SERIE DE DOCUMENTOS DE TRABAJO CICIA VOL. 5 2011

Estrategias para la Implantacin de Tecnologas de la Informtica Efectivas: Marco de Trabajo de Gobierno de TI

Yvonne L. Huertas, CPA, CMA, JD Universidad de Puerto Rico

Resumen:

Este trabajo Interamericano tiene el propsito de promover las buenas prcticas de tecnologa de la informtica (TI) entre los contadores de las Amricas, entre las cuales se encuentra de forma prominente la integracin de una estructura de Gobierno de TI al quehacer empresarial. Tiene, adems el propsito de generar curiosidad intelectual entre los contadores profesionales respecto a las oportunidades y los riesgos que son inherentes a la inversin en TI.

La TI representa una oportunidad significativa para que las empresas alcancen competitividad sostenida. HHaayy uunnaa ccrreecciieennttee eexxppeeccttaattiivvaa rreessppeeccttoo aa ssuu ffuunncciioonnaalliiddaadd,, ccaalliiddaadd,, ffaacciilliiddaadd ddee uussoo yy ccoossttooss.. Las empresas que la adoptan generalmente logran ventajas sobre aquellas que no lo hacen en trminos de niveles de ventas ms elevados al igual que niveles de rentabilidad superiores. La implementacin de la TI impacta positivamente la ejecutoria de la empresa al ampliar el valor agregado de la empresa. La TI contribuye a una calidad superior del producto o servicio, acceso 24-7 a la empresa tanto por clientes como proveedores, reduccin de costos, aumento en las oportunidades del negocio, logrando as cumplir o superar las metas organizacionales. Organizaciones como el Banco Mundial han realizado estudios que revelan un vnculo positivo entre las mtricas de competitividad y rentabilidad y la integracin de la TI a la gestin empresarial. Se propone en este trabajo que en las organizaciones, la informacin y la tecnologa son dos de los factores ms importantes que contribuyen a la sustentabilidad financiera de la empresa.

Nos encontramos en pleno apogeo de la era de la tecnologa. Abundan alternativas en sistemas operacionales, aplicaciones, paquetes de programas a nivel organizacional, proposiciones de tecnologa de la informtica que prometen llevar a la empresa a niveles ptimos de desempeo incalculables. Este fenmeno de la TI que representa uno de los avances ms significativos de la humanidad en el Siglo XX y XXI es ingrediente estratgico y esencial en los procesos de innovacin. Es componente prominente en las mejoras a los mismos procesos internos aplicados a los negocios, ayudando de forma dominante en la agilizacin de los procesos de capturar, medir y analizar la informacin. En estos tiempos de crisis financiera global es difcil despreciar las posibilidades que representa la TI para la estabilidad econmica empresarial.

No obstante dicho lo anterior, no podemos ignorar que la tecnologa de la informtica representa a la misma vez un riesgo apremiante para la empresa, que requerir que la empresa haga una inversin importante en el manejo de los nuevos riesgos que se asoman al entorno empresarial. Encuestas realizadas entre 522 empresas norteamericanas por el CSI (Computer Security Institute) y el FBI (Federal Bureau of Investigation) durante el ao 2008 revelan que el fraude financiero a travs de la computadora ha tenido un impacto severo en un buen nmero de empresas. Para el ao 2008 se estim que las prdidas promedio anuales sufridas por empresas con ms de 1,500 empleados y con ventas de ms de un billn de US dlares ascendieron a US$500,000. Howard Davia, autor de Fraude 101: Tcnicas y Estrategias para su Deteccin, estima que slo el 20% del fraude total cometido sale a luz pblica. Por lo tanto, sobre esta base podemos inferir que el total del fraude financiero a travs de la computadora, puede superar fcilmente los 2.5 millones de US$, solamente en Estados Unidos. La Asociacin de Examinadores Certificados del Fraude (ACFE) ha calculado el total de las prdidas causadas por el fraude financiero en 7% de las ventas brutas totales de cada empresa. Impresionante? Indudablemente.

Yvonne L. Huertas es catedrtica de la Universidad de Puerto Rico en San Juan y fue la presidenta de la Comisin Tcnica de TI y Sistemas de la XXVIII Conferencia Interamericana de Contabilidad.

Este trabajo fue presentado en la XXVIII Conferencia Interamericana de Contabilidad celebrada en Cancn, Mxico (25-28 de octubre de 2009) .

2

Los comentarios planteados en los prrafos anteriores nos llevan a reconocer que: 1. La TI lleg para quedarse. 2. La tecnologa de la informtica representa oportunidades y a la misma vez riesgos. 3. Las empresas tienen que implantar sistemas de seguridad que las protejan de los riesgos asociados con la tecnologa de la informtica. En virtud de la importancia que se le atribuye a la TI hoy da, debe existir un mecanismo que vigile y asegure que esa tecnologa se emplee

de la mejor forma y que est alienada a las metas de la empresa. Cmo aseguraremos una inversin en TI bien dirigida? Este trabajo propone que se necesita implantar un Gobierno de TI.

A que nos referimos con Gobierno TI? Gobierno TI es marco de referencia de trabajo en el que se integra una estructura organizacional que funciona como parte del gobierno corporativo, la cual, unida a un conjunto de procesos, se encarga de desarrollar y controlar las actividades de TI para que estas estn alineados a los objetivos empresariales, impulsando el logro de los mismos, optimizando el rendimiento de los recursos y mitigando el posible efecto de los riesgos que enfrenta la organizacin. En esencia, el objetivo principal de Gobierno IT es proveerles a los usuarios de la informacin financiera y a los interesados en la empresa (stakeholders) transparencia, coherencia en las acciones de la empresa, mayor confianza en la informacin publicada y rendimiento superior en las inversiones de TI.

Las empresas que han integrado formalmente a su quehacer organizacional la gestin del Gobierno TI se caracterizan por disponer de altos ejecutivos capaces de describir la funcin del Gobierno TI, ya que se encuentran involucrados en su desarrollo, control y gestin. Adems, la calidad de su comunicacin empresarial es superior promoviendo as la transparencia. Estas organizaciones tienen objetivos empresariales y objetivos de TI claramente planteados y alineados. Sus estrategias se encuentran bien definidas. A consecuencia de las caractersticas antes expresadas, los inversionistas preferirn invertir en estas compaas donde su gobierno es trasparente. Eso significa que el Gobierno TI brinda a las compaas un valor agregado nico.

3

Introduccin:

LLaa tteeccnnoollooggaa ddee llaa iinnffoorrmmttiiccaa nnooss ffaasscciinnaa aa mmuucchhooss ppoorr mmoottiivvooss vvaarriiaaddooss.. PPaarraa aallgguunnooss

ddee nnoossoottrrooss rreepprreesseennttaa uunnaa eessppeecciiee ddee ppuueennttee qquuee nnooss ppeerrmmiittee lllleeggaarr ooppoorrttuunnaammeennttee aall ffuuttuurroo..

NNooss ccaappaacciittaa ppaarraa iinntteeggrraarrnnooss yy sseerr ffuunncciioonnaalleess.. EEssee ffuuttuurroo,, lloo qquuee ttrraaee,, lloo qquuee rreepprreesseennttaa,, eess

ppaarrttee ddee llaa pprreeooccuuppaacciinn oommnniipprreesseennttee eennttrree llooss sseerreess hhuummaannooss ppoorr eell ccaammbbiioo.. EEssaa ppaallaabbrraa

CCAAMMBBIIOO eenncciieerrrraa uunn mmiisstteerriioo ffaasscciinnaannttee ppaarraa llaa rraazzaa hhuummaannaa.. EEssttaa ffaasscciinnaacciinn nnooss llaa

ccoonnffiirrmmaann llooss ggrraannddeess ppeennssaaddoorreess aa ttrraavvss ddee llaa hhiissttoorriiaa ddeell mmuunnddoo.. HHeerrcclliittoo,, ppeennssaaddoorr

pprreessooccrrttiiccoo,, ddeeccaa qquuee llaass aagguuaass ddeell rroo jjaammss vvoollvveerrnn.. AAllvviinn TToofffflleerr,, ffuuttuurriissttaa ddeell SSiigglloo XXXX

aaggrreeggaa:: EEll ccaammbbiioo eess eell ffeennmmeennoo ppoorr mmeeddiioo ddeell ccuuaall eell ffuuttuurroo iinnvvaaddee nnuueessttrraass vviiddaass...... llaa

aacceelleerraacciinn ddeell ccaammbbiioo eenn nnuueessttrroo ttiieemmppoo eess,, eenn ss mmiissmmaa,, uunnaa ffuueerrzzaa eelleemmeennttaall..""

LLooss ccoonnttaaddoorreess pprrooffeessiioonnaalleess rreeccoonnoocceemmooss qquuee tteenneemmooss uunn ddeebbeerr ddee lliiddeerraarr eell ccaammbbiioo,,

aassuunnttoo qquuee rreeqquuiieerree tteenneerr VVIISSIIOONN!! LLaa hhiissttoorriiaa eesstt rreepplleettaa ddee eejjeemmppllooss ddee ppeerrssoonnaajjeess qquuee hhaann

ddeejjaaddoo uunnaa hhuueellllaa iimmbboorrrraabbllee yy ddeessaacceerrttaaddaa RReeppaasseemmooss aallgguunnaass ddee eessttaa eexxpprreessiioonneess ppaarraa

aasseegguurraarrnnooss qquuee llaa hhiissttoorriiaa nnoo gguuaarrddaarr llaass ddee nnuueessttrrooss ccoonnttaaddoorreess ddee llaass AAmmrriiccaass ccoommoo cciittaass

nnoo cciittaabblleess!!

EEnn 11889999 CChhaarrlleess HH.. DDuueellll,, DDiirreeccttoorr ddee llaa OOffiicciinnaa ddee PPaatteenntteess ddee llooss EEssttaaddooss UUnniiddooss ddiijjoo::

TTooddoo lloo qquuee ssee ppooddaa iinnvveennttaarr ssee hhaa iinnvveennttaaddoo yyaa.. EEnn 11994433TThhoommaass WWaattssoonn,, ddiirreeccttoorr eejjeeccuuttiivvoo

ddee IIBBMM ssee eexxpprreess:: PPiieennssoo qquuee hhaayy uunn mmeerrccaaddoo mmuunnddiiaall,, qquuiizzss,, ppaarraa 55 ccoommppuuttaaddoorreess.. EEnn

11997777 KKeenn OOllsseenn,, PPrreessiiddeennttee yy ffuunnddaaddoorr ddee DDiiggiittaall EEqquuiippmmeenntt CCoorrpp.. ddiijjoo:: NNoo eexxiissttee rraazznn

aallgguunnaa ppoorr llaa qquuee aallgguuiieenn qquuiieerraa tteenneerr uunnaa ccoommppuuttaaddoorraa eenn ssuu ccaassaa.. HHaassttaa BBiillll GGaatteess,, ffuunnddaaddoorr

ddee MMiiccrroossoofftt ddiijjoo eenn 11998811 qquuee 664400KK ddee mmeemmoorriiaa ddeebbee sseerr ssuuffiicciieennttee ppaarraa ccuuaallqquuiieerr ppeerrssoonnaa.. EEss

eevviiddeennttee qquuee aallgguunnooss ddee llooss llddeerreess mmss aaddmmiirraaddooss eenn eell mmuunnddoo hhaann tteenniiddoo ssuu mmoommeennttoo ddee

4

ddeessaattiinnooss,, faire un faux pas! El mandato para nuestra profesin de contadores es liderar y

dejar una huella permanente de la que siempre nos sintamos orgullosos.

