Ante la diversidad de métodos, marcos y mejores prácticas GRC de TI que existen en el mercado de tecnologías de la información, los gerentes cada vez presentan conflictos en la selección adecuada de los mismos para satisfacer las necesidades de las partes interesadas. Entonces, para plasmar una orientación ejemplar utilizaremos en este artículo los procesos de ITIL, PMBOK, ISO 27001 e ISO 27002 para revisar la correspondencia con los objetivos estratégicos de una empresa, y la obtención de beneficios de estos.

¿Qué necesitan los grupos de interés?

Entendamos que las organizaciones se mueven en base a decisiones, por lo tanto para una correcta ejecución de estrategias, se busca contar con alguna herramienta que represente directamente el comportamiento y las interacciones de un conjunto de personas autónomas que evolucionan en un entorno común. Un buen gobierno corporativo busca que se cubran aspectos importantes como: las estrategias, la toma de decisiones, el procesamiento de datos, la comunicación y la actualización (en el sentido de adaptación de métodos en la organización). Estas partes interesadas cada vez impulsan a la organización en contar con estrategias GRC, ya sea para la gestión de riesgos en un enfoque estratégico o cumplimiento normativo relacionados a las tecnologías de la información, tal es el caso de cumplimiento de certificación internacional ISO 27001 por parte de un PSE/SUNAT, en un enfoque táctico.

Toma de decisiones

Se basan en factores como el tipo de organización, prioridades de un requisito de TI sobre otro, etc. estas decisiones deben categorizarse y tener una guía general basada en los objetivos estratégicos del negocio, y de los objetivos estratégicos de tecnologías de la información, para ello, el marco de soporte al gobierno corporativo de TI utilizado es COBIT, y según los objetivos determinados como prioritarios, se establecerán que otros frameworks serán necesarios para cubrir y cumplir con los objetivos determinados. Algunas organizaciones utilizan una matriz de TI, con el cruce de frameworks y objetivos de TI. Esta matriz necesitará evaluación colectiva, con profesionales calificados, y en muchas ocasiones con certificaciones. Es importante también contar con una tabla de indicadores de desempeño, el cual permitirá reforzar si las decisiones han sido las correctas.

Caso de estudio

Supongamos que tenemos tres objetivos de TI: O1, Definir un plan estratégico de TI. O2, Asegurar el cumplimiento con obligaciones externas. O3, Gestionar los servicios de terceros. Un experto en TI, puede indicar que para O1, el mejor framework para cubrirlo es ITIL, para O2 es ISO 27001 y para O3 es ISO 27002. Pero ¿pero por qué no PMBOK puede cubrir O1?, O el O3 ¿Por qué no puede ser cubierto por ITIL más ISO 27002? Algunas empresas sí suelen tomar a las opciones mencionadas y descartadas, pero tras una evaluación de rendimiento de indicadores, estas suelen cambiarse o mejorarse debido a que no están dando resultados y se pierde la meta de cumplir con las necesidades de las partes interesadas. Todos los frameworks tienen correlación con estas características: Alineamiento estratégico, Entrega de valor, Gestión de riesgos, Gestión de recursos y Medición de rendimiento, algunos frameworks se enfocan más en unos objetivos empresariales que en otros, por ejemplo, si el objetivo dicta “Gestionar las inversiones de TI”, la característica más relevante sería Entrega de valor. Entonces la experiencia de los profesionales que se encargarán de la puntuación y valoración de casos de éxitos tras la decisiones y medición de indicadores, juegan un papel fundamental y vital.

Consejo audit

La experiencia y conocimiento del contexto organizacional por parte de los profesionales que seleccionan los frameworks, es un factor crítico. La clave es mantener registrados los resultados de las herramientas y técnicas utilizadas según el framework utilizado, y recordar que no se puede mejorar lo que no se puede medir. En audit nos enfocamos en brindar consultoría especializada y orientar el crecimiento en base a la correcta aplación de framework que verdaderamente generen valor.