1 – Definición de estructuras de gobierno corporativo TIC eficaces


La Gobernanza de TI es el proceso de toma de decisiones en torno al USO de las TIC.

 

Artículos relacionados

El pasado jueves, día 6, el Hotel Holiday Inn Madrid  -habitual lugar de celebración de los últimos encuentros profesionales del capítulo local de ISACA-,  fue testigo de la que hacía el número veintisiete en la cuenta particular de Charlas Técnicas de la Asociación madrileña. El lema escogido en esta ocasión, “Presentación del Cuaderno de ISACA Madrid, Nº 1: ‘Guía Breve de Autoevaluación del Gobierno Corporativo de TI’“, anunciaba con toda claridad la orientación de la Charla y el contenido de la misma.

De ese modo, coincidiendo con el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (CoBGCTIC) del Capítulo de Madrid de ISACA, tanto su responsable, D. Miguel García Menéndez, como la coordinadora del subcomité (SC1) de la citada Comisión, Dña. Mª José Carmona Carmona, ofrecieron una detallada descripción de las labores realizadas por este grupo de trabajo dentro de la CoBGCTIC.

Para empezar, el primer ponente trató de justificar y contextualizar la disciplina del Gobierno Corporativo de TI en el ámbito de ISACA, recordando los pasos dados en los últimos años, desde la Organización, a nivel internacional, y citando los datos ofrecidos durante la presentación de la estrategia 2009-2011, en abril del pasado año, por la, entonces, Presidente Internacional de la Asociación, la Srta. Dña. Lynn Lawton. Como parte de aquella presentación, la Srta. Lawton apuntaba a la necesidad de orientar más esfuerzos a los nada desdeñables casi nueve millones de profesionales generalistas de las TIC existentes en el panorama global e informaba sobre el hecho de que dicho colectivo constituía el segmento de mayor crecimiento dentro de la Asociación. Tras este recordatorio, el Sr. García continuó haciendo un breve repaso a las principales iniciativas impulsadas por la actual Junta Directiva de ISACA Madrid en el ámbito de la Gobernanza TIC, desde noviembre de 2008, una de las cuales ha sido la puesta en marcha de la mencionada CoBGCTIC. En este punto dió paso a la Sra. Carmona.

Dña. Mª José describió los objetivos que se había planteado el SC1 en el momento de su creación. Dichas metas habían quedado establecidas en torno a la elaboración de una guía que sirviese de punto de entrada a la disciplina del Gobierno Corporativo de TI. Ello se materializaría mediante la puesta a disposición de los profesionales del sector, y resto de individuos interesados, de una batería de cuestiones que permitiesen obtener una visión preliminar sobre el grado de adopción de los mecanismos de gobernanza TIC, en el seno de una organización. Asimismo, la Sra. Carmona comentó brevemente la estructura del nuevo texto “Gobierno Corporativo de TI. Guía de Autoevaluación”  -basada en la norma ISO/IEC 38500:2008. Corporate Gobernance of IT-  y la herramienta que la acompaña, pasando a ceder la palabra al resto de miembros del SC1, a quienes presentó: Dña. Mª Jesús Casado Robledo, D. Juan José Huerta Díaz y Dña. Mª Cristina Bausá Rosa; y cuyas intervenciones se produjeron a continuación.

La Sra. Casado, a través de una detallada descripción del fresco del S. XIV “Effetti del Buon Governo (Alegoría del Buen Gobierno)” del maestro Ambrogio Lorenzetti, que, aún hoy, adorna las paredes del Palacio Comunal de Siena (Italia), introdujo los conceptos básicos subyacentes al Gobierno Corporativo de TI. Como base de tales conceptos, destacó su naturaleza fronteriza  -una responsabilidad a medio camino entre la alta dirección de la organización y la dirección de TI-  lo que le sirvió para justificar los dos primeros bloques de la Guía relativos, respectivamente, al papel de los Consejos de Administración/Comités de Dirección en relación a las TI; y, asimismo, a la ubicación de la Función de TI en el marco del Gobierno Corporativo de la organización.

Seguidamente, D. Juan José repasó el tercer y último bloque del documento, mediante un rápido recorrido por los seis principios generales del Buen Gobierno Corporativo de las TIC recogidos en la norma ISO 38500  -responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana-. Durante su exposición, el Sr. Huerta explicó cómo la Guía desarrolla una batería de preguntas específicas para cada uno de tales principios, conformandose, así, el núcleo principal del cuestionario de autoevaluación.

Por último, Dña. Cristina desarrolló, en cierto detalle, la estructura y funcionamiento de la herramienta que acompaña al texto “Gobierno Corporativo de TI. Guía breve de Autoevaluación“. Basada en una hoja de cálculo, incorpora la posibilidad de cumplimentar los cuestionarios de la Guía en soporte electrónico, presentando automáticamente un informe con el resultado de la evaluación. Adicionalmente, como complemento al resultado obtenido, ofrece una serie de recomendaciones sobre los controles más pertinentes para contrarrestar las debilidades detectadas en el marco de Gobierno Corporativo de TI evaluado.