Este trabajo interamericano tiene el propsito de facilitar el dilogo sobre las

oppoorrttuunniiddaaddeess yy rriieessggooss qquuee rreepprreesseennttaa llaa tteeccnnoollooggaa ddee llaa iinnffoorrmmttiiccaa ((TTII)) ppaarraa llaa pprrooffeessiinn..

HHaarreemmooss uunn rreeccuueennttoo ssuucciinnttoo ssoobbrree aallgguunnaass ddee llaass pprrccttiiccaass ddee TTII qquuee eenn eessttee mmoommeennttoo hhiissttrriiccoo

ssoonn ccoonnssiiddeerraaddaass llaass mmeejjoorreess.. EEnn ppaarrttiiccuullaarr aabbuunnddaarreemmooss ssoobbrree eell mmaarrccoo ccoonncceeppttuuaall ddeell ggoobbiieerrnnoo

ddee tteeccnnoollooggaa ddee llaa iinnffoorrmmttiiccaa..

Riesgos y Oportunidades:

La capacidad masiva de captacin, transmisin, procesamiento y almacenamiento de la informacin se ha generalizado de tal manera que ha llevado a una profunda reorganizacin econmica y social (Webster, 1995). Tal transformacin brinda oportunidades a los pases de Amrica Latina y el Caribe, al tiempo que plantea el desafo de superar los rezagos respecto del mundo desarrollado. 1 La Sociedad de la Informacin en Amrica Latina y el Caribe: desarrollo de las tecnologas y las tecnologas para el desarrollo

LLaa ttaabbllaa qquuee ssee

pprreesseennttaa aa llaa iizzqquuiieerrddaa22

ddeemmuueessttrraa llaa ssiinngguullaarr

ssiittuuaacciinn eenn llaa qquuee ssee

eennccuueennttrraa eell iinnggrreessoo ppeerr ccppiittaa

ddee AAmmrriiccaa LLaattiinnaa yy eell CCaarriibbee

ccuuaannddoo ssee ccoommppaarraa ccoonn eell ddee

ppaasseess ccoommoo IIrrllaannddaa yy

SSiinnggaappuurr,, dduurraannttee eell ppeerriiooddoo ddeell 11997755 aall 22000022.. PPaarraa eell aaoo 11997755 llaa ddiiffeerreenncciiaa eennttrree eell iinnggrreessoo ppeerr

1 La Sociedad de la Informacin en Amrica Latina y el Caribe: desarrollo de las tecnologas y tecnologas para el desarrollo,

CEPAL, febrero 2008, http://www.cepal.org/socinfo/noticias/noticias/1/32291/2007-1081-TICs-Sociedad_informacion-

FINAL.pdf 2 A Time to Choose Caribbean Development in the 21th Century, April 2005,

http://siteresources.worldbank.org/LACEXT/Resources/317250LAC.pdf

Ingreso Per Capita 1975-2002

5

ccppiittaa ddee SSiinnggaappuurr yy AAmmrriiccaa LLaattiinnaa nnoo eerraa ssiiggnniiffiiccaattiivvaa.. DDuurraannttee eessee ppeerriiooddoo eell iinnggrreessoo ppeerr

ccppiittaa eenn AAmmrriiccaa LLaattiinnaa ssee mmaannttuuvvoo ccaassii ppaarraalliizzaaddoo;; eell ccrreecciimmiieennttoo eenn pprroommeeddiioo ffuuee ddee uunn 22%%

aannuuaall.. EEss iinntteerreessaannttee oobbsseerrvvaarr llaa ttaassaa ddee ccrreecciimmiieennttoo qquuee SSiinnggaappuurr aallccaannzz dduurraannttee eessee mmiissmmoo

ppeerriiooddoo.. LLeeee KKuuaann YYeeww,, fue Primer Ministro de Singapur durante ese periodo. Impuls una

economa capitalista en la joven nacin hasta convertirla en uno de los pases ms competitivos

del mundo con un ingreso per cpita impresionante. Los que conocen la historia de Singapur

saben el rol central que tuvo la TI en su desarrollo.

DDee aaccuueerrddoo aall iinnffoorrmmee rreecciieennttee 22000088--22000099 ddee llaa CCoommiissiinn EEccoonnmmiiccaa ppaarraa AAmmrriiccaa

LLaattiinnaa yy eell CCaarriibbee ((CCEEPPAALL)) llaa rreeggiinn ccoonnttiinnuuaarr eexxppaannddiinnddoossee dduurraannttee eell pprrxxiimmoo aaoo yy ppoorr

pprriimmeerraa vveezz eenn uunn ppeerriiooddoo ddee ccuuaarreennttaa aaooss ccoommpplleettaarr uunn cciicclloo ddee ssiieettee aaooss eenn llooss qquuee eell

iinnggrreessoo pprroommeeddiioo ppeerr--ccppiittaa hhaabbrr ccrreecciiddoo eenn mmss ddee 33%%..3 QQuu ffuuttuurroo eeccoonnmmiiccoo qquueerreemmooss

ppaarraa AAmmrriiccaa LLaattiinnaa?? EEsstt eenn llaass mmaannooss ddee llooss CCoonnttaaddoorreess ddee llaass AAmmrriiccaass iinnvveennttaarr uunn ffuuttuurroo

mmss bbrriillllaannttee ppaarraa AAmmrriiccaa LLaattiinnaa..

SSeeggnn AAnnddrreeww MMccAAffeeee ((22000066))44:: EEnn llaa eerraa ddee llaa iinnffoorrmmaacciinn,, llooss mmeejjoorreess ttiieemmppooss ssoonn llooss

ppeeoorreess.. EEll hhaarrddwwaarree ssiigguuee vvoollvviinnddoossee mmss rrppiiddoo,, mmss ppoorrttttiill yy mmss bbaarraattoo;; llaass nnuueevvaass

tteeccnnoollooggaass ppaarraa nneeggoocciiooss hhaann ccaappttuurraaddoo llaa iimmaaggiinnaacciinn.. PPoorr qquu hhaabbllaa MMccAAffeeee ddee llooss

mmeejjoorreess ttiieemmppooss?? LLaa rreessppuueessttaa eess oobbvviiaa:: aabbuunnddaa ddiivveerrssiiddaadd ddee tteeccnnoollooggaa aa pprreecciiooss aall aallccaannccee ddee

pprrccttiiccaammeennttee ttooddooss llooss bboollssiillllooss.. PPoorr qquu llaa ccoonnttrraaddiicccciinn ddee qquuee ttaammbbiinn vviivviimmooss llooss ppeeoorreess

ttiieemmppooss?? LLaass ddeecciissiioonneess qquuee eennffrreennttaann llaass eemmpprreessaass ssee ccoommpplliiccaann ccoonn ttaannttaass aalltteerrnnaattiivvaass.. EEnn

qquu iinnvveerrttiirr?? CCuunnddoo iinnvveerrttiirr?? DDnnddee iinnvveerrttiirr?? SSoobbrree qquu hhoommbbrrooss ccaaeenn eessttaass ddeecciissiioonneess??

3 Estudio Econmico de Amrica Latina y el Caribe 2008-2009, CEPAL, http://www.eclac.org/cgi-

bin/getProd.asp?xml=/publicaciones/xml/4/36464/P36464.xml&xsl=/de/tpl/p9f.xsl&base=/tpl/top-bottom.xslt 4 Andrew McAfee , Dominar los Tres Mundos de las Tecnologas de Informacin, Harvard Business Review 84(11): 104-113,

noviembre 2006.

6

LLaa ttaabbllaa aa llaa iizzqquuiieerrddaa55

ddeemmuueessttrraa qquuee dduurraannttee llooss aaooss

11999999--22000055,, AAmmrriiccaa LLaattiinnaa llooggrr

uunnaa aaddooppcciinn iimmppoorrttaannttee ddee llaa TTII,,

ppeerroo ppoorr ddeebbaajjoo ddeell rreessttoo ddeell

mmuunnddoo..

La CEPAL realiz un estudio comparativo del uso de la TI entre los pases de Amrica

Latina y los pases de Asia Oriental por las organizaciones PYMES6. Estos son algunos de las

observaciones ms sobresalientes que presenta el estudio en torno a las TI:

Razones para adoptar las TIC

Las tecnologas de la informacin y las comunicaciones han sido consideradas durante mucho tiempo una herramienta efectiva para superar los obstculos que enfrentan las pymes y facilitar el comercio internacional. Las principales razones establecidas en los estudios de caso para que las empresas privadas las adopten son, entre otras: 1. mejorar el acceso a la informacin; 2. mejorar la gestin administrativa interna; 3. mejorar la gestin de productos y el control de calidad; 4. aumentar la productividad por medio del mejoramiento de la gestin interna segn la enumeracin precedente; 5. facilitar la colaboracin con otras empresas y buscar economas de escala; y 6. lograr nuevas oportunidades comerciales.

DDuurraannttee eell ppeerriiooddoo ccoommpprreennddiiddoo eennttrree 11996655--22000055,, ssee oobbsseerrvv uunn iinnccrreemmeennttoo nnoottaabbllee eenn

iinnvveerrssiinn eenn tteeccnnoollooggaa eenn EEssttaaddooss UUnniiddooss77.. LLaa iinnvveerrssiinn eenn tteeccnnoollooggaass ssee hhaa ttrriipplliiccaaddoo dduurraannttee

5 La Sociedad de la Informacin en Amrica Latina y el Caribe: desarrollo de las tecnologas y tecnologas para el desarrollo,

CEPAL , Supra 6 Yasushi Ueki, Masatsugu Tsuji,Rodrigo Crcamo Olmos, Tecnologa de la informacin y las comunicaciones (TIC) para el

fomento de las pymes exportadoras en Amrica Latina y Asia oriental,

http://www.eclac.cl/publicaciones/xml/9/26929/Serie%20Web%2033.pdf

7

uunn ppeerriiooddoo ddee 4400 aaooss.. YY qquu hhaayy ddeell rreessttoo ddeell mmuunnddoo?? AAuunn ccoonn llaa rreecciieennttee ddeessaacceelleerraacciinn eenn

llaa iinnvveerrssiinn eenn tteeccnnoollooggaa,, llooss nneeggoocciiooss aallrreeddeeddoorr ddeell mmuunnddoo ccoonnttiinnaann iinnvviirrttiieennddoo mmss ddee UUSS$$33

ttrriilllloonneess aall aaoo eenn TTII..88 EEss iinnccuueessttiioonnaabbllee eell iimmppaaccttoo ffiinnaanncciieerroo ssiiggnniiffiiccaattiivvoo qquuee ttiieenneenn llaass

iinnvveerrssiioonneess eenn TTII eenn eell pprreessuuppuueessttoo ddee llaass eemmpprreessaass..

