junio 2009


Este pasado viernes, 19 de junio de 2009, ISACA publicaba un nuevo estudio elaborado por los profesores Van Grembergen, De Haes y Van Brempt, del Instituto para la Investigación del Alineamiento y el Gobierno de las TI (Information Technology Alignment and Governance Research Institute, ITAG) de la Escuela de Negocios de la Universidad de Amberes (University Antwerp Management School, UAMS).

El documento, titulado “Building the Business Case for CobiT® and Val IT™. Executive Briefing” y disponible, líbremente, para descarga desde la páginas de la Asociación, trata de demostrar el valor para las organizaciones de los referidos marcos  – CobiT y Val IT -, intentando ofrecer una respuesta a la pregunta “¿cuál es la relación entre el rendimiento de una organización y la adopción, por parte de aquella, de prácticas (mecanismos) de Gobierno Corporativo de TI, basadas en CobiT y Val IT?“. Para ello, el enfoque seguido ha tenido como eje central la perspectiva de sincronización Negocio-TI ofrecida por CobiT  – cascada “Objetivos de negocio:Objetivos de TI:Procesos de TI” -,  y sobre la que los autores vienen trabajando desde hace años.

El análisis realizado sobre la información aportada por las más de quinientas organizaciones participantes, procedentes de diferentes sectores (público y privado, financiero, tecnológico, sanidad, farmacéutico, industria, venta minorista, etc.), ha permitido, a los autores, observar una clara correlación entre la puesta en marcha de determinados procesos de TI (recogidos en CobiT y en Val IT) y el logro de una serie de objetivos de TI, de aceptación general. Y, al mismo tiempo, también se ha corroborado la relación entre el logro de los citados objetivos y el de una serie de metas planteadas a nivel de Negocio.

Sin embargo, en el camino han podido obtenerse otras conclusiones colaterales interesantes:

  • en primer lugar, las áreas de TI aún siguen siendo demasiado tecnólogas, como prueba el hecho de que el mayor grado de adopción de procesos de TI (procesos CobiT) corresponde a los dominios AI y DS del modelo, en lo que podría llamarse los procesos básicos de la “factoría TIC”, esto es, procesos de adquisición e implantación  – despliegue –  de soluciones hardware y software y  procesos de entrega y soporte de las operaciones y servicios desplegados y puestos en producción;
  • en segundo lugar, las organizaciones, o, quizás, mejor, las personas al frente de ellas, aún no tienen una clara conciencia de cuál es su papel en relación a las TI y a las decisiones que han de tomar en torno a ellas, como se concluye de la baja adopción de procesos de negocio relativos a TI propuestos por Val IT, cuya responsabilidad recae, mayoritariamente, en el lado del Negocio. En este sentido cabe destacar la baja adopción de procesos como seguir una política de lecciones aprendidas (cuyo fin último ha de ir en sincronía con la búsqueda de la mejora continua) o retirar (cerrar) los programas/proyectos al final de su ciclo de vida (procesos VG6 e IM10, respectivamente, en Val IT); o, la, también,  baja implantacion de procesos de elaboración de estudios de viabilidad (business cases), tal y como se desprende de los datos arrojados por la encuesta; y,
  • por último, volviendo, de nuevo, a los procesos CobiT, destaca, de manera singular, el hecho de que el proceso de TI que ofrece un menor grado de implantación sea el correspondiente a la gestión de la calidad (proceso PO8 del modelo), lo que corrobora, nuevamente, esa mayor orientación, por parte de las organizaciones, hacia las actividades meramente operativas.
Anuncios

El pasado 1 de junio de 2008 veía la luz, de la mano de la Organización Internacional de Normalización (International Organization for Standardization, ISO) y de la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC),  la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology.

