Share on:


Marco GEIT trabajando, Parte 1: Identificación del problema

Por Peter C. Tessin, CISA, CRISC, CISM, CGEIT

COBIT Focus | 14 de mayo del 2018 English

Peter C. Tessin Este artículo es el primero de una serie de 6 partes que analiza la aplicación práctica de un marco de gobierno de TI empresarial (GEIT). El punto de partida se discute en este artículo: crear conciencia de que existe un problema y cómo abordarlo. Los siguientes artículos se moverán a través de la planificación y ejecución de la solución. Más específicamente, la segunda parte planificará la resolución, identificará los roles necesarios para trabajar en el problema y describirá los productos finales necesarios para respaldar la solución. La tercera entrega cubrirá la creación de un plan de proyecto y la demostración de qué trabajo y tiempo se requerirá para implementar la solución propuesta. El cuarto de la serie describirá el trabajo, describiendo las contribuciones de cada jugador de rol único. La quinta parte describirá cómo examinar los resultados y compararlos con los requisitos iniciales y cómo configurar las mediciones de rendimiento. La entrada final detallará una revisión posterior al proyecto y discutirá cómo se puede apoyar la mejora continua a través de este proyecto.


Defina el problema

Esta situación comienza cuando la alta gerencia recibe un informe del comité de auditoría de la junta que indica que la supervisión del entorno de control interno es débil y podría generar deficiencias importantes en las auditorías realizadas por el auditor externo. El informe continúa diciendo que la causa subyacente de esto debe identificarse y que la solución debe diseñarse e implementarse lo más rápido posible. Esta serie de artículos toma la posición de la alta gerencia en esta organización y analiza qué acciones se tomarán y cómo se manejará la situación de principio a fin.

La alta gerencia se reúne con el equipo de auditoría interna (AI) para analizar sus hallazgos y se entera de que el equipo ha identificado numerosos problemas y cree que ha descubierto una tendencia. AI utiliza el análisis de la causa raíz en sus informes y afirma que muchos de los problemas que enfrenta la organización se deben a una falta de supervisión adecuada. Tras un mayor escrutinio, la alta gerencia se entera de que muchos controles en el entorno de control interno han crecido orgánicamente, es decir, la administración identifica deficiencias y sugiere controles nuevos o modificados para responder a estas observaciones, pero no existe una autoridad central que dirija la alineación con los objetivos empresariales que no sean con el cumplimiento regulatorio.

El crecimiento natural y orgánico de los controles es una dinámica común y comprensible que a menudo da como resultado entornos de control más sólidos. La fortaleza de este enfoque es que la necesidad y el diseño de los controles provienen de aquellos que están más cerca del trabajo y lo entienden mejor. El problema que puede ocurrir es que los controles dirigidos por la administración pueden abordar intereses limitados y, al mismo tiempo, dejar brechas en la cobertura general de la empresa.
 

El problema que puede ocurrir es que los controles dirigidos por la administración pueden abordar intereses limitados y, al mismo tiempo, dejar brechas en la cobertura general de la empresa.


La dependencia de los controles dirigidos por la administración explica la observación de la AI de la falta de supervisión en la organización. La gerencia ha identificado y diseñado controles sin involucrar a nadie responsable de mirar la cartera de control desde la perspectiva de la empresa. La falta de supervisión de la cartera de control también introduce el riesgo de que el cumplimiento de las normas no se logre de manera efectiva.


Replantear el problema en términos de gobierno y COBIT 5

Después de examinar los informes y análisis de IA, la alta gerencia debe ver cómo administra el entorno de control interno desde la perspectiva de la cartera y validar los hallazgos de la auditoría. La validación de los resultados de la auditoría incluye formular e investigar varias preguntas.

¿Tiene la organización una función de gestión de riesgos a nivel corporativo? Esto es bastante obvio cuando hay una función tan claramente nombrada como esta. Pero el mismo propósito podría ser servido bajo otros nombres y eso es lo que necesita ser identificado. La organización puede tener esta función con otro nombre, como "gestión de riesgos empresariales", "gestión de riesgos operacionales" o "gestión de cumplimiento".

¿Cómo se crean e implementan los controles? Puede haber algunas respuestas sorprendentes a esta pregunta. La respuesta de nivel superior es muy probablemente conocida y bien documentada. El problema surge cuando las partes interesadas aprenden que los propietarios de los procesos de negocios están creando controles y siguiéndolos, pero han abandonado los controles documentados en los procedimientos del proceso. Esa disparidad entre lo que está documentado y lo que está en la práctica puede aumentar con el tiempo y llevar a problemas de cumplimiento con la función de AI o, peor aún, a los reguladores externos. No puede haber un ambiente de control interno informal.