Tras este hito inicial con el que, además, se ha inaugurado la nueva serie bibliográfica del capítulo local  – “Cuadernos de ISACA Madrid“-  se emplazó a los asistentes a asistir a próximos anuncios de la Comisión. Los trabajos actualmente en ejecución por parte del resto de subcomités de la CoBGCTIC  -SC2, SC3 y SC4-  verán la luz, previsiblemente, tras el verano; y podrán ser presentados durante la celebración de las Jornadas 2010 de la Asociación, que tendrán lugar los próximos días 28 y 29 de septiembre.

Mientras tanto, disfruten de este “Cuaderno nº 1“. Ha quedado disponible en la zona de socios de la sede oficial del Capítulo.

¡Descárguenlo (o, pídanle a un amigo que lo comparta con Uds., :-))!

Si tienen alguna dificultad, o si desean hacerse, también, con la herramienta de autoevaluación, pónganse en contacto con la dirección-e administracion@isacamadrid.es.

 

Artículos relacionados

¡Habrá que confiar en que la FEF recoja el guante del gobierno de TI y lo refleje de manera explícita en su próxima entrega del que será, ya, Observatorio 2009!

Con esa frase finalizaba la breve crónica publicada por ‘Gobernanza de TI‘, hace apenas un año, sobre el acto de presentación de los resultados del ‘Observatorio de Gobierno Corporativo y Transparencia Informativa de las Sociedades Cotizadas en el Mercado Continuo Español. 2008‘ de la Fundación de Estudios Financieros (FEF).

En esta ocasión, y adelantándose notablemente a la fecha del ejercicio pasado, el Hotel Ritz de Madrid volvía a acoger, el pasado 9 de febrero, una nueva cita con la Fundación: la presentación del Observatorio de Gobierno Corporativo, en su edición 2009.

El numeroso público que ocupaba las sillas dispuestas para la ocasión en el salón Alfonso XIII  -un centenar largo de personas, sin contar los representantes de los medios de prensa acreditados-,  ofreció, ya, un primer balance muy positivo del interés, sin duda creciente, que en el mundo corporativo existe hacia esta disciplina.

A lo largo de la sesión, moderada por D. Xavier Adserà Gebellí, Presidente de la FEF, quien actuó de anfitrión, se ofrecieron sendas ponencias por parte de los miembros de la mesa: en primer lugar, intervino D. Rafel Crespí Cladera, Catedrático de Organización de Empresas del Departamento de Economía de la Empresa de la Universidad de las Islas Baleares; y, a continuación, lo hizo D. Juan Ramón Quintás Seoane, Presidente de la Confederación Española de Cajas de Ahorros (CECA), e invitado de honor de la jornada, quien ofreció una charla sobre el papel de las prácticas de Mal Gobierno Corporativo en el origen de la crisis actual, que sirvió de cierre de la sesión.

La intervención del Prof. Crespí giró en torno a la descripción de los trabajos realizados para la elaboración de este, ya, trigésimo segundo título de la colección “Papeles de la Fundación, en el que han sido analizadas un total de ciento treinta (130) empresas, cifra ligeramente inferior a la del año pasado. Cabe señalar, en este sentido, que han sido, precisamente, las empresas de servicios financieros las que más notablemente han visto reducido su número, pasando de las veintiuno (21) analizadas en la edición de 2008, a sólo diecisiete (17) en la actual.

Crespí realizó, asimismo, un repaso de los datos obtenidos en el estudio (relativos al ejercicio 2008) y los comparó con los del informe anterior (correspondientes a 2007), confirmando la tendencia, iniciada entonces, hacia un más que aceptable  -a su juicio-  cumplimiento, en términos generales, de las recomendaciones del “Código Unificado de Buen Gobierno” recogido en el “Informe del Grupo Especial de Trabajo sobre Buen Gobierno de las Sociedades Cotizadas“ (´Código Conthe‘).

Teniendo en cuenta que la labor encomendada al equipo de investigación no ha sido otra, como acaba de apuntarse, que la de revisar el grado de adhesión de las empresas analizadas al mencionado código; y, considerando las escasas referencias que en éste se recogen en relación a los Sistemas de Información  -más allá de lo establecido, principalmente, por su recomendación 47 sobre el papel del Comité y la función de Auditoría en torno a los mismos-,  no cabe, en principio, reproche alguno a la nula mención a las Tecnologías de la Información y las Comunicaciones (TIC) en la alocución ofrecida por el Prof. Crespí.

No obstante, se hace oportuno recordar la criticidad de dichas tecnologías en gran parte de las empresas analizadas  -muchas de ellas, si no la mayoría, con unos procesos de negocio altamente tecnificados-  y, por tanto, reinvidicar, o bien una evolución (ampliación) de las recomendaciones del “Código Unificado”  -sirva de ejemplo, una vez más, el ‘Informe King III‘-,  o bien la incorporación en el estudio de la FEF de un apartado específico sobre la dirección y control de las TI por parte de los órganos de gobierno de las empresas cotizadas.

El alejamiento de los hombres de empresa  -a quienes, de manera clara, iba dirigida la sesión-  respecto de sus responsabilidades en torno a uno de los activos clave que forman parte de sus organizaciones  -la información y sus tecnologías afines-  quedó patente, no sólo en la presentación del informe, sino, también, en la conferencia de clausura que corrió a cargo del Sr. Quintás.

