junio 2010


El pasado mes de febrero, ISACA puso en marcha su estudio ‘Barómetro 2010‘, dirigido a conocer la opinión de sus miembros sobre el riesgo  -y, respectivamente, la contribución-,  de las TI para sus organizaciones. Los resultados, ofrecidos por regiones, comenzaron a ver la luz en los meses siguientes. En mayo ya se conocían los datos correspondientes a Europa, EEUU e Hispanoamérica.

El estudio partió de las respuestas obtenidas a través de una encuesta que contó con la participación de cerca de 4.000 profesionales (1). Los cuestionarios recogían en torno a una docena de preguntas sobre la, mayor o menor, aversión de las organizaciones hacia el riesgo ligado al uso de las TI; y sobre las actividades contempladas para mitigarlo.

Es reseñable el hecho de que, entre la mencionada, y breve, relación de cuestiones  -todas ellas de carácter general-,  ISACA haya considerado pertinente incluir dos dedicadas, de manera más específica, al tema de la “computación en la nube” (del inglés, cloud computing). Tal vez, ello sea indicativo del potencial  -o, al menos, del interés-  que la Asociación advierte en esta “nueva” línea de actividad. Potencial que, a la vista de los resultados del estudio y para asombro de más de uno, no parece ser percibido en la misma medida por los profesionales del sector:

  • preguntados sobre el equilibro riesgos/beneficios, sólo un 15% de los encuestados declararon ver más beneficios que riesgos, para sus organizaciones, en la traslación de servicios de TI a la nube; e,
  • interrogados sobre los planes, a corto plazo, de sus propias organizaciones en relación a la adopción de prácticas de computación en la nube, un incontestable 59% afirmó no disponer, o no conocer la existencia, de plan alguno a este respecto; dato al que habría que añadir otro 16% correspondiente a aquellos que declararon estar aún en fase de evaluación de dicha posibilidad.

El hecho de que los anteriores datos reflejen la opinión de profesionales “iniciados” en el mundo TI, no resulta muy halagüeño a la hora de pensar en la orientación que podrán tener las decisiones de aquellos sujetos a quienes, dentro de las organizaciones, corresponda decir la última palabra en favor, o no, de esta “nueva” forma de aprovisionamiento de servicios de TI.

Habrá que confiar en la eficacia de iniciativas como las promovidas por la Cloud Security Alliance (CSA), cuyo capítulo español, CSA-ES, ha visto la luz, también, en este primer semestre del año 2010.

De momento, como algún responsable de TI ha confesado, recientemente, en la intimidad: “el cielo puede esperar“.

 

Artículos relacionados

  1. Paradigma de las “4A”

 

(1) Datos a junio de 2010, correspondientes a las encuestas europea (1.546 encuestados), estadounidense (1.809 encuestados) e hispanoamericana (433 encuestados).

Anuncios

La norma ISO/IEC 38500:2008. Corporate governance of intormation technology recoge entre sus principios generales de Buen Gobierno dos que, de forma clara, inciden en atributos como la imputabilidad, la profesionalidad, la integridad, la honestidad, la ética, … (la enumeración podría continuar), de aquellos individuos involucrados, en algún sentido, en los sistemas de gobernanza de las TIC. Se trata, como ya habrán adivinado, del principio de responsabilidad y, particularmente, del principio de conducta humana.

El “texticulillo” de Manolo Palao que hoy les acerca ‘Gobernanza de TI‘ detiene su atención, precisamente, en esos principios, al recordar la transcendencia y el valor fundamental de la independencia y el comportamiento personal de los auditores de sistemas, en el ámbito particular de las actividades de Control de las TI y, por extensión, en el de un marco general de  Buen Gobierno Corporativo de TI.

Como ya se advirtiera en la presentación de esta serie, no deberán extrañar las referencias del autor a la actualidad y contexto particulares del momento en que fueron escritos  -aproximadamente, el bienio comprendido entre el otoño de 2002 y el inverno de 2004-  y a la audiencia a la que fueron, originalmente, dirigidos:  la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA).

Este cuarto “texticulillo” es, más que ninguno de los reeditados hasta ahora, un claro exponente de lo anterior.

