El Gobierno de TI viene adquiriendo cada vez más importancia a nivel mundial gracias a las grandes ventajas y al valor que agrega a la organización y a sus stakeholders.
Recordemos que el Gobierno de TI es responsabilidad de el Board de directores y la gestión ejecutiva. Es una parte integral del Gobierno Corporativo y está compuesto por el liderazgo y las estructuras organizacionales y procesos que aseguran que TI soporta y apoya las estrategias y objetivos de la organización[1].
La banca latinoamericana ha venido promoviendo la necesidad del Gobierno de TI como elemento fundamental para la gestión de riesgos y la implementacion de controles. Costa Rica se ha convertido en un país referente en esta temática.
El Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF) de Costa Rica ha emitido reglamentaciones tendientes a la implementacion del gobierno de TI, dando plazos específicos para su implementacion y promoviendo la mejoras de procesos de TI, facilitando la evaluación de dichos procesos y la verificación de su cumplimiento.
Con base en lo anterior, contactamos a la Superintendencia General de Entidades Financieras (SUGEF) quien nos proporcionó la siguiente informacion relacionada con este tema y que nos permite conocer como ha sido la evolución y cuál ha sido el valor ganado con la implementacion del sistema de gobierno de informacion y tecnología:
- “El Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), mediante artículo 6 del acta de la sesión 773-2009 del 20 de febrero del 2009, aprobó el Reglamento sobre la gestión de la tecnología de información, Acuerdo SUGEF 14-09, el cual incorporó los criterios y metodología para la evaluación y calificación de la gestión de la tecnología de información para las entidades fiscalizadas por la Superintendencia General de Entidades Financieras (SUGEF).
Adicionalmente, mediante sesiones celebradas el 13 y el 20 de marzo del 2017 respectivamente, el CONASSIF aprobó el Reglamento General de Gestión de la Tecnología de Información, cuya nomenclatura, a partir de 2022, corresponde a Acuerdo CONASSIF 5-17. Este reglamento establece los requerimientos mínimos para la gestión de la tecnología de información que deben acatar las entidades supervisadas y reguladas del sistema financiero costarricense. El Acuerdo SUGEF 14-09 quedó derogado a partir de la entrada en vigor del nuevo reglamento.
La regulación de Tecnologías de Información ha tenido una constante evolución a través de los años. Se ha pasado de tener una normativa basada en controles generales de TI a una normativa transversal basada en un marco de referencia internacional para la gestión de las Tecnologías de Información (COBIT™).
El reglamento General de Gestión de la Tecnología de Información, Acuerdo CONASSIF 5-17 considera:
- Cubrimiento transversal a cuatro superintendencias (SUGEF, SUGEVAL, SUGESE y SUPEN).
- Marco de Gestión referencia a COBIT™
- Permite su alineación a Supervisión Basada en Riesgos.
- Uso de Auditoría Externa de TI para abarcar la totalidad de entidades supervisadas por las cuatro Superintendencias.
- Decisión de apoyarse en COBIT™
Marcos de referencia como COBIT™ e ITIL y estándares como ISO gozan en la actualidad de aceptación general, desde la visión del supervisor; COBIT™ es un marco apropiado que se ajusta al negocio y facilita que las organizaciones desarrollen un ambiente de control que responda a las necesidades del negocio, además de estandarizar procesos de TI, limitar desviaciones de los objetivos de negocio y particularmente lograr un balance entre los riesgos que introduce la tecnología de información y su aporte de valor al desempeño y rentabilidad. Estos marcos igualmente permiten el desarrollo del enfoque de supervisión basada en riesgos.
- Selección de los procesos a implementar:
Las entidades supervisadas son responsables de planificar, implementar, controlar y mantener un marco de gestión de TI, conforme a los procesos descritos en los Lineamientos Generales incorporados en el reglamento y considerando los riesgos de TI establecidos en la gestión integral de riesgos aprobada por el Órgano de Dirección de cada una de las entidades.
El marco de gestión de TI debe formularse, considerando las particularidades de cada entidad supervisada, en atención a su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y la dependencia tecnológica. Cualquier otra particularidad o aspecto puede ser considerado por la entidad supervisada o por la Superintendencia. Los procesos del marco de gestión de TI que no aplican para su modelo de negocio deben ser justificados razonadamente mediante un estudio técnico.
En el Anexo 1 del reglamento se indican los procesos del Marco de Gestión de TI[2]. Las entidades supervisadas deberán determinar cuáles de esos procesos resultan adecuados a su Marco de Gestión de TI, todo debidamente fundamentado y aprobado por su Órgano de Dirección.
- Resultado del cumplimiento de la norma
Para lograr cubrir la supervisión de TI en la totalidad de la entidades supervisadas bajo los principios del modelo de supervisión basado en Riesgos, la reglamentación actual otorga a las Superintendencias la potestad de solicitar y apoyarse en auditorías externas de TI para que mediante un alcance definido por los supervisores, se evalúen los controles implementados en los procesos tecnológicos establecidos en el Marco de Gestión de TI y otras áreas de riesgos prioritarios para la supervisión.
El criterio de los resultados de las evaluaciones realizadas por las auditorías externas de TI es remitido por las Superintendencias a las entidades supervisadas mediante un Reporte de Supervisión, donde se señalan las oportunidades de mejora y la calificación de cada proceso evaluado; en caso de ser necesario, se solicita implementar un plan de acción para la gestión de dichas oportunidades.
Los Superintendentes, cuando corresponda a su modelo de supervisión definido reglamentariamente y aprobado por el CONASSIF, emitirán la calificación sobre el riesgo de TI de la entidad supervisada.”
Como se puede apreciar, Costa Rica reglamentó un modelo de gobierno de TI que facilita su supervisión permitiendo que las entidades financieras evolucionen con la mejora de sus procesos de TI.
[1] Board Briefing on IT Governance, IT Governance Institute, pg.9
[2] El Anexo 1 considera 35 procesos definidos en COBIT™ (nota del autor)
Ingeniero de Sistemas, Especialista en Auditoría de Sistemas, con certificaciones CISA, CISM, CSXF y CRISC; CoBiT 5 Certified Assessor y entrenador CobiT 2019. Con más de 25 años de experiencia en importantes empresas nacionales y multinacionales en las áreas de seguridad de la información y ciberseguridad, riesgos y auditoría de sistemas. Evaluador, diseñador e implementador de Gobierno de TI. Experiencia Docente y conferencista internacional. Fue Vicepresidente Internacional de ISACA y del ITGI (IT Governance Institute), miembro del IT Governance Committee de ISACA. Premio John Kuyers Best Speaker / Conference Contributor Award de ISACA.
Debe estar conectado para enviar un comentario.