Sistemas confiables como las personas que las operan
Brindarles demasiada autonomía a los usuarios en los sistemas de información es igual de riesgoso que no brindarles dicha autonomía, entonces, queda a criterio del responsable de la información de la organización, establecer controles que no creen ineficiencia operativa ni tampoco cargas innecesarias de trabajo. Veamos qué características apoyan al responsable a generar una sólida base de autonomía.
Valores básicos de gobierno
Siempre tenga en cuenta que los sistemas de información sirven para las tomas de decisiones, por lo tanto se necesita integridad y sostenga la confianza y veracidad de la información. Además se debe mantener un grado de independencia que permita la imparcialidad, es decir, todos los colaboradores deben tener claro que no pueden ser juez y parte de la gestión de la información en la organización, por lo tanto se deberá velar por una área o equipo de auditoría que permita ello, generando así una supervisión adecuada de los informes de auditoría de todas las áreas en todos los niveles. La rendición de cuentas es el foco principal de gobierno y permitirá reforzar la responsabilidad en la organización, y evitar mirarse las caras sin saber qué hacer en los momentos complicados de las operaciones diarias, y si hay algo que los auditores utilizarán para medir esta eficiencia de gobierno, son los controles internos, los cuales determinarán el nivel de cumplimiento a las políticas establecidas. Y si se pregunta ¿A qué se debe todo esto? ¿Qué permitirá? permitirá que los movimientos de la organización sea más transparentes ante el escrutinio público o privado. Sin embargo, recuerde que quienes mueven la organización son humanos y pueden ser convencidos a realizar actos ilícitos contra la organización, por lo tanto que de Ud. convencer al recurso humano a entender los beneficios y penalidades (que se sugieren que sean los más graves posibles) a las que está sujeto su cumplimiento con las políticas de la organización.
¿Quién en la empresa debe velar entonces por el cumplimiento de las políticas?
En una organización con tendencia a crecimiento, la estructura consiste en contar con un Gerente General quien se apoya en el Gerente de Operaciones, Gerente de Finanzas y Gerente de TI. Supongamos que la organización es una entidad financiera que debe cumplir con leyes y normas de la SBS, o una empresa de manufactura cuyo sistema debe cumplir con las exigencias de facturación electrónica impuestas por SUNAT, entonces, teóricamente, estas normas o leyes están establecidas conceptualmente para áreas como finanzas, legal, contabilidad, etc. pero en el fondo, y nos atrevemos decir a que siempre cae el peso en el sistema de información que gestionará el cumplimiento, es por ello que al área de TI suele verse como área que retrasa proyectos, por sus barreras técnicas que manifiesta, pero no debería verse de esa manera. Pero ahora, con lo explicado anteriormente, los de TI deben velar por los controles internos y además por establecer generadores confiables de reportes de escrutinios de auditoría.
El papel de TI
Entonces, los responsables de TI deben tener un profundo entendimiento de las leyes a las que está sujeta la organización y alinear sus sistemas de información para tal cumplimiento legal, tributaria o según la obligación impuesta. Además deben evitar la dependencia de intervención humana, haciendo que los procesos sean más automatizados al flujo de información y gestión de registros.
Consejo audit
Queda claro entonces que el chip del responsable de TI debe presentar una visión holística del tratamiento de la información, así mismo los demás gerentes deben tener claro que los sistemas de información hoy en día necesitan cada vez más controles y por ende necesitará comprender más los tiempos y presupuestos propuestos por el área de TI. La seguridad de la información ante amenazas externas o internas en la organización debe buscar gestionar de una manera adecuada los riesgos sin aumentar la burocracia.