 

Texticulillo nº 4: Independencia y Auditoría de Sistemas (1)(2)

El sentido común organizativo y diversas normas exigen la independencia  -y apariencia de independencia-  del Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC).

Hago aquí unas reflexiones sobre este tema de la independencia del ASITIC, aplicables en sus aspectos generales a todas las auditorías, más allá de las de los sistemas de información.

El auditor ejerce una función de control: compara la realidad con un documento normativo, público o privado, que expone cómo se desea que sea esa realidad. Como resultado de esa comparación, objetiva y substanciada con pruebas,  emite una opinión  –”limpia”, o “con salvedades”—  y, eventualmente, unas recomendaciones.

El auditor no puede ser “juez y parte”, por lo que debe ser independiente  -y parecerlo-  del objeto auditado.

Ello implica, por ejemplo, que el ASITIC no puede auditar un sistema de información en cuyo desarrollo haya trabajado  -salvo por su posible contribución a la especificación de los controles y funciones de auditoría incorporados a ese sistema; y otros casos tasados-.  En situaciones de previsible conflicto, el tema debe aclararse por adelantado. La Directriz 020.010.010 de ISACA cubre esto en detalle (3).

Pero además, el ASITIC ha de ser suficientemente independiente de su cliente. La palabra clave aquí es “suficientemente“, dado que es obvio que la total independencia resulta imposible, debido a la necesaria “relación” con el citado cliente.

Esa “relación con el cliente” puede ser laboral  (Auditoría Interna) o profesional (Auditoría Externa). En el primer caso, se formaliza mediante el Estatuto de Auditoría; y, en el segundo, por la Carta de Encargo (o instrumentos equivalentes).

El Estatuto de Auditoría o la Carta de Encargo explicitan el mandato que el auditor recibe y las circunstancias de ese mandato. Detallan el encuadre orgánico del auditor interno y el representante del cliente, para el externo. Deben establecer claramente la responsabilidad, autoridad e imputabilidad de la función ASITIC, así como los objetivos, ámbito, recursos y restricciones del mandato de auditoría.

El encuadre orgánico o el representante del cliente, según sea el caso, cualifican la independencia. En ambos casos, el criterio de oro es que haya una razonable distancia, y superioridad, entre aquellos y el objeto auditado.

Eso supone que el encuadre orgánico  -respectivamente, el representante del cliente-  debe (casi sin excepción) estar en una rama del organigrama distinta de la de la Función Informática, y en un nivel igual o superior a ella.

Además, si como es frecuente, el objeto de la auditoría son sistemas integrados (multi-departamentales), o estratégicos a nivel corporativo, la misma exigencia de distancia y superioridad eleva al encuadre orgánico/representante del cliente a la cima de la estructura empresarial.

La fórmula más recomendable, y la que se está adoptando por las grandes empresas, consiste en que el encuadre orgánico/representante del cliente sea un Comité de Auditoría nombrado en el seno del Consejo de Administración. ¡Esta fórmula maximiza distancia, superioridad y especialización!

Los recientes cambios en los consejos de administración de la Banca española, y las recomendaciones de la SEC en EEUU, siendo mucho más amplios que el tema que aquí nos ocupa, van en la línea de propiciar la independencia.

¡Además de ser independiente, el ASITIC debe parecerlo, por su actitud y circunstancias! Tiene que ser y sentirse independiente como individuo. Ello se logra con profesionalidad; y se potencia y refuerza por el asociacionismo profesional y por las certificaciones profesionales.

ISACA (Information Systems Audit and Control Association) es probablemente la mayor y más prestigiada asociación profesional de ASITIC. Publica un Código de Ética Profesional y unas Normas (en particular, la citada serie 020, relativa a la independencia); y administra la certificación CISA (Certified Information Systems Auditor), que acredita de modo continuado la idoneidad del ASITIC.

Hasta que no se disponga de una certificación más idónea, mejor adaptada a nuestro contexto  –proyecto prioritario para ASIA (4)-,  CISA es la mejor opción disponible.

