Cualquiera que afirme que el principal objetivo de un empresa privada  -frente a la pretendida, a priori, finalidad social de las empresas públicas-  es el excesivamente simplista “¡ganar dinero!“, estará incurriendo en un grave error. Por encima de cualquier otra consideración, la principal meta de toda compañía privada es   -desde una perspectiva de Buen Gobierno Corporativo, habrá de ser-  garantizar su perdurabilidad, la permanencia y continuidad de su actividad, en el tiempo. Sólo de ese modo tendrá sentido plantearse otros objetivos. [Presumiblemente, el más importante  -pero en segundo lugar-,  el referido más arriba].

La obviedad del anterior razonamiento es evidente, por simple: la inexistencia, la desaparición, de la empresa invalidará automaticamente cualquier otra pretensión de rentabilidad y beneficio  -por ejemplo, para los que hasta ese momento hayan sido sus propietarios o accionistas-.  ¡Sencillamente, ya no aplicará!

El cortoplacismo que, en gran medida, rige, hoy, la vida corporativa  -lamentablemente, no es la única que rige-  es uno de los principales inhibidores de la continuidad de los negocios. El caso ENRON, por lo muy documentado y divulgado  -véase “ENRON. Los tipos que estafaron a América“-,  resulta uno de los más paradigmáticos. En él  -y en el propio documental-  queda ampliamente reflejada la incompatibilidad entre la meta de “ganar dinero”, planteada como meta prioritaria, y la de mantenerse en el mercado. ¡Pregúntenles, si no, a los accionistas de la compañia! Eso, por no hablar de sus empleados y, por tanto, futuros jubilados, destinatarios últimos de sus fondos de pensiones.

El tema, ampliamente discutido en los foros profesionales sobre Buen Gobierno Corporativo, se materializa en la “contaminación”  -desde la perspectiva del conflicto de intereses-  que muestran los consejos de administración, cuando en ellos participan miembros de los propios equipos directivos de las compañías. Estos consejeros ejecutivos, particularmente, cuando haya suculentas primas por resultados sobre la mesa, deberán equilibrar dos fuerzas contrapuestas: a) de un lado, su particular interés por alcanzar un rápido crecimiento, garantizándose, con ello, su gratificación personal; b) y, de otro, el de sus representados en el Consejo, esto es, la Junta de Accionistas  -y, por extensión, el de toda la propiedad-,  quienes, presumiblemente, querrán ver el beneficio mantenido en el tiempo y no sólo en un momento puntual. ¡Ni Lay, ni Skilling alcanzaron dicho equilibrio!

Al hilo de esta necesidad de garantizar una larga vida a los negocios, como premisa de otros éxitos empresariales, Manolo Palao acerca a Gobernanza de TI este nuevo Texticulillo™ en el que expone el papel que, en este asunto,  juegan las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo™ nº 12: Continuidad del Negocio y Auditoría de Sistemas (1)(2)

En otro artículo de esta serie, he descrito la revolución que, para la ASITIC (3), supuso la publicación, en 1996, de CobiT, por el Instituto para la Gobernanza de los SITIC, a su vez, parte de ISACA (4).

CobiT es un instrumento para la gobernanza de los SITIC, puesto a disposición de directivos y auditores, para facilitar el buen gobierno y el control de los sistemas de que aquellos se ocupan.

La revolución que CobiT supuso fue la de plantear la gestión de la totalidad de los SITIC al servicio de la empresa (u organismo).

Y uno de los objetivos primordiales de toda empresa es la continuidad de sus operaciones; al menos, las vitales.

El enfoque hacia la Gestión de la Continuidad del Negocio ha ido evolucionando con el tiempo, adoptando en los últimos años formas más estratégicas e integradas.

Comenzó hablándose de Recuperación ante Desastres, después se habló de Reanudación de la Operativa del Negocio y, sólo posteriormente, se ha tratado la Continuidad del Negocio (5). Yo me atreví, hace unos años, a pronosticar que ese planteamiento evolucionaría hacia el de la Continuidad de la Cadena Logística.

A toda empresa le interesa sobrevivir, con costes controlados, a una alteración o interrupción de sus operaciones.

Los atentados del 11-S, y sus consecuencias, han aumentado la concienciación por estos temas. Los accidentes también acarrean, en ocasiones, graves consecuencias.

