Professional Documents
Culture Documents
Prioridades, para los directores conocedores de la tecnologa, cuando supervisan el riesgo y la estrategia de TI
Introduccin
Las juntas de directores tienen razones de peso para participar en la vigilancia de la tecnologa de la informacin (TI), lo cual al menos significa: Las organizaciones cuyas juntas participan de manera activa en lo relacionado con la TI se desempean mejor financieramente. 1 Si uno separa los diversos riesgos relacionados con la TI alrededor de la seguridad y privacidad de los datos de los clientes, la salvaguarda de la propiedad intelectual, el cumplimiento con los requerimientos legales y regulatorios y con los estndares internacionales 2, la conclusin se vuelve inevitable los directores del siglo 21 ya no pueden darse el lujo de ser cualquier cosa menos que conocedores de la tecnologa. A pesar de este imperativo, la evidencia anecdtica sugiere que pocas juntas dedican suficientes tiempo y atencin a la TI. Muchas quisieran hacer ms pero tienen incertidumbre acerca de cmo. Esta publicacin examina el rol de la junta en proporcionar vigilancia efectiva de la TI. Tal y como ocurre con muchos problemas de gobierno corporativo, el enfoque ms apropiado frente a la TI variar de una junta a otra. Por consiguiente, iniciamos con una discusin de los diferentes roles y la importancia de la TI. La manera como la organizacin usa la tecnologa puede guiar las opciones de la junta en relacin con dnde ubica la responsabilidad de la vigilancia por la TI, as como la cantidad de tiempo que dedica a los problemas de TI.
Pocas juntas dedican suficientes tiempo y atencin a la TI. Muchas quisieran hacer ms, la pregunta es cmo.
1
Una encuesta realizada por Deloitte Touche Tohmatsu junto con Corporate Board Member encontr que el 61% de los directores de compaas de alto desempeo dijeron que sus compaas no hacan el buen trabajo de medir y monitorear la TI, comparado con el 56% de los directores de las compaas tomadas en su conjunto. (Corporate Board Member, 2007 Board and Information Technology Strategies Report).
2
Nosotros examinamos, entonces, los cinco problemas crticos de TI para que las juntas los consideren. Esos problemas son: Permitir que la TI apoye a la junta. Est disponible una serie de herramientas de tecnologa para permitirles mayor efectividad de la junta y de los comits. Tales herramientas pueden fomentar la comunicacin ms frecuente y permitir el compartir de manera fcil los documentos y materiales que sean pertinentes. Adems, la TI puede permitirles a los miembros de la junta obtener luces acerca del proceso de administracin del riesgo de la organizacin, hacindolo mediante el proporcionar reportes o analticas que puedan constituir la base para la discusin futura en la sala de juntas. Asumir un enfoque inteligente frente al riesgo para la vigilancia de la TI. La mayora de las juntas entienden que hay riesgos asociados con la TI, pero pocas aprecian el espectro completo de esos riesgos. Anticipar los riesgos y discutirlos con la administracin es un paso importante, tal y como lo es actuar de manera apropiada si y cuando surgen los problemas. Y si bien la TI es una herramienta importante para identificar y administrar los riesgos de la organizacin, la tecnologa tambin presenta sus propios problemas de riesgo. Las juntas necesitan asegurarse a s mismas que no estn dejando a un lado las reas crticas de la vigilancia; que estn vigilando en el nivel apropiado; y que la administracin tiene en funcionamiento planes factibles para tratar los diversos escenarios de riesgo que pueden impactar la reputacin, las finanzas, el cumplimiento regulatorio, el servicio a los clientes, y ms. Alinear la estrategia de TI con las estrategias de negocio. Cuando aumenta la participacin de los directores en la TI, se profundiza su entendimiento del rol que la TI tiene en la estrategia, y la TI se vuelve ms efectiva en respaldar el negocio y la creacin de valor para la organizacin. Los directores necesitan participar en la estrategia de TI en dos niveles: entender el rol que la tecnologa juega en mejorar la capacidad de la organizacin para lograr sus objetivos estratgicos, y la estrategia desarrollada para la TI misma. Asegurar que los principales proyectos de TI ofrecen rendimientos superiores a su inversin. TI representa uno de los mayores costos de hacer negocios, y ninguna organizacin puede darse el lujo de emprender un proyecto principal de TI que no entregue su pleno valor. Las juntas necesitan informacin adecuada para entender las consecuencias financieras, operacionales, de riesgo, y reputacionales, que su proyecto de TI tiene en la organizacin en general. Administracin de la educacin en TI. Cuando se incrementa el conocimiento que el director tiene respecto de la TI, se incrementa su comodidad usando la TI. Esta relacin directa es ayudada mediante proporcionarle, sobre una base recurrente, educacin a la sala de juntas.
Esta publicacin concluye con una discusin sobre los recursos que los directores requieren para ser efectivos en su supervisin de la TI. Los directores no necesitan tener un conocimiento ntimo de cada elemento y matiz de los sistemas de TI de la organizacin. Necesitan, no obstante, un entendimiento de la TI como direccionadora del negocio. An as, muchos directores sienten que carecen de la informacin adecuada respecto de la TI o de un entendimiento suficiente de los problemas de TI un desafo que puede ser resuelto mediante mejor educacin del director alrededor de la TI y un canal de la administracin que le hable a la junta acerca de la TI en el lenguaje de los negocios ms que en el lenguaje de la tecnologa.
Tipo 1: TI le da respaldo al negocio Rol de la TI La tecnologa se necesita para operar el negocio, pero la compaa funciona si fallan los sistemas de TI Las necesidades de oportunidad y exactitud no requieren fuerte inversin en TI Fabricante con cadena de suministro de lazo abierto
Tipo 2: TI le da respaldo a la ventaja competitiva La estrategia mezcla tecnologa con otro capital (propiedad, planta y equipo, cadena de suministro, distribucin, etc.) para ventaja competitiva Partes clave del negocio dependen de informacin oportuna, exacta Fabricante con cadena de suministro integrada
Tipo 4: TI es el negocio Las estrategias de negocio y de TI estn estrechamente integradas La TI est explcita en la proposicin de valor La informacin oportuna y exacta es crtica para la misin Proveedor de motores de transferencia de fondos o productos de datos financieros CEO, CIO, CTO, CAE
Ejemplos
CIO, CTO
CIO, CTO
IT como mercanca
-->
Claramente, a ms importante sea la TI para el negocio, ms tiempo necesita la junta gastar pensando acerca de ella. Generalmente, en los negocios del Tipo 4, la junta abordar la TI en cada reunin. En los negocios de Tipo 3, la junta puede escoger cubrir la TI en las reuniones generales de la junta, pero no necesariamente en todas. Las juntas de los negocios Tipo 1 probablemente no cubrir la TI como un tema de la junta mientras que los negocios del Tipo 2 pueden o no abordar la TI como un tema general de la junta dependiendo de una variedad de factores, tales como la cultura, la prioridad que el CEO le de a la TI, y cuando la organizacin est en el ciclo de inversin en TI.
Preguntas para que los directores se hagan: Cules son el rol y la importancia de la TI para nuestra organizacin? La naturaleza de la vigilancia que la junta dedica a la TI es apropiada dada la importancia de la TI para el negocio?
El tiempo que la junta sienta que deba gastar en asuntos de TI a menudo seala dnde se ubica la responsabilidad por la vigilancia de la TI. Dado que las organizaciones Tipo 1 tpicamente gastan tiempo limitado a los asuntos de TI, a menudo asignan la TI al comit de auditora. En las organizaciones Tipo 3, la junta puede sentir que TI es suficientemente importante para requerir que se establezca un subcomit de TI La TI debe ser cubierta como un tema general de la junta, o que trabaje estrechamente con el CEO y/o con el CIO en asuntos de TI. Por ejemplo, en Australia, los cuatro slo a nivel de comit? Si es bancos ms grandes y la compaa de telecomunicaciones ms grande, todos ellos tienen comits de para que sea cubierta por un tecnologa de la junta, a pesar de que no son compaas de TI. En las organizaciones Tipo 4, todos los comit, cul sera el mejor miembros de la junta participan en los asuntos de TI quizs yendo ms all de la supervisin para asumir posicionado para manejar la TI un mayor rol de manos a la obra, tal como participar en la revisin de la tecnologa. como el tema exclusivo de un comit? El uso que de la tecnologa hace la organizacin tambin tiene relacin con la experiencia que se requiere de los directores. Vincular uno o ms directores con antecedentes relevantes en tecnologa puede ser til Qu antecedentes o para una organizacin Tipo 1 pero es un imperativo para la organizacin Tipo 4. Generalmente, a ms experiencia en TI debemos importante sea la TI para la organizacin, ms probable ser que el comit de nominacin de la junta ya sea mirar cuando vinculamos participar en TI o trabajar con el comit de auditora o de tecnologa para ayudar a vincular directores nuevos miembros para nuestra conocedores de la tecnologa. junta?
Qu antecedentes o experiencia en TI debemos mirar cuando vinculamos nuevos miembros para nuestra junta?
