13 de Diciembre de 2016
Un miércoles sobre gobierno de TI
El último Miércoles de Ingeniería del 2016, que se llevó a cabo el 30 de noviembre en el Aula Magna B, tuvo como tema central el “Gobierno de TI e impacto de la gestión del riesgo empresarial”. Y es que si las plataformas tecnológicas que permiten el procesamiento del mayor activo empresarial, que es la información, sufrieran un ataque, las organizaciones se verían impactadas de manera significativa en su funcionamiento, estrategia e inversiones. Además, el rol del gobierno de tecnología no solo aborda problemas técnicos, también pone al frente un componente empresarial crucial denominado gestión de riesgos.
Gobernar con tecnología
En esta ocasión la primera expositora fue Shirley Villacorta Aristondo, ejecutiva de auditoría de sistemas, magíster en auditoría y entrenadora oficial de COBIT5. Ella compartió con los presentes sus 8 años de experiencia realizando auditorías en sistemas, refiriéndose a las mejores prácticas que hay en torno a gobierno de TI y cómo el sector empresarial ve el impacto de la gestión del riesgo cuando incluye prácticas como estas. También brindó una introducción a los términos e inquietudes alrededor del gobierno de TI.
Por ejemplo, sostuvo que “la estrategia de TI no sigue a la estrategia del negocio, tiene que estar alineada a la estrategia del negocio. Es uno de los principios fundamentales del gobierno de TI. Cuando el TI sigue a la estrategia de negocio simplemente se convierte en un ejecutor, en una unidad de costo, en una unidad que no toma decisiones”.
Más adelante también comentó que la pregunta que siempre recibe de la alta dirección es qué relación hay entre la tecnología y la gestión del riesgo empresarial, a lo que respondió:
“Ante un fallo de tecnología las estrategias de negocio empiezan a fallar. La relación primero se basa en un principio de dependencia: la complejidad tecnológica hace que el negocio dependa de la tecnología para, precisamente, llevar a cabo estas estrategias de negocio, estos objetivos estratégicos. Segundo, como la TI es utilizada por diversos actores, los puntos de riesgo empiezan a ser diversos. No solamente podemos ver puntos de riesgo en la tecnología y en el aplicativo, también podemos verlos en los proveedores, quienes nos ayudan a gestionar diversos procesos; verlos también en el personal que nos ayuda a procesar la información; y en los diversos mecanismos que, inmersos, nos permiten la operatividad del día a día. El valor del gobierno de TI está justamente en entender cómo la gestión de los activos de TI complementa la estrategia del negocio”.
Riesgos bajo control
La segunda ponencia estuvo a cargo de Gustavo Javier Barrios, contador colegiado y magíster en Diseño, Gestión y Dirección de Proyectos por la Universidad Científica del Sur, quien cuenta con 10 años de experiencia en el servicio de auditoría con especial énfasis en instituciones financieras. Él comenzó asegurando que vale la pena invertir en un buen control interno, en la prevención. Precisó:
“Por una cuestión de costos reputacionales, por ejemplo, que es algo que se está dando. Hace poco hubo el tema de UVK, ¿realmente gestionaban sus riesgos operativos adecuadamente? ¿A raíz de un incendio tenían aspersores para poder apagarlo? Es un indicador de que no estaban gestionando sus riesgos y no estaban invirtiendo en ello”.
También habló sobre las tres líneas de defensa: “la primera línea de defensa es el control desde el nivel gerencial, mandos medios. La segunda línea son las áreas de riesgo, calidad, inspección, cumplimiento. En la tercera está principalmente auditoría interna, soportada principalmente por el comité de auditoría, el consejo, la alta gerencia. Aparte de ello están los auditores externos”.
En un punto de su exposición llamó la atención sobre el hecho de que los funcionarios de alguna unidad que no está tan relacionada con riesgos o auditoría piensan que el sistema de control interno no los incluye, no es parte de sus funciones. “Pero no es así —aclaró—, todos tenemos que hacer control interno. Desde el colaborador júnior hasta un practicante, incluso hasta el gerente general. Nos sirve para promocionar el grado de seguridad en la consecución de objetivos”.