D. Juan Ramón ofreció un resumen de su discurso pronunciado el pasado mes de octubre con motivo de la cena anual del Instituto de Consejeros-Administradores (IC-A), en el que dejó patente, una vez más, su interpretación de lo que denominó “la tecnificación de los consejos de administración“; esto es, su reforzamiento con profesionales de amplio bagaje en disciplinas como la Economía y el Derecho. No será ‘Gobernanza de TI‘ quien critique tal propuesta, siempre, claro está, que vaya acompañada de, si no conocimiento, al menos, sí, una razonable sensibilización de estos profesionales hacia el papel de juegan las tecnologías en la actividad de sus organizaciones.

 

Con un optimismo mantenido, permanezcan Uds. a la espera de los resultados 2010. Tal vez para entonces las TI acompañen a otros aspectos tratados por el Observatorio como la estructura de propiedad de las sociedades, la de sus consejos de administración o los derechos de los accionistas. Acaso, entre estos últimos, ¿no estaría el derecho a conocer el grado de eficacia, eficiencia, el valor aportado y los riesgos inherentes al uso de las tecnologías que, día a día, hacen posible la buena marcha de sus inversiones?

 

Artículos relacionados

  1. Observatorio de Gobierno Corporativo 2008 de la FEF
  2. Promoviendo el Buen Gobierno Empresarial [... ¿de las TI?]
  3. “King III” y el Gobierno Corporativo de las TIC
  4. Una “misiva” para la alta dirección

Como se había anunciado desde estas mismas páginas, el pasado viernes, día 20 de noviembre, llegaba a la Terminal 4 (T4) del Aeropuerto de Madrid-Barajas el vuelo de Iberia IB3515, procedente de Frankfurt (Alemania), con un esperado pasajero. A eso de las 10:45 de la mañana, y tras más de veinticinco horas de viaje, aparecía en el hall de llegadas de la citada terminal el especialista australiano en Gobierno Corporativo de TI, Mark Toomey.

La escala madrileña del autor de “Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology” formaba parte de un periplo más amplio, iniciado en Perth (Australia) y que continuaría, tras su paso por Madrid, en las ciudades de Frankfurt, donde, esta misma semana, tenía previsto ofrecer un curso de dos días de duración sobre “Fundamentos del Gobierno Corporativo de TI“, y Singapur, a donde acudiría con motivo de la reunión plenaria del grupo de trabajo JTC1/WG6 de ISO. Todo ello, antes de su regreso definitivo a Melbourne (Australia).

Gobernanza de TI ha tenido la oportunidad de acompañar al Sr. Toomey durante gran parte de los casi seis días que ha durado su estancia en Madrid y ha tenido ocasión de compartir e intercambiar con él una serie de impresiones sobre el Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones; sobre cómo el mercado  -y quiénes dentro de este mercado-  están siendo más proclives a acoger el mensaje subyacente a esa “nueva” disciplina; y, sobre el previsible desarrollo que, en este campo, se adivina.

Los párrafos que siguen tratan de ofrecer un resumen de tales reflexiones. El formato elegido en esta ocasión para presentar dichos comentarios  -una entrevista-  ayudará, sin duda, a trasladarles a Uds. los mensajes del Sr. Toomey y hará más dinámica la lectura de tales conclusiones.

Gobernanza de TI: Estimado Sr. Toomey, ¡bienvenido! Su primer viaje a España. ¿Qué impresiones se está llevando en estas primeras horas, casi minutos, desde su llegada?

Mark Toomey: Muchas gracias. Lo cierto es que lo que, apenas, he podido contemplar desde el avión no parece diferir mucho del paisaje australiano. Al llegar a Madrid hemos visto cómo, bajo nosotros, se extendía un amplio manto de color pardusco. Una tonalidad muy similar a la que, mayoritariamente, se puede observar en tierras australianas. La geología y la historia natural de la isla-continente han ayudado; el comportamiento del hombre blanco, tras su llegada, en relación al uso de los recursos naturales y del entorno, y la deforestación, han hecho el resto. Del mismo modo, confío en poder encontrar similitudes equivalentes entre ambos paises, en lo relativo al uso que se hace de las TI en el seno de las organizaciones y a la inquietud por ejercer sobre aquellas una dirección y control adecuados.

GdTI: Obviamente, es esto último lo que ha motivado su visita a España; pero, ¿podría comentar cómo nace su preocupación y qué pretende con ello?

MT: Tras una larga carrera en el mundo de las TI  -gran parte de ella en el sector financiero-,  a principios de esta década comencé a involucrarme y a colaborar con una nueva corriente que surgía en Australia a la sombra de ciertos escándalos y desastres económicos cuya raiz se hundía en el uso que, de las TIC, se había hecho en determinadas instituciones. Esa labor coral culminaría con la publicación, en enero de 2005, de la norma australiana AS8015:2005. Corporate governance of information and communication technology, germen de la posterior ISO/IEC 38500:2008. Corporate governance of information technology, publicada, finalmente, en junio de 2008. A partir de aquí, en los últimos tiempos he hecho de la difusión de los principios subyacentes al concepto de Buen Gobierno Corporativo de TI mi misión personal. De este modo, estoy tratando de concentrar todos mis esfuerzos en transmitir a las organizaciones la necesidad de poner en marcha sistemas que permitan ejercer las debidas actividades de evaluación, dirección y supervisión sobre el uso, presente y futuro, de sus propios recursos de TI.

