Gobierno corporativo de las tecnologías de la información - Corporate governance of information technology

El gobierno de la tecnología de la información ( TI ) es un subconjunto de la disciplina del gobierno corporativo , centrado en la tecnología de la información (TI) y su desempeño y gestión de riesgos . El interés en la gobernanza de TI se debe a la necesidad constante dentro de las organizaciones de centrar los esfuerzos de creación de valor en los objetivos estratégicos de una organización y de gestionar mejor el desempeño de los responsables de crear este valor en el mejor interés de todas las partes interesadas. Ha evolucionado a partir de los Principios de Gestión Científica , Gestión de Calidad Total y el sistema de gestión de Calidad ISO 9001 .

Históricamente, los ejecutivos de nivel de directorio delegaban las decisiones clave de TI a la administración de TI de la empresa y a los líderes comerciales. Los objetivos a corto plazo de los responsables de la gestión de TI pueden entrar en conflicto con los mejores intereses de otras partes interesadas, a menos que se establezca una supervisión adecuada. El gobierno de TI involucra sistemáticamente a todos: miembros de la junta, dirección ejecutiva, personal, clientes, comunidades, inversores y reguladores. Se utiliza un marco de gobierno de TI para identificar, establecer y vincular los mecanismos para supervisar el uso de la información y la tecnología relacionada para crear valor y gestionar los riesgos asociados con el uso de la tecnología de la información.

Existen varias definiciones de gobierno de TI. Mientras que en el mundo empresarial la atención se ha centrado en la gestión del rendimiento y la creación de valor, en el mundo académico la atención se ha centrado en "especificar los derechos de decisión y un marco de responsabilidad para fomentar el comportamiento deseable en el uso de la TI".

La definición del IT Governance Institute es: "... liderazgo, estructuras organizativas y procesos para garantizar que la TI de la organización sostiene y amplía las estrategias y objetivos de la organización".

AS8015 , la Norma australiana para la gobernanza empresarial de las tecnologías de la información y la comunicación (TIC), define la gobernanza empresarial de las TIC como "El sistema mediante el cual se dirige y controla el uso actual y futuro de las TIC. Implica evaluar y dirigir los planes para el uso de las TIC para apoyar a la organización y monitorear este uso para lograr los planes. Incluye la estrategia y políticas para el uso de las TIC dentro de una organización ".

Fondo

La disciplina del gobierno de la tecnología de la información surgió por primera vez en 1993 como un derivado del gobierno corporativo y se ocupa principalmente de la conexión entre los objetivos estratégicos de una organización, las metas comerciales y la gestión de TI dentro de una organización . Destaca la importancia de la creación de valor y la responsabilidad por el uso de la información y la tecnología relacionada y establece la responsabilidad del órgano de gobierno, en lugar del director de información o la gestión empresarial.

Los objetivos principales del gobierno de la información y la tecnología (TI) son (1) asegurar que el uso de la información y la tecnología generen valor comercial , (2) supervisar el desempeño de la administración y (3) mitigar los riesgos asociados con el uso de la información y la tecnología. Esto se puede hacer a través de la dirección a nivel de junta, implementando una estructura organizacional con responsabilidad bien definida para las decisiones que impactan en el logro exitoso de los objetivos estratégicos e institucionalizar las buenas prácticas a través de la organización de actividades en procesos con resultados de proceso claramente definidos que se pueden vincular a la los objetivos estratégicos de la organización.

Tras las fallas de gobierno corporativo en la década de 1980, varios países establecieron códigos de gobierno corporativo a principios de la década de 1990:

  • Comité de Organizaciones Patrocinadoras de la Comisión Treadway (EE. UU.)
  • Informe Cadbury (Reino Unido)
  • King Report (Sudáfrica).

Como resultado de estos esfuerzos de gobierno corporativo para gobernar mejor el apalancamiento de los recursos corporativos, se prestó especial atención al papel de la información y la tecnología subyacente para respaldar el buen gobierno corporativo. Pronto se reconoció que la tecnología de la información no solo era un facilitador de la gobernanza empresarial, sino que, como recurso, también era un creador de valor que necesitaba una mejor gobernanza.

En Australia, la AS8015 Corporate Governance of ICT se publicó en enero de 2005. Se adoptó por la vía rápida como ISO / IEC 38500 en mayo de 2008.

