La sencilla ecuación que da título a este artículo, ITG = GRC + GVP, determina, claramente, el perímetro en el que se mueve el Buen Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones.

Si se atiende a una definición muy ortodoxa de gobernanza de TI, podría pensarse que aquella no es sino una responsabilidad exclusiva de la Alta Dirección de la organización, mediante la que habrían de buscarse la transparecia que el mercado y los diferentes grupos de interés demandan;  y, al mismo tiempo, la garantía de conformidad con las diferentes normativas, internas y/o externas, a que pudiera estar expuesta la entidad. Un razonamiento tal, sin duda, no sería del todo erróneo, por cuanto en él se encierra el origen del concepto de “Buen Gobierno Corporativo” [de las TIC, en este caso], que indudablemente va ligado a la necesidad de que las personas al frente de las organizaciones “hagan las cosas correctas, del modo correcto”, esto es, obren bien, cumpliendo con las prescripciones impuestas y mitigando los riesgos que, derivados de su comportamiento, puedan afectar a la organización.

No obstante, si bien resulta correcto el anterior planteamiento, se hace insuficiente si se considera que, también, para el área de TI hay una oportunidad en la adopción de un marco de buen gobierno corporativo. Se trata de la oportunidad de ganar o, en algunos casos, recuperar, un mayor grado de visibilidad dentro de la propia organización. (Mayor visibilidad desde la perspectiva del resto de áreas de la entidad). En este caso, esa ganancia en visibilidad del área de TI, habrá de venir dada por la mayor aportación de las TIC al negocio y por una correcta medida y comunicación (“venta interna”) de dicha aportación.

De todo ello se concluye que la gobernanza de TI es una competencia “fronteriza” o, mejor aún, compartida entre la función de TI y la Alta Dirección de las organizaciones.

Retomando la ecuación presentada al inicio, puede afirmarse que en ella queda perfectamente resumida la esencia del mensaje transmitido por los párrafos anteriores: “por su naturaleza corporativa, confluyen en el gobierno de las TI (IT Governance, ITG) dos vertientes:

  • la que se orienta a la mitigación de los riesgos que, para la organización, se deriven del uso de las TI; a la conformidad con la reglamentación establecida; y a la garantía de una mayor transparencia (Governance, Risk & Compliance, GRC); y,
  • la correspondiente a la búsqueda/creación de valor para la organización; su medición y notificación/comunicación (Governance, Value & Performance, GVP)”.

Esta realidad, sin embargo, no parece del todo clara, si uno se detiene a observar la actual oferta de herramientas informáticas de apoyo al Buen Gobierno Corporativo de las TIC. El abanico de posibilidades queda segmentado, precisamente, en los dos ámbitos identificados: GRC y GVP.

En relación con las actividades de Control Interno y de mitigación de Riesgos se aprecia, actualmente, un desmesurado deseo, por parte de los fabricantes, de etiquetar cualquier producto como “producto GRC” o “producto conforme con GRC”, como si se tratase de las siglas de alguna normativa o especificación formal. Ello no es sino una prueba más de que el término “[IT] Governance” está de moda. Sin embargo, se trata de soluciones y tecnologías que ya gozan de un cierto nivel de madurez en el mercado y que han estado tradicionalmente ligadas a las CAATTs (del inglés, Computer-Aided Audit Tools and Techniques), las técnicas y herramientas de auditoría asistida por ordenador, de las cuales, en gran medida, derivan, con la diferencia de que han sabido subirse a la ola de la gobernanza TIC.

Dicha ola irá, a todas luces, in crescendo en los próximos años, a medida que aumenten las regulaciones, dada la coyuntura existente en el mundo corporativo, lo que incrementará la demanda de este tipo de plataformas. En este sentido, no sería descartable  – aunque, sí recomendable –  una corriente “unificadora” en el campo de los marcos de control.

Por su parte, las plataformas GVP, que son aquellas relacionadas con la automatización de las actividades de seguimiento y medición del valor y el rendimiento aportados por las TIC, se reducen, básicamente, a las soluciones de gestión de carteras, programas y proyectos (en inglés, PPM, Project Porfolio Management) y a las de creación de cuadros de mando integral (del inglés, Balance Scorecard, BSC).

Análogamente a lo apuntado para la “moda” de los “productos GRC”, en el caso de las plataformas PPM, los grandes fabricantes están yendo aún más allá, y están promocionando sus productos como auténticas soluciones “IT Governance“. La gravedad de este hecho se traduce en un mercado desorientado ante un discurso formal de gobierno TIC; mercado en el que, además, la esencia subyacente a dicho concepto queda absolutamente desvirtuada.

¡Confiemos en ver, a medio plazo, a los fabricantes reorientando sus esfuerzos con objeto de ofrecer al mercado verdaderas soluciones ITG completas (es decir, soluciones “GRC+GVP”).