GdTI: Claro fruto de dicho esfuerzo ha sido el libro “Waltzing with the Elephant“, publicado hace tres meses. ¿Por qué esa invitación a “bailar un vals con el elefante”?

MT: (Sonrisas). Bien, la idea parte de la expresión “the elephant in the room” (el elefante en la habitación). No se lo que ocurre en España (más sonrisas); pero en Australia no es habitual encontrarte un elefante en la habitación. De ocurrir, probablemente, lo primero que diríamos sería “¿qué diablos hace esto aquí?“. Esa es precisamente la percepción que, sobre las TI, parece existir entre los miembros de los consejos de administración de las organizaciones de hoy. En no pocas ocasiones la aparición de temas tecnológicos en las agendas de dichos consejeros parecen “desentonar” del curso normal de las reuniones del consejo. “¿Qué diablos hace ESTO aquí? ¿No deberían haberse ocupado de ello los chicos de Informática?“. “Waltzing with the Elephant” trata de poner la semilla para que los sistemas de dirección y control de las Tecnologías de la Información comiencen a verse como una herramienta más del negocio, que, por tanto, habrá de ser manejada por quien tiene potestad para manejar dicho negocio.

GdTI: En las respuestas anteriores ha venido haciendo un reiterado hincapié en el “uso de las TI” o “de los recursos de TI” de los que disponen las organizaciones. Ello, junto a su último comentario sobre “el Elefante”, ¿han de hacer pensar que debería ponerse más nitidamente el acento en ese lado de la ecuación, en el lado del usuario, en definitiva, en el lado de quien demanda soluciones y servicios habilitados por TI?

MT: Así es. Hasta ahora, gran parte de los esfuerzos que se han hecho en relación a la difusión de la necesidad de establecer marcos para el Buen Gobierno Corporativo de TI han puesto el foco y han tenido como claro destinatario el lado de la oferta, de la provisión de soluciones y servicios de TI. De este modo, dichas propuestas han devenido en meros marcos para una eficaz Gestión de TI; pero en ningún caso pueden considerarse modelos para el Gobierno de TI. Asimismo, la literatura sobre Gobierno de TI pone, una y otra vez, el acento en la figura del Director de Sistemas de Información, como protagonista principal en este escenario. Sin embargo, obviar el lado de la demanda no parece tener sentido. Sería dejar la ecuación incompleta y, además, no se antoja la mejor forma de ayudar a aproximar esos dos lados, tan habitualmente distantes. Tomemos el ejemplo de un atomóvil. Un discurso basado, principalmente, en el lado de la oferta, en mejorar dicha oferta, hablaría, casi exclusivamente, de los engranajes ocultos bajo la carrocería, del par-motor, de la potencia del vehículo, etc. Por el contrario, visto desde el lado de la demanda, podrían resultar más interesantes otros aspectos como la marca, línea o el color del coche, la existencia de sólo cinco asientos, o la posibilidad de montar siete a fin de que la familia viajase lo más cómodamente posible, etc. Orientar el mensaje hacia el lado de la demanda contribuirá a facilitar la comprensión de los problemas asociados a las TI, por parte de la gente al mando de los negocios, y ayudará  a elevar la posición de la información y sus tecnologías afines al nivel que le corresponde junto al resto de activos clave de las organizaciones.

GdTI: ¿Qué papel juega el comportamiento humano en relación a las TI?

MT: Muy buena pregunta. Esa es una de las claves, demasiado a menudo olvidada. Al principio de la conversación mencioné el comportamiento del hombre blanco, tras su llegada a Australia, y cómo dicho comportamiento había determinado el uso que se había hecho de los recursos naturales. O, por ejemplo, retomemos, de nuevo, el símil del automóvil. En este caso, tampoco hablaremos de Tecnología de la Información, hablaremos de lo que podríamos denominar “Tecnología de Transporte“. Los principios, no obstante, son, igualmente, aplicables. En el vehículo somos capaces de identificar muchas de las situaciones cotidianas que caracterizan a las TI dentro de las empresas: tenemos la fabricación externalizada en el constructor, tenemos el mantenimiento externalizado en el taller, etc.; sin embargo, nosotros como conductores (y, posiblemente, propietarios) de ese vehículo somos quienes nos hemos de ocupar de darle a esa tecnología de transporte un uso adecuado; y no sólo en nuestro propio beneficio, sino también en el de otros interesados (la familia, otros conductures, los peatones, las autoridades de Tráfico, etc.). Dependerá, por tanto, de nuestro comportamiento al volante, el que utilicemos de uno u otro modo dicho automóvil. En gran parte de los accidentes de tráfico las causas no han de buscarse en fallos mecánicos o eléctricos del vehículo, sino, simplemente, en imprudencias o despistes. De igual modo, gran parte de los problemas con las TI tienen su origen en negligencias u otros comportamientos inapropiados, no sólo de aquellos individuos que proveen dichas tecnologías, sino de los que las utilizan o, en última instancia, determinan su uso.

