Hace exactamente dos meses, el pasado 4 de noviembre de 2009, quedaba registrada en la Oficina de Patentes y Marcas de los EEUU (USPTO, US Patent and Trademark Office) la nueva marca CRISC. Una sencilla pesquisa realizada con el Sistema de Búsqueda Electrónica de Marcas Comerciales (TESS, Trademark Electronic Search System) de la citada agencia permite descubrir el tipo de bienes y servicios que se esconden tras esas siglas:
- soportes pregrabados y contenidos descargables en línea, de carácter educativo;
- boletines, revistas y otro material impreso; y,
- servicios formativos, entre los que se incluyen la impartición de seminarios, la coordinación de conferencias y la administración de pruebas de examen; …
… todo ello en el campo de la certificación profesional en torno a la evaluación de los riesgos asociados a los sistemas de información, a la toma de decisiones de negocio que tienen en cuenta dichos riesgos, a la respuesta y priorización de riesgos, al diseño, implantación y gestión de marcos de control y a la conformidad normativa.
Por si toda esta detallada descripción no ofreciese suficientes pistas de por dónde podrían venir los tiros, una rápida mirada al campo «propietario» en el registro de resultados que ofrece el TESS, corrobora, finalmente, lo que ya se sospechaba: la solicitante de la nueva marca comercial no es otra que ISACA.
Pero, ¿qué puede prentender la Asociación con este nuevo movimiento?
Si se huye de lo políticamente correcto, parece claro que la intención de la afamada organización sin ánimo de lucro pasa por abrir una nueva espita a la entrada de ingresos adicionales en los diferentes conceptos recogidos en la propia descripción de la marca CRISC: materiales de estudio, derechos de examen y, en último término, tasas de mantenimiento de la certificación; esquema que ya se viene siguiendo, con sumo éxito, desde hace más de treinta años con otras certificaciones profesionales de la casa como CISA, CISM y, más recientemente, CGEIT, a las que, irremediablemente, parece que se unirá, en breve, la citada CRISC.
El atractivo de un mercado potencial que puede rondar, al menos, los cien mil (100.000) «clientes» -sus actuales cien mil asociados-, desde luego, no resulta desdeñable. A la vista de estos hechos, no es de extrañar que desde Gobernanza de TI se haya escuchado, recientemente, cómo un reputado experto del sector (se cita el pecado; pero no al pecador) comparaba a ISACA con el Ministerio de Hacienda.
Desde un plano menos irónico, la confirmación oficial -o, cuando menos, formal- de la próxima aparición de un nuevo programa de certificación para los profesionales de los riesgos y el control de los sistemas de información (CRISC, Certified in Risk and Information Systems Control) venía, hace una semana, de la mano de Mecki Oker, Gerente de Investigación de ISACA, quien afirmaba cómo la Asociación se complacía en anunciar el advenimiento de esta certificación relativa al riesgo corporativo asociado a las TI.
Como parte de su anuncio, la Sra. Oker adelantó, asimismo, el que será cuerpo de conocimiento de CRISC, que estará conformado, previsiblemente, por los siguientes dominios:
-
Identificación, análisis y evaluación del riesgo;
-
Respuesta al riesgo;
-
Supervisión del riesgo;
-
Diseño y puesta en marcha de marcos de control de los sistemas de información; y,
-
Supervisión y mantenimiento de marcos de control de los sistemas de información.
Esta primera aproximación resulta suficiente para reconocer, con total nitidez, un claro sabor a Risk IT, el modelo para el gobierno de los riesgos corporativos de las TI, publicado por ISACA el pasado mes de noviembre. Ello no es de extrañar, si, como también se explicó, el desarrollo de las prácticas detalladas del futuro cuerpo de conocimiento está siendo llevado a cabo por el grupo de trabajo CISREM, liderado por el suizo Urs Fischer, quien, de facto, se está convirtiendo en uno de los mayores divulgadores del modelo Risk IT.