Por primera vez, una norma de alcance internacional trataba, de manera central, el tema del Gobierno Corporativo de las Tecnologías de la Información. Habían tenido que pasar diez años desde la creación, en 1998, del Instituto para la Gobernanza de las Tecnologías de la Información (Information Technology Governance Institute, ITGI) por parte de ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de Información (Information Systems Audit and Control Association); y había transcurrido, también, casi una década desde que el término “IT governance” apareciese, por vez primera, en el título de un trabajo académico de investigación de naturaleza técnica/empresarial: fue el caso del artículo “Arrangements for information technology governance: a theory of multiple contingencies” (1), firmado tal día como hoy, hace otros diez años  – el 1 de junio de 1999 -,  por los profesores Vallabh Sambamurthy y Robert W. Zmud.

Sin embargo, la “38500” no constituía la primera iniciativa normalizadora en el ámbito del Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de “pioneros” australianos y neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad australiana de normalización, Standards Australia, que daría lugar a la publicación oficial, el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate governance of information and communication technology. De hecho, sería esta norma la que marcaría el camino para la aparición, tres años y medio después, de la norma internacional, cuyo primer aniversario se celebra en el día de hoy.

El citado camino pasó por la adopción de la norma australiana, por parte del Comité Técnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft International Standard, DIS), mediante procedimiento de tramitación rápida. De este modo, el borrador ISO/IEC DIS 29382 (numeración provisionalmente asignada a la nueva norma) fue votado y aprobado por los organismos nacionales de normalización, tanto de ISO, como de IEC. En el caso de España, este papel correspondió a la Asociación Española de Normalización, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue renombrada con la que habría de ser su numeración definitiva: ISO/IEC 38500. Finalmente, se publicó unos días después, el 1 de junio.

Hoy día ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no entra en detalles técnicos), basada en principios (establece seis principios para el buen gobierno corporativo de las TI: responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana) y de naturaleza asesora, esto es, trata de ofrecer directrices (aconseja) sobre el papel que deben asumir los órganos de gobierno de las organizaciones en relación al uso que, en ellas, se hace de las TI.

El ojetivo de la norma pasa, precisamente, por ayudar a aquellos que ocupan los niveles más altos dentro de las organizaciones (miembros de los consejos de administración, u otros) a comprender y cumplir con sus obligaciones legales, regulatorias y éticas, respecto al uso que se hace de las TIC en sus propias entidades.

En ese sentido, cabe subrayar que la norma lleva un año difundiendo y aclarando el verdadero significado de la expresión “gobierno corporativo de las TIC”, recordando que éste deriva del concepto de Gobierno Corporativo y que, como éste, tiene más que ver con comportamientos y aspectos éticos  – responsabilidad, conformidad y conducta humana -,  que con procesos tecnológicos, como ya se ha insistido desde estas mismas páginas.

¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!

 

(1) Sambamurthy V. y Zmud, Robert W. “Arrangements for information technology governance: a theory of multiple contingencies“. MIS Quarterly. Vol. 23. Nº 2, págs. 261-290, 1 de junio de 1999.

Gobernanza de TI conmemora, hoy, el primer aniversario de la publicación de la norma ISO/IEC 38500:2008. Con motivo de esta especial celebración, la sección ”Firma invitada“, incorpora un demoledor y clarificador artículo (original y traducido, como viene siendo habitual en esta sección) de un apreciado colega. Se trata de Mark Toomey, fundador y Presidente Ejecutivo de Infonomics, Pty. Ltd., Presidente del Comité Técnico IT-030 de Standards Australia y co-creador de las normas AS 8015:2005 e ISO/IEC 38500:2008.

Bajo el título “Estar encima”, Mark ofrece una clara descripción del concepto de ‘gobierno corporativo de TI’, del porqué de la necesidad de establecer dicho buen gobierno y de cómo en la raiz de tal necesidad se encuentra el alejamiento (asincronía) que se ha ido dando, con el paso de los años, entre las personas que dirigen las organizaciones y las que están a cargo de sacar adelante las nuevas iniciativas tecnológicas y de mantener plenamente operativas las existentes.

En definitiva, Mark describe un panorame en el que, quienes debían hacerlo, han dejado de estar encima.