GdTI: Este último mensaje relativo a la responsabilidad que, sobre el uso de las TI, tienen los “conductores” de los negocios puede que no sea muy bien entendido por esas personas a cargo de las organizaciones e instituciones. ¿Cómo está siendo acogido el discurso del Buen Gobierno de TI en la Australia corporativa?

MT: ¿No es significativo el hecho de que haya tenido que venir a contar esto en España, en lugar de quedarme en Australia? (De nuevo, sonrisas). Lo cierto es que nadie es profeta en su tierra (más sonrisas). Bromas a parte, es cierto que el ritmo al que se está aceptando este mensaje del Gobierno de TI no es todo lo ágil que uno desearía. Por ese motivo estamos planteándonos abordar alguna iniciativa específica que ayude a acercar dicho mensaje a los miembros clave de la comunidad corporativa.

GdTI: ¿Cómo definiría el papel que están jugando, o que podrían jugar, organizaciones como ISACA o el itSMF en el citado acercamiento?

MT: El origen de este tipo de entidades no parece aconsejar que las nuevas iniciativas de aproximación a la comunidad corporativa hayan de seguir sus mismos pasos. Como ya he indicado, la clave estaría en evitar, en lo posible, aproximaciones a través del lado de la oferta; vertiente, que, sin duda, representan las organizaciones citadas. Por el contrario, sería más oportuno pensar en otro tipo de instituciones o asociaciones más afines a los individuos ubicados en el lado del negocio (lado de la demanda). Aún así, incluso entre las propias organizaciones mencionadas existen diferencias. Sirva como ejemplo el diferente poder de convocatoria que una y otra han demostrado en las últimas conferencias promovidas en el ámbito local australiano: itSMF Australia logró convocar a tres personas por cada asistente a los eventos organizados por los capítulos locales de ISACA.

GdTI: Y, ¿qué hay del ámbito de la Administración Pública australiana? A un año de su publicación, ¿qué efectos está teniendo el “Informe Gershon“?

MT: Efectivamente, el documento “Review of the Australian Government’s Use of Information and Communication Technology” (“Revisión del uso de las TIC por parte de la Administración Publica australiana“), firmado por Sir Peter Gershon el pasado mes de agosto de 2008, supuso todo un hito, tanto para el Sector Público australiano, como para la comunidad del Gobierno de TI en general, al resumir todas sus recomendaciones en un único mensaje: la necesidad de adoptar e implantar un marco de gobernanza de TI que permitiese evaluar, dirigir y supervisar el uso de las TI, según los dictados de la norma australiana AS8015:2005. Por desgracia, un año después, he de confesar que la lectura que se está haciendo del “Informe Gershon” está considerando, únicamente, el lado de la oferta, de forma que sólo se están abordando las iniciativas identificadas en el Plan, desde el punto de vista de mejorar la entrega de soluciones y servicios de TI, obviando la labor de dirección y control (supervisión) que el Informe demandaba de y asignaba a los representantes políticos, responsables últimos del correcto uso de los recursos de (y destinados a) las TIC, en favor de los miembros de la Sociedad australiana.

GdTI: Este año, una nueva iniciativa está tratando de elevar las TI a nivel de elemento de gobierno por parte de las organizaciones. Se trata del informe “King III“, publicado recientemente en Sudáfrica, que dedica un amplio apartado a recordar a los miembros de los consejos de administración sus responsabilidades en relación al uso que se hace de las TIC en sus respectivas compañías. ¿Cree Ud. que esta propuesta sudafricana servirá como catalizador para implusar el Buen Gobierno Corporativo de TI entre la comunidad empresarial sudafricana y, por extensión, entre la comunidad corporativa internacional? ¿Cree que podrá servir de ejemplo, para otras regulaciones, en otros países?

MT: Difícil pronóstico. Lo único realmente objetivo es que, a fecha de hoy, se ha creado un cierto excepticismo en torno a la redacción de esta nueva revisión del código sudafricano. Excepticismo sustentado en la creencia de que han podido generarse determinados intereses que pueden haber estado detrás de la publicación del nuevo documento.

GdTI: Por último, y en vista de esa próxima reunión del JTC1/WG6, en Singapur, la semana que viene, ¿cómo ve Ud. el desarrollo de la normativa relativa al Gobierno Corporativo de TI a nivel internacional?

MT: De nuevo, en este caso, cabe aplicar una cierta cautela, dada la composición de algunos órganos de representación en entidades de normalización como ISO. No en pocas ocasiones se encuentra uno con situaciones en las que en ciertos comités y grupos de trabajo se detecta una sospechosa y mayoritaria presencia de representantes vinculados de un determinado fabricante del sector TIC. Ello no sólo puede suponer una falta de independencia en los procesos de aprobación de nuevas normativas; sino que, en casos como el de la norma ISO/IEC 38500:2008, puede constituir una dificultad adicional a la hora de moldear un mensaje más afín al lado de la demanda de soluciones y servicio de TI, imprescindible, como se ha explicado con anterioridad.

GdTI: Muchas gracias, de nuevo, Sr. Toomey, por su amabilidad.

Mark Toomey abandonaba, finalmente, Madrid con destino a Frankfurt el miércoles, 25 de noviembre, tras ofrecer una serie de charlas-conferencias y mantener una serie de encuentros con representantes de algunas de las principales empresas del país.