EEll pprrxxiimmoo ggrrffiiccoo99 rreefflleejjaa uunn eesscceennaarriioo ddee mmeerrccaaddooss ttuurrbbuulleennttooss,, ccoonncceeppttoo qquuee ddeessccrriibbee llaa

ssiittuuaacciinn ddee mmeerrccaaddooss vvoollttiilleess eenn llooss qquuee uunnaa eemmpprreessaa ppuueeddee ddoommiinnaarr eell mmeerrccaaddoo eenn uunn aaoo yy

nnoo sseegguuiirr ddoommiinnnnddoolloo aall ssiigguuiieennttee aaoo.. Competir en mercados voltiles es como el boxeo: los

golpes provienen de todas direcciones; las estrategias cambian constantemente; y un golpe

poderoso podra noquear a su empresa en cualquier momento1100. (Sull, 2005) EEnn eessttooss mmeerrccaaddooss

vvoollttiilleess uunnaa eemmpprreessaa qquuee eessttuuvviieerraa eenn uunnaa ppoossiicciinn NN ((llaa llttiimmaa eenn llaa lliissttaa ddee eemmpprreessaass

ccoommppeettiiddoorraass ddeennttrroo ddee llaa mmiissmmaa iinndduussttrriiaa)) ppooddrraa aallccaannzzaarr ddoommiinnaarr eell mmeerrccaaddoo ppaarraa lluueeggoo

ppeerrddeerr eessaa ppoossiicciinn yy aass rreeppeettiirrssee eell ccaammbbiioo ddee ddoommiinniioo ddee mmeerrccaaddoo..

LLaa llnneeaa ccoolloorr rroojjoo eenn eell ggrrffiiccoo aa

llaa iizzqquuiieerrddaa rreepprreesseennttaa aa llaass eemmpprreessaass

ccoonn aallttaa iinnvveerrssiinn eenn tteeccnnoollooggaass.. LLaa

llnneeaa ccoolloorr aazzuull oobbssccuurraa rreepprreesseennttaa llaass

eemmpprreessaass ccoonn bbaajjaa iinnvveerrssiinn eenn

tteeccnnoollooggaass.. SSee oobbsseerrvvaa qquuee llaass

eemmpprreessaass ccoonn aallttaa iinnvveerrssiinn eenn tteeccnnoollooggaa ttiieenneenn uunn mmaayyoorr ddoommiinniioo ddee llooss mmeerrccaaddooss,, lloo qquuee eess

ppoossiittiivvoo,, ppeerroo ttaammbbiinn ssuuffrreenn ddee mmaayyoorr vvoollaattiilliiddaadd,, lloo qquuee ppuueeddee tteenneerr uunn eeffeeccttoo aaddvveerrssoo

ccoonnssiiddeerraabbllee.. SSeeggnn SSuullll,, factores tales como la innovacin tecnolgica, los cambios en las

7 Andrew McAfee and Erik Brynjolfsson, Investing in the IT That Makes a Competitive Difference,

http://hbr.harvardbusiness.org/2008/07/investing-in-the-it-that-makes-a-competitive-difference/ar/pr 8 Nicholas G. Carr, IT Doesn't Matter," Harvard Business Review, Vol. 81, No. 5, May 2003.

9 Id

10 http://www.eficaces.com/pdf/COMO_PROSPERAR_EN_MERCADOS_TURBULENTOS.pdf

8

necesidades y expectativas de los clientes, las polticas gubernamentales, y los cambios en los

mercados de capitales interactan entre s para crear resultados inesperados.

NNuueessttrraa pprrooffeessiinn ssee hhaa mmaanniiffeessttaaddoo aammpplliiaammeennttee rreessppeeccttoo aa llooss bbeenneeffiicciiooss ppootteenncciiaalleess yy llooss

rriieessggooss qquuee aaccoommppaaaann llaa TTII.. EEll bboorrrraaddoorr ddee IIFFAACC pprrooppuueessttoo ppoorr eell CCoommiitt ddee TTeeccnnoollooggaa yy

aapprroobbaaddoo eenn ddiicciieemmbbrree ddee 11999999 eexxpprreessaa qquuee ppaarraa pprroovveeeerr ccoonnttrrooll eeffeeccttiivvoo yy aaddeeccuuaaddoo,, llaa aallttaa

ggeerreenncciiaa ddee llaass eemmpprreessaass eexxiittoossaass ddeebbee sseerr ccaappaazz ddee aapprreecciiaarr llooss ppoossiibblleess bbeenneeffiicciiooss yy aaddeemmss

mmaanneejjaarr aacceerrttaaddaammeennttee llooss rriieessggooss yy llmmiitteess ddee llaa tteeccnnoollooggaa ddee llaa iinnffoorrmmttiiccaa..1111 NNuueessttrraa

pprrooffeessiinn ccoonnttaabbllee ssee hhaa ccaarraacctteerriizzaaddoo ppoorr sseerr uunnaa vviissiioonnaarriiaa.. EEnn vviirrttuudd ddee eessttaa ccaappaacciiddaadd ddee

pprreeppaarraarrnnooss ppaarraa eennffrreennttaarr eell ffuuttuurroo ooppoorrttuunnaammeennttee,, IIFFAACC ppuubblliicc llaa GGuuaa IInntteerrnnaacciioonnaall ddee

EEdduuccaacciinn NN.. 1111,, TTeeccnnoollooggaa ddee llaa IInnffoorrmmaacciinn eenn eell ccuurrrrccuulluumm ddee CCoonnttaabbiilliiddaadd ((rreevviissaaddaa

11999988,, 22000022)).. LLaa mmiissmmaa rreeccoonnooccii tteemmpprraannaammeennttee qquuee llooss ccoonnttaaddoorreess tteenneemmooss eell rreettoo ddee

ccoonnvveerrttiirrnnooss eenn eexxppeerrttooss eenn eell uussoo ddee llaa TTII eenn ffuunncciinn ddee eejjeerrcceerr vvaarriiooss rroolleess vviinnccuullaaddooss aa llaa

tteeccnnoollooggaa ddee llaa iinnffoorrmmttiiccaa::

UUssuuaarriioo ddee tteeccnnoollooggaass ddee llaa iinnffoorrmmaacciinn

AAddmmiinniissttrraaddoorr ddee ssiisstteemmaass ddee iinnffoorrmmaacciinn

DDiisseeaaddoorr ddee ssiisstteemmaass ddee nneeggoocciiooss

EEvvaalluuaaddoorr ddee ssiisstteemmaass ddee iinnffoorrmmaacciinn

HHooyy ddaa,, ddee ffoorrmmaa mmss ccoonntteemmppoorrnneeaa,, IIFFAACC ssee hhaa eexxpprreessaaddoo ddee ffoorrmmaa ccoonncclluuyyeennttee eenn

ttoorrnnoo aa ccuull ddeebbee sseerr eell nniivveell ddee pprreeppaarraacciinn ddeell ccoonnttaaddoorr eenn eell rreeaa ddee llaa TTII.. EEss mmaannddaattoorriioo qquuee

ttooddooss llooss ccoonnttaaddoorreess pprrooffeessiioonnaalleess tteennggaann aall mmeennooss uunn nniivveell ggeenneerraall ddee ccoonnoocciimmiieennttoo ddee

ccoonncceeppttooss ddee TTII ppaarraa ssiisstteemmaass eemmpprreessaarriiaalleess,, ccoonnttrrooll iinntteerrnnoo eenn ssiisstteemmaass eemmpprreessaarriiaalleess

11

Exposure Draft of the International Federation of Accountants approved for publication in December 1999 by the Information

Technology Committee, http://www.geocities.com/mike_tarrani/InfrastructureMgmt/ITServiceDelivery-Support.pdf

9

iinnffoorrmmaattiizzaaddooss,, eevvaalluuaacciinn ddee ssiisstteemmaass,, eennttrree oottrrooss..1122 PPoorr ssuu ppaarrttee,, eell IInnssttiittuuttoo ddee CCoonnttaaddoorreess

PPbblliiccooss AAuuttoorriizzaaddooss ((AAIICCPPAA)),, nnooss aalleerrttaa eenn ttoorrnnoo aa llaass ffuueerrzzaass ddee llaa TTII qquuee iimmppaaccttaann llaa

pprrooffeessiinn1133::

DDeessppllaazzaammiieennttoo TTeeccnnoollggiiccoo ((TTeecchhnnoollooggyy DDiissppllaacceemmeenntt)) AAddeellaannttooss TTeeccnnoollggiiccooss ((TTeecchhnnoollooggiiccaall AAddvvaanncceess)) MMaannddaattoo ddee LLiiddeerraazzggoo ((LLeeaaddeerrsshhiipp IImmppeerraattiivvee))

El AICPA anticipa que la TI continuar retando y reestructurando nuestros patrones de

trabajo, experiencias de trabajo, estilos y tcnicas de comunicacin; reescribir las reglas de

hacer negocio. Muchas de las destrezas que colocaban al contador profesional en una posicin de

ventaja competitiva han sido reemplazadas por la TI. Los profesionales que no dominen la TI y

que no puedan integrarla efectivamente a su quehacer quedarn rezagados y desplazados

eventualmente. Las empresas estn realizando sus actividades en un mundo de negocios

globalizado, tecnolgico, instantneo y crecientemente virtual.14 Vislumbran tener el apoyo y

consejo de contadores profesionales, lderes giles, visionarios, poseedores de nuevas destrezas.

EEss eevviiddeennttee qquuee nnooss iinntteerreessaa aa llooss ccoonnttaaddoorreess eenntteennddeerr llaass ccoonnsseeccuueenncciiaass qquuee ttiieennee eenn llaass

oorrggaanniizzaacciioonneess eell NNOO rreeccoonnoocceerr llaa iimmppoorrttaanncciiaa ddee llaass TTII ppaarraa eessttaarr eenn ppoossiicciinn ddee aaccoonnsseejjaarr aa llooss

cclliieenntteess.. SSeeggnn uunnoo ddee llooss ccoonnssuullttoorreess eexxppeerrttooss eenn TTII ddee mmss rreennoommbbrree eenn EEssttaaddooss UUnniiddooss,,

GGaarrttnneerr CCoonnssuullttiinngg,, llaass TTII ddee iimmppoorrttaanncciiaa ccrrttiiccaa ppaarraa llaa eemmpprreessaa tteennddrrnn uunn iimmppaaccttoo ppootteenncciiaall

sseerriioo eenn llooss pprrxxiimmooss 33 aaooss eenn llaa ffoorrmmaa ddee rruuppttuurraa ddee aaqquueellllaass aaccttiivviiddaaddeess qquuee ssuusstteennttaann eell xxiittoo

eemmpprreessaarriiaall,, ppoorr uunnaa iinnvveerrssiinn ppootteenncciiaall mmoonneettaarriiaa ssiiggnniiffiiccaattiivvaa yy eell rriieessggoo ddee qquuee ssee aaddoopptteenn

ttaarrddaammeennttee..1155 CCoommoo ccoonnttaaddoorreess pprrooffeessiioonnaalleess ffaacciilliittaaddoorreess ddee llaa ggeessttiinn eemmpprreessaarriiaall ddeebbeemmooss

12

International Accounting Standards Board IFAC, International Eduaction Practice Statement No. 2, Information Technology

for Professional Accountants, http://www.ifac.org/Members/DownLoads/IEPS_2_IT_for_Professional_Accountants.pdf 13

AICPA Vision Statement, Forces Impact the Profession, http://www.cpavision.org/final_report/page03.htm 14

Id 15

Gartner Identifies the Top 10 Strategic Technologies for 2009, http://www.gartner.com/it/page.jsp?id=777212

10

aasseegguurraarrnnooss ddee aaccoonnsseejjaarr aa llooss cclliieenntteess ddee llaa nneecceessiiddaadd ddee iinnvveerrttiirr eenn llaa TTII ddee ffoorrmmaa ssaabbiiaa yy

pprruuddeennttee,, ssiieemmpprree ccoonn oobbjjeettiivvooss ccllaarraammeennttee ddeeffiinniiddooss ddeell pprrooppssiittoo ddee eessaa iinnvveerrssiinn..

