Archivo del sitio
La Efectividad y la Eficiencia de las operaciones de TI
Cuando se preguntan sobre las razones para tener controles internos de TI, monitoreados a través de procesos de Auditoría de Sistemas, la razón es basada en la búsqueda de la efectividad y la eficiencia de las operaciones de TI. Aunque la efectividad y la eficiencia son dos atributos deseables en cualquier diseño, ya sea de controles o de cualquier otra cosa, es sorprendentemente fácil salirse del curso normal de operaciones y fallar en estos dos atributos en las operaciones de TI.
Antes de hablar más, hay que tener claro que toda la función de TI es considerada secundaria en los procesos de negocio para la mayoría de las empresas, esto es, no es la función que aporta el valor, entiéndase los ingresos, al negocio, sino que soporta o apoya las funciones vitales que sustentan la creación de valor en las organizaciones. Lo que sí se puede afirmar categóricamente en la mayoría de los casos, es que la función de TI es una función de soporte “vital” para las operaciones de TI. Es decir que, al suspenderse o deteriorarse algunos servicios de TI, se impacta directamente los ingresos o la imagen de la organización. Lo cual nos permite concluir, que si los servicios de TI no son eficientes y eficaces, la organización pierde valor.
En un mundo ideal, o mejor dicho, en una función de TI ideal, los servicios que proporciona TI están bien diseñados, tienen sus controles efectivamente diseñados y se ejecutan al pie de la letra, sin excepciones. En un mundo auditable, que es triste decirlo, pero es la realidad de las mayorías de empresas, se realizan las operaciones de TI bajo la ausencia de muchos controles, sin seguir las mejores prácticas conocidas e incluso no aplicando las pocas que puedan tener implementadas. Esto afecta tremendamente a la empresa. Por ejemplo, si una función que atienda incidentes no ha sido propiamente desarrollada, la suma y repetición de incidentes, puede causar tiempos muertos en la generación de ingresos. El personal de TI puede muy fácilmente decirle a sus usuarios internos que se esperen en lo que se reparan o corrigen errores en el sistema, pero en la realidad, esperarse puede implicar retrasar o imposibilitar la generación del ingreso, si el sistema en cuestión sirve para proporcionar servicios directos al cliente, como facturación, atención en ventanilla y similares.
Ser efectivos en la función de TI implica proporcionar el servicio esperado al negocio, con la calidad requerida y de manera oportuna. De esta manera, la función de auditoría de sistemas soporta al negocio en asegurar que los procesos de TI se mantengan cumpliendo con su función y el negocio sea bien soportado.
Ser eficientes en la función de TI implica que no se desperdician valiosos recursos de TI de la organización en otros fines que no sean soportar eficientemente al negocio. Por ejemplo, tener dispositivos para realizar respaldos de datos es eficiente si estos realizan el respaldo de acuerdo con el programa de respaldos diseñado. Si ocurre una falla y se requiere un respaldo que no se hizo, la eficiencia del control se habría perdido.
La auditoría de sistemas ayuda al negocio a determinar la completicidad de controles de las operaciones de TI, conforme a las necesidades y riesgos del negocio. También asegura que los controles existentes son efectivos y se ejecutan de manera eficiente. Para hacer esto, la auditoría de sistemas revisa cada proceso de TI, examinando la existencia de controles y realizando pruebas que ayuden a determinar el nivel de eficiencia con el que se ejecuta. No tener auditoría de sistemas en una empresa en la que la función de TI es vital para soportar las operaciones de negocio, implica poner en riesgo los procesos de negocio que aportan valor a la organización.
Inversiones en Tecnologías de la Información.
En más de 20 años de vida profesional, apoyando a las operaciones de organizaciones con el soporte de las Tecnologías de la Información, solo recuerdo a un Presidente de Junta Directiva que me dijo al momento de crear un presupuesto de Inversión de TI: “No importa el costo, quiero que tengamos lo mejor”. Esta expresión, debo confesar, me tomo por sorpresa. Más bien, la costumbre en el medio es cuestionar todas las inversiones en Tecnologías, preguntándose inicialmente si son inversiones necesarias, si pueden ser postergadas, si se puede rebajar alguna especificación que impacte en costo, en fin, una serie de interrogantes que tienen por objetivo reducir el monto total a invertir. A esto yo le llamo una visión totalmente financiera de las Tecnologías de la Información. En muchas organizaciones se calcula la inversión como un monto fijo o recurrente cada periodo, algo que le da tranquilidad y control al Gerente Financiero, pero que no siempre es lo mejor para la organización.