En el día de hoy, martes, 1 de septiembre de 2009, el Instituto de Consejeros en el Sur de África (The Institute of Directors in Southern Africa), con motivo de la celebración de su sexta conferencia anual (The IoD 6th Annual Business Update Conference), ha presentado la edición 2009, la tercera, de lo que podría denominarse “el Código Conthe sudafricano”: se trata del “Código King de Principios de Gobierno Corporativo” (“King Code of Governance Principles“)y su hermano el “Informe King 2009 sobre Gobierno Corporativo para Sudáfrica” (“King Report on Governance for South Africa 2009“), conocidos como “King III“.

“King III” debe su nombre a Mervyn E. King, antiguo Presidente del Tribunal Supremo Sudafricano y actual Presidente del Comité homónimo, encargado de la revisión y actualización periódica en el país austral del código relativo al Gobierno Corporativo.

La principal novedad de nuevo código es que en él, por primera vez en un documento de esta naturaleza, se eleva a categoría de ‘elemento de gobierno’ la Gobernanza de las Tecnologías de la Información, dedicándosele un capítulo entero (el 5), tanto en el Código, como en el Informe, e identificando una serie de principios generales para el Buen Gobierno Corporativo de dichas Tecnologías, hasta un total de siete, tal y como se enumeran a continuación:

  • 5.1: El Consejo de Administración debería responsabilizarse del Gobierno Corporativo de las Tecnologías de la Información (TI).
  • 5.2: Las TI deberían estar alineadas con los objetivos de rendimiento y sostenibilidad de la compañía.
  • 5.3: El Consejo de Administración debería delegar en la Dirección de la compañía la responsabilidad de la puesta en marcha de un marco de Gobierno Corporativo de TI.
  • 5.4: El Consejo de Administración debería supervisar y evaluar los principales gastos e inversiones en TI.
  • 5.5: Las TI deberían formar parte integrante de la gestión de riesgos de la compañía.
  • 5.6: El Consejo de Administración debería garantizar que los activos de información sean gestionados eficazmente.
  • 5.7: Un Comité de Riesgos y un Comité de Auditoría deberían asistir al Consejo de Administración en relación al desempeño de sus responsabilidades sobre las TI.

La cercanía con los principios de la norma ISO/IEC 38500:2008 son evidentes. ¿Para cuando una revisión del código español con estas mismas, o más interesantes aún, novedades?

El Hotel Ritz de Madrid fue testigo, el pasado día 2 de abril de 2009, del acto de presentación de la edición 2008 del “Observatorio de Gobierno Corporativo y Transparencia Informativa de las Sociedades Cotizadas en el Mercado Continuo Español 2008“, publicado por la Fundación de Estudios Financieros (FEF).

La principal novedad de esta quinta edición del Observatorio, realizado sobre los datos del ejercicio 2007, ha sido la aplicación, por vez primera durante el citado ejercicio, de las recomendaciones del “Código Unificado de Buen Gobierno” recogido en el “Informe del Grupo Especial de Trabajo sobre Buen Gobierno de las Sociedades Cotizadas“, más conocido como “Código Conthe”, aprobado el 19 de mayo de 2006.

Como en ediciones anteriores, el Observatorio 2008 no hace una especial mención al gobierno corporativo de los Sistemas de Información; y ello, a pesar de la explícita referencia a los mismos que contempla la recomendación número 47 del, ahora vigente, “Código Conthe”, en la que se recoge la conveniencia de que las sociedades cotizadas dispongan de mecanismos que “… velen por el buen funcionamiento de los sistemas de información …“.

Sin duda, la inclusión de este aspecto específico en futuros Informes Anuales de Gobierno Corporativo de las sociedades cotizadas, marcaría un cambio de tendencia y un nuevo rumbo en la dirección de una mayor toma de conciencia de los órganos de gobierno de las empresas hacia el imprescindible papel de sus activos TIC.

¡Habrá que confiar en que la FEF recoja el guante del gobierno de TI y lo refleje de manera explícita en su próxima entrega del que será, ya, Observatorio 2009!

La Gobernanza de TI es el proceso de toma de decisiones en torno a las TIC.

Los Consejos de Administración y las Direcciones Generales han comprendido, desde hace tiempo, la necesidad de establecer marcos de buen gobierno corporativo. Esto se hace particularmente evidente si se tienen en cuenta las crecientes obligaciones en materia de conformidad regulatoria.

Más aún, los Sistemas de Información, y las Tecnologías de la Información y las Comunicaciones que los sustentan, han adquirido una gran relevancia en el logro de los objetivos corporativos y en la entrega de beneficios. Ello ha llevado a un importante número de organizaciones a darse cuenta de que la gobernanza ha de extenderse también al ámbito tecnológico; hasta tal punto, que, hoy en día, el buen gobierno de las TI es considerado una parte integrante de la gobernanza corporativa, como medio de apoyar y reforzar las estrategias y objetivos de la organización.

Este escenario  – con una creciente demanda, por parte del negocio, de la aportación que ofrece la tecnología; y con una superior concienciación sobre la importancia de contar con buenas prácticas y modelos –  abre un claro camino hacia el desarrollo y despliegue de la Gobernanza de TI.