Cuando escribo estas líneas la prensa dice que “La compañía Iberia logró ayer por la mañana, tras 21 horas de caos absoluto, resolver la avería que le ha obligado a cancelar 48 vuelos y provocó retrasos en otros 970” (6).

Convencionalmente, podemos clasificar las perturbaciones a la buena marcha de la empresa como incidencias, siniestros y catástrofes.

Las incidencias son disfunciones menores  -en ocasiones usuales-  que el sistema productivo absorbe (y, a veces, corrige automáticamente). Ejemplos de ellas pueden ser las averías locales, las interrupciones breves, los errores corregibles con un esfuerzo limitado.

Los siniestros son perturbaciones mayores que pueden causar interrupciones de horas o días y conllevar costes  -de prevención, de detección y/o de corrección-  significativos.

Las catástrofes son siniestros mayores que pueden suponer una larga interrupción de las operaciones y llevar al cierre definitivo de la empresa. Según un estudio de la Universidad de Tejas (7), relativo a fábricas, “tras una catástrofe, un 43% nunca reabre, un 51% sobrevive, pero está fuera del mercado en 2 años y sólo el 6% logra sobrevivir a largo plazo“.

Incidencias, siniestros y catástrofes pueden ser directos o indirectos  -a través de los SITIC, que es lo que aquí nos concierne; o por otros servicios (el eléctrico, por ejemplo)-.  Un fuego en la fábrica sería un siniestro directo; una inundación en el centro de cálculo lo sería indirecto para la empresa entera, con la concepción de la informática al servicio de la empresa antes expuesta. Muchas empresas tienen una alta y creciente dependencia de sus SITIC, lo que desdibuja esa distinción entre directo e indirecto.

La empresa debe partir de una clasificación de sus SITIC. Una clasificación usual permite hablar de sistemas críticos  -no pueden ser reemplazados por métodos manuales; el coste de la interrupción es muy alto-,  vitales  -durante un período breve pueden ser ejecutados a mano-,  sensibles  -pueden realizarse manualmente durante períodos largos, a costes razonables-  y no críticos  -pueden interrumpirse durante plazos largos, a coste bajo-.

Un estudio de la Universidad de Minesota (8) citado por el Prof. Dr. Jorge Ramió Aguirre (9) del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la UPM indica “períodos críticos de recuperación”  -para no poner en peligro su supervivencia-  de los sistemas de información: inferiores a los siete días (con carácter general, en todos los sectores), e inferiores a los dos días (en el sector financiero).

Para los distintos sistemas  -y según su criticidad en el tiempo-  hay que tener previstas medidas, que deben estar recogidas en un Plan integrado de Continuidad del Negocio, debidamente actualizado, difundido  -Kodak, por ejemplo, lo hace por su intranet-  y probado.

Entre las medidas preventivas figuran el tener copias actualizadas de programas y datos en un almacén remoto, disponer de líneas de comunicaciones redundantes y tener probado un centro de cálculo alternativo, también, remoto. Esto último admite diversas variantes  -de distinto coste y eficacia-,  desde un acuerdo de reciprocidad de ayuda con otra empresa, a tener centros de cálculo redundantes, con una instalación más o menos básica, o con una completa.

Los ASITIC tienen formación y experiencia especializadas para ayudar a establecer dichos planes y para comprobar la idoneidad de su gestión.

CobiT contiene excelentes recomendaciones para Directivos y Auditores de SITIC en relación con la Continuidad del Negocio.

El portal Contingency Planning (10)  -lamentablemente sólo en inglés-  reúne una variedad de informaciones y servicios relacionados con la continuidad del negocio. Nadie interesado en este tema debería dejar de registrarse y estudiarlo.

En su sección dedicada a “Defensas ante Interrupciones” (del inglés, “Disruption Defenses“) (11), trata los diversos riesgos con un amigable formato de ficha técnica, con los siguientes apartados: “Causa y Efecto“; “Dónde y Cuándo“; “Medidas Mitigadoras“; “Tras el Siniestro“; “Consejo del Experto” y “Un Caso Real“.

