Lejos de pretender resultar ofensivo  -vaya lo de “pobre” con todo el respeto-,  el titular que precede estas líneas no hace sino constatar una evidente realidad: a diferencia de lo ocurrido con su hermana mayor  -a la que se ha dedicado no poca literatura-,  de la norma australiano-neozelandesa AS/NZS 8016(Int):2010. Corporate governance of projects involving information technology investments apenas se ha oído hablar en el año que lleva en vigor.

¡Poco se ha escrito sobre ella! ¡Pocas charlas/conferencias se le han dedicado! Una búsqueda en Google de la cadena “AS/NZS 8016(Int):2010” arroja unos escuálidos 85 resultados. ¡Haga la prueba!

La publicación, en enero de 2005, de la norma australiana AS 8015-2005. Corporate governance of information and communication technology  , constituía el final de una etapa, iniciada cinco años atrás por un grupo de individuos preocupados y motivados pòr la aparición en el panorama corporativo y gubernamental australiano de una serie de escándalos económicos, en cuya génesis se encontraban determinadas inversiones  -dotadas de un notable componente tecnológico-  mal dirigidas y peor controladas.

Sin embargo, la aparición de la AS8015  -reeditada, en junio de 2008, como norma internacional ISO/IEC 38500:2008. Corporate governance of information technology, “pseudónimo”, por el que, hoy, es más conocida-  supuso, también, la apertura de una puerta a nuevos desarrollos normativos en ámbitos particulares del uso de las Tecnologías de la Información y las Comunicaciones. Dichos ámbitos se concretaban, particularmente, en dos: los proyectos de TI y las operaciones de TI.

Del segundo de aquellos, nada se ha vuelto a saber. Transcurridos seis años desde que la norma base  -AS8015-  viera la luz, no hay constancia de la publicación de resultado alguno sobre la gobernanza de las operaciones de TI  -supuesta AS8017-.  Cabe, en este sentido, pensar que los desarrollos habidos en estos años en los ámbitos de la gestión de los servicios de TI  -aparición de la serie de normas ISO/IEC 20000, en 2005, y sus recientes y actuales revisiones, unidas a la publicación de la tercera versión del modelo ITIL, en 2007-  hayan contribuido a frenar el ímpetu inicial de los promotores de la serie AS 801x. De confirmarse este extremo, habría que lamentarlo, por cuanto se estaría dejando pendiente de aclarar la, nunca suficientemente entendida, diferencia entre Gobernanza y Gestión, y, con ello, aquellos aspectos relativos a la toma de decisiones sobre los servicios de TI que reciben y sustentan las operaciones de negocio de las organizaciones. Estas últimas nada tendrían que decir  -asunto, en todo caso, más que discutible-  sobre cómo se operan los sistemas de información y de soporte al negocio; sin embargo, sí parece que debieran asumir un destacado protagonismo a la hora de decidir: qué servicios se han de recibir  -¿cuáles, por qué y para qué?-;  qué alcance habrían de tener tales servicios  -¿departamental o corporativo?-;  a qué coste  -¿qué dinero ha de dedicárseles, a juicio de la organización?-;  qué modelo de aprovisionamiento de dichos servicios conviene más al negocio  -¿interno o externo?-;  etc. ¡El tiempo despejará la incertidumbre sobre la AS8017!

Retomando el primero de los dos ámbitos citados más arriba, la materialización, hace un año, de la AS8016, publicada como norma provisional, permite ver con un mayor optimismo  -al menos, a priori–  las tareas de desarrollo normativo en torno a las inversiones en nuevas actuaciones, apoyadas significativamente en la tecnología; esto es, en torno a los que  -de forma simplificada, en exceso-  se denominan proyectos de TI.

Con un cierto paralelismo en relación a lo expuesto para las operaciones de TI, la elaboración de una norma sobre el gobierno corporativo de aquellos proyectos de negocio que impliquen inversiones en Tecnologías de la Información y las Comunicaciones, ha supuesto dar un paso más allá de la mera gestión de proyectos  -disciplina suficientemente cubierta por modelos del sector como CMMI-DEV, PMBoK o PRINCE2 y otras normas-,  poniendo el acento, no en la ejecución de tales proyectos, sino en el beneficio que, para la organización, supondrá abordarlos.

Este enfoque centrado en el valor de las inversiones  -ya explorado por ISACA, en su modelo Val IT, desde 2006; ITIM, VMM o, más recientemente, MoV, son otros ejemplos-  favorece, asimismo, la ampliación de la perspectiva tradicional del Gobierno Corporativo, centrado en la conformidad y en el cumplimiento con normas y regulaciones, hacia un nuevo planteamiento que apunta a la contribución (rendimiento/rentabilidad) que, desde TI, se hace a los resultados del negocio.

Este nuevo discurso, centrado en términos como priorización de inversiones, gobierno del valorrealización de beneficios, etc., debería servir, además, para atraer, hacia la problemática que plantean las inversiones tecnológicas, a todos cuantos tengan responsabilidades en la dirección y control de las organizaciones. Lamentablemente, la poca atención que parece haber recibido la norma en su primer año de vida, crea serias dudas sobre el interés que haya podido causar, siquiera, entre los más fervientes seguidores de su hermana mayor.

¡No se sorprendan! ¡Sigue tratándose de mensajes que no van dirigidos a nosotros, los técnicos!

 

Artículos relacionados

  1. Dos años de ISO 38500: ¿es éste el camino?
  2. ISO/IEC 38500:2008. Un año difundiendo el concepto de ‘Buen Gobierno Corporativo de las TIC’
  3. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  4. Gobernanza de TI en una línea (revisada)
  5. Una “misiva” para la alta dirección

Manolo Palao muestra, una vez más, su generosidad para con Gobernanza de TI a través de esta nueva contribución. A diferencia de sus habituales ‘texticulillos‘, se trata, en este caso, de un extenso artículo, que junto a los de Rui Borges y Mark Toomey  -que, hace ya meses, le precidieron-,  pasa a engrosar los contenidos de la sección ‘Firma invitada‘.