Como parte de este “despliegue”, y dado que la dirección (gobierno) de las TI ya no ha de verse como una preocupación exclusiva de la Dirección de Informática, sino de la alta dirección en su conjunto, está surgiendo una nueva figura a nivel directivo: el Gobernador Corporativo de TI (Chief [IT] Governance Officer, o CGO, como recogería la bibliografía anglosajona).

Como ventaja añadida, el establecimiento de un puesto tal, dentro de la organización, supondrá una demostración palpable del compromiso de aquella con la excelencia en las buenas prácticas de gobernanza de TI.

 

Con la mira puesta en el negocio

En el nuevo contexto, la misión del Gobernador de TI será proporcionar el debido apoyo al Consejo de Administración y a la Dirección General, maximizando la contribución hecha por las Tecnologías de la Información al éxito de la organización y, al mismo tiempo, gestionando y mitigando los riesgos derivados del uso que se hace de la propia tecnología.

 

El perfil

Entre las responsabilidades  – o, dicho de otro modo, habilidades –  de los profesionales que desarrollen su actividad entorno a la gobernanza de las TI en sus respectivas entidades, cabe descatar las siguientes:

  • deberán conocer las actuales tendencias, así como los principales modelos organizativos y de dirección de TI, y saber armonizar y canalizar su valor para la entidad. Esta meta se alcanzará mediante el establecimiento de procesos de implantación y despliegue de dichos marcos de referencia para el gobierno, la dirección y el control de las TI a lo largo y ancho de la organización;
  • deberán ser capaces de asegurar que las TI actuan como catalizador para el logro de los objetivos del negocio, mediante la integración de los planes estratégicos de TI con los planes estratégicos de la organización y mediante la sincronización de los servicios prestados desde TI con las operaciones de la compañía para optimizar los procesos de negocio. A ello contribuirá la definición y desarrollo de una estrategia tecnológica de la empresa;
  • deberán, asimismo, encargarse de garantizar que, tanto TI, como las áreas de negocio, cumplen con sus responsabilidades sobre la gestión del valor: esto es, que las nuevas inversiones en actividades apoyadas en tecnología producen el beneficio esperado y aportan un valor al negocio, medible, tanto invididual, como colectivamente; que las capacidades (soluciones y servicios) son entregados en coste y plazo; y que los servicios y otros activos de TI contribuyen de manera contínua al valor del negocio. Todo ello, mediante el desarrollo de un proceso de gobierno del valor;
  • adicionalmente, los gobernadores de TI deberán asegurar la existencia y puesta en marcha de marcos apropiados, alineados con las normas y modelos de referencia, para identificar, evaluar, mitigar, gestionar, comunicar y supervisar los riesgos del negocio relacionados con las TI, como una actividad más del buen gobierno de la empresa. Todo ello, mediante el desarrollo, mejora y mantenimiento de un proceso contínuo y analítico de gobierno de los riesgos empresariales;
  • estos nuevos directivos deberán ocuparse de que el área de TI disponga de recursos suficientes, competentes y capaces de ejecutar los objetivos estratégicos presentes y futuros, y de responder a las demandas del negocio, a través de una gestión óptima de la inversión, el uso y la asignación de los activos tecnológicos (personas, aplicaciones, infraestructuras e información). Todo ello, mediante la puesta en marcha de un proceso contínuo de planificación, gestión y optimización de activos, recursos y operaciones de TI;
  • igualmente, deberán asegurar que se establecen metas e indicadores para las TI, de apoyo al negocio, en colaboración con las partes interesadas; y que se fijen, supervisen y evaluen ciertos objetivos medibles. Todo ello, mediante procesos contínuos de medición, gestión y evaluación del rendimiento; y,
  • finalmente, deberán ser capaces de actuar como impulsores del cambio cultural y organizativo dentro de la entidad; a lo cual se llegará, a través de la activación del oportuno programa de comunicación y gestión del cambio que habrá de mantenerse en el tiempo y en paralelo a la implantación de las nuevas prácticas y procesos adoptados dentro de la organización.

Se trata, en definitiva, de habilidades y actividades directamente relacionadas con la definición, el establecimiento y/o el mantenimiento de un conjunto de mecanismos de gobernanza de las TIC orientados a asegurar la sincronía con el gobierno corporativo de la entidad; a controlar el entorno de TI y la información de negocio mediante la puesta en marcha de buenas prácticas; y a garantizar la conformidad con los requisitos, externos e internos, a que esté sujeta la organización.

 

Una reflexión final

A partir del perfil descrito para estos nuevos directivos cabría plantearse la siguiente duda: ¿están los actuales responsables de Tecnología, tanto en organizaciones del sector público, como del privado, preparados para asumir ese nuevo papel?

Sin ánimo de polemizar, uno podría mostrarse, cuando menos, dubitativo ante semejante pregunta. Particularmente, teniendo en cuenta el perfil actual, medio, del directivo de TI: un individuo con un enorme bagaje técnico, en la mayoría de los casos, que ha ido ganando en responsabilidad con los años; pero al que no siempre le resulta fácil, ni cómodo, adoptar perspectivas de negocio. Un individuo, en definitiva, cuya propia “configuración” interna presenta, habitualmente, un claro desequilibrio entre la vertiente tecnóloga, más acusada, y la vertiente directiva (empresarial), menos desarrollada.