El proceso de gobernanza de TI impone un vínculo directo de los recursos y el proceso de TI con los objetivos empresariales en línea con la estrategia. Existe una fuerte correlación entre la curva de madurez del gobierno de TI y la efectividad general de TI.

Problemas

El gobierno de TI a menudo se confunde con la gestión de TI , el cumplimiento y los controles de TI . El problema se agrava con términos como "gobernanza, riesgo y cumplimiento (GRC)" que establecen un vínculo entre gobernanza y cumplimiento. El enfoque principal del gobierno de TI es la administración de los recursos de TI en nombre de varias partes interesadas, cuya clasificación es establecida por el órgano de gobierno de la organización. Una forma sencilla de explicar la gobernanza de TI es: qué se debe lograr aprovechando los recursos de TI. Mientras que la gestión de TI se trata de "planificar, organizar, dirigir y controlar el uso de los recursos de TI" (es decir, el cómo ), la gobernanza de TI se trata de crear valor para las partes interesadas en función de la dirección dada por quienes gobiernan. ISO 38500 ha ayudado a aclarar la gobernanza de TI al describir un modelo que utilizarán los directores de la empresa.

Si bien los directores son responsables de esta administración, no es inusual delegar esta responsabilidad en la administración (negocios y TI), quienes se espera que desarrollen la capacidad necesaria para brindar el desempeño esperado. Si bien la gestión del riesgo y la garantía del cumplimiento son componentes esenciales de la buena gobernanza , el enfoque principal es la entrega de valor y la gestión del desempeño (es decir, "gobernanza, entrega de valor y gestión del rendimiento" (GVP)).

Frameworks

Hay bastantes referencias de apoyo que pueden ser guías útiles para la implementación de la gobernanza de la información y la tecnología (TI). Algunos de ellos son:

  • AS8015-2005 Estándar australiano para el gobierno corporativo de la tecnología de la información y la comunicación. AS8015 fue adoptado como ISO / IEC 38500 en mayo de 2008
  • ISO / IEC 38500: 2015 El gobierno corporativo de la tecnología de la información (basado muy de cerca en AS8015-2005) proporciona un marco para el gobierno efectivo de TI para ayudar a aquellos en el nivel más alto de las organizaciones a comprender y cumplir con sus obligaciones legales, regulatorias y éticas. con respecto al uso de TI de sus organizaciones. ISO / IEC 38500 es aplicable a organizaciones de todos los tamaños, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Esta norma proporciona principios rectores para los directores de organizaciones sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones.
  • COBIT está considerado como el marco de control y gobernanza de TI líder en el mundo. COBIT proporciona un modelo de referencia de 37 procesos de TI que normalmente se encuentran en una organización. Cada proceso se define junto con las entradas y salidas del proceso, las actividades clave del proceso, los objetivos del proceso, las medidas de desempeño y un modelo de madurez. ISACA publicó COBIT2019 en 2019 como un "marco empresarial para el gobierno y la gestión de la TI empresarial". COBIT2019 consolida reemplaza a COBIT 5, que a su vez reemplazó a COBIT 4.1, Val IT y Risk IT en un marco único que actúa como un marco empresarial alineado e interoperable con TOGAF e ITIL.
  • IGPMM: el modelo de madurez del proceso de gobierno de la información depende de la maduración de 22 procesos que ayudan a identificar (y mejorar la gestión) el valor, el costo y el riesgo de la información. CGOC actualizó el IGPMM en marzo de 2017. Los procesos reflejan las necesidades de las partes interesadas clave en la información, incluidas las áreas legal, administración de información de registros (RIM), privacidad y seguridad, líneas de negocios y TI. La maduración de cada proceso empresarial pasa por cuatro etapas:
    • Etapa 1: ad hoc e inconsistente
    • Etapa 2: en silos y manual
    • Etapa 3: en silos, consistente e instrumentado
    • Etapa 4: Integrada, instrumentada y optimizada

Otros marcos ofrecen una visión parcial de la gestión de TI y los procesos de gobierno de TI:

  • CMM : el modelo de madurez de la capacidad: enfoque en la ingeniería de software
  • ITIL : enfoque en la gestión de servicios de TI
  • ISO / IEC 20000 : enfoque en la gestión de servicios de TI
  • ISO / IEC 27001 : enfoque en la gestión de la seguridad de la información
  • ISO / IEC 27005 - Enfoque en la gestión de riesgos de seguridad de la información
  • ISO / IEC 29148 e IREB : enfoque en la ingeniería de requisitos
  • ISO / IEC 29119 e ISTQB : enfoque en las pruebas de software

Los marcos de uso no específicos de TI incluyen:

  • PRINCE2 y PMBOK : enfoque en la gestión de proyectos
  • ISO 22301 - Enfoque en la continuidad del negocio
  • El cuadro de mando integral (BSC) - Método para evaluar el desempeño de una organización en muchas áreas diferentes
  • Six Sigma : enfoque en el aseguramiento de la calidad
  • Open Group Architecture Framework (TOGAF): metodología para alinear el negocio y la TI, lo que da como resultado proyectos útiles y una gobernanza eficaz.

Certificado Profesional

  • Certified in the Governance of Enterprise Information Technology ( CGEIT ) es una certificación creada en 2007 por ISACA . Está diseñado para profesionales experimentados, que pueden demostrar 5 o más años de experiencia, desempeñándose en una función de gestión o asesoría centrada en la gobernanza y el control de TI a nivel empresarial. También requiere pasar una prueba de 4 horas, diseñada para evaluar la comprensión del solicitante de la administración de TI empresarial. El primer examen se llevó a cabo en diciembre de 2008.
  • COBIT5 Foundation, COBIT5 Assessor y COBIT5 Implementation son certificaciones creadas en 2012 por ISACA .

Ver también

Referencias

Otras lecturas

  • Blitstein, Ron, 2012. "Gobierno de TI: Atasco burocrático o facilitador empresarial" , Cutter Consortium.
  • Brown, Allen E. y Grant, Gerald G. (2005) "Framing the Frameworks: A Review of IT Governance Research", Comunicaciones de la Asociación de Sistemas de Información: vol. 15, artículo 38.
  • S. De Haes y W. Van Grembergen , "Explorando la relación entre las prácticas de gobierno de TI y la alineación negocio / TI a través del análisis de casos extremos en empresas financieras belgas de tamaño mediano a grande", Journal of Enterprise Information Management , vol. 22, núm. 5, 2009, págs. 615–637.
  • Georgel F., Gobierno de TI: Maitrise d'un systeme d'information , Dunod, 2004 (Ed1) 2006 (Ed2), 2009 (Ed3), ISBN  2-10-052574-3 . "Gouvernance, audit et securite des TI", CCH, 2008 (Ed1) ISBN  978-2-89366-577-1
  • Lutchen, M. (2004). Gestión de TI como negocio: una guía de supervivencia para directores ejecutivos. Hoboken, Nueva Jersey, J. Wiley., ISBN  0-471-47104-6
  • Renz, Patrick S. (2007). "Gestión del proyecto." Heidelberg, Physica-Verl. (Contribuciones a la economía) ISBN  978-3-7908-1926-7
  • Van Grembergen, W. , Estrategias para el gobierno de la tecnología de la información , IDEA Group Publishing, 2004, ISBN  1-59140-284-0
  • Van Grembergen, W. y S. De Haes, Gobierno empresarial de TI: Lograr la alineación estratégica y el valor , Springer, 2009.
  • Wim Van Grembergen y S. De Haes, "Un viaje de investigación sobre el gobierno empresarial de TI, la alineación de negocios / TI y la creación de valor", Revista internacional de TI / Alineación y gobierno de negocios , vol. Núm. 1, 2010, págs. 1-13.
  • Weill, P. y Ross, JW (2004). Gobernanza de TI: cómo los mejores profesionales gestionan los derechos de decisión de TI para obtener resultados superiores, Boston, MA, Harvard Business School Publishing, ISBN  1-59139-253-5
  • Wilkin, CL y Chenhall, RH (2010). Una revisión de la gobernanza de TI: una taxonomía para informar AIS, Journal of Information Systems, 24 (2), 107-146.
  • Wood, David J., 2011. "Evaluación de la madurez de la gobernanza de TI: el caso de San Marcos, Texas". Proyectos de investigación aplicada, Texas State University-San Marcos . (Este documento aplica un marco COBIT modificado a una ciudad de tamaño mediano).