La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la “torpeza” de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

  • ¿Cuánto debe gastar una organización en TI?
  • ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
  • ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
  • ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
  • ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
  • ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la “Gobernanza de TI” como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

  • ¿QUIÉN toma la decisión?
  • ¿CÓMO se toma la decisión?
  • ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese “qué” –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

  • herramientas?;
  • operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
  • gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran “haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM“, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

  • independencia de herramientas;
  • una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
  • unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
  • simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

  • Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
  • Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
  • Adquisición: adquirir TIC de forma válida;
  • Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
  • Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
  • Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.

Anuncios

Los Consejos de Administración y las Direcciones Generales han comprendido, desde hace tiempo, la necesidad de establecer marcos de buen gobierno corporativo. Esto se hace particularmente evidente si se tienen en cuenta las crecientes obligaciones en materia de conformidad regulatoria.

Más aún, los Sistemas de Información, y las Tecnologías de la Información y las Comunicaciones que los sustentan, han adquirido una gran relevancia en el logro de los objetivos corporativos y en la entrega de beneficios. Ello ha llevado a un importante número de organizaciones a darse cuenta de que la gobernanza ha de extenderse también al ámbito tecnológico; hasta tal punto, que, hoy en día, el buen gobierno de las TI es considerado una parte integrante de la gobernanza corporativa, como medio de apoyar y reforzar las estrategias y objetivos de la organización.

Este escenario  – con una creciente demanda, por parte del negocio, de la aportación que ofrece la tecnología; y con una superior concienciación sobre la importancia de contar con buenas prácticas y modelos –  abre un claro camino hacia el desarrollo y despliegue de la Gobernanza de TI.

Como parte de este “despliegue”, y dado que la dirección (gobierno) de las TI ya no ha de verse como una preocupación exclusiva de la Dirección de Informática, sino de la alta dirección en su conjunto, está surgiendo una nueva figura a nivel directivo: el Gobernador Corporativo de TI (Chief [IT] Governance Officer, o CGO, como recogería la bibliografía anglosajona).

Como ventaja añadida, el establecimiento de un puesto tal, dentro de la organización, supondrá una demostración palpable del compromiso de aquella con la excelencia en las buenas prácticas de gobernanza de TI.

 

Con la mira puesta en el negocio

En el nuevo contexto, la misión del Gobernador de TI será proporcionar el debido apoyo al Consejo de Administración y a la Dirección General, maximizando la contribución hecha por las Tecnologías de la Información al éxito de la organización y, al mismo tiempo, gestionando y mitigando los riesgos derivados del uso que se hace de la propia tecnología.

 

El perfil

Entre las responsabilidades  – o, dicho de otro modo, habilidades –  de los profesionales que desarrollen su actividad entorno a la gobernanza de las TI en sus respectivas entidades, cabe descatar las siguientes:

  • deberán conocer las actuales tendencias, así como los principales modelos organizativos y de dirección de TI, y saber armonizar y canalizar su valor para la entidad. Esta meta se alcanzará mediante el establecimiento de procesos de implantación y despliegue de dichos marcos de referencia para el gobierno, la dirección y el control de las TI a lo largo y ancho de la organización;
  • deberán ser capaces de asegurar que las TI actuan como catalizador para el logro de los objetivos del negocio, mediante la integración de los planes estratégicos de TI con los planes estratégicos de la organización y mediante la sincronización de los servicios prestados desde TI con las operaciones de la compañía para optimizar los procesos de negocio. A ello contribuirá la definición y desarrollo de una estrategia tecnológica de la empresa;
  • deberán, asimismo, encargarse de garantizar que, tanto TI, como las áreas de negocio, cumplen con sus responsabilidades sobre la gestión del valor: esto es, que las nuevas inversiones en actividades apoyadas en tecnología producen el beneficio esperado y aportan un valor al negocio, medible, tanto invididual, como colectivamente; que las capacidades (soluciones y servicios) son entregados en coste y plazo; y que los servicios y otros activos de TI contribuyen de manera contínua al valor del negocio. Todo ello, mediante el desarrollo de un proceso de gobierno del valor;
  • adicionalmente, los gobernadores de TI deberán asegurar la existencia y puesta en marcha de marcos apropiados, alineados con las normas y modelos de referencia, para identificar, evaluar, mitigar, gestionar, comunicar y supervisar los riesgos del negocio relacionados con las TI, como una actividad más del buen gobierno de la empresa. Todo ello, mediante el desarrollo, mejora y mantenimiento de un proceso contínuo y analítico de gobierno de los riesgos empresariales;
  • estos nuevos directivos deberán ocuparse de que el área de TI disponga de recursos suficientes, competentes y capaces de ejecutar los objetivos estratégicos presentes y futuros, y de responder a las demandas del negocio, a través de una gestión óptima de la inversión, el uso y la asignación de los activos tecnológicos (personas, aplicaciones, infraestructuras e información). Todo ello, mediante la puesta en marcha de un proceso contínuo de planificación, gestión y optimización de activos, recursos y operaciones de TI;
  • igualmente, deberán asegurar que se establecen metas e indicadores para las TI, de apoyo al negocio, en colaboración con las partes interesadas; y que se fijen, supervisen y evaluen ciertos objetivos medibles. Todo ello, mediante procesos contínuos de medición, gestión y evaluación del rendimiento; y,
  • finalmente, deberán ser capaces de actuar como impulsores del cambio cultural y organizativo dentro de la entidad; a lo cual se llegará, a través de la activación del oportuno programa de comunicación y gestión del cambio que habrá de mantenerse en el tiempo y en paralelo a la implantación de las nuevas prácticas y procesos adoptados dentro de la organización.

Se trata, en definitiva, de habilidades y actividades directamente relacionadas con la definición, el establecimiento y/o el mantenimiento de un conjunto de mecanismos de gobernanza de las TIC orientados a asegurar la sincronía con el gobierno corporativo de la entidad; a controlar el entorno de TI y la información de negocio mediante la puesta en marcha de buenas prácticas; y a garantizar la conformidad con los requisitos, externos e internos, a que esté sujeta la organización.

 

Una reflexión final

A partir del perfil descrito para estos nuevos directivos cabría plantearse la siguiente duda: ¿están los actuales responsables de Tecnología, tanto en organizaciones del sector público, como del privado, preparados para asumir ese nuevo papel?

Sin ánimo de polemizar, uno podría mostrarse, cuando menos, dubitativo ante semejante pregunta. Particularmente, teniendo en cuenta el perfil actual, medio, del directivo de TI: un individuo con un enorme bagaje técnico, en la mayoría de los casos, que ha ido ganando en responsabilidad con los años; pero al que no siempre le resulta fácil, ni cómodo, adoptar perspectivas de negocio. Un individuo, en definitiva, cuya propia “configuración” interna presenta, habitualmente, un claro desequilibrio entre la vertiente tecnóloga, más acusada, y la vertiente directiva (empresarial), menos desarrollada.

Tal vez convendría reformular la pregunta de esta manera: la aparición de este nuevo perfil  – CGO –  en los niveles de alta dirección, ¿no habría de constituir, para los actuales Directores de Informática, una oportunidad única de crecimiento personal y de elevación de su posición dentro de las organizaciones?