 

Estar encima

Cuando comencé mi carrera en el mundo de las Tecnologías de la Información (TI), los primeros “mini-ordenadores” aún estaban siendo adaptados a las aplicaciones comerciales; y las organizaciones, que nunca antes habían utilizado nada más potente que una calculadora, estaban comenzando a automatizar sus negocios.

En aquellos días no había “CIOs“ y eran pocos los departamentos de TI reconocidos como tales. Trabajábamos directamente con la gente que conocía y hacía funcionar el negocio para diseñar nuevas formas de operar, en busca de una mayor eficacia y eficiencia. Desarrollábamos el software al mismo tiempo que rediseñábamos  – siquiera mínimamente –  el negocio; y a la vez que se instalaban los nuevos sistemas, todo el mundo era entrenado y “re-adaptado”. La gente de arriba se lo tomaba con gran interés, no sólo supervisando el proceso, sino participando activamente para maximizar el valor de lo que estábamos haciendo.

La mayoría de aquellos proyectos finalizaron con mucho éxito, aportando lo que la organización demandaba, a un coste aceptable y conduciendo tanto a un mayor rendimiento, cuanto a un crecimiento del negocio.

Desde entonces, la tecnología se ha abaratado; la capacidad del software se ha incrementado; la dependencia por parte de los negocios  – y de la gente –  respecto de la tecnología se ha hecho más profunda; los proyectos que abordan las organizaciones se han hecho más ambiciosos; y la certidumbre en cuanto al éxito con las TI, ¡ha disminuido!

¿Por qué dicho éxito resulta, hoy, tan esquivo? ¿Por qué las organizaciones son, tan a menudo, víctimas de fallos, tanto en los proyectos, como en aquellas operaciones que tienen una alta dependencia de las TI? ¿Es que la tecnología ya no es buena? ¿Es que la gente que proporciona esa tecnología no está bien formada, o, acaso, es incompetente? ¿Es que los métodos que usamos no son satisfactorios? ¡No! Hoy, incluso el ordenador personal más barato es mucho más fiable que aquel “mini-ordenador” de 1975. El software en los años 70 era extremadamente simple y parco en funcionalidades; y mucho más propenso a fallos de lo que lo es actualmente. Hoy tenemos grandes esperanzas en la enorme capacidad del software, de modo que toleramos menos fallos. Hace treinta y cinco años la mayoría del personal informático no tenía formación universitaria  – muy pocos tenían una licenciatura -.  Algunos eran elegidos para sus trabajos porque habían superado una prueba de aptitud; pero la mayoría se habían visto implicados porque sus patrones necesitaban a alguien que conociese el negocio y que ayudase a informatizarlo. Y en cuanto a los métodos, hace treinta años el desarrollo de métodos se encontraba en su más absoluta infancia; sin madurez en nada y, definitivamente, sin normas.

Por tanto, parece que, hoy, en el lado de la tecnología, estamos mucho mejor de lo que estábamos en los 70. Sin embargo, ahora tenemos proyectos de TI con una tasa de fallos por encima de lo aceptable; tenemos proyectos marginalmente exitosos que no aportan el beneficio cuantitativo, tangible, esperado; y tenemos negocios expuestos a un riesgo de daño, como consecuencia de sistemas que fallan. ¿Por qué?

Creo que la razón principal de esta situación no es que hayamos fallado al tratar de mejorar desde el lado de la tecnología; sino que, en realidad, lo que hemos hecho, ha sido desarrollar un problema en el lado del negocio. Donde una vez los ejecutivos de la alta dirección estuvieron involucrados y los consejos de aministración/comités de dirección supervisaban muy de cerca, ahora lo que tenemos son directivos demasiado ocupados y demasiado alejados y consejos que muy raramente se involucran. La implicación del negocio en los proyectos de TI se ha dejado en manos de mandos intermedios, muchos de los cuales están sobrecargados intentando una y otra vez recortar gastos, y muchos de los cuales han sido escasamente advertidos sobre su papel y responsabilidades en el éxito de los proyectos.

