{"id":429,"date":"2010-03-19T23:05:50","date_gmt":"2010-03-20T04:05:50","guid":{"rendered":"http:\/\/blog.espol.edu.ec\/gisabel\/?p=429"},"modified":"2010-03-19T23:13:03","modified_gmt":"2010-03-20T04:13:03","slug":"certificacion-isaca-gobierno-ti","status":"publish","type":"post","link":"https:\/\/blog.espol.edu.ec\/gisabel\/certificacion-isaca-gobierno-ti\/","title":{"rendered":"Certificaci\u00f3n ISACA - Gobierno TI"},"content":{"rendered":"

<\/p>\n

Hace tiempo atr\u00e1s hab\u00edamos escuchado hablar de Gobierno m\u00e1s en temas de pol\u00edtica que en temas de negocio, pero ahora esta palabra es conjugada a las empresas, por lo que ahora gobierno corporativo no es una palabra nueva, pero que es Gobierno Corporativo?... Conocemos que en una empresa debe de existir un c\u00f3digo de \u00e9tica, entornos de control, directrices que al ser alineados con los objetivos del negocio permiten la generaci\u00f3n de nuevas estrategias, y con la intervenci\u00f3n de la Sociedad hacen que la Responsabilidad Social surja entre sus pol\u00edticas.<\/span><\/p>\n

<\/span><\/p>\n

Por ende Gobierno corporativo no es m\u00e1s que el comportamiento \u00e9tico por parte de los directorios u otros encargados del gobierno para la creaci\u00f3n y entrega del valor para todas las partes que integran una empresa.<\/span><\/p>\n

<\/span><\/p>\n

Pero quienes conforman el directorio?..El directorio no es m\u00e1s que un conjunto de personas encargadas de revisar los informes que demuestren que las estrategias aplicadas son las correctas y que ayudan a cumplir con los objetivos de la organizaci\u00f3n.<\/span><\/p>\n

<\/span><\/p>\n

Pero quien comprende este conjunto de personas? \u2026 lo comprenden los representantes de los accionistas de la empresa, no los gerentes de \u00e1rea ni los jefes.<\/span><\/p>\n

<\/span><\/p>\n

En el concepto que mencionamos de Gobierno corporativo observamos que nos entrega Valor, pero que es valor?<\/span><\/p>\n

Valor es un tema de percepci\u00f3n, y depende como uno lo observe, en este caso las partes que integran una empresa, en pocas palabras los stakeholders.<\/span><\/p>\n

<\/span><\/p>\n

Gobierno corporativo entrega valor a los stakeholders, pero que son los stakeholder?<\/span><\/p>\n

A partir de un gr\u00e1fico les mostrar\u00e9 los stakeholders que comprenden una empresa:<\/span><\/p>\n

<\/span><\/p>\n

Como observamos cada stakeholder tiene su propio valor. En algunos como el empleado su valor puede ser el dinero, status, estabilidad, para un cliente el valor puede ser un producto de buena calidad y servicio, para la sociedad puede ser menos contaminaci\u00f3n, impuestos, beneficencias, etc. por eso decimos que el valor depende de la perspectiva del stakeholder.<\/span><\/p>\n

<\/span><\/p>\n

De acuerdo a lo expuesto entonces un Gobierno puede manejar 4 elementos fundamentales:<\/span><\/p>\n

<\/span><\/p>\n

    \n
  1. Creaci\u00f3n de Valor<\/span><\/li>\n
  2. Administraci\u00f3n de Recursos<\/span><\/li>\n
  3. Establecimiento de controles apropiados<\/span><\/li>\n
  4. Utilizaci\u00f3n eficiente de los recursos asignados.<\/span><\/li>\n<\/ol>\n

    <\/span><\/p>\n

    Ahora que conocemos a groso modo que es Gobierno podemos identificar con mayor claridad al Gobierno TI.<\/span><\/p>\n

    <\/span><\/p>\n

    Como TI se refiere a tecnolog\u00eda de la informaci\u00f3n, debemos de relacionar el concepto de Gobierno con la tecnolog\u00eda por lo que concluimos que el Gobierno TI asegura que los objetivos y estrategias de la tecnolog\u00eda est\u00e9n alineados a los objetivos del negocio.<\/span><\/p>\n

    Y qui\u00e9n es el responsable de establecer un buen gobierno TI?<\/span><\/p>\n

    1. El Jefe\/Gerente de Sistemas?<\/span><\/p>\n

    2. El Administrador de la Red?<\/span><\/p>\n

    3. La Alta Gerencia<\/span><\/p>\n

    <\/span><\/p>\n

    Si contestaron la opci\u00f3n 1 y 2, no entendieron nada\u2026 la opci\u00f3n correcta es la opci\u00f3n 3, porque ellos son los \u00fanicos que conocen las estrategias y los lineamientos del negocio.<\/span><\/p>\n