Las páginas de voluntariado de ISACA permiten ver que el grupo de trabajo CISREM tiene el encargo de «desarrollar una certificación orientada, principalmente, a los profesionales de TI ocupados en la identificación y la gestión de riesgos mediante el desarrollo y la puesta en marcha de los adecuados marcos de control sobre las TI para ayudar a las organizaciones a alcanzar sus objetivos, protegiendo sus activos, garantizando la exactitud de su información financiera y la conformidad con los requisitos regulatorios y legislativos relevantes que les sean de aplicación«.
Finalmente, y a pesar de que los desarrollos del grupo de trabajo han de ser, también, validados por una serie de expertos externos, la información aportada la pasada semana habla de forma muy clara sobre lo avanzado del proceso. Según palabras de la propia Sra. Oker, en abril de este año se abrirá el habitual período de veteranía mediante el cual aquellos profesionales experimentados en la evaluación, respuesta y supervisión del riesgo de las TI, así como aquellos otros avezados en el diseño, puesta en marcha y mantenimiento de controles (marcos de control) sobre los sistemas de información, podrán solicitar la certificación sin presentarse al preceptivo examen, cuya primera convocatoria será celebrada, previsiblemente, en diciembre de 2011.
CRISC: una mirada crítica y, en cierta medida, preocupada
Los entusiastas comentarios que, en torno a CRISC, se están comenzando a ver en ciertos foros de Internet, parecen ser el adelanto de la clara aceptación que, entre la comunidad de «convencidos», tendrá la nueva certificación. Un nuevo éxito comercial de ISACA, sin duda, dado que el resto se verán arrastrados por el mercado.
Sin embargo, estos mismos profesionales que declaran esperar, ansiadamente, la llegada de CRISC, ¿de veras la estaban necesitando, como confiesan?
¿Realmente, CRISC viene a cubrir una demanda existente?
¿No será, al contrario, la Asociación, con toda su maquinaria, la generadora de esa necesidad, de una falsa demanda?
¿Acaso nace CRISC con intención de convertirse en catalizador de la difusión y adopción del modelo Risk IT? En tal caso, ¿no habría merecido Val IT, hace tres años, el mismo trato?
Además, si lo anterior es cierto, ¿no se estaría desvirtuando la tradición certificadora de ISACA: CISA, CISM, CGEIT, como programas «generalistas» de certificación profesional, por un lado; y CobiT Foundation, como certificado ligado a un modelo concreto, por otro?
¿No terminará ISACA, con su delirio certificador, arrastrando a sus asociados-certificados a un desprestigio de sus certificaciones, derivado del desequilibrio entre «cantidad y calidad?
Por último -y a ojos de ‘Gobernanza de TI‘, quizás, lo más preocupante-, ¿no estará ISACA poniendo demasiado el acento en el término GRC de la ecuación del Gobierno Corporativo de TI (ITG=GVP+GRC), dejando el sumando GVP (Governance-Value-Performance) abandonado en exceso? Tal parece desde que se renovó la Junta Directiva a mediados del año pasado. Sería una lástima ver desvanecerse la idea de liderar la comunidad del Gobierno de TI, volcándose sólo en una parte de dicha comunidad. Además, ISACA se haría un flaco favor a sí misma, frente a la idea de desencasillarse de sus raices -sin abandonarlas-, ligadas al control interno y a los riesgos, y de tratar de ganar la visibilidad que en el resto de ámbitos TI tienen otras organizaciones del sector.
Gobernanza de TI 
domingo, 24-enero-2010 at 4:59 pm
La verdad es que me surgen las mismas dudas que a ti… me parece que están abusando con el tema de las certificaciones profesionales aunque pudiéramos considerar que es un área que no estaba cubierta… Lo he comentado con cierto detalle:
http://www.antonio-ramos.es/2010/01/crisc-nueva-certificacion-de-isaca.html
domingo, 24-enero-2010 at 6:30 pm
Hola Antonio:
El otro día tuve una pequeña «pelotera» con otro «Isaco», en una comunidad de LinkedIn. Ponía en cuestión mi coherencia a la hora de criticar a ISACA y, al mismo tiempo, hacer gala de las, hasta ahora, vigentes tres certificaciones de la Asociación, que acompañaban mi nombre.
