¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta.
Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la norma ISO/IEC 38500:2008, Corporate Governance of Information Technology, ocurrida hace dos años.
La aparición, en aquellos momentos, de una norma de alcance internacional, como la citada, constituyó, cuando menos, un hito “ilusionante”; y ello, por dos motivos:
-
en primer lugar, el respaldo de ISO no debía, sino suponer la, ampliamente esperada, puesta de largo de una disciplina que había venido cocinándose, durante una década, en los fogones de otras reputadas y respetadas instituciones como el IT Governance Institute, de ISACA, o la Escuela de Dirección Sloan, del MIT; y,
-
por otro lado, la norma, de manera relativamente escueta, pero clara, apuntaba hacia la esencia del concepto de ‘buen gobierno corporativo’, hundiendo su raiz en el “Informe Cadbury“; e identificando, con esa misma nitidez, a los individuos que deberían recoger el mensaje enviado, a duo, por ISO e IEC: los consejeros y miembros de la alta dirección de las organizaciones.
La perspectiva aportada por los dos años transcurridos permite analizar si tales expectativas se han cumplido.
ISO
Con respecto al primer punto, los hechos muestran cómo, lamentablemente, la contribución de ISO no ha sido -no está siendo- adecuadamente entendida; dando al traste, al menos de momento, con el deseo expresado desde ‘Gobernanza de TI‘ -”¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!“- en la crónica publicada hace ahora un año.
Lo que debería haber sido un paso a la mayoría de edad de la disciplina del Gobierno Corporativo de TI -y un distanciamiento de los ámbitos estrictamente académicos (MIT) y profesional-sectoriales (ISACA)-, gracias al amplio reconocimiento público de la “marca” ISO, ha devenido en una banalización del mensaje transmitido. Banalización que tiene su origen, como se ha apuntado, en la falta de comprensión de la orientación y objetivos de la norma, como demuestran afirmaciones del estilo: “¡Vaya una norma, si no dice nada!“, o interpretaciones erróneas que tratan de “implantarla” como si de una norma ISO, al uso, se tratase.
Lo que dice la norma
Por supuesto que dice, y mucho. Hay que saber leerla. No debe confundir el hecho de que lo diga en pocas páginas. Quienes realmente deberían leerla -no parece que lo estén haciendo- a buen seguro que sabrían interpretar con claridad lo que les dice y sacarle el debido partido. (Ello, básicamente, debido al carácter trivial y de sentido común de los mensajes que encierra).
La propia norma comienza avisando de su intencionalidad, que no es otra que la de “asesorar” a quienes tienen responsabilidades sobre el correcto funcionamiento de las organizaciones, en relación al papel que les toca jugar respecto de las TI -sustento, en gran medida de la actividad de aquellas-. Y finaliza definiendo y detallando media docena de principios generales para el Buen Gobierno Corporativo de las TIC: responsabilidad, estrategia, inversión, conformidad, rendimiento y comportamiento.
Si Ud. echa de menos un mayor nivel de detalle -procesos, procedimientos, instrucciones técnicas concretas, …- para poner esos seis principios en marcha, disculpe la franqueza, pero, claramente, no se encontrará Ud. entre los destinatarios naturales de la norma; o, lo que es, aún, peor, Ud. no se habrá enterado de nada.
Sobre la supuesta “implantación”
Al hilo del anterior comentario, y en el marco general de banalización de la norma, se oye hablar, no pocas veces, de “implantarla”; e, incluso -los más osados- de desplegar un sistema de gestión, en torno a ella, como si de una norma de calidad, al uso, se tratase.
Lo que debe hacer Ud. con la norma ISO 38500, o más concretamente, con sus seis principios generales, es adoptarlos; esto es, hacerlos suyos e incorporarlos a la cultura y al día a día de la organización. Como dicen los amigos Manolo Palao y Ricardo Bría (1), una norma como ésta ha de ser sometida a un proceso de ad@ptación (léase, “adoptación“), una combinación de adopción y adaptación a las particularidades micropolíticas de la organización.
Naturalmente, ya vendrá después la necesaria puesta en marcha de una serie de mecanismos [de Buen Gobierno] que faciliten tal “adoptación”.
Optar por un enfoque diferente, no supondrá, sino un alejamiento de la intencionalidad original de la norma y una delimitación del mensaje de Gobierno Corporativo de TI al perímetro del Departamento de Calidad, como se está observando en más de una organización.