    <\/span><\/p>\n

    Y que hace un auditor SI frente al gobierno TI?...somos EVALUADORES! Por eso debemos de usar nuestro buen juicio basado en la experiencia para evaluar y recomendar, por lo que el un auditor debe ser COMPETENTE e INDEPENDIENTE.<\/span><\/p>\n

    <\/span><\/p>\n

    Y para poder llegar a ser COMPETENTE, debemos de basarnos en los marcos de referencia o metodolog\u00edas que nos brinda ISACA.<\/span><\/p>\n

    <\/span><\/p>\n

    Por ejemplo, COSO es un marco de referencia o trabajo, no una metodolog\u00eda, porque no es metodolog\u00eda?...porque una metodolog\u00eda son pasos a seguir, procesos, etc. en cambio un Marco de referencia o trabajo son gu\u00edas o lineamientos de c\u00f3mo se deben de hacer las cosas, esto nos ayuda a mantener un buen control interno.<\/span><\/p>\n


    \n<\/span><\/p>\n

    COSO naci\u00f3 en el 92 por lo que demor\u00f3 alrededor de 7 a\u00f1os en crearse, pero en ese tiempo la tecnolog\u00eda no era lo que es hoy, por lo que una de las debilidades de COSO es que enfoca muchos procesos tecnol\u00f3gicos a algo manual. Pero gracias a este marco de trabajo se han originado otros como COBIT que mantiene un buen control de la tecnolog\u00eda.<\/span><\/p>\n

    Bueno y podemos seguir hablando de COBIT; ITIL; etc., pero por ahora enfoqu\u00e9monos a temas del Gobierno TI.<\/span><\/p>\n

    <\/span><\/p>\n

    Cuando hablamos de tecnolog\u00eda, lo debemos de hacer de manera general porque <\/span>su crecimiento es muy r\u00e1pido tanto as\u00ed que <\/span>podemos llegar a decir que es proporcional al riesgo y esto es proporcional a los controles que deben surgir para mitigar estos riesgos.<\/span><\/p>\n

    <\/span><\/p>\n

    La auditor\u00eda tradicional era reactiva, es decir lo \u00fanico que se hac\u00eda era encontrar el problema, y reportarlo, pero ahora los tiempos han cambiado a tal punto que la auditor\u00eda pas\u00f3 a ser Proactiva, es decir que adem\u00e1s de buscar el problema debemos de buscar como se puede prevenir.<\/span><\/p>\n

    <\/span><\/p>\n

    Y es por eso que un Auditor de Sistemas de Informaci\u00f3n es un ente clave en un grupo de auditor\u00eda, porque los datos fluyen alrededor de la tecnolog\u00eda que es aplicada dentro de una empresa, y ellos de acuerdo a su buen juicio pueden emitir recomendaciones que ayuden a mitigar esos riesgos.<\/span><\/p>\n

    <\/span><\/p>\n

    Pero hemos hablado de Riesgo, pero no sabemos exactamente que es riesgo.. Bueno riesgo es lo que impide o afecta la consecuci\u00f3n de un objetivo, entonces podemos decir que para que exista un Riesgo debe de existir un objetivo, y cuando existe un riesgo se deben de buscar controles que los mitiguen.<\/span><\/p>\n

    <\/span><\/p>\n

    El riesgo posee dos criterios de evaluaci\u00f3n:<\/span><\/p>\n

      \n
    1. La Probabilidad<\/span> de Ocurrencia<\/span><\/li>\n
    2. El Impacto.<\/span><\/li>\n<\/ol>\n

      <\/span><\/p>\n

      Todo riesgo debe ser evaluado en riesgos..O.o\u2026.es decir que cuando vamos a determinar un riesgo debemos de analizar cual ser\u00eda el impacto con respecto a los objetivos o consecuci\u00f3n de la empresa y la probabilidad de que efectivamente ocurra.<\/span><\/p>\n

      <\/span><\/p>\n

      Talvez al momento de analizar los riesgos en <\/span>las empresas que ten\u00edan sus oficinas en las Torres Gemelas <\/span>nadie se imagin\u00f3 o evalu\u00f3 que suceder\u00eda si un avi\u00f3n choca contra ellas, ..o.O\u2026.Nadie se imagin\u00f3 que un 11 de Septiembre ocurrir\u00eda tremenda cat\u00e1strofe.<\/span><\/p>\n

