top of page
Buscar
15 jul 20237 Min. de lectura

Proceso de auditoría y gobernanza TI.

Actualizado: 13 ago 2023


Proceso de auditoría y gobernanza en TI.


El desarrollo continuo de las nuevas tecnologías de TI (Tecnología de la Información) ha traído como consecuencia la necesidad de una rápida integración de las mismas en las organizaciones, y por tanto el surgimiento de un nuevo desafío como es la redefinición estructural del componente de TI para crear valor añadido y minimizar los riesgos de TI a través de una gestión eficiente de todos los recursos de TI de la organización.


Estos cambios tienen un gran impacto en el sistema de gobernanza del componente de TI, y por tanto surge la necesidad de establecer una metodología de auditoría de gobernanza de TI dentro de las organizaciones. Una auditoría puede ser considerada como una estrategia basada en riesgos, la cual permite al auditor analizar desde el mejor ángulo posible la eficiencia y eficacia de la estructura de la gobernanza de TI.


Las aclamadas ventajas inducidas por el componente de TI están en equilibrio con los nuevos riesgos relevantes de TI. La rápida cadencia del cambio tecnológico exige decisiones de TI oportunas con una comprensión profunda de los riesgos y oportunidades asociados con los fenómenos de TI.

La gestión de las organizaciones se enfrenta a un nuevo desafío: la redefinición estructural del componente de TI para crear valor añadido y minimizar los riesgos de TI a través de una gestión eficiente de todos los recursos de TI de la organización. La evolución del entorno de TI actual es un proceso natural al que debe adaptarse el entorno empresarial. De esta forma, debe integrar las mejores técnicas y herramientas para brindar transparencia y datos relevantes para revelar, a modo de ejemplo, cuáles son las prioridades en el desarrollo de proyectos de TI, en inversiones para cumplir con los objetivos de la organización y crear valor adicional para la organización.


Los problemas bien publicitados de Enron, World Com, en Estados Unidos, han determinado en los últimos años algunos ajustes en el gobierno corporativo, incluyendo el tema de la seguridad y auditoría de TI.


El Gobierno de TI utiliza las premisas del gobierno corporativo, que se extienden en el área de TI. Esto sirvió de guía a los directorios de las organizaciones a implementar procesos y estructuras que permitieron a las organizaciones sustentar los objetivos y estrategias a través del componente TI.


Los auditores de TI están a cargo de la evaluación de la eficiencia del Gobierno de TI, con el grado de implementación de este procedimiento. Los auditores de TI (independientes o del interior de la organización) pueden desempeñar varias funciones claves, como por ejemplo:


  1. Implementación de programas de gobierno de TI: explicar el gobierno de TI y su valor para la gerencia;

  2. Evaluación del estado actual: asesorar y ayudar con las evaluaciones del estado actual, las prioridades de las brechas.

  3. Planificación de soluciones de gobierno de TI.

  4. Seguimiento de las iniciativas de gobierno de TI.

  5. Ayudar a que el gobierno de TI funcione como de costumbre: proporcione información objetiva y constructiva, fomente las autoevaluaciones y brinde garantías a la gerencia de que el gobierno está funcionando de manera efectiva.



Marco conceptual de gobierno de TI


Los procesos de gobierno podríamos alinearlos en tres grupos: Gobierno Empresarial, Gobierno Corporativo y Gobierno de TI.


El Gobierno Empresarial podríamos definirlo como el conjunto de responsabilidades y prácticas ejercidas por el directorio y la gerencia ejecutiva con el objetivo de proporcionar una dirección estratégica, asegurar que se alcancen los objetivos, verificar que los riesgos se manejen adecuadamente y verificar que los recursos de la empresa se utilicen de manera responsable.


El Gobierno Corporativo, podríamos definirlo como el comportamiento ético de los directores u otros encargados del gobierno en la creación y preservación de la riqueza de todos los accionistas.


