El mercado de auditorías de tecnologías de la información, presenta motores e instrumentos desde años antes del 2000, pero, si uno se pregunta ¿Qué existía antes en los 80’s?, sin duda, hubieron versiones básicas haciendo referencia a la seguridad de riesgos en la era industrial y sistemas electrónicos mecanizados, debido a que el uso de computadoras personales en las organizaciones, empezó a tener auge a mitad de los 80’s. Veamos, cómo llegó a reflejarse en la actualidad el establecimiento de Gobierno Corporativo de TI en los modelos de negocio actuales.

The Combined Code del Reino Unido

La primera versión del UK Combined Code, emitido en 1998, remplazó, combinó y refinó los requerimientos anteriores del informe Cadbury and Greenbury sobre el gobierno corporativo y la remuneración de los directores. Entró en vigencia para todas las empresas a finales de Diciembre de 1998. Desde entonces, el gobierno corporativo de Reino Unido se ha basado en “cumplir o explicar”; en otras palabras, se espera que las empresas que cotizan en bolsa cumplan pero no están obligadas por ley a hacerlo. En términos sencillos, si esas empresas no tienen una buena razón, ellas pueden escoger no cumplir con una provisión particular del Code, siempre que puedan explicar en su informe anual, la razón de la decisión tomada. Sin embargo, como el mercado castiga hoy a las empresas que eligen no cumplir, cualquier decisión de no cumplimiento no se espera que se tome a la ligera. De hecho, hoy en día los requisitos son un poco más complejos que estos. Los requisitos del Combined Code, eran muy similares a los de las versiones anteriores, pero un aspecto importante, y nos referimos a los informes sobre controles, se han desarrollado de manera significativa en 1999, tomado relevancia en Mayo del 2010 convirtiéndose formalmente en el UK Corporate Governance Code. La versión actual del Corporate Governance Code fue publicada en Septiembre del 2014 y aplica a todas las empresas que cotizan en la principal bolsa de valores del Reino Unido. El principio C.2 del Code dice: “El directorio es responsable de determinar la naturaleza y el alcance de los principales riesgos que está dispuesto a asumir para lograr sus objetivos estratégicos. El directorio debe mantener sistemas sólidos de gestión de riesgos y control interno”.

The Turnbull Report

La guía The Turnbull Report, que nació en 1999 para Inglaterra y Gales con fines contables, brinda a los directores de las empresas que cotizan en bolsa, cómo deben enfrentar el gobierno corporativo. Después de múltiples revisiones, desde el 2014 se le conoce como FRC tras su publicación formal titulado Guidance on Risk Management, Internal Control, and Related Financial and Business Reporting. Esta publicación brinda una guía específica sobre como aplicar la sección C.2 del The Combined Code mencionado anteriormente, el cual se ocupa de la gestión de riesgos, control interno y establecimiento de los principios dictados en The Code, el cual es el siguiente: “La gestión de riesgos y el control interno debe ser incorporado en la gestión normal de la empresa, en los procesos de gobierno, y no tratado como un ejercicio de cumplimiento por separado.”. El párrafo 28 de esta Guía de Riesgos establece que el sistema de control interno de la compañía englobe las políticas, culturas, organizaciones, comportamientos, procesos, sistemas y otros aspectos de una empresa que, en conjunto: (1) Facilitan su operación efectiva y eficiente permitiéndole evaluar los riesgos actuales y emergentes, responder apropiadamente los riesgos y las fallas en los controles más importantes, y proteger los activos. (2) Ayuda a asegurar la calidad de los informes internos y externos. Esto requiere el mantenimiento de registros adecuados y los procesos que generan un flujo de información puntual, relevante y de confianza desde dentro y fuera de la organización. (3) Ayuda a garantizar el cumplimiento de las leyes y normativas aplicables.

Sabanes-Oxley

La ley Sarbanes-Oxley del 2002, introducido en los Estados Unidos tras las secuelas del caso Enron, tuvo importantes implicaciones de Gobierno de TI para las empresas que cotizaban en bolsa, sus subsidiarias extranjeras, y compañías extranjeras que tienen presencia en Estados Unidos. Esta ley debe ser aplicada para todas las organizaciones registradas en la SEC Securities and Exchange Commission, independientemente de donde ejecuta sus actividades geográficamente. A la ley también se le conoce como SOX, y es fundamentalmente diferente del Combined Code, y de los códigos del gobierno corporativo adoptados en otros ámbitos de la OCED (Organización para la Cooperación y el Desarrollo Económico), en el que el sentido es el “cumplimiento” más que “cumplir o explicar”. Este aspecto, combinado con las sanciones potenciales significativas para ciertos directores, dirige los requerimientos de cumplimientos de SOX a través de toda la cadena de suministros que intervienen en las organizaciones, incluidos lo no relacionados directamente. Mientras la Ley establece requerimientos detallados para el gobierno de las empresas, en tres secciones de mayor perfil y considerados más críticos, los cuales fueron implementados en fases, estas son 302, 404 y 409.

Consejo audit

La evolución de las regulaciones en el gobierno corporativo ha manifestado la preocupación del avance económico, si bien es importante mantener un ambiente de gobierno corporativo empresarial, la evolución de las tecnologías de la información han motivado a prestar mayor atención a los nuevos enfoques y modelos de negocios basados en la tecnología. En audit, capacitamos a sus colaboradores en el entendimiento general de gobierno corporativo de tecnologías de la información necesario para su contexto, considerando en que las actividades planificadas para introducir en el negocio, generen mayores beneficios y no signifiquen un obstáculo para su día a día.