EEll CCoommppuutteerr SSeeccuurriittyy IInnssttiittuuttee eenn uunniinn aall FFeeddeerraall BBuurreeaauu ooff IInnvveessttiiggaattiioonn ((FFBBII)) rreeaalliizzaa

uunnaa eennccuueessttaa aannuuaall eenn llaa qquuee iinnvveessttiiggaa eell iimmppaaccttoo ddeell ccrriimmeenn ccoommeettiiddoo aa ttrraavvss ddee llaa

ccoommppuuttaaddoorraa;; llaa mmiissmmaa vvaa ppoorr ssuu 1133rraa eeddiicciinn.. LLaa eennccuueessttaa mmss rreecciieennttee ccoonnoocciiddaa aa llaa ffeecchhaa ddee llaa

rreeddaacccciinn ddee eessttee ttrraabbaajjoo,, eell CCoommppuutteerr CCrriimmee aanndd SSeeccuurriittyy SSuurrvveeyy1166 ssee rreeaalliizz eenn eell 22000088..

FFuueerroonn 552222 eejjeeccuuttiivvooss rreellaacciioonnaaddooss aa llaa pprrccttiiccaa ddee sseegguurriiddaadd eenn llaa TTII qquuiieenneess rreessppoonnddiieerroonn aa llaa

eennccuueessttaa.. EEll 1155%% ddee llaass eemmpprreessaass ssee eennccuueennttrraann eenn llaa iinndduussttrriiaa ddee llaa ccoonnssuullttoorraa,, eell 2222%% eenn llooss

sseerrvviicciiooss ffiinnaanncciieerrooss yy uunn 55%% eenn eell sseeccttoorr ddee llaa mmaannuuffaaccttuurraa.. EEll 3333%% ddee llaass eemmpprreessaass qquuee

ccoonntteessttaarroonn llaa eennccuueessttaa ggeenneerraann iinnggrreessooss ddee vveennttaass ddee ssoobbrree uunn bbiillllnn ddee UUSS$$..

SSoonn rreevveellaaddoorreess llooss rreessuullttaaddooss.. LLaass pprrddiiddaass mmss ssiiggnniiffiiccaattiivvaass ffuueerroonn ooccaassiioonnaaddaass ppoorr ffrraauuddee

ffiinnaanncciieerroo yy eessttaass aasscceennddiieerroonn eenn pprroommeeddiioo aa UUSS$$550000,,000000 ppoorr eemmpprreessaa.. UUnn 4499%% ddee llaass

eemmpprreessaass aaddmmiittiieerroonn hhaabbeerr ssuuffrriiddoo iinncciiddeenntteess ooccaassiioonnaaddooss ppoorr vviirruuss.. LLaass eemmpprreessaass eennccuueessttaaddaass

iinnvviirrttiieerroonn mmiilllloonneess ddee ddllaarreess eenn pprreevveenniirr eessttee pprroobblleemmaa.. UUnn 6688%% ddee llaass eemmpprreessaass rreessppoonnddiieerroonn

qquuee ttiieenneenn eessttaabblleecciiddaa oo eessttnn eenn pprroocceessoo ddee hhaacceerrlloo,, uunnaa ppoollttiiccaa ffoorrmmaall ppaarraa llaa pprrootteecccciinn yy

sseegguurriiddaadd ddee llaa iinnffoorrmmaacciinn oorrggaanniizzaacciioonnaall.. LLaa iinnvveerrssiinn eenn ssooffttwwaarree aannttii--vviirruuss ffuuee llaa mmss

ssiiggnniiffiiccaattiivvaa ccoommoo mmeeddiiddaa ccoonnttrraa eell ffrraauuddee tteeccnnoollggiiccoo ((9977%%)),, sseegguuiiddaa ppoorr llaa iinnvveerrssiinn eenn

ffiirreewwaallllss ((software de bloqueo contra piratas) (94%),, ssooffttwwaarree aannttii--eessppaa ((8800%%)),, eennccrriippttaacciinn

ddee ddaattooss eenn ttrrnnssiittoo ((7711%%)),, eennttrree oottrrooss.. Es evidente que las empresas que participaron en la

encuesta del CSI reconocen los riesgos que acompaan las oportunidades que representa la TI.

16

2008 CSI Computer Crime & Security Survey, http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf

11

El 2008 Internet Crime Report17 es una compilacin de datos desarrollada por The National

White Collar Crime Center (NW3C) que se encuentra en su octava edicin. El informe seala

que hubo una incidencia de fraude a travs de la internet que reflej un incremento de un 33% al

compararse con el ao 2007. Las modalidades para cometer fraude ms popular fueron los

correos electrnicos y pginas de la web. El total de prdidas informadas por fraude ciberntico

en Estados Unidos ascendi a US$264.6 millones. Howard Davia, autor de Fraude 101: Tcnicas

y Estrategias para su Deteccin, explica en su libro que se estima en solamente un 20% el

fraude que sale a la luz pblica, a travs de las primeras planas de los peridicos. Es preocupante

el nivel de prdidas que sufren las organizaciones a nivel global, el que se conoce y el que se

desconoce.

Visin hacia el Futuro por Contadores, Pensadores Estratgicos

Para muchas empresas, la informacin y la tecnologa que las soportan

representan sus ms valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia crtica de muchos procesos de negocio en TI.

CobiT 4.1, Resumen Ejecutivo, IT Governance Institute

En virtud del rol del contador profesional como facilitador de los procesos de toma de

decisiones de las empresas, la profesin contable deber conocer cules son las tendencias

tecnolgicas que ms impactarn el quehacer de las empresas tempranamente para poder integrar

a sus funciones la TI y optimizar sus beneficios. Por supuesto, ser urgente que adems conozca

los riesgos asociados a la TI para poder tomar las medidas necesarias para encontrar oportunidad

o enfrentar adecuadamente las amenazas.

17

2008 Internet Crime Report, www.nw3c.org/.../2008_IC3_Annual%20Report_3_27_09_small.pdf -Used with permission.

(c)2009. NW3C, Inc. d/b/a the National White Collar Crime Center. All rights reserved.

12

Segn Gartner, Supra, las tendencias de mayor impacto que son de inters para las

organizaciones que desean mantener sus ventaja competitiva son la tecnologa verde, las

comunicaciones unificadas, la gestin de procesos de negocios y el manejo de redes sociales de

comunicacin.

El AICPA tambin ha desarrollado un listado de las tecnologas que sern de impacto a la

profesin de contadores para el ao 2009.18 Curiosamente, este mismo listado de las tecnologas

preparado para el ao 2008 tena prominentemente en primera posicin la seguridad de la

informacin, (lo que se repite en el 2009) y en segunda posicin el Gobierno de TI. Para el 2009

el Gobierno de TI desaparece de la lista. El manejo de desastres que en el 2008 ocupaba la

tercera posicin es relegado a mencin honorfica nmero 11. Igualmente, se observa en el 2008

que el cumplimiento de estndares y seguridad ocupaba la posicin nmero 7, bajando a la

posicin nmero 12 en el 2009. El manejo de asuntos de privacidad sube 2 posiciones en el

2009 a la posicin nmero 2. Estos son los asuntos de TI que el AICPA considera de alto inters:

11.. SSeegguurriiddaadd ddee llaa iinnffoorrmmaacciinn ((IInnffoorrmmaattiioonn SSeeccuurriittyy MMaannaaggeemmeenntt)) 22.. PPrriivvaacciiddaadd ((PPrriivvaaccyy MMaannaaggeemmeenntt)) 33.. AAllmmaacceennaajjee,, ttrraannssmmiissiinn ee iinntteerrccaammbbiioo ddee iinnffoorrmmaacciinn sseegguurraa (Secure Data File

Storage, Transmission and Exchange)) 44.. MMeejjoorraass aa PPrroocceessooss ddee NNeeggoocciiooss [[BBuussiinneessss PPrroocceessss IImmpprroovveemmeenntt ((BBPPII)),, WWoorrkkffllooww

aanndd PPrroocceessss EExxcceeppttiioonn AAlleerrttss]] 55.. TTeeccnnoollooggaa IInnaallmmbbrriiccaa ((MMoobbiillee aanndd RReemmoottee CCoommppuuttiinngg)) 66.. AAddiieessttrraammiieennttooss ((TTrraaiinniinngg aanndd CCoommppeetteennccyy)) 77.. MMaanneejjoo ddee IIddeennttiiddaadd yy AAcccceessoo ((IIddeennttiittyy aanndd AAcccceessss MMaannaaggeemmeenntt)) 88.. Aplicacin e Integracin Mejorada de (Improved Application and Data Integration) 99.. GGeessttiinn ddeell CCoonnoocciimmiieennttoo ((DDooccuummeenntt,, FFoorrmmss,, CCoonntteenntt aanndd KKnnoowwlleeddggee MMaannaaggeemmeenntt)) 1100.. Almacenaje de informacin electrnica (Electronic Data Retention Strategy)

18

AICPA Top Technologies 2009,

http://infotech.aicpa.org/Resources/Top+Technology+Initiatives/2009+Top+10+Technology+Initiatives/

2009+Top+Technologies+and+Honorable+Mentions.htm

13

OOttrraass TTeeccnnoollooggaass yy TTeennddeenncciiaass ddee IImmppaaccttoo sseeggnn eell AAIICCPPAA ssoonn::

RReeccuuppeerraacciinn ddee ddeessaassttrreess ((Business Continuity Management and Disaster Recovery Planning)

Cumplimiento de aseguramiento y de estndares (Conforming to Assurance and Compliance Standards)

El AICPA define el Gobierno de TI como un sub-conjunto del gobierno corporativo.19

Entiende el AICPA que las empresas poseedoras de las siguientes caractersticas sern las que

mayor beneficio obtengan de una gestin de Gobierno de TI:

1. La TI es un componente medular del modelo de negocios sobre el que la organizacin formula sus estrategias. Sin la TI la organizacin no puede hacer entrega de su producto o servicio.

2. La TI es un habilitador principal de la eficiencia y eficacia de los procesos medulares de la organizacin.

3. La TI es una fuente primaria de riesgo para la organizacin. Estos riesgos incluyen la ruptura provocada por el cambio, el incumplimiento, controles no funcionales, costos excesivos, entre otros. Mientras mayores sean los usos y la dependencia en la TI, mayor ser el riesgo que representa.

ISACA (Information Systems Audit and Control Association) comision una encuesta global con el propsito de conocer los retos relacionados a las tecnologas de mayor impacto a las empresas en el presente o que fueran previsible durante los prximos doce a diez y ocho meses. Se obtuvieron 3,173 respuestas, de las cuales un 48% representaba empresas con sede en Norte Amrica, 3% en Sur y Centro Amrica, 21% en Asia, y 25% en Europa y frica. Los profesionales que contestaron la encuesta ejercan funciones variadas: 41.3% estaban en

19

Dan Schroeder, IT Governance, http://infotech.aicpa.org/Resources/IT+Governance/IT+Governance.htm

14

auditora y cumplimiento, 32.7% en administracin de TI y el 26% restante, en la administracin de asuntos de seguridad (security management).20

Los siguientes prrafos son una traduccin de los hallazgos de la encuesta de ISACA. Fueron

siete (7) los retos relacionados a la tecnologa que las empresas indicaron eran de alta prioridad:

1. Cumplimiento de regulaciones: Las organizaciones enfrentan ms retos que nunca; tienen que crecer y maximizar las oportunidades de mercado y a la misma vez cumplir con un nmero creciente de regulaciones y estndares. Mantenerse al tanto de la legislacin y los requerimientos de regulaciones es una tarea monumental; el cumplimiento de regulaciones sigue operando en la modalidad de proyecto sin haberse incrustado en los procesos del negocio. TI tiene que disear y mantener un sistema de cumplimiento aun en ausencia de un marco de referencia integrado.