 

Artículos relacionados

  1. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  2. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  3. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigentes en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S2. Independence y por las directrices G12. Organisational Relationship and Independence y G17. Effect of Nonaudit Role on the IS auditor’s Independence de ISACA.

(4) ASIA, Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones, actual Capítulo de Madrid (183) de ISACA. Esta, tan directa, referencia a la Asociación contextualiza de forma nítida el objetivo y la audiencia a la que iba dirigido el “texticulillo” en su edición original.

¿… “gestión de los servicios de TI“?.

¡No se asusten Uds., no se ha producido ninguna transmutación en el ADN de ‘Gobernanza de TI’! Vaya este mensaje tranquilizador por delante. (Sonrisas).

Realizar una breve parada en torno a la normalización de las actividades de Gestión de los Servicios de TI es, en este caso, un tema meramente coyuntural. No ha de servir, por tanto, de precedente. (Más sonrisas).

Cierto es que ‘Gobernanza de TI‘ recoge en su acta fundacional el objetivo  -no siempre conseguido-  de centrarse, más o menos estrictamente, en aspectos relativos a la dirección y el control (gobierno) que, sobre las TI, ejercen las organizaciones  -las personas a cargo de dichas organizaciones-. 

Al mismo tiempo, no es menos cierto que, como parte, o complemento, de ese pretendido buen gobierno, ha de existir una, también buena  -eficaz y eficiente-,  gestión de los diferentes recursos de TI puestos a disposición por, y de, la organización.

Sin entrar, de nuevo, a detallar  -habrá otras ocasiones para hacerlo-  la clara diferencia (¡aún hay quien confiesa no verla!) entre gobernar y gestionar, sirva este artículo de excusa para recordar que tal diferencia existe.

Y sirva, además  -éste es el verdadero motivo que ha movido a su redacción-,  para reconocer el esfuerzo realizado por nuestros amigos D. Luís Morán Abad,  D. Alejandro Pérez Sánchez y D. David Bathiely  -perfectos conocedores de la posición del titular de esta bitácora hacia los modelos y normas para la gestión de servicios de TI-,  junto a sus colegas D. Juan Trujillo Gaona y D. Miguel José González-Simancas Sanz; quienes, bajo el patrocinio de Telefónica, han elaborado para AENOR la voluminosa obra “ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información“.

Publicado el pasado 23 de mayo  -fecha, también, del lanzamiento de la bitácora “Blog del Libro ISO20000 de Telefónica“-  el texto recoge, en sus más de 700 páginas, un detallado repaso de los principales aspectos que afectan a la Gestión de los Servicios de TI y un enfoque práctico de cómo abordarlos, apoyado en la norma ISO/IEC 20000 y en las propias experiencias de la operadora con éste y otros modelos de referencia.

La norma ISO/IEC 20000 no es una panacea  -probablemente ninguno de los marcos que ofrece el sector lo sea-;  sin embargo, si Ud. es responsable de llevar a cabo una óptima gestión de los activos, recursos y operaciones de TI de su organización, tanto la propia norma, como el libro aquí presentado, constituirán para Ud. una referencia absolutamente recomendable.

Si, por el contrario, dada su posición en la organización, a Ud. le correponde, únicamente, tomar decisiones sobre el papel que han de jugar las TI (en el sentido y con el significado que ‘Gobernanza de TI‘ da a esa toma de decisiones), debería estar encantado de que su gente de TI  -sus responsables y personal de las áreas informáticas-  tengan a mano esta obra, u otros marcos de referencia complementarios, que les faciliten el día a día y que les ayuden a fortalecer y mejorar el sistema de gestión informática que tenga implantado en su organización.

 

Artículos relacionados

  1. Calidad en los Sistemas y Tecnologías de la Información y las Comunicaciones
  2. La calidad en el furgón de cola de los procesos TIC
  3. Guía del Usuario de CobiT para Jefes de Servicio
  4. Acercamiento ISACA-itSMFI

Esas fueron las palabras elegidas por la periodista Dña. Gema Lumbreras para cerrar el sumario del que ha sido el primer informativo de la nueva plataforma de televisión por Internet “GlobbTV“.