No me resisto  -por si alguien cree que ya tiene su plan de continuidad bastante completito–  a ofrecer la lista de los riesgos cubiertos en esas fichas:

Accesos no Autorizados; Adicciones en el Puesto de Trabajo; Apagones; Ataques con Virus [biológicos]; Ataques de Denegación de Servicio; Clima Invernal; Conflictos Laborales; Crimen de Cuello Blanco; Disfunciones en Entregas; Emergencias Médicas; Espionaje; Factor Humano; Falta de Mano de Obra; Falta de Registros; Fallos de Ordenador; Fallos de Energía; Fuego; Fusiones y Adquisiciones; Piratas Informáticos; Huracanes; Instalaciones con Varias Empresas Usuarias; Interrupciones de Transporte; Inundaciones; Moral de los Empleados; Planificación de Sucesiones; Problemas Legales; Publicidad Negativa; Reubicación del Negocio; Riesgos Biológicos; Riesgos Medioambientales; Síndrome del Edificio Enfermo; Temas relacionados con la Plantilla; Terremotos; Tormentas Invernales; Tormentas de Nieve; Tormentas Eléctricas; Tornados; Tumultos; Violencia en el Puesto de Trabajo; Virus de Ordenador.

 

Artículos relacionados

  1. DC y Auditoría de Sistemas (por Manolo Palao)
  2. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  3. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  4. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  5. Fraude y Auditoría de Sistemas (por Manolo Palao)
  6. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  7. Competencia y Auditoría de Sistemas (por Manolo Palao)
  8. Independencia y Auditoría de Sistemas (por Manolo Palao)
  9. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  10. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  11. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  12. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El término de moda, hoy, es, sin duda, ‘resilience‘ -la ‘resiliencia‘ como, con toda probabilidad, diría Palao-,  la elasticidad de que deberían estar dotadas las organizaciones a fin de ser capaces de resistir ante adversidades importantes que afecten a sus sistemas de información y de recuperar su “forma” original, su operativa previa al impacto. Piense en el comportamiento de los modernos edificios japoneses tras recibir el envite de un terremoto.

(6) Fuente: Diario “El País“. Verónica Martín/Carlos E. Cué. Madrid, 9 de noviembre de 2002. URL: http://www.elpais.com/articulo/espana/Iberia/repara/averia/despues/21/horas/caos/48/vuelos/cancelados/elpepiesp/20021109elpepinac_4/Tes.

(7) El tiempo transcurrido desde la publicación inicial de este Texticulillo™ ha hecho imposible recuperar la referencia original. No obstante, documentos posteriores, más recientes, apuntan al Emergency Management Forum americano como fuente de la cita.

 (8) Como en (7), la referencia al documento original se ha perdido.

(9) Véase (8).

(10) El autor hace referencia, en este punto, al antiguo portal de Internet “Contingency Planning” localizado a finales de 2002 en la URL http://www.contingencyplanning.com. Hoy día, la misma remite a la dirección-e http://contingencyplanning.com que alberga la sede web de la conferencia y exposición “Contingency Planning & Management“.

(11) Véase (10).

Como se había anunciado desde estas mismas páginas, el pasado viernes, día 20 de noviembre, llegaba a la Terminal 4 (T4) del Aeropuerto de Madrid-Barajas el vuelo de Iberia IB3515, procedente de Frankfurt (Alemania), con un esperado pasajero. A eso de las 10:45 de la mañana, y tras más de veinticinco horas de viaje, aparecía en el hall de llegadas de la citada terminal el especialista australiano en Gobierno Corporativo de TI, Mark Toomey.

La escala madrileña del autor de “Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology” formaba parte de un periplo más amplio, iniciado en Perth (Australia) y que continuaría, tras su paso por Madrid, en las ciudades de Frankfurt, donde, esta misma semana, tenía previsto ofrecer un curso de dos días de duración sobre “Fundamentos del Gobierno Corporativo de TI“, y Singapur, a donde acudiría con motivo de la reunión plenaria del grupo de trabajo JTC1/WG6 de ISO. Todo ello, antes de su regreso definitivo a Melbourne (Australia).

Gobernanza de TI ha tenido la oportunidad de acompañar al Sr. Toomey durante gran parte de los casi seis días que ha durado su estancia en Madrid y ha tenido ocasión de compartir e intercambiar con él una serie de impresiones sobre el Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones; sobre cómo el mercado  -y quiénes dentro de este mercado-  están siendo más proclives a acoger el mensaje subyacente a esa “nueva” disciplina; y, sobre el previsible desarrollo que, en este campo, se adivina.

Los párrafos que siguen tratan de ofrecer un resumen de tales reflexiones. El formato elegido en esta ocasión para presentar dichos comentarios  -una entrevista-  ayudará, sin duda, a trasladarles a Uds. los mensajes del Sr. Toomey y hará más dinámica la lectura de tales conclusiones.

Gobernanza de TI: Estimado Sr. Toomey, ¡bienvenido! Su primer viaje a España. ¿Qué impresiones se está llevando en estas primeras horas, casi minutos, desde su llegada?

Mark Toomey: Muchas gracias. Lo cierto es que lo que, apenas, he podido contemplar desde el avión no parece diferir mucho del paisaje australiano. Al llegar a Madrid hemos visto cómo, bajo nosotros, se extendía un amplio manto de color pardusco. Una tonalidad muy similar a la que, mayoritariamente, se puede observar en tierras australianas. La geología y la historia natural de la isla-continente han ayudado; el comportamiento del hombre blanco, tras su llegada, en relación al uso de los recursos naturales y del entorno, y la deforestación, han hecho el resto. Del mismo modo, confío en poder encontrar similitudes equivalentes entre ambos paises, en lo relativo al uso que se hace de las TI en el seno de las organizaciones y a la inquietud por ejercer sobre aquellas una dirección y control adecuados.

GdTI: Obviamente, es esto último lo que ha motivado su visita a España; pero, ¿podría comentar cómo nace su preocupación y qué pretende con ello?

MT: Tras una larga carrera en el mundo de las TI  -gran parte de ella en el sector financiero-,  a principios de esta década comencé a involucrarme y a colaborar con una nueva corriente que surgía en Australia a la sombra de ciertos escándalos y desastres económicos cuya raiz se hundía en el uso que, de las TIC, se había hecho en determinadas instituciones. Esa labor coral culminaría con la publicación, en enero de 2005, de la norma australiana AS8015:2005. Corporate governance of information and communication technology, germen de la posterior ISO/IEC 38500:2008. Corporate governance of information technology, publicada, finalmente, en junio de 2008. A partir de aquí, en los últimos tiempos he hecho de la difusión de los principios subyacentes al concepto de Buen Gobierno Corporativo de TI mi misión personal. De este modo, estoy tratando de concentrar todos mis esfuerzos en transmitir a las organizaciones la necesidad de poner en marcha sistemas que permitan ejercer las debidas actividades de evaluación, dirección y supervisión sobre el uso, presente y futuro, de sus propios recursos de TI.

GdTI: Claro fruto de dicho esfuerzo ha sido el libro “Waltzing with the Elephant“, publicado hace tres meses. ¿Por qué esa invitación a “bailar un vals con el elefante”?

MT: (Sonrisas). Bien, la idea parte de la expresión “the elephant in the room” (el elefante en la habitación). No se lo que ocurre en España (más sonrisas); pero en Australia no es habitual encontrarte un elefante en la habitación. De ocurrir, probablemente, lo primero que diríamos sería “¿qué diablos hace esto aquí?“. Esa es precisamente la percepción que, sobre las TI, parece existir entre los miembros de los consejos de administración de las organizaciones de hoy. En no pocas ocasiones la aparición de temas tecnológicos en las agendas de dichos consejeros parecen “desentonar” del curso normal de las reuniones del consejo. “¿Qué diablos hace ESTO aquí? ¿No deberían haberse ocupado de ello los chicos de Informática?“. “Waltzing with the Elephant” trata de poner la semilla para que los sistemas de dirección y control de las Tecnologías de la Información comiencen a verse como una herramienta más del negocio, que, por tanto, habrá de ser manejada por quien tiene potestad para manejar dicho negocio.

GdTI: En las respuestas anteriores ha venido haciendo un reiterado hincapié en el “uso de las TI” o “de los recursos de TI” de los que disponen las organizaciones. Ello, junto a su último comentario sobre “el Elefante”, ¿han de hacer pensar que debería ponerse más nitidamente el acento en ese lado de la ecuación, en el lado del usuario, en definitiva, en el lado de quien demanda soluciones y servicios habilitados por TI?

MT: Así es. Hasta ahora, gran parte de los esfuerzos que se han hecho en relación a la difusión de la necesidad de establecer marcos para el Buen Gobierno Corporativo de TI han puesto el foco y han tenido como claro destinatario el lado de la oferta, de la provisión de soluciones y servicios de TI. De este modo, dichas propuestas han devenido en meros marcos para una eficaz Gestión de TI; pero en ningún caso pueden considerarse modelos para el Gobierno de TI. Asimismo, la literatura sobre Gobierno de TI pone, una y otra vez, el acento en la figura del Director de Sistemas de Información, como protagonista principal en este escenario. Sin embargo, obviar el lado de la demanda no parece tener sentido. Sería dejar la ecuación incompleta y, además, no se antoja la mejor forma de ayudar a aproximar esos dos lados, tan habitualmente distantes. Tomemos el ejemplo de un atomóvil. Un discurso basado, principalmente, en el lado de la oferta, en mejorar dicha oferta, hablaría, casi exclusivamente, de los engranajes ocultos bajo la carrocería, del par-motor, de la potencia del vehículo, etc. Por el contrario, visto desde el lado de la demanda, podrían resultar más interesantes otros aspectos como la marca, línea o el color del coche, la existencia de sólo cinco asientos, o la posibilidad de montar siete a fin de que la familia viajase lo más cómodamente posible, etc. Orientar el mensaje hacia el lado de la demanda contribuirá a facilitar la comprensión de los problemas asociados a las TI, por parte de la gente al mando de los negocios, y ayudará  a elevar la posición de la información y sus tecnologías afines al nivel que le corresponde junto al resto de activos clave de las organizaciones.

GdTI: ¿Qué papel juega el comportamiento humano en relación a las TI?

MT: Muy buena pregunta. Esa es una de las claves, demasiado a menudo olvidada. Al principio de la conversación mencioné el comportamiento del hombre blanco, tras su llegada a Australia, y cómo dicho comportamiento había determinado el uso que se había hecho de los recursos naturales. O, por ejemplo, retomemos, de nuevo, el símil del automóvil. En este caso, tampoco hablaremos de Tecnología de la Información, hablaremos de lo que podríamos denominar “Tecnología de Transporte“. Los principios, no obstante, son, igualmente, aplicables. En el vehículo somos capaces de identificar muchas de las situaciones cotidianas que caracterizan a las TI dentro de las empresas: tenemos la fabricación externalizada en el constructor, tenemos el mantenimiento externalizado en el taller, etc.; sin embargo, nosotros como conductores (y, posiblemente, propietarios) de ese vehículo somos quienes nos hemos de ocupar de darle a esa tecnología de transporte un uso adecuado; y no sólo en nuestro propio beneficio, sino también en el de otros interesados (la familia, otros conductures, los peatones, las autoridades de Tráfico, etc.). Dependerá, por tanto, de nuestro comportamiento al volante, el que utilicemos de uno u otro modo dicho automóvil. En gran parte de los accidentes de tráfico las causas no han de buscarse en fallos mecánicos o eléctricos del vehículo, sino, simplemente, en imprudencias o despistes. De igual modo, gran parte de los problemas con las TI tienen su origen en negligencias u otros comportamientos inapropiados, no sólo de aquellos individuos que proveen dichas tecnologías, sino de los que las utilizan o, en última instancia, determinan su uso.

GdTI: Este último mensaje relativo a la responsabilidad que, sobre el uso de las TI, tienen los “conductores” de los negocios puede que no sea muy bien entendido por esas personas a cargo de las organizaciones e instituciones. ¿Cómo está siendo acogido el discurso del Buen Gobierno de TI en la Australia corporativa?

MT: ¿No es significativo el hecho de que haya tenido que venir a contar esto en España, en lugar de quedarme en Australia? (De nuevo, sonrisas). Lo cierto es que nadie es profeta en su tierra (más sonrisas). Bromas a parte, es cierto que el ritmo al que se está aceptando este mensaje del Gobierno de TI no es todo lo ágil que uno desearía. Por ese motivo estamos planteándonos abordar alguna iniciativa específica que ayude a acercar dicho mensaje a los miembros clave de la comunidad corporativa.

GdTI: ¿Cómo definiría el papel que están jugando, o que podrían jugar, organizaciones como ISACA o el itSMF en el citado acercamiento?

