Hace tiempo atrás habíamos escuchado hablar de Gobierno más en temas de política que en temas de negocio, pero ahora esta palabra es conjugada a las empresas, por lo que ahora gobierno corporativo no es una palabra nueva, pero que es Gobierno Corporativo?… Conocemos que en una empresa debe de existir un código de ética, entornos de control, directrices que al ser alineados con los objetivos del negocio permiten la generación de nuevas estrategias, y con la intervención de la Sociedad hacen que la Responsabilidad Social surja entre sus políticas.
Por ende Gobierno corporativo no es más que el comportamiento ético por parte de los directorios u otros encargados del gobierno para la creación y entrega del valor para todas las partes que integran una empresa.
Pero quienes conforman el directorio?..El directorio no es más que un conjunto de personas encargadas de revisar los informes que demuestren que las estrategias aplicadas son las correctas y que ayudan a cumplir con los objetivos de la organización.
Pero quien comprende este conjunto de personas? … lo comprenden los representantes de los accionistas de la empresa, no los gerentes de área ni los jefes.
En el concepto que mencionamos de Gobierno corporativo observamos que nos entrega Valor, pero que es valor?
Valor es un tema de percepción, y depende como uno lo observe, en este caso las partes que integran una empresa, en pocas palabras los stakeholders.
Gobierno corporativo entrega valor a los stakeholders, pero que son los stakeholder?
A partir de un gráfico les mostraré los stakeholders que comprenden una empresa:
Como observamos cada stakeholder tiene su propio valor. En algunos como el empleado su valor puede ser el dinero, status, estabilidad, para un cliente el valor puede ser un producto de buena calidad y servicio, para la sociedad puede ser menos contaminación, impuestos, beneficencias, etc. por eso decimos que el valor depende de la perspectiva del stakeholder.
De acuerdo a lo expuesto entonces un Gobierno puede manejar 4 elementos fundamentales:
- Creación de Valor
- Administración de Recursos
- Establecimiento de controles apropiados
- Utilización eficiente de los recursos asignados.
Ahora que conocemos a groso modo que es Gobierno podemos identificar con mayor claridad al Gobierno TI.
Como TI se refiere a tecnología de la información, debemos de relacionar el concepto de Gobierno con la tecnología por lo que concluimos que el Gobierno TI asegura que los objetivos y estrategias de la tecnología estén alineados a los objetivos del negocio.
Y quién es el responsable de establecer un buen gobierno TI?
1. El Jefe/Gerente de Sistemas?
2. El Administrador de la Red?
3. La Alta Gerencia
Si contestaron la opción 1 y 2, no entendieron nada… la opción correcta es la opción 3, porque ellos son los únicos que conocen las estrategias y los lineamientos del negocio.
Y que hace un auditor SI frente al gobierno TI?…somos EVALUADORES! Por eso debemos de usar nuestro buen juicio basado en la experiencia para evaluar y recomendar, por lo que el un auditor debe ser COMPETENTE e INDEPENDIENTE.
Y para poder llegar a ser COMPETENTE, debemos de basarnos en los marcos de referencia o metodologías que nos brinda ISACA.
Por ejemplo, COSO es un marco de referencia o trabajo, no una metodología, porque no es metodología?…porque una metodología son pasos a seguir, procesos, etc. en cambio un Marco de referencia o trabajo son guías o lineamientos de cómo se deben de hacer las cosas, esto nos ayuda a mantener un buen control interno.
COSO nació en el 92 por lo que demoró alrededor de 7 años en crearse, pero en ese tiempo la tecnología no era lo que es hoy, por lo que una de las debilidades de COSO es que enfoca muchos procesos tecnológicos a algo manual. Pero gracias a este marco de trabajo se han originado otros como COBIT que mantiene un buen control de la tecnología.
Bueno y podemos seguir hablando de COBIT; ITIL; etc., pero por ahora enfoquémonos a temas del Gobierno TI.
Cuando hablamos de tecnología, lo debemos de hacer de manera general porque su crecimiento es muy rápido tanto así que podemos llegar a decir que es proporcional al riesgo y esto es proporcional a los controles que deben surgir para mitigar estos riesgos.
La auditoría tradicional era reactiva, es decir lo único que se hacía era encontrar el problema, y reportarlo, pero ahora los tiempos han cambiado a tal punto que la auditoría pasó a ser Proactiva, es decir que además de buscar el problema debemos de buscar como se puede prevenir.
Y es por eso que un Auditor de Sistemas de Información es un ente clave en un grupo de auditoría, porque los datos fluyen alrededor de la tecnología que es aplicada dentro de una empresa, y ellos de acuerdo a su buen juicio pueden emitir recomendaciones que ayuden a mitigar esos riesgos.
Pero hemos hablado de Riesgo, pero no sabemos exactamente que es riesgo.. Bueno riesgo es lo que impide o afecta la consecución de un objetivo, entonces podemos decir que para que exista un Riesgo debe de existir un objetivo, y cuando existe un riesgo se deben de buscar controles que los mitiguen.
El riesgo posee dos criterios de evaluación:
- La Probabilidad de Ocurrencia
- El Impacto.
Todo riesgo debe ser evaluado en riesgos..O.o….es decir que cuando vamos a determinar un riesgo debemos de analizar cual sería el impacto con respecto a los objetivos o consecución de la empresa y la probabilidad de que efectivamente ocurra.
Talvez al momento de analizar los riesgos en las empresas que tenían sus oficinas en las Torres Gemelas nadie se imaginó o evaluó que sucedería si un avión choca contra ellas, ..o.O….Nadie se imaginó que un 11 de Septiembre ocurriría tremenda catástrofe.
Entonces como debemos de evaluar un riesgo?…
- Identificándolo
- Evaluándolo
- Administrándolo
Los identificó y evaluó de acuerdo a su probabilidad e impacto, pero como lo administró? Para administrarlo puedo realizar lo siguiente:
- Colocar controles para mitigarlos
- Aceptándolos es decir los veo, identifico, saber cual es el impacto, pero no le aplico ningún control porque simplemente lo acepto tal como es.
- Trasladándolos es decir contratando un seguro que me ayude a controlar el riesgo.
- Eliminándolos.
La mayoría de riesgos los sabemos mitigar en base a controles, pero que controles no más existen que uno pueda aplicar? Existen controles:
– Preventivos
– Correctivos
– Detectivos
A manera de ejemplo y para entender mejor estos controles podemos mencionar el caso que uno quiera irse a la playa.
El control preventivo sería llevar llanta de emergencia, verificar el agua del radiador, el aceite, etc.
Pero que sucede si nos quedamos tubo bajo en plena carretera?…ahí surge el control correctivo que debemos aplicar contra el objetivo de no llegar tarde de la hora acordada.
El control Detectivos es difícil aplicarlo a este ejemplo, por lo que para que quede claro un control Detectivos sería el control que hacemos a partir de los reportes, o los estados de cuenta, las conciliaciones bancarias, etc.
Los criterios de evaluación de los controles son:
– Diseño
– Eficacia
El diseño para conocer como funciona ese control, si esta bien aplicado ese control para ese riesgo, si la estructura es correcta.
La Eficacia para determinar si el control que se esta aplicando nos ayuda a cumplir con los objetivos. Esto se lo puede verificar en base a pruebas
Es decir un Control nos ayuda a cumplir los objetivos haciendo lo que esta diseñado. Por eso antes de evaluar los controles primero debo de revisar el diseño.
