Auditoría Informática

Auditoría Informática
Concepto
El concepto de gobierno corporativo se refiere al conjunto de principios y
normas que regulan el diseño, integración y funcionamiento de los órganos de
gobierno de las empresas, tal como son los tres poderes dentro de una sociedad:
Accionistas, Directorio y Alta Administración.

Los objetivos principales de un Buen Gobierno Corporativo son:

-Velar por el adecuado funcionamiento de los órganos de gobierno y

administración,
-Generar confianza y transparencia con los accionistas e inversores,

-Mejorar la cultura de Control Interno,

-Asegurar la adecuada segregación de funciones, e incrementar la eficiencia en

las operaciones y en los aspectos relacionados con el cumplimiento normativo

generando valor al accionista.
Auditoría Informática
Por ello, programas de gestión de riesgo y sistemas de control y auditoría interna
que involucren a toda la organización y que estén adecuadamente comunicados
junto con la misión, los valores, el código ético, la estrategia de negocio y las
políticas corporativas, son un síntoma de que la organización está alineada con
las mejores prácticas de Buen Gobierno Corporativo.

El concepto de GC, también incluye el debate sobre las estructuras apropiadas de

gestión y control de las empresas, por lo que deben existir Reglas que regulen
las relaciones de poder entre:
Los propietarios,
El consejo de administración,
La administración y
Partes interesadas (empleados, proveedores, clientes y público en general
stakeholders).

Las necesidades de información sobre inversión y control han sido definitivas en

la incorporación a las empresas de las llamada mejores prácticas corporativas; y
entre ellas la Instauración del Gobierno Corporativo.
Auditoría Informática
La Organización para la Cooperación y el Desarrollo Económico (OCDE), emitió
en mayo de 1999 y revisó en 2004 sus “Principios de Gobierno Corporativo” en
los que se encuentran las ideas básicas que dan forma al concepto utilizado por
los países miembros y algunos otros en proceso de serlo.

Los principios de la OCDE contemplan que el marco de GC debe:

•Proteger los derechos de accionistas.

•Asegurar tratamiento equitativo a todos los accionistas, incluyendo minoritarios y

extranjeros.

•Todos los accionistas deben tener una efectiva reparación de los daños por la
violación de sus derechos.

•Reconocer derechos de terceras partes interesadas, a través de la cooperación

activa entre ellas y las sociedades, así como en la creación de riqueza,
generación de empleos y logro de empresas financieras sustentables.
Auditoría Informática

Los principios de la OCDE (continuación.-)

* Asegurar una revelación adecuada y a tiempo de todos los asuntos relevantes

de la empresa, incluyendo la situación financiera, su desempeño, la tenencia
accionaria y su administración.

* Asegurar la guía estratégica de la compañía, el monitoreo efectivo del equipo

de dirección por el consejo de administración y las responsabilidades del
Consejo de Administración con sus accionistas.
Auditoría Informática

Hoy en día es tan importante un buen Gobierno Corporativo como un

desempeño financiero eficiente.

Un 80% de inversores pagarían más por una compañía con un buen GC; por
cuanto este elemento les brinda una mayor seguridad a su inversión asegurando
sanas prácticas corporativas.

Cuanto mayor sea la transparencia y más información exista, mayor será la

confianza de los inversores en el mercado.

Por lo anterior el Gobierno Corporativo lejos de ser una moda, es considerado

un concepto necesario para la sostenibilidad y crecimiento de las empresas.
Auditoría Informática
Auditoría Informática
Auditoría Informática
GOBIERNO DE TI
Constituye una parte esencial del gobierno de la empresa en su conjunto y
aglutina la estructura organizativa y directiva necesaria para asegurar que
TI soporta y facilita el desarrollo de los objetivos estratégicos definidos
por la organización"

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI

en coordinación con la alta dirección para movilizar sus recursos de la forma
más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.
Garantiza que:

* TI está alineada con la estrategia del negocio.

* Los servicios y funciones de TI se proporcionan con el máximo valor posible o
de la forma más eficiente.
* Todos los riesgos relacionados con TI son conocidos y administrados y los
recursos de TI están seguros.
Auditoría Informática
GOBIERNO DE TI
Marco de referencia
Es un conjunto de métodos y prácticas que permiten establecer:
• Criterios de información exigidos por los requisitos de negocio.

• Procesos de negocio.

• Recursos a utilizar.

Sus características son:

Orientado a procesos, tanto de TI como de negocio. Se define propietario
del proceso, la responsabilidad sobre el proceso y la criticidad del mismo.
Basado en prácticas comúnmente aceptadas para aprovechar la experiencia
del mercado y ofrecer un conjunto de medidas de control, lo que es un
hecho especialmente importante para la auditoría.
Auditoría Informática
GOBIERNO DE TI
Necesidad del Marco
 Asegurar el alineamiento con los objetivos de la organización.

 Determinar y mitigar los riesgos empresariales.

 Asegurar el cumplimiento normativo de forma general.

 Calcular/proveer formalmente los recursos apropiados.

 Hacer el seguimiento de la aportación de las TI al negocio

Métricas
Los marcos de control están dirigidos por medidas.
El negocio necesita conocer el estado de sus recursos y de sus
Procesos de TI, para visualizar como estos aportan valor y cómo
evolucionan
Auditoría Informática
GOBIERNO DE TI
Sirvan como ejemplo:
 Key Performance Indicator: Cómo se llega al grado de cumplimiento.

 CMM: (Cuadro Modelo de Madurez) - Modelo de evaluación de procesos

de una organización. Cada proceso evaluado por CMM define un conjunto

de buenas prácticas que habrán de ser: definidas en un procedimiento,
provistas de los medios y formación necesarios, ejecutadas de un modo
sistemático, universal y uniforme, medidas y verificadas. En función del
estado de aplicación de cada práctica, el proceso se clasifica en: Inicial /
Repetible / Definido / Gestionado / Optimizado.
 IT Governance: ITIL, COBIT, CMMI.

 BSC El "Cuadro de Mando Integral" es una herramienta para la gestión del

rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos

financieros, sino también en los procesos internos, en los Clientes, y en los
aspectos relativos al crecimiento y aprendizaje. Debería encontrarse un
equilibrio entre estas cuatro perspectivas top.
Auditoría Informática
GOBIERNO DE TI
Áreas del Gobierno TI:

1. Alineamiento estratégico, se centra en:

Asegurar la conexión e integración del negocio con los planes de TI.
Definir, mantener y validar las propuestas de valor de TI.
Alinear las operaciones de TI con las de la empresa.
Obtener mejor alineación que la competencia.

2. Entrega de valor: se refiere a ejecutar las propuestas de valor durante el

ciclo de entrega, asegurando que TI entrega los beneficios relacionados
con la estrategia del negocio, concentrándose en optimizar costes y
proporcionar el valor intrínseco a la TI.
Auditoría Informática
GOBIERNO DE TI
Áreas del Gobierno TI:

3. Gestión del Riesgo requiere:

-Concienciación por parte de la alta dirección.
-Comprender la necesidad del cumplimiento con los requisitos.
-Transparencia en el tratamiento de los riesgos más significativos.
-Integrar responsabilidades de la gestión de riesgos en la organización.
-Clara comprensión de la apetencia de riesgo de la organización.

4. Gestión de Recursos, se centra en:

-Organizar de manera óptima los recursos de TI de forma tal, que los
servicios que los requieran los obtengan en el lugar y momento necesario.
-Alinear y priorizar servicios y productos existentes de TI que se requieren
para apoyar las operaciones del negocio.
-Controlar y monitorizar los servicios TI propios y de terceros.
Auditoría Informática
GOBIERNO DE TI
5. Medición del Rendimiento, sigue y controla:

-La estrategia de la implantación.

-La estrategia de los proyectos.
-El uso de los recursos.
-El rendimiento de los procesos.
-La entrega de los servicios utilizando BSC.

“Sin una efectiva medición del rendimiento, los otros cuatro aspectos
del Gobierno TI es muy probable que fallen.”
Auditoría Informática
Auditoría Informática
Auditoría Informática
Por dónde empezar?

¿Se entiende el rol que desempeñan las Tecnologías de Información (TI) para
apoyar a las estrategias de tu negocio y obtener el mayor beneficio? ¿Se cuantifica
el valor que generan las inversiones de TI, en términos de ventaja competitiva,
satisfacción del cliente, productividad y rentabilidad? ¿Se sabe si los objetivos
estratégicos del negocio se comprometen debido a fallas en TI?

El concepto de Gobierno de TI ha sido mal entendido y no se le ha otorgado la

importancia que debería tener a nivel de negocio. Se cree que la responsabilidad
del gobierno de TI pertenece sólo a un área técnica, así como los procesos y
prácticas que lo integran. Sin embargo, el gobierno de TI debe ser parte integral
del gobierno corporativo; por tanto, es responsabilidad del consejo administrativo
y de la dirección ejecutiva, en primera instancia.
Auditoría Informática
Muchas organizaciones han tenido éxito a pesar de la inadecuada administración de
TI, pero si se quiere manejar inteligentemente los cambios del mercado, crear
nuevos modelos de negocio para generar oportunidades, crear valor, mejor gestión
de riesgos y determinar eficazmente la utilización de los recursos; se deben integrar
las TI como parte de las prácticas de gobierno corporativo.

