Estructura organizativa del gobierno de TI

El principal motivo por el que se debe implantar un sistema de gobierno de TI en una organización es para alinear los objetivos de TI con los objetivos estratégicos de la universidad. Y aunque estos sistemas suelen conducir a una reducción de costes y al incremento de la eficiencia, no son los primeros motivos que se argumentan para su implantación, según se desprende de los resultados del “IT Governance Study 2007”, promovido por ECAR (EDUCAUSE Center for Applied Research-EDUCAUSE es una asociación sin ánimo de lucro que pretende conseguir la excelencia en la educación superior promoviendo el uso inteligente de TI) y presentado por Yanosky y McCredie (2007) y Yanosky y Borreson (2008). Este estudio se basa en conceptos generales de

129

gobierno de TI encuestados en el ámbito universitario y que contó con la participación de 438 responsables de TI de universidades de todo el mundo. Otros motivos que obligan a crear una estructura de gobierno de TI son: promover una visión institucional de TI, transparencia en la toma de decisiones, reducción de costes, incremento de la eficiencia, regulación y cumplimiento con auditorías, etc.

La norma ISO/IEC 38500:2008, publicada en 2008, se basa en la norma australiana AS8015:2005 y tiene como objetivo el proporcionar un marco de principios para que la dirección de las diferentes organizaciones los utilicen para dirigir, evaluar, y monitorizar el uso de las tecnologías de la información y comunicación.

La norma define los siguientes principios de un buen gobierno corporativo de TI:

• Responsabilidad. Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.

• Estrategia. La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de TI. Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.

• Adquisición. Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

• Rendimiento. La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

• Conformidad. La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.

• Conducta humana. Las políticas de TI, prácticas y decisiones demuestran respeto por la conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

La dirección, según se indica en la norma ISO/IEC 38500:2008, ha de gobernar TI mediante tres tareas principales:

130

• Dirigir. Dirigir la preparación y ejecución de los planes estratégicos y políticas, asignando las responsabilidades correspondientes. Asegurar la transición correcta de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TI en la organización.

• Evaluar. Examinar y juzgar el uso actual y futuro de TI, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos).

• Monitorizar. Mediante sistemas de medición, vigilar el rendimiento de TI, asegurando que se ajusta a lo planificado.

Por todo lo anterior, el equipo de gobierno tiene la responsabilidad de crear una estructura de toma de decisiones relacionadas con las TI, donde el CIO debe ser el protagonista y el elemento vertebrador e integrador de la estrategia de TI en la organización. El CIO debe ejercer de puente comunicador que facilite la interacción. Esta estructura de toma de decisiones, que influirá sobre el gobierno y la gestión de la externalización de los servicios de TI, se debe componer de lo siguiente:

Consejo de Dirección. Órgano de gobierno colegiado de la universidad que debe diseñar un sistema de gobierno de TI en su universidad, si no existe, con los comités y comisiones que se indican más abajo. Debe crear la figura del CIO si no existe e incluirlo en el Consejo de Dirección y en el Comité de Estrategia de TI. El Consejo debe asegurarse de que se implementa adecuadamente la estrategia de TI diseñada por el Comité de Estrategia. Para ello, debe prestar una especial atención en establecer una financiación suficiente e invertir en aquellos proyectos de TI que mejor impulsen su estrategia, es decir, las inversiones se deben alinear con las prioridades estratégicas. Por lo tanto debe crear un presupuesto centralizado para las TI y asignar prioridad a las inversiones en proyectos de TI. También debe determinar el tipo de estructura para la distribución de responsabilidades y la toma de decisiones relacionadas con las TI (matriz de Weill y Ross).

Comité de Auditoría (externa e interna). Órgano de apoyo y dependiente del Consejo de Dirección que resulta fundamental para supervisar el buen gobierno de TI y establecer su éxito desde todos los puntos de vista, sobre todo desde el control y el cumplimiento normativo. El CIO es partícipe y las funciones que debe tener el comité son:

131

• Contribuir en la definición de las líneas generales y la estructura del sistema de control interno y externo, así como efectuar el seguimiento y evaluar la efectividad del mismo

• Supervisar las funciones y actividades de la auditoría interna y externa con el objeto de determinar su independencia en relación con las funciones que audita y verificar que el alcance de sus labores satisface las necesidades de control de la entidad

• Evaluar los informes de auditoría que sean presentados por los auditores internos y externos, y verificar que se hayan atendido sus sugerencias y recomendaciones o, de no ser así, verificar las razones por las cuales las mismas no se atendieron

• Evaluar los planes de trabajo, los informes y dar seguimiento a las recomendaciones que presente el auditor externo y el auditor interno

• Establecer procedimientos para contratar, remunerar y buscar un auditor externo, cuando fuese necesario

• Presentar al Consejo de Dirección los informes especiales, propuestas o recomendaciones que estime pertinentes en relación con los temas de competencia del Comité

Comité de Estrategia de TI. El Comité de Estrategia de TI debe diseñar la estrategia y las políticas de alto nivel de la universidad relacionadas con las TI y debe estar integrado por todos los directivos con responsabilidad estratégica sobre las TI de la universidad. El CIO debe ser partícipe.

Comité de Dirección de TI o Comité Ejecutivo. Este comité debe diseñar y ejecutar proyectos de TI que satisfagan la planificación estratégica propuesta por el Comité de Estrategia de TI. También será el responsable de realizar el seguimiento de los proyectos, comprobando que se realicen en tiempo y forma, y de informar al Comité de Estrategia de TI sobre si los proyectos han proporcionado los beneficios esperados.

Comisión de Tecnología y/o Arquitectura de TI. Esta comisión debe asesorar y coordinar temas de gestión de TI. El propósito principal es asistir a la organización en la planificación del desarrollo de TI, así como coordinar su instrumentación, dar seguimiento y evaluar las acciones derivadas de la misma. Otras funciones que puede tener este comité son: proponer las políticas generales sobre TI, revisar periódicamente el marco para la gestión de TI, reportar sobre el impacto de los riesgos asociados a las

132

TI, monitorizar que la dirección tome las medidas necesarias para gestionar el riesgo de TI en consonancia con las estrategias y políticas predefinidas y que se dispone de los recursos necesarios para tales efectos, realizar el seguimiento de los proyectos comprobando que se realicen en tiempo y forma, y de informar al Comité de Estrategia de TI sobre si los proyectos han proporcionado los beneficios esperados, proponer el plan correctivo-preventivo derivado de la auditoría y supervisión externa de la gestión de TI, recomendar las prioridades para las inversiones en TI, seguimiento de las acciones contenidas en el plan correctivo-preventivo, etc…

Oficina de Proyectos de TI. Esta oficina es la encargada de gestionar los proyectos de TI diseñados por el Comité de Dirección para satisfacer la planificación estratégica propuesta por el Comité de Estrategia de TI. Los proyectos de TI deben haber sido redactados previamente a su gestión de manera que dejen claro cuáles son sus objetivos, coste, beneficios que conllevan y métricas que sirvan para realizar su seguimiento y evaluar su éxito.

Comisión de Servicios a Usuarios. Esta comisión debe tener una composición que represente a todos los usuarios finales de los servicios de TI.