En el cambiante contexto actual, las partes interesadas de las organizaciones donde nos desempeñamos como Directores Independientes, sobre todo los dueños del capital, requieren que el Directorio lidere la creación de valor (o, al menos, su mantenimiento).

Dado que las personas, la información y la tecnología (I&T) son recursos críticos para cumplir con esta expectativa, hoy más que nunca es necesaria la implementación y consultoría/auditoría de un gobierno de tecnología eficaz.

Antes de pensar qué preguntas debe responder el Directorio, debemos hacernos dos fundamentales: qué es el Gobierno de TI y por qué el Directorio es su responsable último (“accountable”).

El Gobierno o Gobernanza de TI o de Información y Tecnología, según diferentes marcos y traducciones, es la evaluación, dirección y monitoreo del uso actual y futuro de los recursos de TI para ayudar a que la organización logre sus objetivos.

Sin entrar en temas netamente legales, y haciendo referencia a “Los Lineamientos para un Código Latinoamericano de Gobierno Corporativo” patrocinado por el Banco de desarrollo de América Latina, si “el Directorio (...posee) amplias responsabilidades para el ejercicio de las funciones de orientación estratégica, supervisión, control de la gestión ordinaria”; y los recursos tecnológicos hoy guían la creación de valor a través de mejoras en los productos o servicios al cliente, mejoras en los procesos internos, la capacitación al personal y puesta en práctica de los conceptos aprendidos, la transformación digital de las organizaciones, ¿cómo no podría ser el Directorio el responsable último o accountable del Gobierno de TI como parte del Gobierno Organizacional?.

Este aspecto es reforzado por el Instituto de Auditores Internos en su guía relacionada con la auditoría del Gobierno de TI, al mencionar que “El gobierno de TI representa una subdisciplina del gobierno de la organización, que se compone de liderazgo, procesos, políticas y estructuras que garantizan que la tecnología de la información respalde las estrategias y los objetivos de la organización. El gobierno de TI sustenta los requisitos regulatorios, legales, medioambientales y operativos de la organización para que puedan lograrse las aspiraciones y los planes estratégicos”.

Por otro lado, la muy reciente publicación de Gartner “7 Rules for Demonstrating the Business Value of IT”, ayuda al Directorio a repensar su rol en cuanto al Gobierno de TI.  Algunas reflexiones personales sobre las 7 reglas:

▪ Recuerde que la parte interesada de TI siempre determina el valor / Mida el impacto de TI en los objetivos de las partes interesadas, no el esfuerzo de TI gastado o los recursos consumidos / Comunique el valor de TI en el idioma de la parte interesada

No es la función de TI la que determina el valor generado, sino los clientes internos y externos de la TI, tales como usuarios de páginas web institucionales y sitios de e-commerce, y procesos y unidades organizacionales que requieren servicios y resultados de la función de TI.  Son ellos de quienes debemos obtener información para evaluar la gestión de TI. Pero para esto, es requisito que la función de TI deje de hablar en “lenguaje técnico” y comience a hablar en “lenguaje de negocios”.

▪ Asegúrese de que aquellos que financian TI entiendan su contribución a sus objetivos / Tenga en cuenta que no todos los resultados se valoran por igual / Alinee los costos de TI con los servicios de negocios que apoyan

Los objetivos de la organización definidos a partir de las necesidades y expectativas de los distintos actores incumbentes (stakeholders) son la base para definir los objetivos de TI, y así lograr la alineación negocio-TI y viceversa y facilitar la creación de valor a través de las inversiones en TI.  Por ejemplo, el plan estratégico de la organización debe incluir qué se requiere de la función de TI y el plan estratégico de TI debe alinear sus proyectos, iniciativas e inversiones de manera tal que soporten el plan estratégico de la organización.

▪ Construir dos narrativas de valor, para operar y transformar

El Directorio no es solo responsable por la supervisión de la gestión, sino que cumple un papel importante como asesor estratégico para impulsar la innovación, incorporando nuevas ideas en los servicios que la función de TI brinda a la organización y a todas sus partes interesadas.

En cuanto a la implementación, el marco COBIT de ISACA orientado al Gobierno y Gestión de la Información y Tecnología, establece un conjunto de componentes para un sistema de Gobierno de TI, muchos de los cuales se ven reflejados en el enfoque multidisciplinario de gobernanza que pregona el IGEP:

       Figura 1: COBIT 2019 ISACA + IGEP

Retomando el concepto de generación de valor a través de la combinación entre inversiones de TI rentables en el amplio sentido, el uso eficiente de recursos y la gestión de riesgos derivados del uso de la TI, una de las preocupaciones más frecuentes como Directores Independientes es el creciente riesgo asociado con la ciberseguridad, sobre todo el temido ransomware.  Y aquí no cabe ninguna duda que el análisis de riesgos ya está “elaborado”, solo resta pasar a su “gestión”.

¿Por qué? Porque la probabilidad de sufrir un ataque es “casi seguro que sí” (solo basta leer las noticias en los principales diarios locales o revisar el puesto de Argentina en los rankings de ataques).  Por otro lado, el impacto ya es conocido: recursos no accesibles e información no disponible.  Gestión de riesgos: toma de decisión informada y comunicación de “no pagar”, concientización y capacitación al personal en temas relacionados con ciberseguridad y teletrabajo, y políticas de gestión de incidentes y backup con pruebas incluidas.

Estos análisis son los que nos llevan a poder identificar qué preguntar hacer para obtener información y poder responder aquellas relacionadas con los riesgos de ciberseguridad que, sin duda, recibiremos de las partes de las partes interesadas ante un incidente que afecte la reputación o el valor de las acciones de la sociedad.

Para finalizar, esperando haber aportado una nueva mirada sobre la importancia del rol del Directorio y de los Directores Independientes en el gobierno de TI, los invito cordialmente a aprovechar la oportunidad que nos brinda el Gobierno de TI para crear valor en las organizaciones.