2. Administracin de TI empresarial y Gobierno de TI: El manejo eficaz y efectivo de los departamentos de TI requiere un gobierno con disciplinas y capacidades que produzcan resultados consistentes y confiables para el negocio. El Gobierno de TI requiere alineacin de las operaciones de TI con las metas y objetivos de la empresa. Igualmente, los servicios de TI requieren de unos procesos de TI bien diseados y coordinados. Todava no se ha alcanzado el nivel necesario de concienciacin de la importancia del Gobierno de TI.

3. Gestin de la seguridad de la informacin: Luego de muchas y espectaculares violaciones de seguridad y prdidas cuantiosas y enormes cantidades de inversin en tecnologas de seguridad de punta (state-of-the-art), las empresas finalmente han realizado que la seguridad de la informacin tiene que ver ms con la administracin de personas y procesos y menos con la implantacin de tecnologa. De esta forma las empresas pueden apalancar (leverage) los estndares internacionales de administracin de seguridad de la informacin, tales como ISO/IEC 27001, que proveen guas y prcticas de uso general, en lugar de tener que reinventar la rueda cada vez. (SO/IEC 27001 es una norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin. La norma se ha concebido para garantizar la seleccin de controles de seguridad adecuados.)

4. Recuperacin de desastres para la continuidad del negocio: TODAS las empresas sufren paralizaciones en sus operaciones causadas por fallas tecnolgicas, inundaciones, interrupciones de servicio de energa elctrica, y terrorismo. Algunas

20

ISACA Top Business/Technology Issues Survey Results,

http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43977

15

empresas han respondido a este riesgo implantando programas de manejo de continuidad de negocios (BCM business continuity management) lo que mejora sus posibilidades de recuperacin en caso de un desastre. Lamentablemente, estas empresas son una minora por lo que la gestin para la continuidad de los negocios sigue siendo una meta fugaz para la mayora de las organizaciones.

5. Administracin de TI de valor: Los proyectos de TI frecuentemente carecen de alineacin con las metas organizacionales y sus objetivos; como resultado no generan beneficios para la empresa. En algunos casos la empresa no se involucra en los proyectos de TI; en otros casos, simplemente ocurre una falla de comunicacin entre lo que la empresa ha requerido y lo que la TI ha realizado y entregado. Implementar procesos que ayuden a salvar estas brechas permite que la TI pueda atender las necesidades del negocio y agregar valor.

6. Reto de manejo de riesgos de TI: Las prcticas de manejo de riesgos se entienden deficientemente en el mejor de los casos; por lo tanto no sorprende el hecho de que el manejo de riesgos de TI tampoco se entienda. Desafortunadamente, los riesgos de TI penetran a lo largo y ancho de las empresas; el impacto de un manejo inadecuado de los riesgos de TI puede ser desastroso.

7. Cumplimiento con estndares de informes financieros: Estndares de informes financieros globales tales como la Ley Sarbannes Oxley han estado vigentes desde el ao 2004; no obstante, continan siendo un rea de atencin en los departamentos de TI. Aunque se han realizado ciertas modificaciones a los estndares que permiten a las organizaciones enfocarse en reas de ms alto riesgo, stas siguen enfrentando el reto de cumplir de forma costo-efectiva.

Gobierno de TI

Existe un creciente inters en el Gobierno de TI. A qu se debe?

Desde que se produjo el pnico informtico del ao 2000, los consejos de administracin han visto con cada vez mayor nerviosismo el grado de dependencia de las empresas frente a las TI. Desde entonces, las fallas computacionales, los ataques de negacin de servicio, las presiones competitivas y la necesidad de automatizar el cumplimiento de las regulaciones gubernamentales han aumentado la sensibilidad de los consejos a los riesgos de TI. Nolan y McFarlan (2005)21

21

Nolan R and McFarlan FW (2005) Information technology and the board of directors. Harvard Business Review 83(10), 96107

16

Requerimientos de cumplimiento (compliance) que surgen a raz de la aprobacin de leyes

tales como la Sarbannes-Oxley en Estados Unidos y acuerdos como Basilea II22 en Europa

probablemente tambin son parte del inters creciente en Gobierno de TI. Los escndalos que

han salido a la luz pblica dentro de un entorno de desregulacin y la globalizacin de los

servicios, junto con la creciente sofisticacin de la TI, han creado una variedad de nuevos

riesgos operacionales para las empresas que son preocupantes. La inversin en tecnologa es

sustancial, como se coment al principio de este trabajo. Es preocupante que las empresas

desconozcan o ignoren el grado de dependencia que tiene la rentabilidad y sustentabilidad a largo

plazo en las TI:

A pesar de que los activos informticos de las empresas pueden representar ms de 50% de los gastos de capital, la mayora de los consejos cae en la modalidad de aplicar una serie de reglas tcitas o expresas tomadas de las mejores prcticas de otras empresas. Pocos comprenden la total magnitud de su dependencia operacional frente a los sistemas de computacin o hasta qu punto las TI juegan un rol en definir las estrategias de su empresa. Nolan y McFarlan (2005)

Se describen en este trabajo casos de empresas en las que los proyectos de TI se han salido

de control, afectando seriamente su desempeo. Cmo podemos proteger o por lo menos

mitigar el impacto de estos riesgos en la empresa? Ser el Gobierno de TI la respuesta?

Qu es Gobierno de TI?

Mrten Simonsson and Pontus Johnson (2006) establecen en su investigacin que no

existe una definicin generalizada de lo que es Gobierno de TI. Es su apreciacin que las

mltiples definiciones que usan los consultores y los investigadores son imprecisas, demasiado

amplias y, por tanto, difciles de evaluar. Su planteamiento es que si existiera una definicin de

uso comn, la misma facilitara el desarrollo y perfeccionamiento de los marcos de trabajo y

22

El Acuerdo de Basilea II afecta a sus pases miembros desde finales de 2006, est basado en tres pilares, diseados para

garantizar que los bancos controlen con eficacia el riesgo e implementen las suficientes prcticas de gestin de riesgos para

proteger la institucin.

17

metodologas de avalo.23 Estos autores especulan que el desarrollo del concepto de Gobierno de

TI es un legado del trmino gobierno corporativo. Surge de su trabajo de investigacin una

versin de la definicin de Gobierno de TI a la luz de todas las definiciones examinadas:

Gobierno de TI es un proceso preparatorio para hacer e implementar decisiones de TI

relacionadas a metas, procesos, personas y tecnologa a nivel tctico o estratgico.

A continuacin se presentan otras definiciones de Gobierno de TI encontradas en diversas

fuentes de referencia:

El Instituto de Gobierno de TI (ITGI) define el Gobierno de TI de la siguiente manera:

Expresado simplemente, el Gobierno de TI y la aplicacin eficaz de un marco de Gobierno de TI son responsabilidad de la junta de directores y el equipo ejecutivo gerencial. Gobierno de TI es una parte integral del gobierno empresarial; consiste del liderazgo, las estructuras organizacionales y los procesos que aseguran que la TI de la organizacin da soporte y disemina las estrategias y los objetivos organizacionales.24

Para Weill and Ross (2004): Gobierno de TI es el proceso mediante el cual las empresas alinean las acciones de TI con sus metas de desempeo y asignan el rendimiento de cuentas (accountability) por tales acciones y sus resultados 25.

Webb, P., Pollard, C. & Ridley, G. (2006)26 lo definen como:

Gobierno de TI es la alineacin estratgica de las TI con el negocio, de tal manera que se alcance el mximo valor del negocio mediante el desarrollo y mantenimiento de control efectivo de TI y responsabilidad, administracin de desempeo y gestin de riesgo.

23

Mrten Simonsson and Pontus Johnson, Assessment of IT Governance- A Prioritization of Cobit -,

http://www.ee.kth.se/php/modules/publications/reports/2006/IR-EE-ICS_2006_007.pdf 24

http://www.itgi.org/template_ITGI.cfm?Section=About_IT_Governance1&Template=/ContentManagement/HTMLDisplay.cfm&

ContentID=19657 25

Weill, Peter and Ross, Jeanne W.,IT Governance on One Page(November 2004). MIT Sloan Working Paper No. 4517-04; CIS

Research Working Paper No. 349. Available at SSRN: http://ssrn.com/abstract=664612,

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=664612, 26

Webb, P., Pollard, C., and Ridley, G. Attempting to define IT Governance: Wisdom or Folly

Proceedings of the 39th Hawaii International Conference on system Sciences, 2006, citado por Simonsson y Johnson

18

Segn el ITGI, el desarrollo de una

organizacin de TI eficaz, eficiente,

confiable y que adems respete directrices

de confidencialidad, integridad,

disponibilidad, y cumplimiento de los

requerimientos del Negocio, es resultado de

la construccin slida de cinco pilares alineados con los intereses estratgicos de la compaa

cuya gestin se sostiene sobre la base de un Modelo de Gobierno de TI consistente: alineamiento

y comunicacin, procesos, personas, estructura, mtricas y evaluacin de inversiones.27

Marta Comn, coordinadora de contenidos del e-business Center PwC & IESE, dice:

El Gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los procesos y las estructuras que aseguran que las tecnologas de la organizacin apoyen los objetivos y estrategias de la empresa. Su objetivo es asegurar que las tecnologas aportan valor a la empresa y que el riesgo asociado a ellas est bajo control. Para extraer valor de la tecnologa, es necesario alinear las TI con la estrategia de negocio. Por su parte, la gestin del riesgo tiene mltiples dimensiones que incluyen aspectos como la seguridad, la recuperacin de desastres o la privacidad.28

CobiT (Control Objectives for Information and related Technology) es un marco de

trabajo que goza de gran aceptacin internacional. El mismo se considera una buena prctica

para el control de la informacin, TI y los riesgos que conllevan. CobiT se utiliza para

implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control,

directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y

27

Imagina Management & IT, Estilos de Gobierno, http://imaginasa.com.ar/it-governance-management3.php?PHPSESSID=57983fe41c25b56925b34d00f901c25a 28

Marta Comn, Gobernar las TI: obtener el mximo valor de la tecnologa,

www.iese.edu/.../Art_ED_Cabre_Microcommerce_ESP_tcm5-7281.pdf

19

modelos de madurez. El documento CobiT (Control and Objectives for Information and Related

Technology) en una de sus versiones ms reciente 4.1, define Gobierno de TI as:

El Gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.29

Queda tcito en las definiciones de Gobierno de TI que la funcin de TI debe estar

dirigida por lderes que sean capaces de ganar la confianza del consejo directivo de la empresa

al igual que la de los miembros del equipo de trabajo del departamento de TI. Dentro de la lista

de talentos medulares que debe poseer este lder de TI, debe encontrarse la capacidad de

comprender a la organizacin en trminos de negocios, entender que los proyectos de inversiones

en TI no son meras inversiones, son soluciones tecnolgicas y la apertura potencial a nuevas

formas de negocio. Alineado a las proposiciones de Simonsson y Johnson (2006), la

implantacin de un Gobierno de TI estara sujeta a los mismo factores que afectan el gobierno

corporativo:

tica y cultura de la organizacin y de la industria. Leyes, regulaciones y guas vigentes, tanto internas como externas. Misin, visin y valores de la organizacin. La distribucin de la organizacin de sus roles y responsabilidades. Intenciones estratgicas y tcticas de la organizacin.

