Riesgo, control y decisión tecnológica

Por. Oswaldo Bravo, presidente ISACA.

En muchas organizaciones ecuatorianas, la discusión sobre tecnología se concentra en cómo se gobierna, cómo se gestionan los riesgos y en el nivel de confianza que ofrecen los sistemas que sostienen la operación. La tecnología deja de verse como un componente aislado y pasa a analizarse desde su impacto en la toma de decisiones, el control y la continuidad del negocio.

COBIT es la herramienta metodológica de gobierno de TI más utilizada en el país. Su valor radica en que permite alinear los objetivos estratégicos de la empresa con su infraestructura tecnológica, buscando que la información y la tecnología generen valor real y reduzcan la exposición al riesgo. Modelos como ITIL, ISO 38500 o TOGAF abordan ámbitos específicos, pero no cubren el alcance que ofrece COBIT. Este marco proporciona un modelo integrado de gobernanza que permite a los directivos evaluar el desempeño de TI mediante procesos definidos, roles claros y métricas.

Al analizar las debilidades de control interno y gestión del riesgo que se repiten con mayor frecuencia, la segregación de funciones aparece como una de las más comunes, sin importar el tamaño de la organización. También se observan falencias en la gestión de accesos, ausencia de monitoreo continuo y limitaciones en la capacitación del personal en temas de seguridad. Son aspectos que requieren refuerzo permanente. El presupuesto suele convertirse en la principal amenaza, por lo que resulta necesario justificar las iniciativas y actuar a tiempo para que la materialización de riesgos afecte lo menos posible a la organización.

Las capacidades que deberían desarrollar los CIOs y directivos están relacionadas con la anticipación, la preparación y la organización frente a escenarios de incertidumbre. Contar con información necesaria y oportuna es indispensable para apoyar la toma de decisiones. Los riesgos que rodean a las empresas deben ser analizados, evaluados y tratados de forma proactiva, considerando que los entes de control son cada vez más exigentes y operan bajo criterios globales que demandan un mayor nivel de preparación.

El papel de ISACA se orienta principalmente a la formación y profesionalización. La organización parte de la premisa de que el desarrollo del gobierno de TI y de todo lo que lo involucra comienza fortaleciendo la estructura interna de las empresas, mediante la capacitación de ejecutivos y profesionales en riesgos y controles de TI, seguridad, auditoría y privacidad. Las certificaciones profesionales aportan herramientas para una gestión adecuada y, además, se están convirtiendo en un requisito recurrente de entes de control y organismos multilaterales que supervisan los avances en control y desarrollo empresarial.