Tal vez convendría reformular la pregunta de esta manera: la aparición de este nuevo perfil  – CGO –  en los niveles de alta dirección, ¿no habría de constituir, para los actuales Directores de Informática, una oportunidad única de crecimiento personal y de elevación de su posición dentro de las organizaciones?

La sencilla ecuación que da título a este artículo, ITG = GRC + GVP, determina, claramente, el perímetro en el que se mueve el Buen Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones.

Si se atiende a una definición muy ortodoxa de gobernanza de TI, podría pensarse que aquella no es sino una responsabilidad exclusiva de la Alta Dirección de la organización, mediante la que habrían de buscarse la transparecia que el mercado y los diferentes grupos de interés demandan;  y, al mismo tiempo, la garantía de conformidad con las diferentes normativas, internas y/o externas, a que pudiera estar expuesta la entidad. Un razonamiento tal, sin duda, no sería del todo erróneo, por cuanto en él se encierra el origen del concepto de “Buen Gobierno Corporativo” [de las TIC, en este caso], que indudablemente va ligado a la necesidad de que las personas al frente de las organizaciones “hagan las cosas correctas, del modo correcto”, esto es, obren bien, cumpliendo con las prescripciones impuestas y mitigando los riesgos que, derivados de su comportamiento, puedan afectar a la organización.

No obstante, si bien resulta correcto el anterior planteamiento, se hace insuficiente si se considera que, también, para el área de TI hay una oportunidad en la adopción de un marco de buen gobierno corporativo. Se trata de la oportunidad de ganar o, en algunos casos, recuperar, un mayor grado de visibilidad dentro de la propia organización. (Mayor visibilidad desde la perspectiva del resto de áreas de la entidad). En este caso, esa ganancia en visibilidad del área de TI, habrá de venir dada por la mayor aportación de las TIC al negocio y por una correcta medida y comunicación (“venta interna”) de dicha aportación.

De todo ello se concluye que la gobernanza de TI es una competencia “fronteriza” o, mejor aún, compartida entre la función de TI y la Alta Dirección de las organizaciones.

Retomando la ecuación presentada al inicio, puede afirmarse que en ella queda perfectamente resumida la esencia del mensaje transmitido por los párrafos anteriores: “por su naturaleza corporativa, confluyen en el gobierno de las TI (IT Governance, ITG) dos vertientes:

  • la que se orienta a la mitigación de los riesgos que, para la organización, se deriven del uso de las TI; a la conformidad con la reglamentación establecida; y a la garantía de una mayor transparencia (Governance, Risk & Compliance, GRC); y,
  • la correspondiente a la búsqueda/creación de valor para la organización; su medición y notificación/comunicación (Governance, Value & Performance, GVP)”.

Esta realidad, sin embargo, no parece del todo clara, si uno se detiene a observar la actual oferta de herramientas informáticas de apoyo al Buen Gobierno Corporativo de las TIC. El abanico de posibilidades queda segmentado, precisamente, en los dos ámbitos identificados: GRC y GVP.

En relación con las actividades de Control Interno y de mitigación de Riesgos se aprecia, actualmente, un desmesurado deseo, por parte de los fabricantes, de etiquetar cualquier producto como “producto GRC” o “producto conforme con GRC”, como si se tratase de las siglas de alguna normativa o especificación formal. Ello no es sino una prueba más de que el término “[IT] Governance” está de moda. Sin embargo, se trata de soluciones y tecnologías que ya gozan de un cierto nivel de madurez en el mercado y que han estado tradicionalmente ligadas a las CAATTs (del inglés, Computer-Aided Audit Tools and Techniques), las técnicas y herramientas de auditoría asistida por ordenador, de las cuales, en gran medida, derivan, con la diferencia de que han sabido subirse a la ola de la gobernanza TIC.

Dicha ola irá, a todas luces, in crescendo en los próximos años, a medida que aumenten las regulaciones, dada la coyuntura existente en el mundo corporativo, lo que incrementará la demanda de este tipo de plataformas. En este sentido, no sería descartable  – aunque, sí recomendable –  una corriente “unificadora” en el campo de los marcos de control.

Por su parte, las plataformas GVP, que son aquellas relacionadas con la automatización de las actividades de seguimiento y medición del valor y el rendimiento aportados por las TIC, se reducen, básicamente, a las soluciones de gestión de carteras, programas y proyectos (en inglés, PPM, Project Porfolio Management) y a las de creación de cuadros de mando integral (del inglés, Balance Scorecard, BSC).

Análogamente a lo apuntado para la “moda” de los “productos GRC”, en el caso de las plataformas PPM, los grandes fabricantes están yendo aún más allá, y están promocionando sus productos como auténticas soluciones “IT Governance“. La gravedad de este hecho se traduce en un mercado desorientado ante un discurso formal de gobierno TIC; mercado en el que, además, la esencia subyacente a dicho concepto queda absolutamente desvirtuada.

¡Confiemos en ver, a medio plazo, a los fabricantes reorientando sus esfuerzos con objeto de ofrecer al mercado verdaderas soluciones ITG completas (es decir, soluciones “GRC+GVP”).

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 66 seguidores