Lejos de pretender resultar ofensivo  -vaya lo de “pobre” con todo el respeto-,  el titular que precede estas líneas no hace sino constatar una evidente realidad: a diferencia de lo ocurrido con su hermana mayor  -a la que se ha dedicado no poca literatura-,  de la norma australiano-neozelandesa AS/NZS 8016(Int):2010. Corporate governance of projects involving information technology investments apenas se ha oído hablar en el año que lleva en vigor.

¡Poco se ha escrito sobre ella! ¡Pocas charlas/conferencias se le han dedicado! Una búsqueda en Google de la cadena “AS/NZS 8016(Int):2010” arroja unos escuálidos 85 resultados. ¡Haga la prueba!

La publicación, en enero de 2005, de la norma australiana AS 8015-2005. Corporate governance of information and communication technology  , constituía el final de una etapa, iniciada cinco años atrás por un grupo de individuos preocupados y motivados pòr la aparición en el panorama corporativo y gubernamental australiano de una serie de escándalos económicos, en cuya génesis se encontraban determinadas inversiones  -dotadas de un notable componente tecnológico-  mal dirigidas y peor controladas.

Sin embargo, la aparición de la AS8015  -reeditada, en junio de 2008, como norma internacional ISO/IEC 38500:2008. Corporate governance of information technology, “pseudónimo”, por el que, hoy, es más conocida-  supuso, también, la apertura de una puerta a nuevos desarrollos normativos en ámbitos particulares del uso de las Tecnologías de la Información y las Comunicaciones. Dichos ámbitos se concretaban, particularmente, en dos: los proyectos de TI y las operaciones de TI.

Del segundo de aquellos, nada se ha vuelto a saber. Transcurridos seis años desde que la norma base  -AS8015-  viera la luz, no hay constancia de la publicación de resultado alguno sobre la gobernanza de las operaciones de TI  -supuesta AS8017-.  Cabe, en este sentido, pensar que los desarrollos habidos en estos años en los ámbitos de la gestión de los servicios de TI  -aparición de la serie de normas ISO/IEC 20000, en 2005, y sus recientes y actuales revisiones, unidas a la publicación de la tercera versión del modelo ITIL, en 2007-  hayan contribuido a frenar el ímpetu inicial de los promotores de la serie AS 801x. De confirmarse este extremo, habría que lamentarlo, por cuanto se estaría dejando pendiente de aclarar la, nunca suficientemente entendida, diferencia entre Gobernanza y Gestión, y, con ello, aquellos aspectos relativos a la toma de decisiones sobre los servicios de TI que reciben y sustentan las operaciones de negocio de las organizaciones. Estas últimas nada tendrían que decir  -asunto, en todo caso, más que discutible-  sobre cómo se operan los sistemas de información y de soporte al negocio; sin embargo, sí parece que debieran asumir un destacado protagonismo a la hora de decidir: qué servicios se han de recibir  -¿cuáles, por qué y para qué?-;  qué alcance habrían de tener tales servicios  -¿departamental o corporativo?-;  a qué coste  -¿qué dinero ha de dedicárseles, a juicio de la organización?-;  qué modelo de aprovisionamiento de dichos servicios conviene más al negocio  -¿interno o externo?-;  etc. ¡El tiempo despejará la incertidumbre sobre la AS8017!

Retomando el primero de los dos ámbitos citados más arriba, la materialización, hace un año, de la AS8016, publicada como norma provisional, permite ver con un mayor optimismo  -al menos, a priori–  las tareas de desarrollo normativo en torno a las inversiones en nuevas actuaciones, apoyadas significativamente en la tecnología; esto es, en torno a los que  -de forma simplificada, en exceso-  se denominan proyectos de TI.

Con un cierto paralelismo en relación a lo expuesto para las operaciones de TI, la elaboración de una norma sobre el gobierno corporativo de aquellos proyectos de negocio que impliquen inversiones en Tecnologías de la Información y las Comunicaciones, ha supuesto dar un paso más allá de la mera gestión de proyectos  -disciplina suficientemente cubierta por modelos del sector como CMMI-DEV, PMBoK o PRINCE2 y otras normas-,  poniendo el acento, no en la ejecución de tales proyectos, sino en el beneficio que, para la organización, supondrá abordarlos.

Este enfoque centrado en el valor de las inversiones  -ya explorado por ISACA, en su modelo Val IT, desde 2006; ITIM, VMM o, más recientemente, MoV, son otros ejemplos-  favorece, asimismo, la ampliación de la perspectiva tradicional del Gobierno Corporativo, centrado en la conformidad y en el cumplimiento con normas y regulaciones, hacia un nuevo planteamiento que apunta a la contribución (rendimiento/rentabilidad) que, desde TI, se hace a los resultados del negocio.