Así, el primer paso y quizá uno de los más importantes a nivel de la dirección
ejecutiva, es:

“Reconocer que el crecimiento de la tecnología de la información no tiene punto de

retorno y que dicha tecnología ha sido factor fundamental para delinear el camino y
comportamiento de los negocios”.

Prueba de ello es que:

“En la actualidad, la mayoría de los entes corporativos altamente competitivos son
dependientes de la tecnología de la información”.
Auditoría Informática
Dentro del módulo de innovación e investigación del censo económico 2004
realizado por el Instituto Nacional de Estadística y Geografía (INEGI), acerca del
“uso de tecnologías de la información”, se puede advertir una alta utilización de TI.

Se entiende entonces, porque después de cinco años, los resultados del censo
económico de 2009, los porcentajes de utilización de tecnologías de información en
los rubros anteriores hayan ido en aumento.
Auditoría Informática
Los Principios de Gobierno Corporativo emitidos por la OCDE consideran que:
“la adhesión a las prácticas de buen gobierno corporativo contribuirán a aumentar la
confianza de los inversores nacionales, reducir el coste de capital, asegurar el buen
funcionamiento de los mercados financieros y, por último, atraer a fuentes de
financiación más estables”.

Por otro lado:

“las sociedades deben ser innovadoras y adaptar sus prácticas de gobierno
corporativo de forma que sean capaces de atender a nuevas demandas y
aprovechar nuevas oportunidades”.

El Centro de Investigación de Sistemas de Información (CISRT, por sus siglas en

inglés) del Instituto Tecnológico de Massachusetts, realizó una investigación en 23
países de América, Europa y Asia, en más de 250 empresas, demostrándose que
las empresas que llevan a cabo prácticas superiores de Gobierno de TI, tienen más
de 20% de beneficios sobre aquéllas con malas prácticas de gobierno, aún cuando
cuenten con los mismos objetivos estratégicos.
Auditoría Informática
¿Por dónde empezar?

Identificar los stakeholders.

Para poner en marcha la implementación del gobierno de TI es necesario hacer la
identificación de los interesados (stakeholders), quienes comúnmente son: el
consejo administrativo, la dirección ejecutiva, la dirección de TI y cualquier otro rol
que se identifique conveniente, de acuerdo con las prácticas individuales (leyes y
reglamentaciones a los que está obligado el negocio).

Crear un comité estratégico. De acuerdo a las mejores prácticas para la

implementación del gobierno de TI, esto se puede lograr mediante la creación de
un comité estratégico, para lo cual es importante preguntarse lo siguiente:
¿Qué estructura organizacional se tiene dentro del corporativo?
¿Cuáles son los canales de una comunicación efectiva dentro del corporativo?
¿Qué cultura organizacional impera?
¿Es un corporativo centralizado, descentralizado o híbrido?
¿Se tienen subsidiarias?
¿El corporativo es una subsidiaria?
¿Existen circunstancias particulares? ¿Cuáles?
Auditoría Informática
Auditoría Informática
Auditoría Informática
El comité estratégico de TI se debe ubicar en el nivel jerárquico más alto de la
organización y estar integrado con elementos capaces de aportar visión estratégica,
toma de decisión, experiencia en temas de tecnología de la información y apoyo en
todas las áreas de la organización. De igual forma, se necesita planear la
implementación de uno o más comités directivos y ubicarlos en niveles jerárquicos
de ejecución para que dirijan la implementación del gobierno de TI y reporten
continuamente al comité estratégico.

Asignar y documentar las responsabilidades. Éstas las tendrá cada participante

a lo largo de la implementación del gobierno de TI, así como en su mantenimiento
continuo.