¿Existe alineación entre los requisitos de las partes interesadas y los controles internos y la gestión de riesgos? Si este problema no se maneja explícitamente, entonces puede haber, y con frecuencia hay, una imagen diferente entre lo que está sucediendo y lo que la junta cree que está sucediendo. La alta dirección debe asegurarse de que sabe lo que necesitan las partes interesadas.

Todos los temas discutidos en la validación de los informes de AI se pueden describir bajo un paraguas: gobernanza. La gobernanza es la comprensión de las necesidades de las partes interesadas y la alineación de los recursos para satisfacer esas necesidades. Se utilizan muchas herramientas, especialmente estándares, para ayudar a asegurarse de que las prácticas de TI estén bien formadas y proporcionen los resultados comerciales necesarios y los resultados cumplan con los requisitos de cumplimiento. La mayoría de estas herramientas están destinadas a proporcionar orientación técnica, como la transición del servicio de la Biblioteca de Infraestructura de Tecnología de la Información (ITIL), que describe con gran detalle cómo se realiza mejor la gestión de cambios. Estos recursos indican cómo hacer algo, pero no arrojan luz sobre si se están haciendo las cosas correctas o qué se debe hacer. Ese es el ámbito de un marco GEIT.

Este ejercicio utiliza COBIT 5, el marco GEIT más común en uso a nivel mundial. Mirando hacia atrás a los hallazgos de la auditoría inicial y al reclamo de la falta de supervisión de AI, el problema se puede reafirmar utilizando COBIT 5. En palabras de la gerencia que realiza la implementación de GEIT, el problema subyacente descubierto por AI es que no hay una comprensión suficiente de las necesidades de las partes interesadas; un mapeo de esas necesidades a objetivos empresariales, relacionados con TI y habilitadores; y las métricas que prueban que el entorno de control interno está, de hecho, diseñado y operando de tal manera que garantice que se cumplirán los requisitos de la empresa. Abordar estos problemas es precisamente lo que COBIT 5 está destinado a hacer.


Planee la solución

La próxima entrega de esta serie analizará cómo diseñar una solución GEIT para abordar la falta de supervisión (a la que esta serie se refiere como gobernabilidad), quién debe trabajar en ella y cómo se verá el producto final.

Se debe tener cuidado a medida que las partes interesadas proceden a definir sus necesidades porque existe un deseo natural de "hervir el océano" en estos escenarios al asumir demasiado, demasiado pronto. Ese enfoque puede sabotear el proyecto. En el futuro, la discusión incluirá el alcance y la ampliación de una solución para que actúe como prueba de concepto y luego la expanda a audiencias más amplias. Lograr estos objetivos requiere involucrar a las partes interesadas en las distintas etapas de implementación y ejecución en un plan de comunicaciones cuidadosamente planificado, oportuno y altamente transparente.


Peter C. Tessin, CISA, CRISC, CISM, CGEIT

Es gerente senior de Discover Financial Services. Lidera el grupo de gobierno dentro del riesgo de tecnología empresarial (BT). En esta función, él es responsable de garantizar que la política, los estándares y los procedimientos se alineen con los objetivos corporativos. Se desempeña como parte interna responsable de la gestión de exámenes regulatorios y es el enlace interno con la gestión de riesgos corporativos. Antes de este cargo, Tessin fue gerente de investigación técnica en ISACA, donde fue gerente de proyectos para COBIT 5 y dirigió el desarrollo de otras publicaciones relacionadas con COBIT 5, informes y artículos. Tessin también tuvo un papel central en el diseño de COBIT Online, el sitio web de ISACA que ofrece un acceso conveniente a la familia de productos COBIT 5 e incluye herramientas digitales interactivas para ayudar en el uso de COBIT. Antes de unirse a ISACA, Tessin era gerente senior de una firma de auditoría interna, donde dirigía los compromisos con los clientes y era responsable de los equipos de auditoría financiera y de TI. Anteriormente, trabajó en varias funciones de la industria, como personal contable, desarrollador de aplicaciones, consultor y consultor de sistemas contables, analista de negocios, gerente de proyectos y auditor. Ha trabajado en muchos países fuera de su país natal, incluidos Australia, Canadá, Francia, Alemania, Italia, Jordania, México y el Reino Unido.