratégicos e institucionalizando las buenas prácticas mediante la organización de actividades en procesos con resultados de proceso claramente definidos que se puedan vincular con los objetivos estratégicos de la organización.

Tras los fracasos en materia de gobernanza corporativa de la década de 1980, varios países establecieron códigos de gobernanza corporativa a principios de la década de 1990:

• Comité de Organizaciones Patrocinadoras de la Comisión Treadway (EE.UU.)
• Informe Cadbury (Reino Unido)
• Informe King (Sudáfrica).

Como resultado de estos esfuerzos de gobernanza corporativa para gestionar mejor el apalancamiento de los recursos corporativos, se prestó especial atención al papel de la información y la tecnología de apoyo para respaldar una buena gobernanza corporativa. Pronto se reconoció que la tecnología de la información no sólo era un facilitador de la gobernanza corporativa, sino que, como recurso, también era un creador de valor que necesitaba una mejor gobernanza.

En Australia, la norma AS8015 sobre gobernanza corporativa de las TIC se publicó en enero de 2005 y se adoptó rápidamente como ISO/IEC 38500 en mayo de 2008. ^[3]

El proceso de gobernanza de TI establece un vínculo directo entre los recursos y procesos de TI y los objetivos empresariales en línea con la estrategia. Existe una fuerte correlación entre la curva de madurez de la gobernanza de TI y la eficacia general de TI.

Problemas

El gobierno de TI se confunde a menudo con la gestión de TI , el cumplimiento y los controles de TI . El problema se ve agravado por términos como "gobierno, riesgo y cumplimiento (GRC)" que establecen un vínculo entre gobierno y cumplimiento. El enfoque principal del gobierno de TI es la administración de los recursos de TI en nombre de varias partes interesadas cuya clasificación establece el órgano de gobierno de la organización. Una forma sencilla de explicar el gobierno de TI es: qué se debe lograr a partir del aprovechamiento de los recursos de TI. Mientras que la gestión de TI se trata de "planificar, organizar, dirigir y controlar el uso de los recursos de TI" (es decir, el cómo ), el gobierno de TI se trata de crear valor para las partes interesadas en función de la dirección dada por quienes gobiernan. La ISO 38500 ha ayudado a aclarar el gobierno de TI al describir un modelo para ser utilizado por los directores de la empresa.

Si bien los directores son responsables de esta gestión, no es inusual delegar esta responsabilidad en la gerencia (de negocios y de TI), de la que se espera que desarrolle la capacidad necesaria para ofrecer el rendimiento esperado. Si bien la gestión del riesgo y la garantía del cumplimiento son componentes esenciales de una buena gobernanza , el enfoque principal está en la entrega de valor y la gestión del rendimiento (es decir, "Gobernanza, entrega de valor y gestión del rendimiento" (GVP)).

A pesar de los esfuerzos por gestionar el rendimiento y crear valor, un estudio centrado en el fraude en los Emiratos Árabes Unidos demostró que la gobernanza corporativa no desempeña un papel importante en la reducción del fraude, lo que indica que no hay una diferencia significativa en comparación con otras técnicas tradicionales de prevención del fraude. Los investigadores han sostenido que, debido a esta falta de contribuciones, debería haber una mejor supervisión por parte de la alta dirección. ^[4]

Marcos

Existen numerosas referencias de apoyo que pueden ser útiles para la implementación de la gobernanza de la información y la tecnología (TI). Algunas de ellas son:

• AS8015-2005 Norma australiana para la gobernanza corporativa de las tecnologías de la información y la comunicación. La AS8015 se adoptó como ISO/IEC 38500 en mayo de 2008.
• La norma ISO/IEC 38500:2015 Gobierno corporativo de las tecnologías de la información ^[5] (que se basa en gran medida en la norma AS8015-2005) proporciona un marco para un gobierno eficaz de las TI con el fin de ayudar a los directivos de las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas en relación con el uso de las TI por parte de sus organizaciones. La norma ISO/IEC 38500 es aplicable a organizaciones de todos los tamaños, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Esta norma proporciona principios rectores para los directores de las organizaciones sobre el uso eficaz, eficiente y aceptable de las tecnologías de la información (TI) dentro de sus organizaciones.
• COBIT es considerado el marco de control y gobernanza de TI líder en el mundo. COBIT proporciona un modelo de referencia de 37 procesos de TI que se encuentran típicamente en una organización. ^[6] Cada proceso se define junto con las entradas y salidas del proceso, las actividades clave del proceso, los objetivos del proceso, las medidas de rendimiento y un modelo de madurez. ISACA publicó COBIT2019 en 2019 como un "marco empresarial para la gobernanza y la gestión de TI empresarial". COBIT2019 consolida y reemplaza a COBIT 5, que a su vez reemplazó a COBIT 4.1, Val IT y Risk IT en un solo marco que actúa como un marco empresarial alineado e interoperable con TOGAF e ITIL.
• IGPMM: el modelo de madurez del proceso de gobernanza de la información ^[7] depende de la maduración de 22 procesos que ayudan a identificar y mejorar la gestión del valor, el costo y el riesgo de la información. CGOC actualizó el IGPMM en marzo de 2017. ^[8] Los procesos reflejan las necesidades de las partes interesadas clave en la información, incluidos los departamentos legales, de gestión de información de registros (RIM), privacidad y seguridad, líneas de negocio y TI. La maduración de cada proceso de negocio pasa por cuatro etapas:
  • Etapa 1: Ad hoc e inconsistente
  • Etapa 2: Aislada y manual
  • Etapa 3: Aislada, consistente e instrumentada
  • Etapa 4: Integrado, instrumentado y optimizado

Otros marcos ofrecen una visión parcial de los procesos de gestión y gobernanza de TI:

• CMM - El modelo de madurez de capacidades: enfoque en la ingeniería de software
• ITIL - Enfoque en la gestión de servicios TI
• ISO/IEC 20000 - Enfoque en la gestión de servicios de TI
• ISO/IEC 27001 - Enfoque en la gestión de la seguridad de la información
• ISO/IEC 27005 - Enfoque en la gestión de riesgos de seguridad de la información
• ISO/IEC 29148 e IREB : enfoque en la ingeniería de requisitos
• ISO/IEC 29119 e ISTQB : enfoque en las pruebas de software

Los marcos de uso no específicos de TI incluyen:

• PRINCE2 y PMBOK : enfoque en la gestión de proyectos
• ISO 22301 - Enfoque en la continuidad del negocio
• El Cuadro de Mando Integral (BSC): método para evaluar el desempeño de una organización en muchas áreas diferentes
• Six Sigma : enfoque en el aseguramiento de la calidad
• El marco de arquitectura de grupo abierto (TOGAF): metodología para alinear el negocio y la TI, lo que da como resultado proyectos útiles y una gobernanza eficaz

Certificación profesional

• Certificado en Gobernanza de Tecnologías de Información Empresarial ( CGEIT ) es una certificación creada en 2007 por ISACA . Está diseñada para profesionales experimentados, que puedan demostrar 5 o más años de experiencia, desempeñando un rol gerencial o de asesoría enfocado en la gobernanza y control de TI a nivel empresarial. También requiere aprobar un examen de 4 horas, diseñado para evaluar la comprensión del solicitante sobre la gestión de TI empresarial. El primer examen se realizó en diciembre de 2008.
• COBIT5 Foundation, COBIT5 Assessor y COBIT5 Implementation son certificaciones creadas en 2012 por ISACA .

Véase también

• Seguridad informática
• Gobernanza de datos
• Arquitectura empresarial
• Gobernanza de la información
• Gestión de cartera de TI
• Gobernanza del proyecto
• Gobernanza de servicios