El proyecto, de capital 100% español y cuyas primeras emisiones comenzaron el pasado 21 de mayo, nace con el respaldo de socios tan relevantes como el grupo editorial IDG, la afamada empresa tecnológica Microsoft, la consultora de formación Tecnofor o el despacho de comunicación Bassat Ogilvy, entre otros.

En palabras del fundador y consejero delegado de la nueva cadena, D. Víctor Aznar Romanos, GlobbTV viene a ocupar, desde Zaragoza (España), un hueco no cubierto, aún, por los medios de comunicación existentes, configurándose como una plataforma de televisión dirigida a una audiencia profesional, relacionada con las tecnologías en un amplio sentido del término. En esa línea, la nueva propuesta televisiva se conformará a través de una parrilla informativa de siete canales temáticos que girarán, principalmente, en torno a las Tecnologías de la Información  –Canal TI, Canal Entretemiento y Canal Seguridad (de las TI)-;  sin olvidar los dedicados a Ingeniería e Industria, I+D+i, Ciencia y MedicinaMedioambiente, los cuales, sin duda, reflejan la mejor tradición medico-científica e industrial de la ciudad maña.

Gobernanza de TI saluda y aplaude la llegada de GlobbTV, que, a partir de este momento, pasa a formar parte de sus enlaces recomendados, bajo la categoría “De mirada obligada“; engrosando una lista ya iniciada hace tiempo con el espacio “Liderando en positivo” de la Confederación Española de Directivos y Ejecutivos (CEDE).

Como ésta última, ojalá GlobbTV no devenga en una mera teletienda y permita mostrar las opiniones y propuestas que, en torno a las TI, hayan de realizar, tanto los directivos del sector tecnológico, como, especialmente, aquellos otros procedentes del resto de ámbitos empresariales.

¡Ojalá, en definitiva, que GlobbTV ayude a acercar las TI, y su contrastada contribución corporativa, a ese segmento profesional y de alta dirección, que parece justificar su razón de ser fundacional!

¡Suerte y bienvenidos!

 

Artículos relacionados

  1. Una “misiva” para la alta dirección

Los sistemas de información (incluso, los no automatizados) son  -lo han sido siempre-  cruciales como apoyo a los procesos de toma de decisiones. En esta, ya tercera, entrega de la serie “Texticulillos”, ‘Gobernanza de TI‘ recupera las palabras de Manolo Palao relativas a los desafortunados desenlaces a los que puede llevar una mala elección de tales sistemas.

Publicado originalmente por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA-,  “Teseo y la Auditoría de Sistemas” cuenta cómo el hecho de no disponer de un adecuado marco tecnológico (aunque se trate de “tecnología náutica”) para la toma de decisiones convenientemente informadas  -base de un Buen Gobierno-  puede acarrear dramáticas consecuencias.

 

Texticulillo nº 3: Teseo y la Auditoría de Sistemas (1)(2)

Un error en el uso de un sistema de información pobremente diseñado motivó el suicidio del rey de Atenas, Egeo, quien se arrojó al mar al que, desde entonces, dio nombre.

Teseo, hijo de Egeo, había partido de Atenas para intentar liberarla del ‘impuesto revolucionario’ al que la ciudad era sometida por el feroz Minotauro, desde su residencia en el Laberinto de Creta. Éste exigía la entrega, cada nueve años, de siete jóvenes y siete doncellas vírgenes.

Teseo y Egeo habían convenido que si el primero tenía éxito, al volver, izaría en su barco una vela blanca, en lugar de la negra con que había partido. Este código permitiría a Egeo tener información precoz sobre el resultado de la misión.

Teseo mató al Minotauro y logró salir del Laberinto gracias al ovillo de hilo que le había entregado su enamorada Ariadna.

De vuelta hacia Atenas, llevando a Ariadna consigo, el ingrato la abandonó en la isla de Naxos. Los dioses, en castigo, le hicieron olvidar cambiar la vela.

Un Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) que hubiera sido consultado  –cosa imposible en aquellos tiempos, pues la profesión tiene sólo unos 30 años de existencia—  hubiera desaconsejado a Egeo y Teseo la adopción de un código tan frágil; salvando, quizá, así, la vida de Egeo, quien, de tal modo, podría salir en futuros episodios.