Durante el 2007 el ITGI realiz una mesa redonda con un socio de PwC de Blgica, un

alto oficial del gobierno de Blgica y un alto ejecutivo de Unisys, para discutir el estado del

Gobierno de TI.30 A la luz de las discusiones se observ que en Estados Unidos el nfasis de la

definicin de Gobierno de TI recae fuertemente sobre la funcin de cumplimiento, mientras que

en Europa, especficamente en el Reino Unido, la definicin se enfoca ms en agregar valor a la

29

http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/cobiT4.1spanish.pdf 30

http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=46083

20

empresa atendiendo el aspecto de desempeo operacional. De nuevo, es evidencia de que no

existe una definicin uniforme estndar.

CobiT como marco de trabajo de Gobierno de TI, establece que: La necesidad del

aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, as como el

incremento de requerimientos para controlar la informacin, se entienden ahora como elementos

clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del

Gobierno de TI.31 El siguiente diagrama describe cules deben ser los elementos que deben

estar presentes en el Gobierno de TI, segn CobiT 4.1:

Alineacin estratgica se enfoca en garantizar el vnculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.

Entrega de valor se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los costos y en brindar el valor intrnseco de la TI.

Administracin de recursos se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de TI: aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin de conocimiento y de infraestructura.

Administracin de riesgos requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.

Medicin del desempeo rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en accin para lograr las metas que se puedan medir ms all del registro convencional.

Todo lo anterior es coherente con los cuatro asuntos en los que debe concentrarse el

Gobierno de TI segn Marta Comn, citada anteriormente: la obtencin de valor de las TI, la

gestin del riesgo, la asignacin de responsables, y la medicin de resultados32.

Cmo se lograr que el Gobierno de TI sea exitoso? Segn CobiT 4.1, es necesario que

el consejo directivo de la organizacin implante un sistema de control interno o un marco de

trabajo. El mismo contribuir a establecer un vnculo entre los requerimientos de TI y los 31

http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/cobiT4.1spanish.pdf 32

Marta Comn, Supra

Alineacin

Estratgica

Entrega

de valor

Medicin del

Desempeo

Gobierno TI

Administracin

de Riesgos

Administracin

de Recursos

21

requerimientos del negocio. Este marco de trabajo de control organiza las actividades y procesos

de TI en lo que CobiT 4.1 describe como un modelo de procesos generalmente aceptado. Una

de las ventajas de este marco de trabajo es que permite identificar cules son los recursos ms

importantes de TI que se van a utilizar. Segn CobiT, el marco de trabajo incrusta los objetivos

de control gerenciales que son relevantes lo que promueve la cohesin y congruencia de metas.

Es norma de CobiT que su enfoque sea con orientacin al negocio. Qu significa esto? La

orientacin al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas

de TI, brindando mtricas y modelos de madurez para medir sus logros, e identificando las

responsabilidades asociadas de los dueos de los procesos de negocio y de TI.33

Cules son los elementos ms sobresalientes que se encuentran en las definiciones de

Gobierno de TI propuestas? Entre sus componentes ms importantes, incluye procesos

organizacionales, personas y estrategias. Tiene como objetivo el control de la informacin y la

mitigacin de riesgos; facilita la priorizacin de los objetivos de TI. Requiere excelente canales

de comunicacin en todas direcciones; ayuda al consejo directivo de la organizacin y a los

profesionales de TI a trabajar juntos con el propsito de invertir en una TI de forma ms

inteligente, que retornen valor real. Su xito depende de una perfecta alineacin entre las metas

organizacionales y las de TI. No sustituye el liderazgo sino que lo inserta como elemento

medular.

De acuerdo a Feld y Stoddard (2004) para que el Gobierno de TI funcione tiene que

existir, al igual que en resto de la organizacin, lderes que inspiren y dirijan, con una ejecucin

ejemplar, empleados motivados y atencin superior acompaada por altas expectativas del

33

Id

22

equipo de trabajo directivo. Segn stos, el marco de trabajo de TI deber estar regido por tres

principios34:

1. Un plan de renovacin de TI a largo plazo alineado a la estrategia corporativa.

2. Una plataforma tecnolgica corporativa simple y unificadora.

3. Una organizacin de TI altamente funcional y enfocada al desempeo.

Mejoramiento continuo es el fundamento sobre el que se cimienta el principio nmero 1

del plan de renovacin de TI a largo plazo enumerado anteriormente. Parece sencillo pero no lo

es. Es fcil perder la concentracin en el objetivo del presente de la empresa de mantener el nivel

de competitividad y la creacin de valor cuando, paralelamente, tambin se procura cuidar que la

inversin en TI se mantenga actualizada. Se pretende generar un plan de acciones que tenga

como objetivo rejuvenecer los sistemas a largo plazo, que cree valor y que a la misma vez

evale inversiones que reduzcan costos a corto plazo.

El principio nmero 2, la creacin de una plataforma de TI simple y unificadora tiene

como meta servir a TODA la empresa. Requiere coordinacin, alineacin de metas,

comunicacin efectiva y habitual (rutinaria), todo incrustado en las actividades medulares de la

empresa. Este principio demanda que la arquitectura de TI se comunique entre s; de esa forma

se evitan las redundancias y la duplicacin de costos. Fracasar si opera como una serie de

unidades que funcionan desconectadas como islas. Es una labor difcil, pero no imposible, el

simplificar los sistemas de TI y alinear las TI con los objetivos generales de la empresa.

El tercer principio que propone una cultura de TI de alto desempeo requiere, segn Feld

y Stoddard (2004), un cambio de actitud hacia las TI: no son una entidad corporativa separada

con una cultura diferente. Si se les permite trabajar dentro de sus propias tribus, los empleados

34

TI a la manera correcta, Charlie S. Feld, Donna B. Stoddard, Harvard Business Review, Vol. 82, N. 2, 2004 , pags. 64-71

23

de TI se sienten menos relacionados con la empresa que con sus propios proyectos.35 Este

principio propuesto por Feld y Stoddard (2004) establece que los miembros que se desempean

en el rea de TI de forma efectiva se caracterizan por sentirse y actuar como parte de la empresa,

usualmente despliegan dotes de liderazgo, operan segn los mismos valores corporativos que

gobiernan a la organizacin y se les mide por los mismos estndares estrictos de desempeo.

Los enfoques tradicionales en la implantacin de la administracin de TI se han

clasificado en centralizados, descentralizados y de estructuras federadas o distribuidas, etiquetas

que han sido tiles para describir los modelos de Gobierno de TI. (Peppard and Ward, 1999;

Schwarz and Hirschheim, 2003).36 A la luz de estas definiciones, el modelo centralizado de

Gobierno de TI depende de un Comit Timn fuerte, positive, capaz de interactuar con la junta

de directores directamente. Todas las propuestas de infraestructura se originan en este grupo y

todas las propuestas relacionadas a TI necesariamente tienen que ganar el apoyo y aprobacin del

Comit Timn. Este comit goza de autoridad sustancial delegada al mismo. El Comit Timn

pudiera ser presidido por el Gerente de Operaciones (CEO), por otro director ejecutivo o por un

alto gerente (senior).

El Comit Timn tiene como responsabilidad clave velar por los riesgos de TI, adems de

los beneficios y las estrategias. En cada una de las reuniones formales de este comit se preparan

informes para la junta de directores en los que se discuten asuntos sobre los riesgos. Segn la

definicin de la estructura centralizada de TI, cuestiones relacionados a riesgos categorizados de

urgencia se atendern de forma predeterminada, por ejemplo, slo por el presidente y otros dos

miembros. Situaciones de riesgo que estn por encima de cierto nivel crtico, requerirn la

participacin del comit en pleno. Cada segmento de la cartera (portfolio) de riesgos ser 35

Id 36

SarbanesOxleyFocus.com, IT Governance Models and Approaches, http://www.sarbanesoxleyfocus.com/it-governance-

models-and-approaches/

24

responsabilidad de un individuo, quien a su vez se reportar al Comit Timn. En organizaciones

PYMES un solo individuo podra hacerse cargo de varios de los riesgos. Ser de rigor que el

Comit Timn se rena con la junta de directores de forma regular.

En el modelo descentralizado (fully distributed IT governance model), existe un Comit

Timn para cada divisin. Cada comit tiene las mismas funciones descritas para el modelo

centralizado con la excepcin de que ser necesario designar un intermediario que interacte con

cada uno de los comits timn designados. El intermediario podr ser uno o varios individuos,

miembros del equipo. Ser esencial que los Comits Timn tengan excelentes canales de

comunicacin con la junta de directores.

El modelo federado exhibe algn balance entre la autoridad central y las divisiones

subordinadas. Cada divisin tendr que delegar el rol del Comit Timn a un individuo, un

pequeo equipo de trabajo o a un comit formal. La autoridad central tendr un grupo de

Gobierno de TI que tendr representacin de todas las divisiones; tendr tambin dominio sobre

aquellas funciones que se administran de forma centralizada. Independientemente de la seleccin

que se haga del modelo a seguir, ser importante mantener canales de comunicacin abiertos

desde hacia el Comit Timn de forma tal que se promueva comunicacin efectiva para

alertar situaciones de riesgos de seguridad, propiciar acciones de mitigacin o recuperacin

eficaces y oportunas, entre otras acciones.

En el ao 2007 el IT Governance Institute (ITGI) comision a PricewaterhouseCoopers

(PwC) a realizar la tercera encuesta global sobre Gobierno de TI. La encuesta se realiz en 23

pases con un total de 652 empresas participantes. Del total de empresas encuestadas, 190

estaban establecidas en Europa, 129 en Amrica del Norte y 97 en Sur Amrica. Los resultados

25

contenidos en el Informe de Status del Gobierno de TI- 200837 (IT Governance Global Status

Report2008) revelan los siguientes hallazgos:

1. Aunque la defensa del Gobierno de TI empresarial se origina en las altas esferas de la administracin (C-level or top executives), en la prctica diaria esta corresponde ms bien al nivel del oficial principal encargado de sistemas (CIO, Chief Information Officer). Curiosamente, los pocos individuos en la muestra que no eran de sistemas de informacin tenan una visin mucho ms positiva sobre la TI que los profesionales de sistemas de informacin.

2. La importancia de la TI sigue aumentando. 3. El auto-avalo en torno a Gobierno de TI sigue aumentando y resulta ser bastante

positivo.

4. La comunicacin entre el departamento de TI y los usuarios ha mejorado lentamente. 5. Todava existe amplio espacio para mejorar la alineacin entre el Gobierno de TI y el

gobierno corporativo al igual que para las estrategias de TI y las estrategias del negocio.

6. Los problemas relacionados a TI persisten. Aunque el asunto de cumplimiento de seguridad sigue siendo uno que necesita atencin, la gente son el problema ms crtico.

7. Las buenas prcticas de Gobierno de TI se conocen y se aplican, pero no de forma global.

8. Las organizaciones han identificado a las personas que pueden implantar el Gobierno de TI, pero la percepcin respecto al peritaje y la capacidad de cumplimiento es solo promedio.