Referencias

1. Weill, P. y Ross, JW, 2004, "Gobernanza de TI: cómo las empresas de alto rendimiento gestionan los derechos de decisión de TI para obtener resultados superiores ", Harvard Business School Press, Boston.
2. "Board Briefing on IT Governance, 2nd Edition" (PDF) . Instituto de Gobernanza de TI. 2003. Consultado el 24 de junio de 2014 .
3. Introducción a la norma ISO 38500 ^{[ enlace roto ]}
4. Halbouni, Sawsan Saadi; Obeid, Nada; Garbou, Abeer (6 de junio de 2016). "Gobierno corporativo y tecnología de la información en la prevención y detección del fraude: evidencia de los EAU". Revista de auditoría gerencial . 31 (6/7): 589–628. doi :10.1108/MAJ-02-2015-1163.
5. Tranchard, Sandrine (5 de junio de 2008). «Norma ISO/IEC para la gobernanza corporativa de las tecnologías de la información». Organización Internacional de Normalización . Archivado desde el original el 5 de diciembre de 2008.
6. Harguem, Saida (17 de enero de 2021). "Un marco conceptual sobre el impacto de la gobernanza de TI en el desempeño organizacional: una perspectiva de capacidad dinámica". Revista académica de estudios interdisciplinarios . 10 (1): 136. doi : 10.36941/ajis-2021-0012 .
7. Smallwood, Robert F. (1 de octubre de 2018). Gobernanza de la información para profesionales de la salud: un enfoque práctico. Taylor & Francis. ISBN 9781351339728.
8. Maher, Heidi (3 de marzo de 2017). "El nuevo IGPMM es esencial para afrontar los desafíos de los datos". Corporate Compliance Insights . Consultado el 21 de noviembre de 2018 .

Lectura adicional

• Blitstein, Ron, 2012. "Gobernanza de TI: ¿Atasco burocrático o facilitador de negocios", Cutter Consortium.
• Brown, Allen E. y Grant, Gerald G. (2005) "Enmarcando los marcos: una revisión de la investigación sobre gobernanza de TI", Comunicaciones de la Asociación para Sistemas de Información: Vol. 15, Artículo 38.
• S. De Haes y W. Van Grembergen , “Exploración de la relación entre las prácticas de gobernanza de TI y la alineación negocio/TI a través del análisis de casos extremos en empresas financieras belgas de tamaño mediano a grande”, Journal of Enterprise Information Management , vol. 22, n.º 5, 2009, págs. 615–637.
• Georgel F., Gobernanza de TI: Maitrise d'un systeme d'information , Dunod, 2004 (Ed1) 2006 (Ed2), 2009 (Ed3), ISBN 2-10-052574-3 . "Gobernanza, auditoría y seguridad de TI", CCH, 2008 (Ed1) ISBN 978-2-89366-577-1  
• Lutchen, M. (2004). La gestión de TI como negocio: una guía de supervivencia para directores ejecutivos. Hoboken, NJ, J. Wiley., ISBN 0-471-47104-6 
• Renz, Patrick S. (2007). "Gobernanza de proyectos". Heidelberg, Physica-Verl. (Contribuciones a la economía) ISBN 978-3-7908-1926-7 
• Van Grembergen, W. , Estrategias para la gobernanza de la tecnología de la información , IDEA Group Publishing, 2004, ISBN 1-59140-284-0 
• Van Grembergen, W. y S. De Haes, Gobernanza empresarial de TI: lograr valor y alineación estratégica , Springer, 2009.
• Wim Van Grembergen y S. De Haes, “Un viaje de investigación sobre la gobernanza empresarial de TI, la alineación entre negocios y TI y la creación de valor”, International Journal of IT/Business Alignment and Governance , vol. n.º 1, 2010, págs. 1–13.
• Weill, P. y Ross, JW (2004). Gobernanza de TI: cómo las empresas de alto rendimiento gestionan los derechos de decisión de TI para obtener resultados superiores, Boston, MA, Harvard Business School Publishing, ISBN 1-59139-253-5 
• Wilkin, CL y Chenhall, RH (2010). Una revisión de la gobernanza de TI: una taxonomía para informar a los AIS, Journal of Information Systems, 24 (2), 107–146.
• Wood, David J., 2011. "Evaluación de la madurez de la gobernanza de TI: el caso de San Marcos, Texas". Proyectos de investigación aplicada, Universidad Estatal de Texas-San Marcos . (Este documento aplica un marco COBIT modificado a una ciudad de tamaño mediano). Archivado el 18 de marzo de 2012 en Wayback Machine.