      <\/span><\/p>\n

      Entonces como debemos de evaluar un riesgo?...<\/span><\/p>\n

        \n
      1. Identific\u00e1ndolo<\/span><\/li>\n
      2. Evalu\u00e1ndolo<\/span><\/li>\n
      3. Administr\u00e1ndolo<\/span><\/li>\n<\/ol>\n

        <\/span><\/p>\n

        Los identific\u00f3 y evalu\u00f3 de acuerdo a su probabilidad e impacto, pero como lo administr\u00f3? Para administrarlo puedo realizar lo siguiente:<\/span><\/p>\n

        <\/span><\/p>\n

          \n
        1. Colocar controles para mitigarlos<\/span><\/li>\n
        2. Acept\u00e1ndolos es decir los veo, identifico, saber cual es el impacto, pero no le aplico ning\u00fan control porque simplemente lo acepto tal como es.<\/span><\/li>\n
        3. Traslad\u00e1ndolos es decir contratando un seguro que me ayude a controlar el riesgo.<\/span><\/li>\n
        4. Elimin\u00e1ndolos.<\/span><\/li>\n<\/ol>\n

          <\/span><\/p>\n

          La mayor\u00eda de riesgos los sabemos mitigar en base a controles, pero que controles no m\u00e1s existen que uno pueda aplicar? Existen controles:<\/span><\/p>\n

          - Preventivos<\/span><\/p>\n

          - Correctivos<\/span><\/p>\n

          - <\/span>Detectivos<\/span><\/p>\n

          <\/span><\/p>\n

          A manera de ejemplo y para entender mejor estos controles podemos mencionar el caso que uno quiera irse a la playa.<\/span><\/p>\n

          El control preventivo ser\u00eda llevar llanta de emergencia, verificar el agua del radiador, el aceite, etc.<\/span><\/p>\n

          Pero que sucede si nos quedamos tubo bajo en plena carretera?...ah\u00ed surge el control correctivo que debemos aplicar contra el objetivo de no llegar tarde de la hora acordada.<\/span><\/p>\n

          El control Detectivos es dif\u00edcil aplicarlo a este ejemplo, por lo que para que quede claro un control Detectivos ser\u00eda el control que hacemos a partir de los reportes, o los estados de cuenta, las conciliaciones bancarias, etc.<\/span><\/p>\n

          <\/span><\/p>\n

          Los criterios de evaluaci\u00f3n de los controles son:<\/span><\/p>\n

          - <\/span><\/span><\/span>Dise\u00f1o<\/span><\/p>\n

          - <\/span><\/span><\/span>Eficacia<\/span><\/p>\n

          <\/span><\/p>\n

          El dise\u00f1o para conocer como funciona ese control, si esta bien aplicado ese control para ese riesgo, si la estructura es correcta.<\/span><\/p>\n

          La Eficacia<\/span> para determinar si el control que se esta aplicando nos ayuda a cumplir con los objetivos. Esto se lo puede verificar en base a pruebas<\/span><\/p>\n

          <\/span><\/p>\n

          Es decir un Control nos ayuda a cumplir los objetivos haciendo lo que esta dise\u00f1ado. Por eso antes de evaluar los controles primero debo de revisar el dise\u00f1o.<\/span><\/p>\n

          \n\t\t\t
          \n\t\t\t\n\t\t\t\t\n\t\t\t\t
          Escuchaeste post<\/a><\/div>\n\t\t\t<\/div><\/form>","protected":false},"excerpt":{"rendered":"

          Hace tiempo atr\u00e1s hab\u00edamos escuchado hablar de Gobierno m\u00e1s en temas de pol\u00edtica que en temas de negocio, pero ahora esta palabra es conjugada a las empresas, por lo que ahora gobierno corporativo no es una palabra nueva, pero que es Gobierno Corporativo?... Conocemos que en una empresa debe de existir un c\u00f3digo de \u00e9tica, entornos de control, directrices que
          Read more...<\/a><\/span><\/p>\n","protected":false},"author":1078,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2311],"tags":[93968,2950,2951,16658,16660,16657,16664,16665,16659],"class_list":["post-429","post","type-post","status-publish","format-standard","hentry","category-auditoria","tag-auditoria","tag-auditoria-de-seguridad","tag-auditoria-informatica","tag-cisa","tag-coso","tag-gobierno-ti","tag-isaca","tag-isaca-ecuador","tag-itil"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/posts\/429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/users\/1078"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/comments?post=429"}],"version-history":[{"count":4,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/posts\/429\/revisions"}],"predecessor-version":[{"id":432,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/posts\/429\/revisions\/432"}],"wp:attachment":[{"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/media?parent=429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/categories?post=429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.espol.edu.ec\/gisabel\/wp-json\/wp\/v2\/tags?post=429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}