En la tabla 2 se mostraron algunas de las responsabilidades considerando a los

participantes y a los comités; mientras que la definición específica de éstas, queda a
reserva de las necesidades particulares que la organización presente.
Auditoría Informática
Determinar un plan de implementación donde se elija el sistema o marco de
referencia en el cual se apoyarán, de acuerdo con las características de la
organización.
Algunos de los marcos de referencia y buenas prácticas de la industria para la
implementación del gobierno de TI existentes son:

• El Instituto de Gobierno de TI (ITGI) adopta COBIT) y las prácticas de los

procesos descritos en su marco de referencia de valor de TI (VAL IT).
• El marco de referencia propuesto por el CISRT del Instituto Tecnológico de
Massachusetts.
• La Librería de Infraestructura de Tecnología de la Información (ITIL)

El marco de referencia que sea elegido para la implementación del gobierno de TI

tendrá que cumplir con las leyes y reglamentaciones a las que está obligada la
organización como parte del ejercicio normal del negocio. También, es posible
adaptar una combinación de dichos marcos de referencia para cubrir las
necesidades particulares.
Auditoría Informática
Asignar presupuesto y tiempo. Para incorporación del Gobierno de TI en el
gobierno corporativo como parte del portafolio de proyectos del negocio. Es
importante identificar si se cuenta, con las competencias y experiencia adecuadas
y/o si es posible asignar los tiempos necesarios, evitando que la operación diaria
conlleve un avance lento y desalentador.

¿Qué procesos componen el gobierno de TI?

Normalmente y tomando el marco de referencia adoptado por el Instituto de

Gobierno de TI, se identifican cinco procesos: los de entrega de valor y
administración de riesgos, que son los resultados esperados de la eficacia del
gobierno; los de alineación estratégica, administración de recursos de TI y
administración del desempeño, que son necesarios para lograr dichos resultados
y contar con una mejora continua.
Auditoría Informática
Alineación estratégica
Este proceso se centra en alinear la estrategia de TI con la estrategia del negocio,
negocio o
en que las estrategias del negocio consideren el apoyo de las TI para sacar el
máximo valor y desempeño de sus objetivos, ya sean a mediano o largo plazo.
También se considera que las operaciones de TI estén alineadas a las operaciones
del negocio.
Entrega de valor

Tal como lo enuncia el Instituto del Gobierno de TI en el documento Board Briefing

on IT Governance, los principios de este proceso son: “entrega en tiempo, dentro del
presupuesto, con la calidad requerida y alcanzando los beneficios que fueron
prometidos”.
En términos de negocio esto se traduce en: ventaja competitiva, tiempo transcurrido
para el cumplimiento de la orden/servicio, satisfacción del cliente, tiempo de espera
del cliente, productividad del empleado y rentabilidad.
Es importante mencionar que el logro de este proceso se cumple siempre que los
esfuerzos de TI, estén alineados a la estrategia y a los objetivos del negocio.
Auditoría Informática
Administración de riesgos

Una buena administración de riesgos dentro de la organización demuestra una

buena implementación del gobierno de TI. Para llevar a cabo este proceso se debe
adoptar una metodología que identifique los riesgos, su evaluación y su tratamiento,
el cual puede ser: mitigar dichos riesgos (implementando controles), transferirlos
(mediante contratos con seguros o servicios de outsourcing) o aceptarlos (riesgos
que forman parte del “apetito” del riesgo).

Se debe considerar que los riesgos de una organización no sólo son financieros,
sino operativos, de tecnología y de seguridad informática, los cuales pueden
impactar adversamente los objetivos estratégicos del negocio.

Administración de recursos de TI

Proceso centrado en la optimización de costos de inversión de la infraestructura

tecnológica, balanceado con la calidad del servicio requerido para soportar las
operaciones del negocio; así como en la administración del conocimiento y las
relaciones con los proveedores de servicio de tecnología internos como externos.
Auditoría Informática
Administración del desempeño

Se lleva a cabo el monitoreo del cumplimiento de los objetivos de las estrategias del
negocio, y el aseguramiento de su alineación con la tecnología de la información,
mediante la implementación y mantenimiento del balanced scorecard, considerando
perspectivas financieras del cliente, de los procesos internos y del aprendizaje.

Casos de éxito

Existen algunas compañías que han tenido éxito en la implementación del Gobierno
de TI, mismas que han expuesto sus casos en la página web: www.itgi.org en la
sección “Home>ITGI>Case Studies/Best Practices>Case Studies”.
Auditoría Informática
Conclusión

La implementación del Gobierno de TI es un paso importante para toda aquella

corporación que desea maximizar sus beneficios y anticiparse al mercado.

Con la implementación del Gobierno de TI no existen proyectos de tecnología

aislados, sino proyectos del negocio con soporte de TI.
TI

El Gobierno de TI no debe verse como un tema de tecnología, sería más adecuado

pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.

El gobierno de TI no es algo que podamos evadir, la evolución tecnológica y su

adhesión en las prácticas organizacionales lo hacen inevitable; simplemente, es
decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando
siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros
procesos e inversiones.
Auditoría Informática