El autor, sin mencionarlo de forma explícita, ofrece, a lo largo del texto, una reiterada referencia al sexto principio general del buen gobierno corporativo de las TIC, tal y como recoge la norma ISO/IEC 38500:2008. Corporate governance of information technology: el factor humano. Recuerda cómo dicho factor subyace, de manera omnipresente, a los innumerables errores que el mundo de la Informática ha conocido.

Tras ofrecer un repaso por algunos de los más sonados fiascos tecnológicos y presentar una taxonomía de la naturaleza de tales errores, finaliza su exposición alzando una lanza en defensa de los propios sistemas informáticos e, incluso, de sus creadores.

Paralelamente, recuerda también el papel que, como responsables últimos de rendir cuentas, han de jugar aquellos individuos dotados de la pertinente capacidad y autoridad para dirigir y controlar  -gobernar-  el uso que, de tales sistemas, se hace en el seno de las organizaciones.

¡Disfrútenlo como si de un elongado texticulillo se tratase!

 

Presunción de inocencia (1)(2)

Hace unos treinta y nueve siglos se esculpió el ‘Código de Hammurabi‘  -conservado en el Louvre-,  que es considerado como la primera codificación conocida de derechos y obligaciones humanos.

Como referencia, quizá más familiar, Moisés bajó del Sinaí con las ‘Tablas de la Ley‘ cinco o seis siglos después.

Hace unos 75 años, Isaac Asimov acuñó las ‘Tres Leyes de la Robótica’  –luego evolucionadas a la Roboética–  codificando derechos y obligaciones de robots, demonios y otro software de Inteligencia Artificial.

En 2002 Rodney Brooks, director del MIT Artificial Intelligence Laboratory, pronosticaba que, igual que históricamente se habían ido reconociendo ciertos derechos  -por ejemplo, a un trato digno-  a muchos animales y, sobre todo, a las mascotas, era plausible que surgiesen corrientes de reconocimiento de derechos a algunas de esas máquinas, especialmente a las más antropomorfas y a las que ‘conviviesen’ en nuestros hogares  -robots domésticos; ¡las nuevas aspiradoras no sindicadas, para entendernos!-.

Si bien los profesionales de los SI (Sistemas de Información) y de las TIC (Tecnologías de la Información y las Comunicaciones) estamos sujetos  -por convicción y/o adhesión a un código ético profesional-  a ciertos compromisos respecto a los SITIC, ello no obliga, en general, a otras personas; lo cual favorece un pernicioso, generalizado y continuado linchamiento impune de los SITIC e, indirectamente, de sus profesionales. Pernicioso, porque nos impone un sambenito; pero, sobre todo, porque puede desembocar en un fallo sistémico.

Me explicaré; pero, antes, descendamos a lo concreto.

Botones de muestra

Creo que las siguientes referencias son autoexplicativas y se aceptarán como meros botones de muestra de algo mucho más generalizado.

«La juez sustituye la fianza de un millón de euros al alcalde de Seseña por otra de 10.000 / Emite un auto de rectificación para aclarar un error informático debido a “introducir más dígitos de los que procedían“» (3)(4)

«La patronal fotovoltaica ASIF pidió un análisis a una empresa, que concluyó que podía tratarse de que el contador considerara que las 12 de la mañana eran las 12 de la noche o fallos informáticos» (5)

«La lista de premiados  -premios Max de la SGAE entregados el 3 de mayo de 2010-  publicada en la página web de la SGAE “por un error informático“» (6)

«EE UU busca el ordenador fantasma / Los reguladores bursátiles descartan el factor humano como causa del pánico que sacudió a Wall Street» (7)

«Las máquinas se apoderan de Wall Street y provocan el pánico en el mercado / El Dow Jones llegó a caer más del 9,16% por el temor a la crisis griega y un conjunto de operaciones descontroladas / […] Un senador aprovechó ayer para reclamar que se ponga coto a las máquinas en las operaciones bursátiles. El demócrata Ted Kaufman denunció que se había puesto de manifiesto una vez más “el potencial de los ordenadores gigantes de alta capacidad para alterar el mercado y crear el caos” en lo que denominó “la batalla de los algoritmos”. Kaufman presentará una enmienda a la ley de reforma financiera para que se endurezca la regulación.» (8)

«“No podemos permitir que un error tecnológico espante a los mercados y provoque pánico” [desplome bursátil], señaló el congresista demócrata Paul Kanjorski. El propio presidente, Barack Obama, pidió aclarar el desplome para “evitar que algo así vuelva a suceder”.» (9)

Como no parece probable que ni Hammurabi ni Moisés vayan, a estas alturas, a ocuparse de este tema, nos incumbe a los profesionales  -sobre todo a través de nuestras asociaciones-  intentar reencauzarlo.

Reflexiones, actitudes y actuaciones

Para reencauzarlo parecen obligadas ciertas reflexiones, actitudes y actuaciones.

  • En primer lugar, reconocer que todo error es humano.

Lucius Annaeus Seneca  -cordobés, coetáneo de Jesucristo, tutor y consejero de Nerón-  ya afirmó que «errare humanum est, perseverare diabolicum» [errar es humano, perseverar diabólico].

Lo que fue parafraseado  -y convertido en eslogan-  por Alexander Pope (1688-1744) [más papista que el papa], en su famoso verso:  «To err is human, to forgive divine» [errar es humano, perdonar divino]. (10)

El famoso HAL (11) 9000 (12)  no era tan perverso como parecía. Simplemente, fue programado así (‘heurístico-algorítmico’ [¡signifique esto lo que signifique!]). Pero eso era ciencia ficción: ¡intentemos mantenernos en la realidad!

  • En segundo lugar, aceptar que “…. sin duda es un abuso del lenguaje … y si … [el] error lo hubiesen tenido hace 20 años, sería un error “mecano-gráfico“;  o hace 100 años, un error “plumo-gráfico“; …   la cuestión es tipificar el error sobre el instrumento y no sobre la persona que lo comete …pues al final, como todos los errores, es humano(-gráfico)“. (13)
  • En tercer lugar, asumir que, pese a todo, hay/ha habido muchos [¡demasiados!] “errores informáticos/tecnológicos”; esto es, errores humanos en materias informáticas/tecnológicas. En algunos de los cuales he/(¿quizá?) hemos incurrido por omisión o acción.

La tabla siguiente (14) extracta alguno de los más señalados, e indica su coste:

El excelente reciente «artículo de Darren Dalcher (15), … cita algunos importantes errores informáticos que efectivamente fueron tales. Como caso más relevante, al final de la sección 2 se dice que el fracaso en la introducción de un sistema informático en la Oficina de Recaudación del Reino Unido causó que no se enviasen recordatorios a los asalariados sobre que tenían que actualizar sus contribuciones al sistema nacional de seguros. ¡Y que, ahora, 10 millones de personas sufren recortes en sus pensiones debido a eso!». (16)

Otro proyecto valorado por Darren por el impacto del proyecto en la fase de producción es “un sistema de envío de ambulancias que fue entregado a los usuarios  -al tercer intento –  y falló, posteriormente, en producción, dando lugar a potenciales pérdidas de vidas humanas”.

Dice Darren: “La práctica contemporánea de desarrollo de software se caracteriza sistemáticamente por proyectos descontrolados, entregas retrasadas, presupuestos excedidos, funcionalidad recortada, y una calidad cuestionable, lo que a menudo se traduce en cancelaciones, reducción del alcance, y un ciclo significativo de revisiones”. 

Y continúa: “El resultado neto es una acumulación de desperdicios, medidos tradicionalmente en términos financieros. Por ejemplo, en 1995, los proyectos fallidos en EEUU costaron … un total de 140 000 M USD; … en 1996, 100 000 M USD; … en 1998 75 000 M USD”.

A mí, en este artículo, me interesa resaltar un aspecto que el texto de Darren  -y toda la excelente Monografía de la que forma parte-  tratan, pero sólo de forma secundaria: el de las pérdidas y molestias ocasionadas por el uso de sistemas una vez que fueron dados de alta para su explotación.

Incluso, cuando no hay evidencia de defectos o fallos en el proyecto, pueden, evidentemente, darse fallos en la explotación.

La tabla presentada más arriba reseña unos cuantos fiascos, pero los presenta desde la óptica del promotor del proyecto  -las pérdidas o costes incurridos por el fracaso-,  no desde la óptica de los costes/perjuicios ocasionados a los usuarios por la operación de sistemas defectuosos o por la operación defectuosa de los sistemas.

En 2007 el Ayuntamiento de Torrelodones (Madrid) (17)  -por lo que parecía tratarse de un simple error administrativo-  emitió dos veces recibos, distintos, pro-forma, para el cobro de la ‘tasa de recogida de basura’.

La empleada/funcionaria encargada del tema contesta al teléfono  -a la tercera llamada, en las anteriores ‘estaba desayunando’-  y reconoce que sí, que lo que me acontece es un error, “parte de un error masivo”,  y que “… nada, que arreglado“. Cuando entonces le pido confirmación fehaciente de que lo mío  -ya que no lo de todos-  ha sido corregido, como error masivo del Ayuntamiento, que es de su responsabilidad,  me dice imperturbable que ¡para eso, que presente un recurso!, y que, entonces, se revisará mi duplicado.

O sea, que unos miles de recibos erróneos se corrigen con unos miles de recursos administrativos.

Mientras, yo sigo teniendo dos recibos pro-forma enviados por el Ayuntamiento: el correcto y el erróneo. ¿O serán los dos erróneos? ¿Y los demás masivos?  Afortunadamente, pagado que fue uno de los  recibos, el silencio administrativo condonó  -espero-  el otro.

¡Séneca tenía razón: perseverar en el error es diabólico!

  • En cuarto lugar, está la cuestión del huevo o la gallina (o más académicamente, de la recursividad).

Me parece evidente, a estas alturas de este breve e informal artículo, que todos debemos aceptar que en la raíz de todo error ‘informático’ hay un error ‘humano’.

La cuestión ahora es de trazabilidad y, sobre todo, de imputabilidad (chargeability).

¿En qué estrato(s) organizativo(s) radica la responsabilidad por el error?

  • En quinto lugar, está la cuestión del temido y temible ‘fallo sistémico’.

Parece mentira que los denunciantes de ‘fallos informáticos’  -políticos o periodistas, muchos de ellos, por lo que no es tan sorprendente; profesionales, en otras ocasiones, lo cual resulta más difícil de comprender-  no entiendan, o ignoren, el principio básico de que NUNCA se debe culpar al sistema. (¡Aunque fuese verdad!).

Culpar al sistema es concitar un ‘fallo sistémico’: la profecía que se autocumple.

Los protocolos de actuación de los portavoces de células de emergencia, de entidades en crisis y  -a mucha menor escala-  aquellos propios de los ‘chaquetas rojas’ (o ‘verdes’, o ‘azules’) en aeropuertos u otros servicios públicos coinciden. Siempre hay que decir: 1) que las causas se desconocen y se están investigando; y 2) que se ha debido, probablemente, a un fallo humano: NUNCA a un FALLO DEL SISTEMA.

Reconocer la causa humana es atenerse a la verdad, pero además es políticamente interesante: si falla el sistema, ¿qué nos queda?

De hecho, ciertos manuales de gestión de incidentes recomiendan acusar en público  -incluso en falso, o sin suficiente información-  a algún empleado y, luego, disculparse ante los vejados y compensarles de algún modo.

  • En sexto lugar, reconocer que «un sistema informático  -por el hecho de estar construido por humanos y, ¡ojo!, especificado o solicitado por humanos-  es imposible que sea infalible». (18)
  • En séptimo lugar, recordar que, por una parte, los errores (humanos) pueden no ser indeseables, sino tolerados, e incluso, buscados  -como en ciertas fases del proceso científico o técnico: prueba y error-;  y, por otra, que (como se sabe en gestión de la calidad) no todo error acarrea necesariamente una disfunción o un defecto.

Los defectos o fallos son discrepancias entre producto/proceso y especificaciones/normas (o características deseables, incluso no especificadas).

Un «defecto» [/fallo] es una instanciación individual de alguna no conformidad con algún requisito, mientras que un producto/proceso/servicio defectuoso [deffective], contiene uno o más «defectos».” (19)

Los defectos se clasifican, generalmente, en tres grandes grupos. Estos grupos son (20): 1) defectos inherentes (resultantes de la fabricación o de las materias primas); 2) defectos fabricados (resultantes de la transformación de las materias primas en una pieza, producto o servicio terminado); y 3) defectos inducidos por el servicio (generados durante el funcionamiento de algún componente)”.

Los defectos pueden deberse a una materia prima/componente defectuoso, o a una pieza/componente defectuoso (procedente de un proceso previo), a una puesta a punto (‘setup’)/ensamblaje  o mantenimiento defectuoso de la maquinaria/material, a métodos erróneos, o a errores humanos“. (21)

A la postre, todos los defectos se deben a errores humanos. Esta es la razón por la que la lucha contra los defectos es fundamentalmente una cuestión de formación y motivación del personal.

Los errores pueden clasificarse según 10 grandes criterios (22): 1) omisiones; 2) errores debidos a falta de comprensión; 3) errores de identificación; 4) errores debidos a falta de experiencia; 5) errores voluntarios (consentidos); 6) errores inadvertidos; 7) errores debidos a lentitud; 8 ) errores debidos a falta de normas; 9) errores por sorpresa; y 10) errores intencionales.

No todos los errores causan defectos/‘defectuosos’ [deffective]/fallos. Sí los suelen causar los: 1) olvidos; 2) errores debidos a desconocimiento; 3) errores de identificación; 4) errores por inexperiencia; 5) errores voluntarios; 6) errores por inadvertencia; 7) errores debidos a lentitud; 8 ) errores debidos a falta de estándares o normas; 9) errores por sorpresa; y 10) errores intencionales.

Se han estudiado y publicado correlaciones fuertes entre errores y defectos (23). Por ello se conocen diversas grandes estrategias de prevención de defectos. Una de tales estrategias la constituyen las técnicas de poka-yoke (24); si bien éstas pueden resultar más fáciles en el mundo ‘real’ (industria manufacturera, por ejemplo), que en el ‘virtual’ (aplicaciones web, por ejemplo).

Frente a errores, defectos y fallos sólo hay una panacea: calidad. Pero calidad integral.

  • En octavo lugar, aceptar que «[L]os usuarios (y sobre todo los responsables últimos del trabajo de los usuarios) deben saber que un sistema informático … es imposible que sea infalible. Y, por ello, son tanto  -yo diría que aún más-  responsables de las consecuencias de no verificar que el sistema funciona, como lo son los propios informáticos. 

Una vez, en cierta empresa donde trabajé [Llorenç Pagés] hace ya muchos años, nos asignaron un supervisor del trabajo informático, entre cuyas frases favoritas se encontraba: “Me gusta la Informática porque es una ciencia exacta. Es como las Matemáticas o el ajedrez, exacta”. Claro, con esta mentalidad, ¡cualquier error en un sistema informático es culpa del informático!». (25)

Para concluir

Los sistemas informáticos son, frecuentemente, imputados por haber causado errores, en ocasiones graves. Ello es falso  -por cuanto el origen de todo error es humano-  e imprudente  -por cuanto culpar al sistema degrada su credibilidad-.

La presunción de inocencia es ciertamente un derecho  -también de los sistemas y de quienes los desarrollan-;  pero la historia demuestra que los derechos se conquistan y que hasta que son ampliamente reconocidos y respetados  -y luego, de vez en cuando-  hay que invertir mucho activismo y tiempo.

 

Artículos relacionados

  1. Estar encima (por Mark Toomey)
  2. Gobernanza de TI: La Dirección de Orquesta de los Sistemas de Información (por Rui Borges)
  3. Vea, también, la sección “Texticulillos” para leer más artículos del mismo autor

 

(1) Copyright 2010-2011, Manolo Palao. Socio de ATI nº 1103. Socio senior.

(2) Publicado, en una primera versión, en el nº 206 de Novática, la revista de la Asociación española de Técnicos de Informática, ATI. Verano de 2010.

(3) Fuente: Diario “El País“. Madrid, 14 de enero de 2010. URL:  http://www.elpais.com/articulo/espana/juez/sustituye/fianza/millon/euros/alcalde/Sesena/10000/elpepuesp/20100114elpepunac_13/Tes.

(4) Nota de Manolo Palao: Las negritas, en las citas, son mías.

(5) Fuente: Diario “El País“. Rafael Méndez. Madrid, 5 de mayo de 2010. URL: http://www.elpais.com/articulo/sociedad/Francia/ofrece/Espana/intercambio/residuos/nucleares/elpepusoc/20100505elpepisoc_3/Tes. Véase cuadro “Las eléctricas desmienten el timo de los huertos solares nocturnos“, a pie de artículo.

(6) Fuente: Televisión Española, TVE1, “Telediario 1“, 4 de mayo de 2010.

(7) Fuente: Diario “El País“. Sandro Pozzi. Nueva York,  7 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/EE/UU/busca/ordenador/fantasma/elpepueco/20100507elpepueco_13/Tes.

(8) Fuente: Diario “El País“. Sandro Pozzi. Nueva York, 7 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/maquinas/apoderan/Wall/Street/provocan/panico/mercado/elpepueco/20100506elpepueco_20/Tes.

(9) Fuente: Diario “El País“. Sandro Pozzi. Nueva York, 8 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/EE/UU/replantea/negociacion/electronica/derrumbe/bursatil/elpepueco/20100508elpepieco_7/Tes.

(10) Fuente: AnswerBag.com. URL: http://www.answerbag.com/q_view/666955.

(11) HAL = IBM desplazando cada carácter al precedente [según algunos].

(12) Fuente: Wikipedia.com. URL: http://en.wikipedia.org/wiki/HAL_9000.

(13) Nota de Manolo Palao: El autor de la feliz frase  – que reproduzco con permiso-  es Dídac López, en correo cruzado con motivo de la preparación de este artículo.

(14) Fuente: Palao, Eduardo. “Del Caos al Buen Gobierno: Paradigmas y Tendencias en las Tecnologías de la Información y las Comunicaciones y su relación con el Buen Gobierno“. Universidad de Deusto. Máster en Buen Gobierno de las TIC, II Edición (MaGTIC2). Trabajo Fin de Máster. Usado con autorización.

(15) Fuente: Dalcher, Darren. “El éxito de los proyectos de software: yendo más allá del fracaso”. Revista Novática, nº 200. Julio-agosto de 2009, p. 45.

(16) Nota de Manolo Palao: Contribución de Llorenç Pagés Casas, con motivo de la preparación de este artículo.

(17) Nota de Manolo Palao: Donde resido y tengo mi despacho. Naturalmente, por si alguien manifestara más interés, tengo un expediente completo y detallado. Naturalmente, sin que el incidente se haya resuelto satisfactoriamente aún (junio de 2010).

(18) Véase nota 16.

(19) y (20) Fuente: Juran, J. M. “Juran Quality Handbook”, 1979, p. 19-23.

(21) Fuente: Hayward, G. P. “Introduction to Nondestructive Testing“. ASQC. Wisconsin, 1978, p. 2.

(22) Fuente: Hiroyuki Hirano. “Kaizen“, 1988.

(23) Fuente: Juran, J. M. “Juran Quality Handbook”, 1979, p. 18-22.

(24) Fuente: Hiroyuki Hirano & Nikkan Kogyo Shimbun. “Poka-yoke“. Ernst & Young, 1991. Véase también Wikipedia. URL: http://es.wikipedia.org/wiki/Poka-yoke.

(25) Véase nota 16.

La norma ISO/IEC 38500:2008. Corporate governance of intormation technology recoge entre sus principios generales de Buen Gobierno dos que, de forma clara, inciden en atributos como la imputabilidad, la profesionalidad, la integridad, la honestidad, la ética, … (la enumeración podría continuar), de aquellos individuos involucrados, en algún sentido, en los sistemas de gobernanza de las TIC. Se trata, como ya habrán adivinado, del principio de responsabilidad y, particularmente, del principio de conducta humana.

El “texticulillo” de Manolo Palao que hoy les acerca ‘Gobernanza de TI‘ detiene su atención, precisamente, en esos principios, al recordar la transcendencia y el valor fundamental de la independencia y el comportamiento personal de los auditores de sistemas, en el ámbito particular de las actividades de Control de las TI y, por extensión, en el de un marco general de  Buen Gobierno Corporativo de TI.

Como ya se advirtiera en la presentación de esta serie, no deberán extrañar las referencias del autor a la actualidad y contexto particulares del momento en que fueron escritos  -aproximadamente, el bienio comprendido entre el otoño de 2002 y el inverno de 2004-  y a la audiencia a la que fueron, originalmente, dirigidos:  la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA).

Este cuarto “texticulillo” es, más que ninguno de los reeditados hasta ahora, un claro exponente de lo anterior.

 

Texticulillo nº 4: Independencia y Auditoría de Sistemas (1)(2)

El sentido común organizativo y diversas normas exigen la independencia  -y apariencia de independencia-  del Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC).

Hago aquí unas reflexiones sobre este tema de la independencia del ASITIC, aplicables en sus aspectos generales a todas las auditorías, más allá de las de los sistemas de información.

El auditor ejerce una función de control: compara la realidad con un documento normativo, público o privado, que expone cómo se desea que sea esa realidad. Como resultado de esa comparación, objetiva y substanciada con pruebas,  emite una opinión  –”limpia”, o “con salvedades”—  y, eventualmente, unas recomendaciones.

El auditor no puede ser “juez y parte”, por lo que debe ser independiente  -y parecerlo-  del objeto auditado.

Ello implica, por ejemplo, que el ASITIC no puede auditar un sistema de información en cuyo desarrollo haya trabajado  -salvo por su posible contribución a la especificación de los controles y funciones de auditoría incorporados a ese sistema; y otros casos tasados-.  En situaciones de previsible conflicto, el tema debe aclararse por adelantado. La Directriz 020.010.010 de ISACA cubre esto en detalle (3).

Pero además, el ASITIC ha de ser suficientemente independiente de su cliente. La palabra clave aquí es “suficientemente“, dado que es obvio que la total independencia resulta imposible, debido a la necesaria “relación” con el citado cliente.

Esa “relación con el cliente” puede ser laboral  (Auditoría Interna) o profesional (Auditoría Externa). En el primer caso, se formaliza mediante el Estatuto de Auditoría; y, en el segundo, por la Carta de Encargo (o instrumentos equivalentes).

El Estatuto de Auditoría o la Carta de Encargo explicitan el mandato que el auditor recibe y las circunstancias de ese mandato. Detallan el encuadre orgánico del auditor interno y el representante del cliente, para el externo. Deben establecer claramente la responsabilidad, autoridad e imputabilidad de la función ASITIC, así como los objetivos, ámbito, recursos y restricciones del mandato de auditoría.

El encuadre orgánico o el representante del cliente, según sea el caso, cualifican la independencia. En ambos casos, el criterio de oro es que haya una razonable distancia, y superioridad, entre aquellos y el objeto auditado.

Eso supone que el encuadre orgánico  -respectivamente, el representante del cliente-  debe (casi sin excepción) estar en una rama del organigrama distinta de la de la Función Informática, y en un nivel igual o superior a ella.

Además, si como es frecuente, el objeto de la auditoría son sistemas integrados (multi-departamentales), o estratégicos a nivel corporativo, la misma exigencia de distancia y superioridad eleva al encuadre orgánico/representante del cliente a la cima de la estructura empresarial.

La fórmula más recomendable, y la que se está adoptando por las grandes empresas, consiste en que el encuadre orgánico/representante del cliente sea un Comité de Auditoría nombrado en el seno del Consejo de Administración. ¡Esta fórmula maximiza distancia, superioridad y especialización!