Las inversiones de TI deben de ser administradas por el Gerente de TI de una manera dinámica, construyendo el caso de negocio para cada una, de manera que cuando llegue el momento de buscar aprobación para el presupuesto, esta acción sea natural, nada forzada y de ser posible hasta esperada por la Alta Gerencia para obtener los beneficios esperados. Procesos de gestión de TI bien implementados logran que la Gerencia de TI tenga a la mano la información necesaria para preparar un buen caso de negocio. Se trata de tomar los reportes de incidentes, clasificarlos e identificar los que tienen tendencia a incrementar. Hay que recordar que un incidente interrumpe las operaciones y tiene un costo, que tiene que ser medido. Si la tendencia de los incidentes es a incrementar, eso nos da un modelo de predictibilidad de costo esperado por “no invertir”. Otro ejemplo se puede hallar en el proceso de investigación y desarrollo. Cuando el responsable de evaluar como se pueden mejorar las operaciones da un vistazo a lo que hace la competencia y estima que nos están ganando debido a sus inversiones en Tecnologías de la Información, es imperativo calcular en base a escenarios qué ganará la competencia con esta ventaja. Esto se mide en “ventas pérdidas”, “clientes perdidos”, “ventas no realizadas” y conceptos similares, que tendrán un entendimiento claro a partir de las comparaciones realizadas con datos de nuestros competidores. Esos datos son los que hay que mostrar a la Alta Dirección para lograr decisiones de inversión.
Con esto aprendemos que la decisión financiera de las inversiones siempre tiene que realizarse. Lo único nuevo es que los datos con los que se analizará deben de salir del departamento de TI, en lugar de salir de cálculos netamente financieros. De esta forma se logra tomar decisiones más informadas, que ayudan a la organización en el logro de objetivos.
La Estrategia de TI
Suena familiar hablar de planes relacionados con inversiones en Tecnologías de la Información en las empresas, siempre se está planeando el próximo “Gran Proyecto”, la siguiente “Gran adquisición”. Es importante que todas estas acciones tengan una razón de ser, analizada previamente, planificada, que contribuya a cumplir metas previstas y que aporte a los objetivos de negocio. Esto se logra mediante un ejercicio de planificación detallada, que permita establecer objetivos claros para el área de TI, con metas cuantificables que tengan hitos que permitan realizar una evaluación permanente del avance logrado. Adicionalmente, se debe de establecer “la estrategia de TI”. No podemos planificar sin establecer una estrategia, sin definir claramente la línea de acción que dirigirá todas las acciones. La estrategia permitirá que todos los proyectos y adquisiciones contribuyan de una manera simbiótica al logro de metas.
En un mundo con múltiples elecciones a la hora de elegir tecnologías, la definición de una estrategia permitirá tomar decisiones tajantes respecto a que hacer y que no. Esto evita la creación de círculos de prueba de tecnologías en las empresas. Por ejemplo, si al momento de definir una estrategia se ha optado por un ERP específico, probablemente, el ejercicio de solución de nuevos problemas pasará siempre por el análisis de si el ERP ya nos resuelve el problema, añadiendo un módulo o realizando una programación adicional, versus, la adquisición de una aplicación adicional o el desarrollo de una nueva. Definir una estrategia de TI es un ejercicio que permite seguir un patrón de planeación similar al de los fabricantes de tecnología, logrando un paralelo en cuanto al desarrollo de nuevas características de un producto y el aprovechamiento de dicha característica en la organización. Al momento de definir la estrategia de TI, se debe de realizar una investigación de la situación del mercado de tecnologías, que permita conocer cuales tecnologías tienen un ciclo creciente de desarrollo. Muchas organizaciones reciben la mala noticia de que la tecnología que han adquirido hace dos años ha iniciado un proceso de transición, lo que pone en riesgo el soporte, la creación de nuevas características y obliga a las organizaciones a reinvertir en un período corto.