Preguntas para que los directores se hagan: Dedicamos suficiente tiempo a la vigilancia de los riesgos relacionados con la TI dada la importancia que la TI tiene para nuestra organizacin? La administracin le proporciona a la junta los directores de informacin que necesita para desarrollar un entendimiento claro de los problemas relacionados con el riesgo de TI? Somos conscientes del rol que la TI juega en ayudar a la organizacin a identificar y mitigar los riesgos? Los controles relacionados con la TI son suficientemente robustos? Somos plenamente conscientes de los riesgos financieros, de cumplimiento, operacionales y estratgicos asociados con la TI? Conocemos cules son los riesgos ms materiales asociados con la TI? La organizacin ha mapeado los riesgos clave y los controles clave? Han sido establecidas accountabilities y responsabilidades claras? Sabemos si los controles son suficientes, operacionales y sostenibles? Hay un balance adecuado entre los controles que previenen, detectan, y corrigen? Estamos satisfechos con que los planes para el monitoreo, la presentacin de reportes, el escalamiento, y las pruebas son suficientes para mitigar los riesgos identificados? El enfoque que hemos tomado frente al riesgo est centrado ms en el cumplimiento o es reactivo?
A pesar del hecho de que los directores estn de acuerdo con que la TI es importante para la administracin exitosa del riesgo, las discusiones sobre el riesgo permanecen siendo un tema reactivo en muchas organizaciones ocurren solamente despus que algo sale mal.
La Junta inteligente ante la tecnologa 7
Recibimos informacin adecuada sobre TI en trminos de calidad, cantidad y oportunidad para mantener a la junta activamente involucrada en los problemas relacionados con TI de manera que podamos discutir de manera inteligente y efectiva la estrategia de TI? Las organizaciones cuyas juntas incluye la estrategia de TI como un tema permanente en las agendas de sus reuniones tienden a desempearse mejor que las que no la incluyen. Adems, cuando aumenta la Durante los ltimos cinco aos participacin de los directores en los problemas relacionados con TI, se profundiza su entendimiento del qu tan efectiva ha sido nuestra valor estratgico de la TI. No obstante, muchas juntas no discuten regularmente la TI en las salas de juntas. organizacin en lograr sus metas y objetivos clave? Entendemos Las juntas tienen la responsabilidad por entender, guiar y gobernar la direccin estratgica general de su el rol jugado por la TI en ayudar organizacin. Dado que TI es un componente operacional integral de virtualmente todas las organizaciones, a lograr esas metas o si TI fue los problemas de TI deben ser incorporados en las discusiones de la junta sobre la estrategia general. Es un contribuyente importante para importante, por consiguiente, que las juntas entiendan claramente el rol de la TI y como crea valor de no lograr nuestros objetivos? negocios tangible para la organizacin. Muchos directores, sin embargo, sienten que sus organizaciones no TI est apropiadamente hacen un trabajo efectivo en el monitoreo y la medicin del valor de la TI.3 alineada con la visin del negocio? La estrategia de TI es En las organizaciones la TI juega un rol suficientemente importante como para requerir su propio plan desarrollada tanto para permitir estratgico, el cual debe, a su vez, ser sincronizado con la estrategia general de negocios de la como para enmarcar la organizacin. Al valorar la estrategia de TI, los directores tienen que asegurar que hay una alineacin estrategia del negocio? El gasto apropiada entre las metas y objetivos de la TI y las de la organizacin en su conjunto. en TI est planeado de manera explcita y es medido contra las Los directores, como primer paso, tienen que entender cmo la TI respaldar la estrategia del negocio. prioridades del negocio? Qu funciones desempea TI, desde apoyar las operaciones (e.g., nmina, contabilidad, finanzas, y Entendemos el valor que TI le administracin del riesgo) hasta permitir la innovacin y construir ventaja competitiva (e.g., administracin de aporta a nuestra organizacin? las relaciones con los clientes, integracin de los procesos con los de proveedores y afiliados) que Nos estamos dando cuenta del actualmente constituyen el negocio? Con base en el rol que TI juega en la organizacin, las juntas entonces valor potencial pleno de la TI? tienen que evaluar las opciones que la administracin escoge para implementar las capacidades de TI que, Entendemos los costos que en a su vez, respaldan las capacidades de negocio que se requieren. Por ejemplo, la organizacin construir y conjunto la TI tiene para nuestra desplegar las capacidades requeridas de TI hacindolo en casa, o algunas o todas esas capacidades organizacin? Conocemos el deben ser tercerizadas con proveedores externos? Al valorar esas opciones, las juntas necesitan considerar costo de la TI comparado con las inversiones, beneficios, costos, y riesgos asociados. Una palabra de cautela: para las compaas con nuestros pares y competidores? presencia global o planes de expansin internacional, los directores deben considerar de manera cuidadosa Conocemos los costos las limitaciones que imponen las leyes locales lo cual a su vez puede impactar la tecnologa utilizada en una especficos de TI por cliente, regin particular. Esas limitaciones pueden tener un impacto directo en reas tales como datos y privacidad, transaccin, u otra mtrica almacenamiento de datos, o transferencias internacionales de datos. comparados con las normas de la industria?