Los recientes cambios en los consejos de administración de la Banca española, y las recomendaciones de la SEC en EEUU, siendo mucho más amplios que el tema que aquí nos ocupa, van en la línea de propiciar la independencia.

¡Además de ser independiente, el ASITIC debe parecerlo, por su actitud y circunstancias! Tiene que ser y sentirse independiente como individuo. Ello se logra con profesionalidad; y se potencia y refuerza por el asociacionismo profesional y por las certificaciones profesionales.

ISACA (Information Systems Audit and Control Association) es probablemente la mayor y más prestigiada asociación profesional de ASITIC. Publica un Código de Ética Profesional y unas Normas (en particular, la citada serie 020, relativa a la independencia); y administra la certificación CISA (Certified Information Systems Auditor), que acredita de modo continuado la idoneidad del ASITIC.

Hasta que no se disponga de una certificación más idónea, mejor adaptada a nuestro contexto  –proyecto prioritario para ASIA (4)-,  CISA es la mejor opción disponible.

 

Artículos relacionados

  1. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  2. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  3. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigentes en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S2. Independence y por las directrices G12. Organisational Relationship and Independence y G17. Effect of Nonaudit Role on the IS auditor’s Independence de ISACA.

(4) ASIA, Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones, actual Capítulo de Madrid (183) de ISACA. Esta, tan directa, referencia a la Asociación contextualiza de forma nítida el objetivo y la audiencia a la que iba dirigido el “texticulillo” en su edición original.

¿… “gestión de los servicios de TI“?.

¡No se asusten Uds., no se ha producido ninguna transmutación en el ADN de ‘Gobernanza de TI’! Vaya este mensaje tranquilizador por delante. (Sonrisas).

Realizar una breve parada en torno a la normalización de las actividades de Gestión de los Servicios de TI es, en este caso, un tema meramente coyuntural. No ha de servir, por tanto, de precedente. (Más sonrisas).

Cierto es que ‘Gobernanza de TI‘ recoge en su acta fundacional el objetivo  -no siempre conseguido-  de centrarse, más o menos estrictamente, en aspectos relativos a la dirección y el control (gobierno) que, sobre las TI, ejercen las organizaciones  -las personas a cargo de dichas organizaciones-. 

Al mismo tiempo, no es menos cierto que, como parte, o complemento, de ese pretendido buen gobierno, ha de existir una, también buena  -eficaz y eficiente-,  gestión de los diferentes recursos de TI puestos a disposición por, y de, la organización.

Sin entrar, de nuevo, a detallar  -habrá otras ocasiones para hacerlo-  la clara diferencia (¡aún hay quien confiesa no verla!) entre gobernar y gestionar, sirva este artículo de excusa para recordar que tal diferencia existe.

Y sirva, además  -éste es el verdadero motivo que ha movido a su redacción-,  para reconocer el esfuerzo realizado por nuestros amigos D. Luís Morán Abad,  D. Alejandro Pérez Sánchez y D. David Bathiely  -perfectos conocedores de la posición del titular de esta bitácora hacia los modelos y normas para la gestión de servicios de TI-,  junto a sus colegas D. Juan Trujillo Gaona y D. Miguel José González-Simancas Sanz; quienes, bajo el patrocinio de Telefónica, han elaborado para AENOR la voluminosa obra “ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información“.

Publicado el pasado 23 de mayo  -fecha, también, del lanzamiento de la bitácora “Blog del Libro ISO20000 de Telefónica“-  el texto recoge, en sus más de 700 páginas, un detallado repaso de los principales aspectos que afectan a la Gestión de los Servicios de TI y un enfoque práctico de cómo abordarlos, apoyado en la norma ISO/IEC 20000 y en las propias experiencias de la operadora con éste y otros modelos de referencia.

La norma ISO/IEC 20000 no es una panacea  -probablemente ninguno de los marcos que ofrece el sector lo sea-;  sin embargo, si Ud. es responsable de llevar a cabo una óptima gestión de los activos, recursos y operaciones de TI de su organización, tanto la propia norma, como el libro aquí presentado, constituirán para Ud. una referencia absolutamente recomendable.

Si, por el contrario, dada su posición en la organización, a Ud. le correponde, únicamente, tomar decisiones sobre el papel que han de jugar las TI (en el sentido y con el significado que ‘Gobernanza de TI‘ da a esa toma de decisiones), debería estar encantado de que su gente de TI  -sus responsables y personal de las áreas informáticas-  tengan a mano esta obra, u otros marcos de referencia complementarios, que les faciliten el día a día y que les ayuden a fortalecer y mejorar el sistema de gestión informática que tenga implantado en su organización.

 

Artículos relacionados

  1. Calidad en los Sistemas y Tecnologías de la Información y las Comunicaciones
  2. La calidad en el furgón de cola de los procesos TIC
  3. Guía del Usuario de CobiT para Jefes de Servicio
  4. Acercamiento ISACA-itSMFI

¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta.

Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la norma ISO/IEC 38500:2008, Corporate Governance of Information Technology, ocurrida hace dos años.

La aparición, en aquellos momentos, de una norma de alcance internacional, como la citada, constituyó, cuando menos, un hito “ilusionante”; y ello, por dos motivos:

  • en primer lugar, el respaldo de ISO no debía, sino suponer la, ampliamente esperada, puesta de largo de una disciplina que había venido cocinándose, durante una década, en los fogones de otras reputadas y respetadas instituciones como el IT Governance Institute, de ISACA, o la Escuela de Dirección Sloan, del MIT; y,
  • por otro lado, la norma, de manera relativamente escueta, pero clara, apuntaba hacia la esencia del concepto de ‘buen gobierno corporativo’, hundiendo su raiz en el “Informe Cadbury“; e identificando, con esa misma nitidez, a los individuos que deberían recoger el mensaje enviado, a duo, por ISO e IEC: los consejeros y miembros de la alta dirección de las organizaciones.

La perspectiva aportada por los dos años transcurridos permite analizar si tales expectativas se han cumplido.