Este nuevo discurso, centrado en términos como priorización de inversiones, gobierno del valorrealización de beneficios, etc., debería servir, además, para atraer, hacia la problemática que plantean las inversiones tecnológicas, a todos cuantos tengan responsabilidades en la dirección y control de las organizaciones. Lamentablemente, la poca atención que parece haber recibido la norma en su primer año de vida, crea serias dudas sobre el interés que haya podido causar, siquiera, entre los más fervientes seguidores de su hermana mayor.

¡No se sorprendan! ¡Sigue tratándose de mensajes que no van dirigidos a nosotros, los técnicos!

 

Artículos relacionados

  1. Dos años de ISO 38500: ¿es éste el camino?
  2. ISO/IEC 38500:2008. Un año difundiendo el concepto de ‘Buen Gobierno Corporativo de las TIC’
  3. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  4. Gobernanza de TI en una línea (revisada)
  5. Una “misiva” para la alta dirección

¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta.

Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la norma ISO/IEC 38500:2008, Corporate Governance of Information Technology, ocurrida hace dos años.

La aparición, en aquellos momentos, de una norma de alcance internacional, como la citada, constituyó, cuando menos, un hito “ilusionante”; y ello, por dos motivos:

  • en primer lugar, el respaldo de ISO no debía, sino suponer la, ampliamente esperada, puesta de largo de una disciplina que había venido cocinándose, durante una década, en los fogones de otras reputadas y respetadas instituciones como el IT Governance Institute, de ISACA, o la Escuela de Dirección Sloan, del MIT; y,
  • por otro lado, la norma, de manera relativamente escueta, pero clara, apuntaba hacia la esencia del concepto de ‘buen gobierno corporativo’, hundiendo su raiz en el “Informe Cadbury“; e identificando, con esa misma nitidez, a los individuos que deberían recoger el mensaje enviado, a duo, por ISO e IEC: los consejeros y miembros de la alta dirección de las organizaciones.

La perspectiva aportada por los dos años transcurridos permite analizar si tales expectativas se han cumplido.

ISO

Con respecto al primer punto, los hechos muestran cómo, lamentablemente, la contribución de ISO no ha sido  -no está siendo-  adecuadamente entendida; dando al traste, al menos de momento, con el deseo expresado desde ‘Gobernanza de TI‘  -“¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!“-  en la crónica publicada hace ahora un año.

Lo que debería haber sido un paso a la mayoría de edad de la disciplina del Gobierno Corporativo de TI  -y un distanciamiento de los ámbitos estrictamente académicos (MIT) y profesional-sectoriales (ISACA)-,  gracias al amplio reconocimiento público de la “marca” ISO, ha devenido en una banalización del mensaje transmitido. Banalización que tiene su origen, como se ha apuntado, en la falta de comprensión de la orientación y objetivos de la norma, como demuestran afirmaciones del estilo: “¡Vaya una norma, si no dice nada!“, o interpretaciones erróneas que tratan de “implantarla” como si de una norma ISO, al uso, se tratase.

Lo que dice la norma

Por supuesto que dice, y mucho. Hay que saber leerla. No debe confundir el hecho de que lo diga en pocas páginas. Quienes realmente deberían leerla  -no parece que lo estén haciendo-  a buen seguro que sabrían interpretar con claridad lo que les dice y sacarle el debido partido. (Ello, básicamente, debido al carácter trivial y de sentido común de los mensajes que encierra).

La propia norma comienza avisando de su intencionalidad, que no es otra que la de “asesorar” a quienes tienen responsabilidades sobre el correcto funcionamiento de las organizaciones, en relación al papel que les toca jugar respecto de las TI  -sustento, en gran medida de la actividad de aquellas-. Y finaliza definiendo y detallando media docena de principios generales para el Buen Gobierno Corporativo de las TIC: responsabilidad, estrategia, inversión, conformidad, rendimiento y comportamiento.

Si Ud. echa de menos un mayor nivel de detalle  -procesos, procedimientos, instrucciones técnicas concretas, …-  para poner esos seis principios en marcha, disculpe la franqueza, pero, claramente, no se encontrará Ud. entre los destinatarios naturales de la norma; o, lo que es, aún, peor, Ud. no se habrá enterado de nada.

Sobre la supuesta “implantación”

Al hilo del anterior comentario, y en el marco general de banalización de la norma, se oye hablar, no pocas veces, de “implantarla”; e, incluso  -los más osados-  de desplegar un sistema de gestión, en torno a ella, como si de una norma de calidad, al uso, se tratase.

Lo que debe hacer Ud. con la norma ISO 38500, o más concretamente, con sus seis principios generales, es adoptarlos; esto es, hacerlos suyos e incorporarlos a la cultura y al día a día de la organización. Como dicen los amigos Manolo Palao y Ricardo Bría (1), una norma como ésta ha de ser sometida a un proceso de ad@ptación (léase, “adoptación“), una combinación de adopción y adaptación a las particularidades micropolíticas de la organización.

Naturalmente, ya vendrá después la necesaria puesta en marcha de una serie de mecanismos [de Buen Gobierno] que faciliten tal “adoptación”.