Hace treinta años, lo que hoy día llamamos proyectos de TI  – esto es, proyectos de cambio o mejora del negocio a través del uso de las TI –  eran objeto de un buen gobierno porque las personas encargadas de la gobernanza a alto nivel estaban directamente involucradas. Hoy en día, a medida que dicha implicación ha disminuido, así ha decrecido la eficacia del marco general de gobierno corporativo. Y la experiencia de los últimos años nos ha demostrado que, al tiempo que se reconoce que el gobierno es importante, intentar resolver el problema a base de más reglas, herramientas y marcos de referencia que invariblemente ponen el foco sobre la gestión de las TI, en lugar de en su gobierno, no es una estrategia que lleve a buenos resultados.

Un gobierno corporativo de las TI, eficaz, depende no sólo de herramientas, o de procesos, o de modelos, o de estructuras organizativas. Depende, simple y llanamente, de que la gente que gobierna la organización  – el consejo y la alta dirección –  comprenda y asuma su responsabilidad para aplicar sus habilidades de gobierno al uso de las TI, tal y como ya las aplican al resto de aspectos que forman parte del negocio.

Cuando lo hagan, las herramientas, los modelos, las estructuras y otros recursos que hemos diseñado para ayudarnos a controlar y a garantizar la eficacia en el uso de las TI, aportarán su valor más significativo.

Pensando en esos ejecutivos y directivos, la norma internacional ‘ISO/IEC 38500:2008. Corporate governance of information technology’, ofrece una clara directriz que les guiará en el desempeño de sus responsabilidades. La norma está escrita empleando su propio lenguaje; es tan concisa como puede serlo una guía de gobierno corporativo; y, les habilita para controlar aquello que ellos no entienden, poniendo el foco sobre las cosas que ellos sí entienden.

Gobernanza de TI conmemora, hoy, el primer aniversario de la publicación de la norma ISO/IEC 38500:2008. Con motivo de esta especial celebración, la sección ”Firma invitada“, incorpora un demoledor y clarificador artículo (original y traducido, como viene siendo habitual en esta sección) de un apreciado colega. Se trata de Mark Toomey, fundador y Presidente Ejecutivo de Infonomics, Pty. Ltd., Presidente del Comité Técnico IT-030 de Standards Australia y co-creador de las normas AS 8015:2005 e ISO/IEC 38500:2008.

Bajo el título “Being on top …”, Mark ofrece una clara descripción del concepto de ‘gobierno corporativo de TI’, del porqué de la necesidad de establecer dicho buen gobierno y de cómo en la raiz de tal necesidad se encuentra el alejamiento (asincronía) que se ha ido dando, con el paso de los años, entre las personas que dirigen las organizaciones y las que están a cargo de sacar adelante las nuevas iniciativas tecnológicas y de mantener plenamente operativas las existentes.

En definitiva, Mark describe un panorame en el que, quienes debían hacerlo, han dejado de estar encima.

 

Being on top …

When I began my career in information technology, the first “mini-computers” were being adapted to commercial applications, and organisations that had never before used anything more powerful than an adding machine were beginning to automate their businesses.

There were no Chief Information Officers in those days – and few established IT departments.  We worked directly with the people who knew the business, and ran the business, to design new ways to operate the business more effectively and efficiently.  We developed the software in parallel with redesigning (however minimally) of the business and as the new systems were installed, everybody in the business was retrained and adapted.  The people at the top took a great deal of interest, not just monitoring progress, but actively participating in the work to maximise the value of what we were doing.

Most of those projects were very successful – delivering what the organisation wanted, at a price that was acceptable, and leading to both better performance and growth of the business.

Since then, the technology has become cheaper, the capability of the software has increased, the dependence of the business (and people) on information technology has become profound, the projects that organisations undertake have become more ambitious, and the certainty of success with IT has diminished!