La actual difusión de los sistemas de información y la importancia de las decisiones  -aunque, en general,  no lleguen al suicidio-  adoptadas con su ayuda, hace esencial que se pueda disponer de opiniones competentes e independientes sobre la idoneidad de los sistemas.

Un ASITIC podría haber recomendado un código redundante o un protocolo con confirmación de los mensajes. (Claro que si los dioses se empeñan …).

El mismo ASITIC felicitaría a Ariadna por su brillante solución, basada en la “trazabilidad” de las “transacciones” de Teseo al deambular por el dédalo: la continuidad del hilo permitía desandar cada tramo de pasillo y volver a la entrada (3).

La trazabilidad en los modernos sistemas de información es una preocupación importante de los ASITIC. No sólo a efectos de ‘deshacer’ transacciones erróneas, sino a efectos de asociar a cada transacción toda la información pertinente: quién la ejecutó, a qué hora, desde qué terminal, quién la autorizó, a qué hora, etc.

Mucha de esa y análoga información no es realmente necesaria para el funcionamiento ordinario de la empresa (hacer las transacciones), por lo que podría considerarse un sobrecoste (que muchas empresas deciden  ahorrase).

Pero no es un sobrecoste, sino el coste de la calidad y el control exigibles, que puede ahorrar muchos disgustos y hasta tentaciones de suicidio.

 

Artículos relacionados

  1. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  2. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  3. Gobernanza de TI en una línea
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 27 de diciembre de 2002.

(3) Si el problema hubiese sido el de encontrar una salida (o todas las salidas), además de la entrada, el hilo no hubiera bastado y se habría requerido, también, una tiza, o un bote de pintura, o cualquier otro ‘marcador’ que permitiera señalar los caminos explorados en cualquier encrucijada, al hacer backtracking (desandar lo andado) desde el camino sin salida, hasta su encrucijada de partida.
Ese instrumental habría permitido a Teseo y Ariadna hacer un ‘parseo’ [del inglés, parsing = análisis sintáctico] simplificado a una ‘técnica de búsqueda’ “primero en profundidad”. La técnica “primero a lo ancho”, que tiene la ventaja de que la primera salida que encuentra es la más corta, no es aplicable  –con ese instrumental-  a un laberinto en el mundo arquitectónico, porque exige hacer copias físicas, o mediante planos, de todas las soluciones parciales exploradas.
Véase “PARSING TECHNIQUES. A Practical Guide“, de DICK GRUNE y CERIEL JACOBS, Department of Mathematics and Computer Science, Vrije Universiteit, Amsterdam, The Netherlands.
Impresión de los autores. Vrije Universiteit, Amsterdam, The Netherlands.
Edición inicial publicada en 1990 por ELLIS HORWOOD LIMITED, Market Cross House, Cooper Street, Chichester, West Sussex, PO19 1EB, England.
ISBN 0-13-651431-6.
(c) 1990-94, Ellis Horwood Limited.
(c) 1995, Dick Grune & Ceriel J. Jacobs.
Correcciones menores, septiembre 1997, septiembre 1998, p. 75-77.

¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta.

Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la norma ISO/IEC 38500:2008, Corporate Governance of Information Technology, ocurrida hace dos años.

La aparición, en aquellos momentos, de una norma de alcance internacional, como la citada, constituyó, cuando menos, un hito “ilusionante”; y ello, por dos motivos:

  • en primer lugar, el respaldo de ISO no debía, sino suponer la, ampliamente esperada, puesta de largo de una disciplina que había venido cocinándose, durante una década, en los fogones de otras reputadas y respetadas instituciones como el IT Governance Institute, de ISACA, o la Escuela de Dirección Sloan, del MIT; y,
  • por otro lado, la norma, de manera relativamente escueta, pero clara, apuntaba hacia la esencia del concepto de ‘buen gobierno corporativo’, hundiendo su raiz en el “Informe Cadbury“; e identificando, con esa misma nitidez, a los individuos que deberían recoger el mensaje enviado, a duo, por ISO e IEC: los consejeros y miembros de la alta dirección de las organizaciones.