9. Las organizaciones estn actuando: est dentro de sus planes implantar actividades de Gobierno de TI. Se observa un aumento considerable al comparar los resultados del informe del 2008 con los del 2006.

10. Las organizaciones estn utilizando los marcos de referencia y las soluciones que son bien conocidas.

11. Conocimiento de CobiT excede el 50%; su adopcin est en alrededor de un 30%

37

ITGI and PwC, IT Governance Global Status Report2008,www.pwc.com/.../B27998899F31F5008025742C00476D0C?

26

a. Un 50% de los participantes indic que CobiT es una de sus fuentes de referencia. b. Entre 25% a 35% aplican CobiT siguindolo al pie de la letra. c. En general se percibe una apreciacin alta por CobiT

12. Ms de la mitad de los encuestados aplican o planifican aplicar principios de Val TI, pero no estn familiarizados con la marca como tal.

13. Algunos de los obstculos principales a la adopcin de los principios de Val TI es la incertidumbre respecto al retorno de la inversin (ROI) y su falta de conocimiento o peritaje.

Algunas Recomendaciones de los Gurs en TI

NNoo,, nnoo!! NNoo ssee ppuueeddee ddeelleeggaarr llaa rreessppoonnssaabbiilliiddaadd ssoobbrree ddeecciissiioonneess ddee TTII aall DDeeppaarrttaammeennttoo

ddee TTeeccnnoollooggaa nnii aa llaa tteerrcceerriizzaacciinn ((oouuttssoouurrcciinngg)) ppaarraa ddaarr eell sseerrvviicciioo.. SSeeggnn RRoossss yy WWeeiillll

((22000022))3388,, eexxiisstteenn sseeiiss ((66)) ddeecciissiioonneess qquuee nnuunnccaa ddeebbeenn ddeejjaarrssee eenn mmaannooss ddeell ppeerrssoonnaall ddee TTII::

11.. CCuunnttoo ddeebbee sseerr eell pprreessuuppuueessttoo ddee TTII?? 22.. AA ccuulleess pprroocceessooss ddee nneeggoocciioo ssee lleess aassiiggnnaarr pprreessuuppuueessttoo ddee TTII?? 33.. CCuulleess ccaappaacciiddaaddeess ddee TTII ddeebbeenn eessttaarr cceennttrraalliizzaaddaass eenn llaa oorrggaanniizzaacciinn?? 44.. CCuunn bbuueennooss ddeebbeenn sseerr nnuueessttrrooss sseerrvviicciiooss ddee TTII?? 55.. CCuulleess ssoonn llooss rriieessggooss ddee sseegguurriiddaadd yy pprriivvaacciiddaadd qquuee aacceeppttaarreemmooss ooccuurrrraann?? 66.. AA qquuiinn llee eecchhaammooss llaa ccuullppaa ssii uunnaa iinniicciiaattiivvaa ddee TTII ffaallllaa??

LLaa ffuunncciinn ddee llooss eejjeeccuuttiivvooss ddee TTII ddeebbee sseerr,, eennttrree oottrraass,, llaa sseelleecccciinn ddee eessttnnddaarreess ddee TTII yy

eell ddiisseeoo ddee cceennttrrooss ddee ooppeerraacciioonneess.. SSeerrnn llooss aallttooss eejjeeccuuttiivvooss ddee llaa eemmpprreessaa llooss qquuee tteennddrrnn llaa

mmiissiinn ddee aasseegguurraarr qquuee llaass iinnvveerrssiioonneess eenn TTII eessttnn aalliinneeaaddaass ccoonn llaass eessttrraatteeggiiaass oorrggaanniizzaacciioonnaalleess,,

ssiieennddoo eellllooss llooss qquuee ttoommeenn llaass ttaann ccrruucciiaalleess ddeecciissiioonneess eennuummeerraaddaass aanntteerriioorrmmeennttee.. MMccAAffeeee

((22000066)) explica que los miembros del consejo de administracin, primero, deben colaborar en la

seleccin de aplicaciones de TI que se espera hagan viable que la empresa alcance el potencial

organizacional deseado. Segundo, deben tomar la iniciativa de liderar la adopcin de los

complementos derivados de esas tecnologas. Tercero, deben asegurar que se optimiza el

38

Jeanne W. Ross, Peter Weill, Six IT Decisions Your IT People Shouldnt Make, Harvard Business Review, 80, No. 11, 84-91 November 2002

27

aprovechamiento de las TI garantizando a la misma vez que las tecnologas y sus complementos

permanecern alineados con las metas y objetivos organizacionales.

EEll ccoonnttaaddoorr ddeebbeerr,, eenn vviirrttuudd ddee ssuu rrooll ttaann iimmppoorrttaannttee eenn llaass eemmpprreessaass,, iinnvvoolluuccrraarrssee eenn

sseelleecccciioonnaarr llaa tteeccnnoollooggaa,, ffoommeennttaarr ssuu aaddooppcciinn,, aasseegguurraarr qquuee ssee llee ssaaccaa eell mmxxiimmoo pprroovveecchhoo..

DDeebbee rreeccoonnoocceerr llaass ddiiffeerreenntteess ccaatteeggoorraass ddee llaass tteeccnnoollooggaass.. MMccAAffeeee ((22000066)) ccaattaallooggaa llaass

tteeccnnoollooggaass eenn ttrreess ccllaasseess::

11.. TTII ffuunncciioonnaall

22.. TTII ddee RReeddeess

33.. TTII ddee EEmmpprreessaa

LLaa ssiigguuiieennttee ttaabbllaa eexxpplliiccaa llaass bbaasseess ppaarraa llaa ccllaassiiffiiccaacciinn::

Dominar los

Tres Mundos

de las

Tecnologas de

Informacin

por Andrew

McAfee, HBR

Amrica Latina

CCuulleess ssoonn llaass pprreegguunnttaass qquuee ddeebbeemmooss ffoorrmmuullaarr rreessppeeccttoo aa ccaaddaa ccaatteeggoorraa ddee TTII?? CCaaddaa

ccaatteeggoorraa rreessppoonnddee aa iinntteerreesseess ddiiffeerreenntteess eenn llaa oorrggaanniizzaacciinn.. PPoorr ttaall mmoottiivvoo llaass pprreegguunnttaass eessttnn

hheecchhaass aa llaa mmeeddiiddaa ddee llooss oobbjjeettiivvooss qquuee ccaaddaa uunnaa ccuummppllee eenn llaa oorrggaanniizzaacciinn..

28

CCuuaannddoo ssee ttrraattaa ddee llaa TTII ffuunncciioonnaall ddeebbeemmooss pprreegguunnttaarr::

EExxiissttee aallggnn nnuueevvoo ssooffttwwaarree eenn eell mmeerrccaaddoo ccaappaazz ddee aayyuuddaarr aa nnuueessttrrooss iinnggeenniieerrooss,,

cciieennttffiiccooss,, aannaalliissttaass yy oottrrooss ttrraabbaajjaaddoorreess aa hhaacceerr mmeejjoorr ssuuss ttrraabbaajjooss?? EEssttnn ddeessaaccttuuaalliizzaaddaass nnuueessttrraass tteeccnnoollooggaass ffuunncciioonnaalleess?? SSii eess aass,, ppoorr qquu?? QQuu hhaa

ccaammbbiiaaddoo??

EEll ddiillooggoo ddee TTII ddee RReeddeess eess ddiiffeerreennttee::

CCmmoo ccoollaabboorraa nnuueessttrroo ppeerrssoonnaall?? SSaabbeemmooss qquu tteeccnnoollooggaass eessttnn uussaannddoo??

TTeenneemmooss aallggnn mmeeddiioo qquuee ppeerrmmiittaa qquuee llaa iinnffoorrmmaacciinn ccuuaalliittaattiivvaa fflluuyyaa eenn ffoorrmmaa

hhoorriizzoonnttaall yy vveerrttiiccaall aall iinntteerriioorr ddee llaa eemmpprreessaa aass ccoommoo eenn aammbbooss sseennttiiddooss eennttrree

cclliieenntteess yy pprroovveeeeddoorreess??

SSii ddeesseerraammooss ccoonnttaarr ccoonn uunnaa aammpplliiaa rreettrrooaalliimmeennttaacciinn ((ffeeeeddbbaacckk)) ssoobbrree aallggnn tteemmaa iimmppoorrttaannttee,, ccmmoo lloo hhaarraammooss??

CCmmoo ssaabbeemmooss eenn qquu eesstt ttrraabbaajjaannddoo nnuueessttrroo ppeerrssoonnaall yy ccuulleess ccrreeeenn eellllooss ssoonn llooss tteemmaass ddee ggrraann iimmppoorrttaanncciiaa ppaarraa llaa eemmpprreessaa??

LLaass TTII ddee EEmmpprreessaa ttiieenneenn uunn iimmppaaccttoo aabbaarrccaaddoorr aa nniivveell ddee ttooddaa llaa eemmpprreessaa.. EEss eell ttiippoo ddee

tteeccnnoollooggaa qquuee rreeqquuiieerree uunnaa ppeerrffeeccttaa ccoooorrddiinnaacciinn eennttrree ttooddooss llooss nniivveelleess oorrggaanniizzaacciioonnaalleess..

IInncciiddee eenn llaa ccaappaacciiddaadd ddee llaa eemmpprreessaa ddee sseerr ssuusstteennttaabbllee aa ccoorrttoo yy aa llaarrggoo ppllaazzoo.. EEssttaass ssoonn llaass

pprreegguunnttaass qquuee llaa oorrggaanniizzaacciinn ddeebbee ffoorrmmuullaarr::

DDee qquu ffoorrmmaass nnuueessttrrooss aaccttuuaalleess pprroocceessooss nnoo eessttnn aappooyyaannddoo llaass nneecceessiiddaaddeess ddeell

nneeggoocciioo?? CCuulleess nneecceessiittaann sseerr rreeddiisseeaaddooss?? CCuulleess ddeebbeerraann sseerr eexxtteennddiiddooss aa

nnuueessttrrooss cclliieenntteess yy pprroovveeeeddoorreess??

EExxiisstteenn mmeejjoorreess pprrccttiiccaass qquuee ddeebbeerraann sseerr iimmppllaannttaaddaass eenn nnuueessttrrooss eemmpprreennddiimmiieennttooss ddee TTII ddee eemmpprreessaa,, ppaarraa qquuee ppuueeddaann sseerr ddiissttrriibbuuiiddooss ddee mmaanneerraa mmss

aammpplliiaa?? CCuunnttoo mmss aammpplliiaa sseerraa llaa ddiissttrriibbuucciinn?? NNeecceessiittaann ddee aallggnn aajjuussttee ppaarraa llooss nnuueevvooss eennttoorrnnooss??

EExxiisstteenn aaccttiivviiddaaddeess ddee nneeggoocciiooss,, eevveennttooss oo tteennddeenncciiaass iimmppoorrttaanntteess qquuee ddeebbeerraammooss

mmoonniittoorreeaarr?? SSii nnoo lloo eessttaammooss hhaacciieennddoo,, ppoorr qquu?? LLooss ddaattooss nnoo eessttnn ddiissppoonniibblleess??

EEssttnn aallmmaacceennaaddooss aa ttrraavvss ddee ttaannttooss ssiisstteemmaass qquuee eess ddiiffcciill eennssaammbbllaarrllooss??