Optar por un enfoque diferente, no supondrá, sino un alejamiento de la intencionalidad original de la norma y una delimitación del mensaje de Gobierno Corporativo de TI al perímetro del Departamento de Calidad, como se está observando en más de una organización.

Moraleja

Si Ud. quiere llevar el mensaje de Gobierno Corporativo de TI a sus verdaderos destinatarios, hábleles de principios como los citados en este artículo (a lo mejor, tiene suerte y están dispuestos a adherirse a ellos). Si, por el contrario, se conforma con seguir discutiendo con sus iguales en los foros profesionales dispuestos a tal fin, siga ejercitando su memoria e incorporando como parte de su lenguaje la extensa codificación empleada por los cuerpos normativos del panorama internacional.

Los destinatarios

El análisis de la segunda expectativa creada hace dos años con la publicación de la norma ISO/IEC 38500:2008 obliga a reconocer, igualmente, que la comunidad que mejor acogida le ha dado es la conformada por los profesionales de los SSII y las TIC, a los que, como es evidente, no iba estrictamente dirigida.

El vals del Elefante

Fue precisamente ese hecho, esa realidad, la que empujó al australiano Mark Toomey  -co-autor de las normas AS 8015-2005, ISO/IEC 38500:2008 y, más recientemente, AS/NZS 8016(Int):2010–  a escribir su libro “Waltzing with the Elephant“, un intento de transmitir el verdadero significado de la norma ISO 38500, a sus oportunos destinatarios.

La obra, de lectura absolutamente recomendable, nació  -según ha declarado el propio Toomey-  con el objetivo de poner las cosas en su sitio, de ejercer un cierto acto de rebeldía frente a una evidente y aplastante realidad: eran los profesionales informáticos los que, de forma mayoritaria, acudían a los foros de debate abiertos durante la elaboración de la norma (subcomités y grupos de trabajo de Australian Standards, de ISO, …).

Los foros de normalización

ISO ha sabido resolver el problema  -sólo parcialmente-  mediante la creación, a finales de 2008, de un grupo de trabajo específico (WG6), e independiente del resto de subcomités y grupos de trabajo sobre Tecnologías de la Información, que componen el Comité Técnico Conjunto 1 (JTC1), paraguas de todos ellos. El WG6 está dedicado, en exclusiva, al estudio y desarrollo de normativa en torno a la disciplina del Gobierno Corporativo de TI. Ahora sólo falta que ISO sea capaz de atraer al mismo a otros profesionales, procedentes del ámbito de la dirección empresarial.

En España, AENOR, aún no ha dado ese paso. El desarrollo normativo del Buen Gobierno Corporativo en materia de TIC está todavía excesivamente ligado (cercano) al de otras disciplinas no menos importantes en materia de TI, como son las relativas a la Gestión de los Servicios Informáticos; pero cuya forzada “proximidad” no hace sino dificultar la correcta difusión del espíritu de la norma ISO/IEC 38500:2008.

Moraleja

Parafraseando a G. Vaughn Jhonson (2)  -“la Informática es demasiado importante como para dejarla en manos de los informáticos“-,  cabe sugerir que ISO, AENOR y los demás organismos normalizadores deberían echarnos  -disculpen esta gotita de protagonismo-  de estos grupos de trabajo, a todos los informáticos, procediendo a su refundación y habilitando la entrada en ellos, únicamente, a individuos procedentes de los órganos de gobierno de las corporaciones privadas y entidades de la Administración.

En suma, ¿cuál habrá de ser el camino?

Aún reconociendo la trascendencia de hitos como la publicación de la norma ISO 38500, tal vez, la manera más adecuada de llegar a los miembros de los Consejos de Administración y a los responsables de dirigir las organizaciones, no haya de venir por ahí, y sí por la vía de otros esfuerzos reguladores/normativos como podría ser una revisión y mayor desarrollo de los Códigos de Buen Gobierno Corporativo. El Código e Informe “King III” en Sudáfrica constituyen un claro ejemplo de ello.

De otro modo, habría que preguntarse, también, ¿qué le está faltando a la Gobernanza de TI para alcanzar los niveles de identificación y aceptación que, a nivel directivo, están teniendo otras disciplinas como la Sostenibilidad y la Responsabilidad Social Corporativa? (Por cierto, ámbitos para los que también existe, dentro del mundo ISO, un determinado desarrollo normativo).

 

Artículos relacionados

  1. Entrevista con Mark Toomey, autor de “Waltzing with the Elephant”

(1) Palao García-Suelto, Manolo y Bría Menéndez, Ricardo. “Implantación de Buen Gobierno de los SI y las TIC ad@ptando COBIT, ITIL y VAL IT: Una caricatura respetuosa“. Novática, nº 191, págs. 39 y ss. Enero-febrero de 2008. URL:: http://www.ati.es/novatica/2008/191/Nv191-Presentacion.pdf.
(2) Vaughn Jhonson, G. “Information Systems. A Strategic Approach“. Mountain Top Publishing. Nebraska, 1990.