La perspectiva aportada por los dos años transcurridos permite analizar si tales expectativas se han cumplido.

ISO

Con respecto al primer punto, los hechos muestran cómo, lamentablemente, la contribución de ISO no ha sido  -no está siendo-  adecuadamente entendida; dando al traste, al menos de momento, con el deseo expresado desde ‘Gobernanza de TI‘  -“¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!“-  en la crónica publicada hace ahora un año.

Lo que debería haber sido un paso a la mayoría de edad de la disciplina del Gobierno Corporativo de TI  -y un distanciamiento de los ámbitos estrictamente académicos (MIT) y profesional-sectoriales (ISACA)-,  gracias al amplio reconocimiento público de la “marca” ISO, ha devenido en una banalización del mensaje transmitido. Banalización que tiene su origen, como se ha apuntado, en la falta de comprensión de la orientación y objetivos de la norma, como demuestran afirmaciones del estilo: “¡Vaya una norma, si no dice nada!“, o interpretaciones erróneas que tratan de “implantarla” como si de una norma ISO, al uso, se tratase.

Lo que dice la norma

Por supuesto que dice, y mucho. Hay que saber leerla. No debe confundir el hecho de que lo diga en pocas páginas. Quienes realmente deberían leerla  -no parece que lo estén haciendo-  a buen seguro que sabrían interpretar con claridad lo que les dice y sacarle el debido partido. (Ello, básicamente, debido al carácter trivial y de sentido común de los mensajes que encierra).

La propia norma comienza avisando de su intencionalidad, que no es otra que la de “asesorar” a quienes tienen responsabilidades sobre el correcto funcionamiento de las organizaciones, en relación al papel que les toca jugar respecto de las TI  -sustento, en gran medida de la actividad de aquellas-. Y finaliza definiendo y detallando media docena de principios generales para el Buen Gobierno Corporativo de las TIC: responsabilidad, estrategia, inversión, conformidad, rendimiento y comportamiento.

Si Ud. echa de menos un mayor nivel de detalle  -procesos, procedimientos, instrucciones técnicas concretas, …-  para poner esos seis principios en marcha, disculpe la franqueza, pero, claramente, no se encontrará Ud. entre los destinatarios naturales de la norma; o, lo que es, aún, peor, Ud. no se habrá enterado de nada.

Sobre la supuesta “implantación”

Al hilo del anterior comentario, y en el marco general de banalización de la norma, se oye hablar, no pocas veces, de “implantarla”; e, incluso  -los más osados-  de desplegar un sistema de gestión, en torno a ella, como si de una norma de calidad, al uso, se tratase.

Lo que debe hacer Ud. con la norma ISO 38500, o más concretamente, con sus seis principios generales, es adoptarlos; esto es, hacerlos suyos e incorporarlos a la cultura y al día a día de la organización. Como dicen los amigos Manolo Palao y Ricardo Bría (1), una norma como ésta ha de ser sometida a un proceso de ad@ptación (léase, “adoptación“), una combinación de adopción y adaptación a las particularidades micropolíticas de la organización.

Naturalmente, ya vendrá después la necesaria puesta en marcha de una serie de mecanismos [de Buen Gobierno] que faciliten tal “adoptación”.

Optar por un enfoque diferente, no supondrá, sino un alejamiento de la intencionalidad original de la norma y una delimitación del mensaje de Gobierno Corporativo de TI al perímetro del Departamento de Calidad, como se está observando en más de una organización.

Moraleja

Si Ud. quiere llevar el mensaje de Gobierno Corporativo de TI a sus verdaderos destinatarios, hábleles de principios como los citados en este artículo (a lo mejor, tiene suerte y están dispuestos a adherirse a ellos). Si, por el contrario, se conforma con seguir discutiendo con sus iguales en los foros profesionales dispuestos a tal fin, siga ejercitando su memoria e incorporando como parte de su lenguaje la extensa codificación empleada por los cuerpos normativos del panorama internacional.