Entendemos el valor que TI le aporta a nuestra organizacin? Entendemos los costos que en conjunto la TI tiene para nuestra organizacin?
3
Una encuesta realizada por Deloitte Touche Tohmatsu junto con Corporate Board Member encontr que el 68% de los directores dijo que haba poco espacio para el mejoramiento en la manera como sus compaas monitorean y miden el valor de la TI. (Corporate Board Member, 2007 Board and Information Technology Strategies Report).
Cules son mi conocimiento y comodidad personales con los problemas relacionados con la TI? Cules son el conocimiento y la comodidad de la junta en su conjunto para con los problemas relacionados con la TI?
10
Conclusin
La TI contina evolucionando a un ritmo que cada vez se incrementa, permitindole jugar roles ms amplios y ms valiosos dentro de las organizaciones. En el presente, la TI se ha convertido en un componente crtico de y en un costo para prcticamente cada organizacin, con todos los beneficios y riesgos asociados. No usada ya solamente para automatizar las funciones de negocio, en la TI crecientemente se est confiando para construir ventaja competitiva. An as, con el mayor poder y generalizacin de la tecnologa llegan riesgos incrementados para ser mitigados. En la medida que se expande el uso que de la TI hacen las organizaciones, crece la responsabilidad de la junta por la vigilancia de la TI. Las juntas necesitan asegurar que sus organizaciones maximizan los beneficios de la TI, tanto mediante la alineacin de la TI con las estrategias de negocio como mediante la capacidad de la TI para ayudar a identificar y mitigar los riesgos para la organizacin (incluyendo los asociados con la TI misma). Para que sean efectivas en su rol de supervisin, las juntas necesitan construir su conocimiento y entendimiento de la TI. As como la creciente complejidad de los problemas de contabilidad y revelacin hacen que la educacin financiera sea un requerimiento obligatorio para los miembros de los comits de auditora, las crecientes complejidad y generalizacin de la TI de manera creciente estn haciendo que la educacin en TI sea un componente esencial para los directores. En el futuro, la existencia y los aportes de la junta conocedora de la tecnologa se convertirn en un componente indispensable del xito organizacional.
11
Contactos
Gobierno corporativo Lderes globales Mark Layton Global Managing Director, Governance and Risk Management Deloitte Touche Tohmatsu Limited mlayton@deloitte.com Dan Konigsburg Director, Deloitte Global Center for Corporate Governance Deloitte Touche Tohmatsu Limited dkonigsburg@deloitte.co m Carol Lambert Co-Chairman, Deloitte Global Center for Corporate Governance Deloitte France clambert@deloitte.fr Piti Pramotedham Co-Chairman, Deloitte Global Center for Corporate Governance Deloitte Singapore piti@deloitte.com Michael Rossen Senior Manager, Deloitte Global Center for Corporate Governance Deloitte Touche Tohmatsu Limited mrossen@deloitte.com Lderes regionales Amricas Hugo A. Luppi Deloitte Argentina hluppi@deloitte.com Gilberto Souza Deloitte Brazil gsouza@deloitte.com Don Wilkinson Deloitte Canada dowilkinson@deloitte.ca Fernando Gaziano Deloitte Chile fpgaziano@deloitte.com Daniel Aguinaga Deloitte Mexico daguinaga@deloittemx.co m Ray Lewis Center for Corporate Governance Deloitte United States (Deloitte & Touche LLP) raylewis@deloitte.com Europe/Middle East/Africa (EMEA) Michael Schober Deloitte Austria mschober@deloitte.com Claus Buhleier Deloitte Germany cbuhleier@deloitte.com Jan Bune Deloitte Netherlands jbune@deloitte.com Kugu Alper Deloitte Turkey kalper@deloitte.com Martyn Jones Deloitte United Kingdom mjones@deloitte.co.uk Information & Technology Risk Lder global Adel Melek Global Managing Director, Information & Technology Risk Deloitte Touche Tohmatsu Limited amelek@deloitte.ca Regional leaders Asia Pacfic (AP) Uantchern Loh Deloitte Singapore uloh@deloitte.com Canada Adel Melek Deloitte Canada amelek@deloitte.ca Europe/Middle East/Africa (EMEA) Simon Owen Deloitte United Kingdom sxowen@deloitte.co.uk Japn Bruce Daly Deloitte Japan Bruce.daly@tohmatsu.co.jp Latin America/Caribbean (LACRO) Martin Carmuega Deloitte