El Gobierno de TI es una parte integral del gobierno de la empresa y consiste en el liderazgo y las estructuras y procesos organizacionales que aseguran que la TI de la organización sostiene y extiende la estrategia y los objetivos de la organización. El gobierno de TI es responsabilidad de la junta directiva y la gerencia ejecutiva. El gobierno de TI es la capacidad organizativa ejercida por el directorio, la gerencia ejecutiva y la gerencia de TI para controlar la formulación e implementación de la estrategia de TI y de esta manera asegurar la fusión del negocio y TI.


El gobierno de TI refleja principios de gobierno corporativo más amplios mientras se enfoca en la administración y el uso de TI para lograr los objetivos de desempeño corporativo. Debido a que los resultados de TI suelen ser difíciles de medir, las empresas deben asignar la responsabilidad de los resultados deseados y evaluar qué tan bien los logran. El Gobierno de TI no debe considerarse de forma aislada porque TI está vinculada con otros activos clave de la empresa (financieros, humanos, propiedad intelectual, etc.).


Área de enfoque de gobierno de TI


En la práctica, el Gobierno de TI respalda el negocio, agregando valor a través de componentes de TI y minimización de riesgos de TI. Para lograr tales propósitos, el Gobierno de TI debe cubrir cinco dominios principales visión de ISACA (Asociación de Control y Auditoría de Sistemas de Información):


1. Alinear la estrategia de TI con la estrategia comercial


Este primer dominio de Gobierno de TI tiene como punto de partida el diseño de una estrategia de TI de acuerdo con la estrategia general de la organización. Por lo tanto, a partir del plan estratégico de la organización, el comité de estrategia de TI debe establecer una estrategia de TI en línea con los objetivos comerciales. En particular, las prácticas de gobierno de TI deberían:

  • Asegurar que la estrategia de TI esté alineada con la estrategia comercial.

  • Garantizar que TI cumpla con la estrategia a través de expectativas y mediciones claras.

  • Asignar presupuestos de inversiones de TI de acuerdo con los objetivos comerciales.

  • Garantizar que las decisiones de inversión en tecnología estén alineadas con los objetivos comerciales.

  • Proporcionar dirección de alto nivel para crear ventajas competitivas paralelas a los procesos de cumplimiento.

  • Asegurar una cultura de apertura y colaboración entre las unidades de negocio, geográficas y funcionales de la empresa.


2. Entrega de valor


Partiendo de las premisas del gobierno corporativo, y de que una empresa, debe tener como objetivo la maximización del valor de sus acciones a largo plazo, la implementación de las nuevas técnicas informáticas debe agregar valor a la organización por la calidad de los servicios, optimización de gastos, oferta de datos pertinentes y útiles entregados oportunamente. La entrega de valor de TI se define como "entrega a tiempo, dentro del presupuesto y con los beneficios que se prometieron", sin dejar por fuera la rentabilidad.

El Gobierno de TI debe apuntar a una calidad adecuada de los servicios de TI combinando los recursos del presupuesto y el factor tiempo.


Las prácticas de gobierno para la entrega de valor de TI son:

  • Asegurarse de que los planes de TI avancen según lo programado.

  • Garantizar la integridad, la calidad y la seguridad de las inversiones en TI.

  • Supervisar las inversiones en TI para obtener rendimientos adecuados.

  • Garantizar beneficios financiables a través de servicios de TI.


3. Gestión de recursos

La gestión de recursos de TI se ocupa de la gestión de los recursos pecé y la organización de las infraestructuras de TI dentro de una corporación. Esta dimensión crítica de los procesos de Gobernanza de TI tiene como objetivo proporcionar una dirección de alto nivel para el abastecimiento y el uso de los recursos de TI, para supervisar la financiación agregada de TI a nivel empresarial y para garantizar que exista una capacidad e infraestructura de TI adecuadas para respaldar el negocio actual y el esperado en el futuro.


Un aspecto importante a considerar en este punto, es el tema de la gestión de proyectos. La gestión de nuevos proyectos de TI debe regirse adecuadamente, ya que estos proyectos tienen un impacto considerable en la posición financiera y la dirección estratégica de la organización.

Las prácticas de gobierno para la gestión de recursos de TI son las siguientes:

  • Asignar recursos de TI en correlación con las prioridades comerciales.

  • Implementar controles adecuados.