Why is success so elusive today?  Why are organisations so often victims of failure in both projects and operations that involve significant dependence on IT?  Is it that the technology is no good?  Is it that the people delivering the technology are poorly trained, or incompetent?  Is it that the methods that we use are unsatisfactory?  No! Today even the cheapest PC is much more reliable than the mini computer of 1975.  Software from the 1970’s was extremely simple and narrow in functionality, yet much more prone to faults than it is today.  Today we have high expectations based on the enormous capability of software, and so we tolerate software faults less.  Thirty-five years ago, most IT people were not university trained – few had degrees.  Some were chosen for their roles because they had an aptitude test – but most got involved because their employers needed somebody who knew the business to help get it automated.  And as for methods – thirty years ago the development of methods in computing was in its absolute infancy – with no maturity in anything and definitely no standards.

So today on the technology side we seem to be much better off than we were in the 1970’s.  Yet now we have IT projects failing at an unacceptable rate, many marginally successful projects failing to deliver any tangible, measured benefit, and business at risk of damage from systems that fail.  Why?

I think that the major reason for this problem is not that we have failed to get better on the technology side – but that we have actually developed a problem on the business side.  Where once the top executives were involved and the board monitored closely, now the top executives are too busy and too remote, and the board is hardly involved at all.  Business engagement in IT projects is left to middle managers – many of whom are grossly overloaded following round-after-round of cost cutting, and many of whom are poorly briefed on their roles and responsibilities in the success of projects.

Thirty years ago, what we today call IT projects (that is projects that change or improve the business through the use of IT) were well governed because the people responsible for top level governance were directly engaged.  Nowadays, as that engagement has diminished, so too has the effectiveness of the governance arrangement.  And experience of the past few years has shown us that while governance is important, attempting to fix the problem with yet more rules, tools and frameworks that invariable focus on the management of IT does not lead to good outcomes.

Effective corporate governance of IT depends not on tools, or processes, or frameworks, or organisation structures.  It depends, simply and fundamentally, on the people who govern the organisation – the board and the top executive, understanding and delivering on their responsibility to apply their governance skills to the use of IT as they do to the other aspects of the business.

When they do that, the tools, frameworks, structures and other resources that we have devised to help us control and assure the effectiveness of IT use will add their most significant value.

For those top executives and directors, the straight forward guidance they need on their job is found in ISO/IEC 38500.  It is written in their language, is as concise as any guide on corporate governance can be, and enables them to control what they do not understand, by focusing on the things that they do understand.

El pronóstico lanzado, desde estas mismas páginas, hace apenas un par de semanas (‘cita mensual de las rotativas de ISACA con sus lectores’) ha quedado pulverizado con la publicación  – segunda del mes de mayo -,  el pasado martes, día 26, del primer documento de mapeo de Val IT.

Bajo el título “Val IT™ Mapping: Mapping of Val IT™ 2.0 to MSP™, PRINCE2™ and ITIL® V3“, esta nueva serie de comparativas  – hermana de la, ya clásica, dedicada a CobiT –  se abre con la casación del modelo Val IT para el gobierno del valor de las TI, con tres de los marcos de la OGC, en lo que parece una nueva prueba del acercamiento ISACA-itSMF/OGC, ya comentado, anteriormente, en estas mismas páginas.

Los marcos británicos escogidos, en esta ocasión, son Managing Successful Programmes (MSP), Projects in Controlled Environments (PRINCE2) y el propio IT Infrastructure Library (ITIL) v3. El documento muestra la complementariedad de dichos marcos con Val IT, lo que puede resultar de utilidad para aquellas organizaciones que opten por lo que podría etiquetarse como “una adopción de marcos ‘multimarca'”. (Situación que, dicho sea de paso, suele ser la más habitual y, probablemente, la más saludable).

Por otro lado, ya están siendo anunciadas, para un futuro cercano, las comparativas de Val IT con los marcos de referencia Portfolio, Programme and Project Offices (P3O)  – también, de la británica OGC –  y The Standard for Portfolio Management, creado por el PMI americano.