ISO

Con respecto al primer punto, los hechos muestran cómo, lamentablemente, la contribución de ISO no ha sido  -no está siendo-  adecuadamente entendida; dando al traste, al menos de momento, con el deseo expresado desde ‘Gobernanza de TI‘  -“¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!“-  en la crónica publicada hace ahora un año.

Lo que debería haber sido un paso a la mayoría de edad de la disciplina del Gobierno Corporativo de TI  -y un distanciamiento de los ámbitos estrictamente académicos (MIT) y profesional-sectoriales (ISACA)-,  gracias al amplio reconocimiento público de la “marca” ISO, ha devenido en una banalización del mensaje transmitido. Banalización que tiene su origen, como se ha apuntado, en la falta de comprensión de la orientación y objetivos de la norma, como demuestran afirmaciones del estilo: “¡Vaya una norma, si no dice nada!“, o interpretaciones erróneas que tratan de “implantarla” como si de una norma ISO, al uso, se tratase.

Lo que dice la norma

Por supuesto que dice, y mucho. Hay que saber leerla. No debe confundir el hecho de que lo diga en pocas páginas. Quienes realmente deberían leerla  -no parece que lo estén haciendo-  a buen seguro que sabrían interpretar con claridad lo que les dice y sacarle el debido partido. (Ello, básicamente, debido al carácter trivial y de sentido común de los mensajes que encierra).

La propia norma comienza avisando de su intencionalidad, que no es otra que la de “asesorar” a quienes tienen responsabilidades sobre el correcto funcionamiento de las organizaciones, en relación al papel que les toca jugar respecto de las TI  -sustento, en gran medida de la actividad de aquellas-. Y finaliza definiendo y detallando media docena de principios generales para el Buen Gobierno Corporativo de las TIC: responsabilidad, estrategia, inversión, conformidad, rendimiento y comportamiento.

Si Ud. echa de menos un mayor nivel de detalle  -procesos, procedimientos, instrucciones técnicas concretas, …-  para poner esos seis principios en marcha, disculpe la franqueza, pero, claramente, no se encontrará Ud. entre los destinatarios naturales de la norma; o, lo que es, aún, peor, Ud. no se habrá enterado de nada.

Sobre la supuesta “implantación”

Al hilo del anterior comentario, y en el marco general de banalización de la norma, se oye hablar, no pocas veces, de “implantarla”; e, incluso  -los más osados-  de desplegar un sistema de gestión, en torno a ella, como si de una norma de calidad, al uso, se tratase.

Lo que debe hacer Ud. con la norma ISO 38500, o más concretamente, con sus seis principios generales, es adoptarlos; esto es, hacerlos suyos e incorporarlos a la cultura y al día a día de la organización. Como dicen los amigos Manolo Palao y Ricardo Bría (1), una norma como ésta ha de ser sometida a un proceso de ad@ptación (léase, “adoptación“), una combinación de adopción y adaptación a las particularidades micropolíticas de la organización.

Naturalmente, ya vendrá después la necesaria puesta en marcha de una serie de mecanismos [de Buen Gobierno] que faciliten tal “adoptación”.

Optar por un enfoque diferente, no supondrá, sino un alejamiento de la intencionalidad original de la norma y una delimitación del mensaje de Gobierno Corporativo de TI al perímetro del Departamento de Calidad, como se está observando en más de una organización.

Moraleja

Si Ud. quiere llevar el mensaje de Gobierno Corporativo de TI a sus verdaderos destinatarios, hábleles de principios como los citados en este artículo (a lo mejor, tiene suerte y están dispuestos a adherirse a ellos). Si, por el contrario, se conforma con seguir discutiendo con sus iguales en los foros profesionales dispuestos a tal fin, siga ejercitando su memoria e incorporando como parte de su lenguaje la extensa codificación empleada por los cuerpos normativos del panorama internacional.

Los destinatarios

El análisis de la segunda expectativa creada hace dos años con la publicación de la norma ISO/IEC 38500:2008 obliga a reconocer, igualmente, que la comunidad que mejor acogida le ha dado es la conformada por los profesionales de los SSII y las TIC, a los que, como es evidente, no iba estrictamente dirigida.

El vals del Elefante

Fue precisamente ese hecho, esa realidad, la que empujó al australiano Mark Toomey  -co-autor de las normas AS 8015-2005, ISO/IEC 38500:2008 y, más recientemente, AS/NZS 8016(Int):2010–  a escribir su libro “Waltzing with the Elephant“, un intento de transmitir el verdadero significado de la norma ISO 38500, a sus oportunos destinatarios.

La obra, de lectura absolutamente recomendable, nació  -según ha declarado el propio Toomey-  con el objetivo de poner las cosas en su sitio, de ejercer un cierto acto de rebeldía frente a una evidente y aplastante realidad: eran los profesionales informáticos los que, de forma mayoritaria, acudían a los foros de debate abiertos durante la elaboración de la norma (subcomités y grupos de trabajo de Australian Standards, de ISO, …).

Los foros de normalización

ISO ha sabido resolver el problema  -sólo parcialmente-  mediante la creación, a finales de 2008, de un grupo de trabajo específico (WG6), e independiente del resto de subcomités y grupos de trabajo sobre Tecnologías de la Información, que componen el Comité Técnico Conjunto 1 (JTC1), paraguas de todos ellos. El WG6 está dedicado, en exclusiva, al estudio y desarrollo de normativa en torno a la disciplina del Gobierno Corporativo de TI. Ahora sólo falta que ISO sea capaz de atraer al mismo a otros profesionales, procedentes del ámbito de la dirección empresarial.

En España, AENOR, aún no ha dado ese paso. El desarrollo normativo del Buen Gobierno Corporativo en materia de TIC está todavía excesivamente ligado (cercano) al de otras disciplinas no menos importantes en materia de TI, como son las relativas a la Gestión de los Servicios Informáticos; pero cuya forzada “proximidad” no hace sino dificultar la correcta difusión del espíritu de la norma ISO/IEC 38500:2008.