Argentina mcarmuega@deloitte.com USA Sam Balaji Deloitte United States (Deloitte & Touche LLP) sbalaji@deloitte.com Ted DeZabala Deloitte United States (Deloitte & Touche LLP) tdezabala@deloitte.com Service area leaders Data Risk Services Vivek Katyal Deloitte United States (Deloitte & Touche LLP) vkatyal@deloitte.com Tom Scampion Deloitte United Kingdom tscampion@deloitte.co.uk Risk Management Technologies Samuel Auxier Deloitte United States (Deloitte & Touche LLP) sauxier@deloitte.com Security, Privacy & Resilliency Ted DeZabala Deloitte United States (Deloitte & Touche LLP) tdezabala@deloitte.com Simon X. Owen Deloitte United Kingdom sxowen@deloitte.co.uk
Technology Risk & Governance Dean Kingsley Deloitte Australia dkingsley@delotte.com.a u Chris Verdonck cverdonck@deloitte.com
Information & Controls Assurance Steen Gellert-Kristensen Deloitte Denmark sgellertkristensen@deloitte.dk Sandy Herrygers Deloitte United States (Deloitte & Touche LLP) sherrygers@deloitte.com
12
Nuestra misin es promover el dilogo sobre el gobierno corporativo entre las firmas miembro, las corporaciones y sus juntas de directores, los inversionistas, la profesin contable, la academia y el gobierno.
13
Esta es una traduccin al espaol de la versin oficial en ingls de The Tech-Intelligent Board. Priorities for Tech-Savvy Directors as they oversee IT Risk and Strategy, publicado por Deloitte Global Services Limited 2011 Traduccin realizada por Samuel A. Mantilla, asesor de investigacin contable de Deloitte &Touche Ltda., Colombia, con la revisin tcnica de Csar Cheng, Socio Director General de Deloitte & Touche Ltda., Colombia
Deloitte se refiere a una o ms de las firmas miembros de Deloitte Touche Tohmatsu Limited, una compaa privada del Reino Unido limitada por garanta, y su red de firmas miembros, cada una como una entidad nica e independiente y legalmente separada. Una descripcin detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembros puede verse en el sitio web www.deloitte.com/about. Deloitte presta servicios de auditora, impuestos, consultora y asesoramiento financiero a organizaciones pblicas y privadas de diversas industrias. Con una red global de firmas miembros en ms de 140 pases, Deloitte brinda sus capacidades de clase mundial y su profunda experiencia local para ayudar a sus clientes a tener xito donde sea que operen. Aproximadamente 169.000 profesionales de Deloitte se han comprometido a convertirse en estndar de excelencia.
" Deloitte Touche Tohmatsu Limited es una compaa privada limitada por garanta constituida en Inglaterra & Gales bajo el nmero 07271800, y su domicilio registrado: Hill House, 1 Little New Street, London, EC4A 3TR, Reino Unido
Limitacin de responsabilidad Este material y la informacin incluida se proporcionan sin interpretacin alguna, Deloitte Touche Tohmatsu Limited no hace ninguna declaracin ni otorga garanta alguna, de manera expresa o implcita, sobre el mismo y la informacin proporcionada. Sin limitar lo anterior, Deloitte Touche Tohmatsu Limited no garantiza que el material o el contenido estn libres de error o que cumplan con criterios particulares de desempeo o calidad. Deloitte Touche Tohmatsu Limited renuncia expresamente a cualesquier garantas implcitas, incluidas de manera enunciativa mas no limitativa, garantas de comercializacin, propiedad, adecuacin para un propsito en particular, no infraccin, compatibilidad, seguridad y exactitud. Al utilizar este material y la informacin aqu incluida lo hace bajo su propio riesgo y asume completa responsabilidad sobre las consecuencias que pudieran derivar por el uso de los mismos. Deloitte Touche Tohmatsu Limited no se responsabiliza por daos especiales, indirectos, incidentales, derivados, punitivos o cualesquier otros deterioros resultantes de una accin de contrato, estatuto, extracontractual (incluyendo, sin limitacin, negligencia) o de otro tipo, relacionados con el uso de este material o de la informacin proporcionada. Si alguna parte de lo anterior no es completamente ejecutoria, la parte remanente seguir siendo aplicable. Una firma miembro de Deloitte Touche Tohmatsu Limited 2011 Todos los derechos reservados.
14