Yo no creo que uno sea incoherente por tener su propio criterio y no decir «amén» a todo lo que ISACA promueva.
Por supuesto, que ISACA me parece una gran organización (seguramente, con cosas buenas y malas). Lo que ocurre es que, dicho esto, a nadie se le escapa que crear una nueva certificación profesional generalista (no olvidemos «CobiT Foundation»), se traduce, inmediatamente, en una nueva vía de ingresos.
Naturalmente, esto último es absolutamente lícito; tanto, como lo es poner en cuestión el hecho.
En suma, la moraleja de mi artículo puede resumirse en que sería triste que un creciente (excesivo) número de certificaciones supusieran, al final, el desprestigio de las que mantenemos actualmente.
Creo que no hacía falta una certificación que acompañara a Risk IT, como hace casi cuatro años no hubo una certificación acompañando a Val IT. (Los que dicen que CGEIT es la certificación que nació a la par que Val IT, … siento ser tan directo, pero no saben lo que están diciendo).
Para acabar, es muy problame que me «anime» a solicitar la nueva certificación cuendo llegue el momento; pero ello no será consecuencia de la incoherencia, sino de la presión del mercado en el que nos ha tocado jugar.
Un abrazo,
Miguel
PD: Felicidades por tu bitácora «Carpe Diem» (http://antonio-ramos.es).
domingo, 14-febrero-2010 at 8:44 pm
[…] de manera justificada o no, sobre esto también hay su polémica (muy interesante en este sentido este post). En España las certificaciones personales pueden dispararse aún más si, como todo apunta, el […]
jueves, 1-abril-2010 at 7:00 pm
[…] CRISC: ¿es, realmente, necesaria? […]
viernes, 10-enero-2014 at 12:39 am
Hola, han pasado 4 años de este post. El tiempo ha conestado la pregunta si es o no necesaria esta certifiacion?
viernes, 10-enero-2014 at 7:32 am
Hola Manuel:
Pues mucho me temo que yo sigo preguntándomelo.
Lo cierto es que, en estos años, la certificación CRISC ha tenido un notable aceptación entre el público -yo mismo soy CRISC-; pero creo que ello es fruto de una necesidad creada por el propio mercado (competencia, búsqueda de un mayor desarrollo profesional, etc.). No me atrevo a asegurar rotundamente que los aspectos cubiertos por el cuerpo de conocimiento de CRISC no estuviesen ya, en cierto grado, cubiertos adecuadamente por el resto de certificaciones basadas en cuerpos de práctica profesional de ISACA: CISA, CISM y CGEIT. Hoy ISACA está preparando alguna otra novedad en este ámbito, de la que, supongo tendremos noticia en próximas fechas. En todo caso, como te decía, la certificación CRISC tuvo una amplia demanda que superó, incluso, a la de CGEIT -más moderada, lo que la hace más exclusiva-; y ello se dio, particularmente, en el período de apadrinamiento -primer año de vida, aproximadamente, de la certificación-. A partir de aquel momento -finalizado el periodo de apadrinamiento- la demanda se desplomó; y es ahora, cuando parece que comienza a verse un interés creciente por esta certificación.
En tu caso, si estás pensando en certificarte, permíteme animarte a ello. Si, además, te interesa la propuesta formativa de iTTi, Instituto de Tendencias en Tecnología e Innovación, ponte en contacto con la dirección info@ittrendsinstitute.org.
iTTi es la única entidad que ofrece, para todo el mundo, formación a distancia, en español, para la preparación de las pruebas de certificación profesional CISA, CISM, CGEIT y CRISC. Más información en la dirección de correo electrónico, antes mencionada.
Un abrazo, Miguel