  • Mantener una inversión adecuada en educación, desarrollo y capacitación del personal para operaciones y desarrollos de TI.


4. Gestión de riesgos


Autores especializados definen en sus escritos la gestión de riesgos como “el proceso de identificar las vulnerabilidades y amenazas del marco de una organización así como diseñar procedimientos para minimizar el impacto de las mismas sobre los recursos de TI”. El riesgo a nivel de organización no se puede eliminar; existirá todo el tiempo; la dirección de la organización es responsable de minimizarlo a un nivel aceptable.


La gestión de riesgos debe ser un proceso continuo que comienza con la evaluación del nivel de exposición de la organización y la identificación de los principales riesgos de incidentes. Una vez identificados, los riesgos deben minimizarse utilizando un procedimiento de control y, finalmente, el riesgo residual debe ajustarse a un nivel aceptable.

Subrayaremos que las prácticas de gobierno para la gestión de riesgos de TI son:

  • Analizar y evaluar los riesgos de TI.

  • Monitorear la eficiencia de los controles internos.

  • Implementar los controles necesarios para minimizar los riesgos de TI.

  • Poner en marcha procedimientos para determinar la transparencia sobre los riesgos significativos para la empresa.

  • Considerar que un enfoque proactivo de gestión de riesgos puede crear una ventaja competitiva

  • Insistir en que la gestión de riesgos se integre en la operación de la empresa.

  • Asegurarse de que la gerencia haya implementado procesos, tecnología y garantía para la seguridad de la información para garantizar que:

    1. Se puede confiar en las transacciones comerciales

    2. Los servicios de TI son utilizables, pueden resistir adecuadamente los ataques y recuperarse de fallas

    3. La información crítica se oculta a aquellos que no deberían tener acceso a ella.


5. Medición del desempeño


La medición del desempeño se ocupa de determinar si los sistemas de TI han alcanzado las metas establecidas por la dirección y la alta gerencia. Para la medición del desempeño de TI, las prácticas de gobierno de TI deben:

  • Definir medidas junto con la gerencia para verificar que se alcancen los objetivos.

  • Medir desempeños de TI a través de métricas, indicadores adecuados.

  • Al implementar el marco de Gobernanza de TI, cualquier organización debe equilibrar los factores internos y los factores externos relevantes, tales como:

    1. El desarrollo tecnológico: El rápido desarrollo del dominio requiere que las decisiones relacionadas con TI se tomen de manera oportuna, con pleno conocimiento de los riesgos asociados con los desafíos de TI.

    2. El escrutinio fiscal: los grandes proyectos de TI necesitan gastos costosos que a veces provocan dudas y responsabilidad por el desperdicio discrecional de recursos financieros.

    3. Innovación y control sobre TI: En los casos en que la innovación (nuevos proyectos de TI) esté respaldada por TI, puede ir en contra del objetivo de ejercer control sobre el entorno de TI.

    4. Infraestructura actualizada: la infraestructura tecnológica se vuelve obsoleta con el tiempo. Mantenerlo actualizado es imprescindible para todos los departamentos.


En conclusión, podemos afirmar que las prácticas gubernamentales asociadas a los cinco dominios fundamentales son factores materiales en el proceso de toma de decisiones. Posterior a los objetivos autoimpuestos, el Gobierno de TI logra la alineación de las inversiones de TI con los objetivos comerciales, asegura un uso responsable de los recursos de TI y asegura que el desempeño de TI esté dentro de los límites del presupuesto aprobado y el plan estratégico de TI.


Siguiendo estos cinco principios, el gobierno de TI proporciona una disminución de los riesgos de TI a través de un escrutinio continuo de las amenazas y debilidades del sistema, mejora el desempeño organizacional de TI, el cumplimiento, el desarrollo del personal y las iniciativas de subcontratación.

María Alejandra Tuozzo

Abogada

email: abog.mariatuozzo@gmail.com


Para representación legal, por favor contáctarme por mensaje de texto a través de WhatsApp.




Para asesoría legal online gratuita, ingresar a grupo de Facebook, escaneando código QR con su celular.



11 visualizaciones0 comentarios

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating
bottom of page