Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia
son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el
valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el
aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.
La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de
requerimientos para controlar la información, se entienden ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y
el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos
organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Más aún, el gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que TI en la empresa soporta los objetivos
del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los
beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Estos resultados requieren un marco de referencia para
controlar la TI, que se ajuste y sirva como soporte a COSO (Committee Of Sponsoring Organisations Of The Treadway Commission)
Marco de Referencia Integrado – Control Interno, el marco de referencia de control ampliamente aceptado para gobierno corporativo y
para la administración de riesgos, así como a marcos compatibles similares.
Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su información, así como de todos
sus activos. La dirección también debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones, información,
infraestructura y personas. Para descargar estas responsabilidades, así como para lograr sus objetivos, la dirección debe entender el
estatus de su arquitectura empresarial para TI y decidir qué tipo de gobierno y de control debe aplicar.
para proporcionar la información que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser
administrados por un conjunto de procesos agrupados de forma natural.
Pero, ¿cómo puede la empresa poner bajo control TI de tal manera que genere la información que la empresa necesita? ¿Cómo
puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto? ¿Cómo puede la empresa asegurar que TI
logre sus objetivos y soporte los del negocio?
Primero, la dirección requiere objetivos de control que definan la meta final de implementar políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para brindar un aseguramiento razonable de que:
• Se alcancen los objetivos del negocio.
• Se prevengan o se detecten y corrijan los eventos no deseados.
En segundo lugar, en los complejos
ambientes de hoy en día, la dirección busca
continuamente información oportuna y
condensada, para tomar decisiones difíciles
respecto a riesgos y controles, de manera
rápida y exitosa. ¿Qué se debe medir y
cómo? Las empresas requieren una
medición objetiva de dónde se encuentran y
dónde se requieren mejoras, y deben
implementar una caja de herramientas
gerenciales para monitorear esta mejora.
La
Figura 1 muestra algunas preguntas
frecuentes y las herramientas gerenciales de
información usadas para encontrar las
respuestas, aunque estos tableros de c
requieren indicadores, los marcado
puntuación requieren mediciones y los Benchmarking requieren una escala de comparación.
Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeño de TI son las definiciones
específicas de COBIT de los siguientes conceptos:
• Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la
Capacidad del Instituto de Ingeniería de Software
• Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced
Scorecard de Negocio de Robert Kaplan y David Norton
• Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT
