El pasado 1 de junio de 2008 veía la luz, de la mano de la Organización Internacional de Normalización (International Organization for Standardization, ISO) y de la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC),  la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology.

Por primera vez, una norma de alcance internacional trataba, de manera central, el tema del Gobierno Corporativo de las Tecnologías de la Información. Habían tenido que pasar diez años desde la creación, en 1998, del Instituto para la Gobernanza de las Tecnologías de la Información (Information Technology Governance Institute, ITGI) por parte de ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de Información (Information Systems Audit and Control Association); y había transcurrido, también, casi una década desde que el término “IT governance” apareciese, por vez primera, en el título de un trabajo académico de investigación de naturaleza técnica/empresarial: fue el caso del artículo “Arrangements for information technology governance: a theory of multiple contingencies” (1), firmado tal día como hoy, hace otros diez años  – el 1 de junio de 1999 -,  por los profesores Vallabh Sambamurthy y Robert W. Zmud.

Sin embargo, la “38500” no constituía la primera iniciativa normalizadora en el ámbito del Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de “pioneros” australianos y neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad australiana de normalización, Standards Australia, que daría lugar a la publicación oficial, el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate governance of information and communication technology. De hecho, sería esta norma la que marcaría el camino para la aparición, tres años y medio después, de la norma internacional, cuyo primer aniversario se celebra en el día de hoy.

El citado camino pasó por la adopción de la norma australiana, por parte del Comité Técnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft International Standard, DIS), mediante procedimiento de tramitación rápida. De este modo, el borrador ISO/IEC DIS 29382 (numeración provisionalmente asignada a la nueva norma) fue votado y aprobado por los organismos nacionales de normalización, tanto de ISO, como de IEC. En el caso de España, este papel correspondió a la Asociación Española de Normalización, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue renombrada con la que habría de ser su numeración definitiva: ISO/IEC 38500. Finalmente, se publicó unos días después, el 1 de junio.

Hoy día ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no entra en detalles técnicos), basada en principios (establece seis principios para el buen gobierno corporativo de las TI: responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana) y de naturaleza asesora, esto es, trata de ofrecer directrices (aconseja) sobre el papel que deben asumir los órganos de gobierno de las organizaciones en relación al uso que, en ellas, se hace de las TI.

El ojetivo de la norma pasa, precisamente, por ayudar a aquellos que ocupan los niveles más altos dentro de las organizaciones (miembros de los consejos de administración, u otros) a comprender y cumplir con sus obligaciones legales, regulatorias y éticas, respecto al uso que se hace de las TIC en sus propias entidades.

En ese sentido, cabe subrayar que la norma lleva un año difundiendo y aclarando el verdadero significado de la expresión “gobierno corporativo de las TIC”, recordando que éste deriva del concepto de Gobierno Corporativo y que, como éste, tiene más que ver con comportamientos y aspectos éticos  – responsabilidad, conformidad y conducta humana -,  que con procesos tecnológicos, como ya se ha insistido desde estas mismas páginas.

¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!

 

(1) Sambamurthy V. y Zmud, Robert W. “Arrangements for information technology governance: a theory of multiple contingencies“. MIS Quarterly. Vol. 23. Nº 2, págs. 261-290, 1 de junio de 1999.