Los destinatarios

El análisis de la segunda expectativa creada hace dos años con la publicación de la norma ISO/IEC 38500:2008 obliga a reconocer, igualmente, que la comunidad que mejor acogida le ha dado es la conformada por los profesionales de los SSII y las TIC, a los que, como es evidente, no iba estrictamente dirigida.

El vals del Elefante

Fue precisamente ese hecho, esa realidad, la que empujó al australiano Mark Toomey  -co-autor de las normas AS 8015-2005, ISO/IEC 38500:2008 y, más recientemente, AS/NZS 8016(Int):2010–  a escribir su libro “Waltzing with the Elephant“, un intento de transmitir el verdadero significado de la norma ISO 38500, a sus oportunos destinatarios.

La obra, de lectura absolutamente recomendable, nació  -según ha declarado el propio Toomey-  con el objetivo de poner las cosas en su sitio, de ejercer un cierto acto de rebeldía frente a una evidente y aplastante realidad: eran los profesionales informáticos los que, de forma mayoritaria, acudían a los foros de debate abiertos durante la elaboración de la norma (subcomités y grupos de trabajo de Australian Standards, de ISO, …).

Los foros de normalización

ISO ha sabido resolver el problema  -sólo parcialmente-  mediante la creación, a finales de 2008, de un grupo de trabajo específico (WG6), e independiente del resto de subcomités y grupos de trabajo sobre Tecnologías de la Información, que componen el Comité Técnico Conjunto 1 (JTC1), paraguas de todos ellos. El WG6 está dedicado, en exclusiva, al estudio y desarrollo de normativa en torno a la disciplina del Gobierno Corporativo de TI. Ahora sólo falta que ISO sea capaz de atraer al mismo a otros profesionales, procedentes del ámbito de la dirección empresarial.

En España, AENOR, aún no ha dado ese paso. El desarrollo normativo del Buen Gobierno Corporativo en materia de TIC está todavía excesivamente ligado (cercano) al de otras disciplinas no menos importantes en materia de TI, como son las relativas a la Gestión de los Servicios Informáticos; pero cuya forzada “proximidad” no hace sino dificultar la correcta difusión del espíritu de la norma ISO/IEC 38500:2008.

Moraleja

Parafraseando a G. Vaughn Jhonson (2)  -“la Informática es demasiado importante como para dejarla en manos de los informáticos“-,  cabe sugerir que ISO, AENOR y los demás organismos normalizadores deberían echarnos  -disculpen esta gotita de protagonismo-  de estos grupos de trabajo, a todos los informáticos, procediendo a su refundación y habilitando la entrada en ellos, únicamente, a individuos procedentes de los órganos de gobierno de las corporaciones privadas y entidades de la Administración.

En suma, ¿cuál habrá de ser el camino?

Aún reconociendo la trascendencia de hitos como la publicación de la norma ISO 38500, tal vez, la manera más adecuada de llegar a los miembros de los Consejos de Administración y a los responsables de dirigir las organizaciones, no haya de venir por ahí, y sí por la vía de otros esfuerzos reguladores/normativos como podría ser una revisión y mayor desarrollo de los Códigos de Buen Gobierno Corporativo. El Código e Informe “King III” en Sudáfrica constituyen un claro ejemplo de ello.

De otro modo, habría que preguntarse, también, ¿qué le está faltando a la Gobernanza de TI para alcanzar los niveles de identificación y aceptación que, a nivel directivo, están teniendo otras disciplinas como la Sostenibilidad y la Responsabilidad Social Corporativa? (Por cierto, ámbitos para los que también existe, dentro del mundo ISO, un determinado desarrollo normativo).

 

Artículos relacionados

  1. Entrevista con Mark Toomey, autor de “Waltzing with the Elephant”

(1) Palao García-Suelto, Manolo y Bría Menéndez, Ricardo. “Implantación de Buen Gobierno de los SI y las TIC ad@ptando COBIT, ITIL y VAL IT: Una caricatura respetuosa“. Novática, nº 191, págs. 39 y ss. Enero-febrero de 2008. URL:: http://www.ati.es/novatica/2008/191/Nv191-Presentacion.pdf.
(2) Vaughn Jhonson, G. “Information Systems. A Strategic Approach“. Mountain Top Publishing. Nebraska, 1990.