Moraleja
Si Ud. quiere llevar el mensaje de Gobierno Corporativo de TI a sus verdaderos destinatarios, hábleles de principios como los citados en este artículo (a lo mejor, tiene suerte y están dispuestos a adherirse a ellos). Si, por el contrario, se conforma con seguir discutiendo con sus iguales en los foros profesionales dispuestos a tal fin, siga ejercitando su memoria e incorporando como parte de su lenguaje la extensa codificación empleada por los cuerpos normativos del panorama internacional.
Los destinatarios
El análisis de la segunda expectativa creada hace dos años con la publicación de la norma ISO/IEC 38500:2008 obliga a reconocer, igualmente, que la comunidad que mejor acogida le ha dado es la conformada por los profesionales de los SSII y las TIC, a los que, como es evidente, no iba estrictamente dirigida.
El vals del Elefante
Fue precisamente ese hecho, esa realidad, la que empujó al australiano Mark Toomey -co-autor de las normas AS 8015-2005, ISO/IEC 38500:2008 y, más recientemente, AS/NZS 8016(Int):2010- a escribir su libro “Waltzing with the Elephant“, un intento de transmitir el verdadero significado de la norma ISO 38500, a sus oportunos destinatarios.
La obra, de lectura absolutamente recomendable, nació -según ha declarado el propio Toomey- con el objetivo de poner las cosas en su sitio, de ejercer un cierto acto de rebeldía frente a una evidente y aplastante realidad: eran los profesionales informáticos los que, de forma mayoritaria, acudían a los foros de debate abiertos durante la elaboración de la norma (subcomités y grupos de trabajo de Australian Standards, de ISO, …).
Los foros de normalización
ISO ha sabido resolver el problema -sólo parcialmente- mediante la creación, a finales de 2008, de un grupo de trabajo específico (WG6), e independiente del resto de subcomités y grupos de trabajo sobre Tecnologías de la Información, que componen el Comité Técnico Conjunto 1 (JTC1), paraguas de todos ellos. El WG6 está dedicado, en exclusiva, al estudio y desarrollo de normativa en torno a la disciplina del Gobierno Corporativo de TI. Ahora sólo falta que ISO sea capaz de atraer al mismo a otros profesionales, procedentes del ámbito de la dirección empresarial.
En España, AENOR, aún no ha dado ese paso. El desarrollo normativo del Buen Gobierno Corporativo en materia de TIC está todavía excesivamente ligado (cercano) al de otras disciplinas no menos importantes en materia de TI, como son las relativas a la Gestión de los Servicios Informáticos; pero cuya forzada “proximidad” no hace sino dificultar la correcta difusión del espíritu de la norma ISO/IEC 38500:2008.
Moraleja
Parafraseando a G. Vaughn Jhonson (2) -”la Informática es demasiado importante como para dejarla en manos de los informáticos“-, cabe sugerir que ISO, AENOR y los demás organismos normalizadores deberían echarnos -disculpen esta gotita de protagonismo- de estos grupos de trabajo, a todos los informáticos, procediendo a su refundación y habilitando la entrada en ellos, únicamente, a individuos procedentes de los órganos de gobierno de las corporaciones privadas y entidades de la Administración.
En suma, ¿cuál habrá de ser el camino?
Aún reconociendo la trascendencia de hitos como la publicación de la norma ISO 38500, tal vez, la manera más adecuada de llegar a los miembros de los Consejos de Administración y a los responsables de dirigir las organizaciones, no haya de venir por ahí, y sí por la vía de otros esfuerzos reguladores/normativos como podría ser una revisión y mayor desarrollo de los Códigos de Buen Gobierno Corporativo. El Código e Informe “King III” en Sudáfrica constituyen un claro ejemplo de ello.
De otro modo, habría que preguntarse, también, ¿qué le está faltando a la Gobernanza de TI para alcanzar los niveles de identificación y aceptación que, a nivel directivo, están teniendo otras disciplinas como la Sostenibilidad y la Responsabilidad Social Corporativa? (Por cierto, ámbitos para los que también existe, dentro del mundo ISO, un determinado desarrollo normativo).
Artículos relacionados
Domingo, 13-junio-2010 at 11:57 pm
Hola Miguel,
muchas gracias por tu claridad para contar que es lo que esta pasando en estos dos años.La informática es muy importante cuando se la aplica para la transformación de los procesos empresarios y me permiten generar ventajas competitivas a mi organización.
Ahora bien cuando la gente de informática genera una norma para que los Directores de las empresas tengan que aprender como Gestionar TI, ocurre lo que vemos. La comunidad de TI adopta la norma pero los ejecutivos no, porqué?.
