Con el inicio del año, las revisiones del trabajo realizado resultan pertinentes. Esto incluye la revisión de las políticas de TI. En muchas Gerencias de Informática, se plantea esta tarea como un hito a solventar, en períodos de tiempo que muchas veces son menores a un mes. Como resultado, la revisión no es concluida en el tiempo previsto o no es realizada de manera total. Para realizar bien un proceso de revisión de políticas de TI debemos de entender bien lo que implica, quienes son los involucrados y cuál es el ritmo que debemos de seguir a efectos de tener un marco de control interno de TI actualizado y eficaz.
Todos sabemos que la creación inicial de políticas de TI es una tarea difícil, que a veces toma meses o años de realización. En el desarrollo mismo del proyecto de creación inicial de las políticas de TI ocurren cambios al entorno tecnológico, en el contexto del negocio y en las amenazas externas que percibimos. Por esta razón, es muy probable que al terminar las políticas de TI estas ya requieran de cambios para solventar los nuevos retos. La actualización de las políticas debe de tener como objetivo el cubrir por lo menos el mismo número de riesgos que se pretendió cubrir al momento de su creación. Esto convierte en relevante la actualización permanente de la matriz de riesgos tecnológicos de la organización. Cambios en la matriz indican necesariamente cambios en las políticas de TI. Como ya sabemos, la evaluación de riesgos es una actividad permanente. Si algo es fundamental para la correcta gestión de TI es no dejar pasar desapercibidos los nuevos riesgos que aparecen en la gestión de TI. No hacerlo implica muchas sorpresas para la Gerencia de TI, que van desde el uso ineficiente de los recursos o sistemas que no funcionan hasta la pérdida de información. Muchos problemas. Por lo tanto, los responsables de monitorear los riesgos de TI serán los primeros en señalar la necesidad de una revisión de políticas de TI. Esto en el sentido amplio significa, la actualización de políticas existentes o la creación de nuevas.
Una práctica de gestión de TI saludable, divide las funciones entre varios individuos. Lo mismo pasa con las políticas. Cada política debe de tener definido a un responsable de la formulación, un revisor y la persona que autoriza. Estos roles, pueden ser desempeñados por equipos de trabajo, dirigidos por el responsable directo de cada rol. Muchas veces, esta interacción entre varias personas o grupos es la causa del retraso en la revisión y aprobación de las políticas de TI. Este es un factor que debe de ser considerado al momento de la planificación de la revisión, estableciendo periodos de actualización, revisión y aprobación. De esta manera, se deduce que más que un punto fijo en el tiempo para revisar todas las políticas, el mejor ritmo a seguir será una programación anual que considere la planificación de las evaluaciones de riesgos y la interacción entre los equipos de formulación, revisión y aprobación. En empresas grandes, con muchas políticas, el ciclo de revisión total podría demorar 2 años. Lo importante es conocer esa ruta de creación y actualización de las políticas y estar atentos a los cambios en las necesidades del negocio para poder contribuir de la mejor manera a la obtención de los objetivos del negocio.