MT: El origen de este tipo de entidades no parece aconsejar que las nuevas iniciativas de aproximación a la comunidad corporativa hayan de seguir sus mismos pasos. Como ya he indicado, la clave estaría en evitar, en lo posible, aproximaciones a través del lado de la oferta; vertiente, que, sin duda, representan las organizaciones citadas. Por el contrario, sería más oportuno pensar en otro tipo de instituciones o asociaciones más afines a los individuos ubicados en el lado del negocio (lado de la demanda). Aún así, incluso entre las propias organizaciones mencionadas existen diferencias. Sirva como ejemplo el diferente poder de convocatoria que una y otra han demostrado en las últimas conferencias promovidas en el ámbito local australiano: itSMF Australia logró convocar a tres personas por cada asistente a los eventos organizados por los capítulos locales de ISACA.

GdTI: Y, ¿qué hay del ámbito de la Administración Pública australiana? A un año de su publicación, ¿qué efectos está teniendo el “Informe Gershon“?

MT: Efectivamente, el documento “Review of the Australian Government’s Use of Information and Communication Technology” (“Revisión del uso de las TIC por parte de la Administración Publica australiana“), firmado por Sir Peter Gershon el pasado mes de agosto de 2008, supuso todo un hito, tanto para el Sector Público australiano, como para la comunidad del Gobierno de TI en general, al resumir todas sus recomendaciones en un único mensaje: la necesidad de adoptar e implantar un marco de gobernanza de TI que permitiese evaluar, dirigir y supervisar el uso de las TI, según los dictados de la norma australiana AS8015:2005. Por desgracia, un año después, he de confesar que la lectura que se está haciendo del “Informe Gershon” está considerando, únicamente, el lado de la oferta, de forma que sólo se están abordando las iniciativas identificadas en el Plan, desde el punto de vista de mejorar la entrega de soluciones y servicios de TI, obviando la labor de dirección y control (supervisión) que el Informe demandaba de y asignaba a los representantes políticos, responsables últimos del correcto uso de los recursos de (y destinados a) las TIC, en favor de los miembros de la Sociedad australiana.

GdTI: Este año, una nueva iniciativa está tratando de elevar las TI a nivel de elemento de gobierno por parte de las organizaciones. Se trata del informe “King III“, publicado recientemente en Sudáfrica, que dedica un amplio apartado a recordar a los miembros de los consejos de administración sus responsabilidades en relación al uso que se hace de las TIC en sus respectivas compañías. ¿Cree Ud. que esta propuesta sudafricana servirá como catalizador para implusar el Buen Gobierno Corporativo de TI entre la comunidad empresarial sudafricana y, por extensión, entre la comunidad corporativa internacional? ¿Cree que podrá servir de ejemplo, para otras regulaciones, en otros países?

MT: Difícil pronóstico. Lo único realmente objetivo es que, a fecha de hoy, se ha creado un cierto excepticismo en torno a la redacción de esta nueva revisión del código sudafricano. Excepticismo sustentado en la creencia de que han podido generarse determinados intereses que pueden haber estado detrás de la publicación del nuevo documento.

GdTI: Por último, y en vista de esa próxima reunión del JTC1/WG6, en Singapur, la semana que viene, ¿cómo ve Ud. el desarrollo de la normativa relativa al Gobierno Corporativo de TI a nivel internacional?

MT: De nuevo, en este caso, cabe aplicar una cierta cautela, dada la composición de algunos órganos de representación en entidades de normalización como ISO. No en pocas ocasiones se encuentra uno con situaciones en las que en ciertos comités y grupos de trabajo se detecta una sospechosa y mayoritaria presencia de representantes vinculados de un determinado fabricante del sector TIC. Ello no sólo puede suponer una falta de independencia en los procesos de aprobación de nuevas normativas; sino que, en casos como el de la norma ISO/IEC 38500:2008, puede constituir una dificultad adicional a la hora de moldear un mensaje más afín al lado de la demanda de soluciones y servicio de TI, imprescindible, como se ha explicado con anterioridad.

GdTI: Muchas gracias, de nuevo, Sr. Toomey, por su amabilidad.

Mark Toomey abandonaba, finalmente, Madrid con destino a Frankfurt el miércoles, 25 de noviembre, tras ofrecer una serie de charlas-conferencias y mantener una serie de encuentros con representantes de algunas de las principales empresas del país.