La Gerencia de TI, a través de la definición de la estrategia, dirige no solo la adquisición de tecnologías, sino también el desarrollo del negocio, las características que le serán aportadas a partir de su soporte tecnológico, los procesos de negocio que facilitará. También define la forma en la que el recurso humano será desarrollado. Este último elemento es sumamente importante. Cada vez más, el mundo de las Tecnologías de la Información proporciona más información técnica que debe de ser asimilada por el personal de TI. Tener una tecnología y no usarla en su máxima expresión, es como tener inventarios en bodega, es dinero de la empresa que no esta aportando a la obtención de resultados. Por eso la estrategia de TI determina el entrenamiento que el personal de TI recibirá, para lograr alcanzar las metas establecidas.
La estrategia de TI incidirá en los procesos de negocio, la elección de la tecnología y el desarrollo del Recurso Humano.
Como mínimo, la estrategia de TI debe ser determinante en los procesos de negocio, la elección de tecnologías y los procesos de desarrollo del personal. Esto permitirá a la gestión de TI incidir efectivamente en la organización.
El Riesgo Operativo y Tecnológico.
Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.
El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.
El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información. Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.
Impacto de la gestión de TI en la economía
El término ITSM, Information Technology Service Management, en español, Gestión del Servicio de las Tecnologías de la Información, ha sido acuñado a partir de la gran difusión que ha tenido la Biblioteca de Infraestructura de Tecnologías de la Información, conocida como ITIL (Information Technology Infrastructure Library) en la gestión de los servicios de TI. El objetivo de este artículo es dirigir la atención a los orígenes de estas prácticas, que para sorpresa de muchos, viene del sector gobierno, más que de los fabricantes de tecnologías o institutos de investigación.
Si buscamos al propietario intelectual de ITIL, encontramos que es la Oficina del Gabinete del Reino Unido, una entidad que se encuentra en el centro del gobierno, destinada a coordinar y soportar a todas las áreas de gobierno en dicho país. Si nos remontamos a los orígenes de ITIL, hallaremos que nació de una organización llamada Oficina de Comercio Gubernamental, Office of Government Commerce. Esta organización es responsable de la creación de ITIL y otros marcos de referencia en áreas como la administración de proyectos, la administración de programas y la gestión de riesgos. Lo interesante de estos modelos, es que no solo fueron elaborados para dirigir las prácticas gubernamentales en dichas áreas, sino que han sido incorporadas como propiedad intelectual del Reino Unido y se han hecho disponibles, a través de medios comerciales para el uso en todo el mundo.
Lo que debe de llamar la atención es que estás prácticas fueron definidas por el Gobierno del Reino Unido como necesarias para poder coordinar las adquisiciones de tecnología con los procesos de atención a los ciudadanos, los clientes, en un ambiente que busca la optimización de recursos a través de la eficacia y la eficiencia. No puedo pensar de una organización, gubernamental o privada, que no busque estos mismos objetivos en sus operaciones. En general, la adopción de estas prácticas, terminará impactando en la economía global de cada nación. Por ejemplo, el reino unido, a través de la oficina del gabinete, reporta para este año ahorros por £5.5 billones, de los cuales más de £1 billón están relacionados a las iniciativas de las Tecnologías de la Información y Comunicaciones. La medición de estos ahorros, no sería posible, sino se estuviesen siguiendo metodologías que permitan conocer el nivel de inversión y el costo real de las operaciones en TI, que es el verdadero control que interesa a los gobiernos y a las empresas.
Hay que entender bien, que el Reino Unido no es un gobierno que limita el uso de las tecnologías de la Información como un medio para reducir gastos. Más bien, lo utiliza como un instrumento de optimización de procesos de negocio, en un marco de procesos de gestión de TI, estandarizado, que permite tomar las decisiones correctas para invertir en TI y hacer un uso óptimo de dicha inversión. La misma tendencia es observada en otros países como Estados Unidos, Japón y Corea del Sur. Estos países están, desde hace más de 15 años, siguiendo el paso de una Economía digital, que se basa cada vez más en el uso de las TI, que crece y que se gestiona a través de procesos de gestión de TI, ya sean estos los que indique ITIL, COBIT u otro estándar o norma similar. Empresas privadas en estos países, siguen la misma tendencia de sus gobiernos, gestionando el uso de las Tecnologías de la Información de similar manera, contribuyendo a la creación de una mejor economía.
Gestión y Auditoría de TI 