29

CCuull eess eell ppeerrooddoo mmss rreecciieennttee qquuee ppooddeemmooss aannaalliizzaarr ccoonn ffaacciilliiddaadd?? UUnnaa hhoorraa

aattrrss?? AAyyeerr?? EEll mmeess ppaassaaddoo?? EEll llttiimmoo ttrriimmeessttrree??

Visin hacia el Futuro: Un Buen Gobierno de TI

El punto es que muchas organizaciones alrededor del mundo estn sacrificando dinero, productividad y ventaja competitiva innecesariamente al no implementar un Gobierno de TI efectivo. Las empresas con un buen gobierno han demostrado que proporcionan un mejor retorno a los inversionistas y lo mismo sucede con el Gobierno de TI. Los ejecutivos necesitan dirigir sus TI para obtener ventajas ptimas, manejar los riesgos relacionados con las TI y medir el valor proporcionado por ellas.39

Lynn Lawton, presidente internacional de ITGI.

No existe una definicin uniforme de lo que es Gobierno de TI. No obstante, a la luz de

las expresiones citadas anteriormente de fuentes de renombre, la idea de agregar valor a la

empresa y mitigar los riesgos de TI son componentes esenciales de la definicin. Para poder

agregar valor, las inversiones en TI y su implementacin necesariamente tienen que estar

alineadas con los objetivos de la empresa. Para poder mitigar los riesgos de TI es importante

tener un sistema de comunicacin empresarial que sea efectivo y eficaz, que recorra la empresa a

todos sus niveles y en todas las direcciones. Requiere, sobre todo, de un sistema que permita un

rendimiento de cuentas accountability incrustado en las actividades medulares de la empresa.

Los presupuestos de TI se consideran esenciales al xito de las operaciones medulares e

integrales a los esfuerzos de cambios claves en las organizaciones. Por tal motivo, deben

examinarse y evaluarse de forma rigurosa. La evaluacin del mismo debe ser una gestin

compartida entre el director de TI y el consejo de administracin de la empresa bajo un programa

de Gobierno de TI funcional.

Nolan y McFarlan (2005) consideran que el impacto de la TI en las empresas se podr

evaluar a la luz de la dependencia de la organizacin en sus sistemas de TI: 39

http://isaca.org/Template.cfm?Section=Home&CONTENTID=39704&TEMPLATE=/ContentManagement/ContentDisplay.cfm

30

1. Cun importante es para la empresa que sus sistemas de TI sean eficientes en costos, ininterrumpidos, seguros y plenamente operativos?

2. Cunto depende la empresa de las TI para mantener su ventaja competitiva mediante sistemas que proporcionan nuevos productos y servicios de valor agregado o una alta capacidad de respuesta a sus clientes?

Las empresas que despliegan el Gobierno de TI de forma prominente generalmente se

caracterizan por tener lderes activamente involucrados en apoyar todos los aspectos de las

operaciones, las finanzas, la administracin de recursos humanos y el cumplimiento. Estas

consideran seriamente el rol de la TI en todo el proceso de planificacin estratgica, la gerencia

operacional y la administracin dirigida al cumplimiento (compliance). Reconocen que la

organizacin tiene tambin un rol de fiducia con sus stakeholders, por lo que tienen que

satisfacer unos requisitos rigurosos de cumplimiento y de seguridad de la informacin. Dice el

AICPA que es un objetivo obligatorio de las organizaciones el sacarle el mayor provecho al

cumplimiento de regulaciones y estndares, a un mnimo de costo.40

Para tener xito en la implantacin de un Gobierno de TI ser importante promover un

dilogo continuo con el gobierno corporativo de la organizacin en las reas de proyectos de TI,

seguridad y controles internos, elementos esenciales a una buena gestin de Gobierno de TI. Un

elemento clave al xito ser insertar a la gestin de TI la evaluacin y observacin continua de su

efectividad y eficacia. CobiT 4.1 explica que el Gobierno de TI integra e institucionaliza las

buenas prcticas para garantizar que laTI en la empresa soporta los objetivos del negocio. De

esta manera, el Gobierno de TI facilita que la empresa aproveche al mximo su informacin,

maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas

competitivas.

40

AICPA on IT Governance and Regulatory, http://infotech.aicpa.org/Resources/IT+Governance+and+Regulatory/

31

La gestin de Gobierno de TI est avanzando ampliamente a travs del mundo. Segn la

Encuesta Global de Gobierno de TI del 2008 mencionada anteriormente, un 27% de las

empresas de Amrica Latina que participaron en la misma tienen implementado o estn en

proceso de implementar prcticas de Gobierno de TI. Al comparar este porciento de

implementacin con el de las otras regiones - Asia 44%, Europa y Norte Amrica 50% - resulta

ms bajo. No obstante, el estudio demostr que Amrica Latina es la regin en la que con ms

frecuencia se considera muy importante la TI.

Algunos estudiosos de la historia de la tecnologa alegan que la TI ha atravesado por 4

etapas: la pre-mecnica, mecnica, pre-electrnica y la electrnica. Esta ltima se inicia en la

dcada de los 40. A la luz de esta historia podemos alegar que la TI es aun joven, todava en

continua evolucin. Y qu hay de los profesionales de la TI? Feld y Stoddard (2004) explican

que debido a que la posicin del director de TI en las organizaciones es todava joven, es el

miembro del comit ejecutivo ms incomprendido. Esta brecha generacional significa que el

padre corporativo atrapado en el abismo que separa el lenguaje tecnolgico del lenguaje de los

negocios no tiene ni idea de lo que hace su hijo menor 41. El padre corporativo se entusiasma

con el hijo menor, le da una buena mesada y mira hacia el otro lado. Ms tarde la empresa descubre que pag un precio escandaloso por el ltimo

capricho tecnolgico. En lugar de abordar el problema, muchas empresas sencillamente echan al muchacho de la casa. (Feld y Stoddard, 2004)

Al no ser entendido el director de TI, ste tiende a aislarse y a actuar de forma

desalineada con el resto de la organizacin. Se le asigna una tajada considerable de presupuesto

por la importancia que se le atribuye a TI. Pero qu ocurre? Al haber una brecha de

comunicacin entre los ejecutivos de TI y el resto de la empresa que aparenta ser insalvable,

existen altas probabilidades de que la empresa podr sacarle poco provecho a la inversin en TI y 41

TI a la manera correcta, Charlie S. Feld, Donna B. Stoddard, Harvard Business Review, Vol. 82, N. 2, 2004 , pags. 64-71

32

de que descubra que la misma no era apropiada, razn por la cual se tendr que abandonar el

proyecto.

Parent y Reich (2009) manifiestan que cuando los sistemas de informacin fallan,

frecuentemente ocasionan impacto significativo en el valor de los accionistas. 42 Sobeys Inc., la

tienda de comestibles, segunda ms grande de Canad abandon un proyecto de SAP que le

haba costado $89 millones (el artculo no aclara si son dlares canadienses o estadounidenses;

en caso de ser dlares canadienses representara US$82, 350,219.00 a esta fecha). La Compaa

de Aguas de Sdney, Australia, empresa pblica de servicios, abandon un proyecto de

facturacin y de administracin de relaciones con clientes (CRM) con un costo aproximado de

AUD$61 millones (US$50, 645,943.00 a la fecha del escrito de este trabajo). En el ao 2005, la

empresa norteamericana ChoicePoint, que se dedica a la verificacin de credenciales del

consumidor, admiti haber provisto a criminales informacin sensitiva de sobre ms de 150,000

personas: nombre, direccin, etc. En el 2007, las compaas TJX, dueas de tales tiendas como

Marshalls, TJ Maxx y otras tiendas en Norte Amrica y el Reino Unido, fueron vctimas del

robo y uso fraudulento de informacin de crdito y dbito de sus clientes. Con el tiempo las

acciones de TJX se recuperaron y hasta lograron superar el desempeo de sus competidores;

pero fue luego de una costossima y elaborada campaa de publicidad que consumi el tiempo y

la atencin de sus altos ejecutivos, tiempo y atencin que se pudo haber dedicado a mejorar los

negocios medulares (core business) de la empresa.

Esto es slo un recuento de los fraudes que salen a la luz pblica que pudiramos llamar

la punta del iceberg. Parent y Reich (2009) citan a Cavusoglu, Mishra y Raghunathan (2004)

quienes concluyeron en su investigacin que las empresas que sufrieron la violacin de la

42

Parent Michael, Blaize Horner Reich, Governing Information technology Risk, California Management Review, Vol 51, NO 3,

Spring 2009, CMR Berkeley.edu

33

seguridad de sus transacciones va Internet, perdieron un promedio de 2.1% de su valor en el

mercado dentro de los siguientes dos das, lo que result en una prdida en capitalizacin de

mercado de sobre US$1.6 billones. Andrew McAfee y Erik Brynjolfsson (2007) en su artculo

Dog Eats Dog43advierten que se observa una tendencia contagiosa hacia una brutal competencia

que se extiende ms all de las empresas que producen la alta tecnologa. Las empresas que

invierten significativamente en TI se perciben adquiriendo las posibilidades de desplegar

ventajosamente sus procesos de negocios de tal forma que logren ventaja competitiva. Segn

McAfee y Brynjolfsson, la competencia se har ms intensa provocando el fenmeno de

mercados turbulentos tpicos de la destruccin creativa propuesta en 1942 por Joseph

Schumpeter, donde el nuevo producto desplaza las viejas empresas y los modelos de negocio

tradicionales. "El proceso de Destruccin Creadora", escribe Schumpeter, "es el hecho esencial

del capitalismo. El capitalismo estabilizado es una contradiccin de trminos.44

Es el pronstico de McAfee y Brynjolfsson (2007) que la destruccin creadora, elemento

de una economa turbulenta ser el escenario en el que operarn aquellas empresas que hagan

intensa inversin en TI. La competencia ser recia, la ventaja competitiva ser breve. Slo

aquellas empresas que dominen sus competencias medulares (core competencies) y que sean

capaces de desplegar estratgicamente y de forma gil sus procesos organizacionales alineando

las metas y objetivos de empresa con los objetivos y metas de TI, sern las que lograrn la

sustentabilidad y rentabilidad a largo plazo.

43

Andrew McAfee and Erik Brynjolfsson, Dog eats Dog, http://sloanreview.mit.edu/business-insight/articles/2007/2/4925/dog-

eat-dog/ 44

Thomas K. McCraw, Prophet of Innovation, Joseph Schumpeter and Creative Destruction,

http://www.hup.harvard.edu/pdf/MCCPRI_excerpt.pdf

34

Cmo podrn las empresas lograr la alineacin de metas organizacionales y de TI?

Ser a travs del Gobierno de TI? No es difcil pronosticar el auge que seguir adquiriendo la

implantacin de un Gobierno de TI en las organizaciones de todo el mundo.

La inversin en TI que se ha planteado en este trabajo se ha calculado mundialmente en

ms de US$3 trillones. El porciento promedio del presupuesto operacional dedicado a TI ha

fluctuado desde un 15% hasta un 50% desde la dcada de los aos 80 hasta el presente. De

acuerdo a Carr (2003) los directivos de las empresas caen frecuentemente en la creencia errnea

de que las oportunidades que surgen a travs de la inversin en TI de mantener la ventaja

competitiva permanecern disponibles indefinidamente. Comenta Carr (2003) que la

asequibilidad de costos de las TI ha democratizado la revolucin tecnolgica y ha destruido una