Primero porque se cansan que les digamos lo que tienen que hacer, o acaso los CFO le dicen a su Directorio como deben gestionar las finanzas, o la gente de producción les hace leer las normas ISO 20000 para que sepan como hablar con ellos.
Como bien dice Mark Toomey en su última Letter, los directores son generalistas y como tal aplican siempre el pensamiento generalista y, en sus funciones esta implicito el ciclo Evaluar – Dirigir – Controlar. Lo que ocure es que desde la normativa les queremos decir a los Directores de empresas como deben hacer su trabajo y creo que comentemos un error, ellos saben como hacer su trabajo y desde TI no podemos enseñarles, todo lo contrario, desde TI los confundimos porque le hablamos del valor que genera TI pero cuando ellos ven el presupuesto, nuestros grandes proyectos son;
Computacion en la nube
Migrar versiones de sistemas operativos
Virtualizar
Migrar versiones de ERP
Green IT
¡Los proyectos que la propia industria de TI quiere que vendamos a nuestro directorio!
Para ejemplificar, basta con leer el papelon de Steve Ballmer frente a CEOs de USA cuando quizo explicar que es computación en la nube, te pregunto ¿eso le interesa a los CEO?, definitivamente NO, lo que les interesa es que les mostremos como apalancar el valor de la acción de empresa gracias a TI y eso, mi estimado amigo, no se logra con una norma o una certificación de TI.
Si los profesionales de TI queremos involucrar a los directores de la empresa, lo primero que tenemos que hacer es no tratar de enseñarles como hacer su trabajo, debemos mostrarle que nosotros hacemos el trabajo de TI para ganar mayor valor de mercado de nuestra empresa, mientras TI siga haciendo lo que la industria de TI quiere que haga, nunca podremos salir de este círculo de imcomprendidos en los directorios.
La otra cosa que tenemos que hacer desde TI es aprender un lenguaje completamente nuevo que no pase por nuestras normas, siglas y acronismos.
Cordiales Saludos
Carlos Francavilla
Lunes, 14-junio-2010 at 6:41 am
Hola Carlos:
En primer lugar, muchas gracias por dedicar tu tiempo a esta humilde bitácora.
Tus comentarios, como siempre, además de bienvenidos, no pueden ser más enriquecedores.
En cuanto al mensaje, creo que no podemos estar más de acuerdo. Al final, se trata de quitarnos la venda de los ojos y reconocer que seguimos pecando de ser excesivamente “endogámicos”.
Como puedes suponer, a pesar de mi sugerencia, no alcanzo a ver a ningún directivo de empresa involucrándose en ningún comité técnico de ISO.
Quizás, otra cosa sea el ámbito de la normativa que va, directamente, orientada a los Consejos de Administración: Códigos de Buen Gobierno y afines.
Y del mismo modo, también los foros que les son cercanos, serían el catalizador perfecto para hacerles ver su responsabilidad sobre ese activo que es la información y la tecnología que la sustenta. Me refiero a foros como el IoD británico, el IC-A español, etc. Y, por supuesto, sin olvidar los organismos reguladores.
Esa adhesión de la gente de empresa a principios de Buen Gobierno Corporativo de las TIC, llegará, como bien dices, cuando sean conscientes de la contribución de las TI a sus organizaciones.
Naturalmente, no a todas las organizaciones llegará dicha contribución; pero en aquellas a las que llegue, no hará falta advertírselo a sus directivos. Ellos solos se darán cuenta y no hará falta empujarles para que tomen cartas en el asunto (para que tomen las riendas de sus TI).
Un abrazo,
Miguel
Lunes, 14-junio-2010 at 6:06 pm
Hola Gracias por tus palabras y coincido contigo, si queremos que los directivos de las empresas se involucren con TI, busquémoslos donde ellos están y no al revés. Dificilmente ellos se acercarán a un grupo técnico de desarrollo de una norma ISO, sea de TI o de cualquier otroa especialidad.
Los organismos reguladores a medidan que mencionen el tema lograran que ellos pregunten un poco más pero no que se involucren en un comité.
Un abrazo
Lunes, 14-junio-2010 at 12:05 am
[...] ¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta. Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la no … Read More [...]
Domingo, 25-julio-2010 at 5:35 pm
[...] Contenido completo en Gobernanza de IT [...]
Domingo, 30-enero-2011 at 12:16 pm
[...] Dos años de ISO 38500: ¿es éste el camino? [...]
Viernes, 22-abril-2011 at 5:41 pm
[...] Dos años de ISO 38500: ¿es éste el camino? [...]