Moraleja

Parafraseando a G. Vaughn Jhonson (2)  -“la Informática es demasiado importante como para dejarla en manos de los informáticos“-,  cabe sugerir que ISO, AENOR y los demás organismos normalizadores deberían echarnos  -disculpen esta gotita de protagonismo-  de estos grupos de trabajo, a todos los informáticos, procediendo a su refundación y habilitando la entrada en ellos, únicamente, a individuos procedentes de los órganos de gobierno de las corporaciones privadas y entidades de la Administración.

En suma, ¿cuál habrá de ser el camino?

Aún reconociendo la trascendencia de hitos como la publicación de la norma ISO 38500, tal vez, la manera más adecuada de llegar a los miembros de los Consejos de Administración y a los responsables de dirigir las organizaciones, no haya de venir por ahí, y sí por la vía de otros esfuerzos reguladores/normativos como podría ser una revisión y mayor desarrollo de los Códigos de Buen Gobierno Corporativo. El Código e Informe “King III” en Sudáfrica constituyen un claro ejemplo de ello.

De otro modo, habría que preguntarse, también, ¿qué le está faltando a la Gobernanza de TI para alcanzar los niveles de identificación y aceptación que, a nivel directivo, están teniendo otras disciplinas como la Sostenibilidad y la Responsabilidad Social Corporativa? (Por cierto, ámbitos para los que también existe, dentro del mundo ISO, un determinado desarrollo normativo).

 

Artículos relacionados

  1. Entrevista con Mark Toomey, autor de “Waltzing with the Elephant”

(1) Palao García-Suelto, Manolo y Bría Menéndez, Ricardo. “Implantación de Buen Gobierno de los SI y las TIC ad@ptando COBIT, ITIL y VAL IT: Una caricatura respetuosa“. Novática, nº 191, págs. 39 y ss. Enero-febrero de 2008. URL:: http://www.ati.es/novatica/2008/191/Nv191-Presentacion.pdf.
(2) Vaughn Jhonson, G. “Information Systems. A Strategic Approach“. Mountain Top Publishing. Nebraska, 1990.

Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del “III Congreso Interacadémico” de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue “¿Quién gobierna a los ‘gobernadores’?“. Precisamente, con la versión original de esa misma pregunta  -“¿Quién guardará a los guardianes?“-  comienza el “texticulillo” de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su “Sátira” VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

  1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html

El pasado jueves, día 6, el Hotel Holiday Inn Madrid  -habitual lugar de celebración de los últimos encuentros profesionales del capítulo local de ISACA-,  fue testigo de la que hacía el número veintisiete en la cuenta particular de Charlas Técnicas de la Asociación madrileña. El lema escogido en esta ocasión, “Presentación del Cuaderno de ISACA Madrid, Nº 1: ‘Guía Breve de Autoevaluación del Gobierno Corporativo de TI’“, anunciaba con toda claridad la orientación de la Charla y el contenido de la misma.

De ese modo, coincidiendo con el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (CoBGCTIC) del Capítulo de Madrid de ISACA, tanto su responsable, D. Miguel García Menéndez, como la coordinadora del subcomité (SC1) de la citada Comisión, Dña. Mª José Carmona Carmona, ofrecieron una detallada descripción de las labores realizadas por este grupo de trabajo dentro de la CoBGCTIC.

Para empezar, el primer ponente trató de justificar y contextualizar la disciplina del Gobierno Corporativo de TI en el ámbito de ISACA, recordando los pasos dados en los últimos años, desde la Organización, a nivel internacional, y citando los datos ofrecidos durante la presentación de la estrategia 2009-2011, en abril del pasado año, por la, entonces, Presidente Internacional de la Asociación, la Srta. Dña. Lynn Lawton. Como parte de aquella presentación, la Srta. Lawton apuntaba a la necesidad de orientar más esfuerzos a los nada desdeñables casi nueve millones de profesionales generalistas de las TIC existentes en el panorama global e informaba sobre el hecho de que dicho colectivo constituía el segmento de mayor crecimiento dentro de la Asociación. Tras este recordatorio, el Sr. García continuó haciendo un breve repaso a las principales iniciativas impulsadas por la actual Junta Directiva de ISACA Madrid en el ámbito de la Gobernanza TIC, desde noviembre de 2008, una de las cuales ha sido la puesta en marcha de la mencionada CoBGCTIC. En este punto dió paso a la Sra. Carmona.

Dña. Mª José describió los objetivos que se había planteado el SC1 en el momento de su creación. Dichas metas habían quedado establecidas en torno a la elaboración de una guía que sirviese de punto de entrada a la disciplina del Gobierno Corporativo de TI. Ello se materializaría mediante la puesta a disposición de los profesionales del sector, y resto de individuos interesados, de una batería de cuestiones que permitiesen obtener una visión preliminar sobre el grado de adopción de los mecanismos de gobernanza TIC, en el seno de una organización. Asimismo, la Sra. Carmona comentó brevemente la estructura del nuevo texto “Gobierno Corporativo de TI. Guía de Autoevaluación”  -basada en la norma ISO/IEC 38500:2008. Corporate Gobernance of IT–  y la herramienta que la acompaña, pasando a ceder la palabra al resto de miembros del SC1, a quienes presentó: Dña. Mª Jesús Casado Robledo, D. Juan José Huerta Díaz y Dña. Mª Cristina Bausá Rosa; y cuyas intervenciones se produjeron a continuación.

La Sra. Casado, a través de una detallada descripción del fresco del S. XIV “Effetti del Buon Governo (Alegoría del Buen Gobierno)” del maestro Ambrogio Lorenzetti, que, aún hoy, adorna las paredes del Palacio Comunal de Siena (Italia), introdujo los conceptos básicos subyacentes al Gobierno Corporativo de TI. Como base de tales conceptos, destacó su naturaleza fronteriza  -una responsabilidad a medio camino entre la alta dirección de la organización y la dirección de TI-  lo que le sirvió para justificar los dos primeros bloques de la Guía relativos, respectivamente, al papel de los Consejos de Administración/Comités de Dirección en relación a las TI; y, asimismo, a la ubicación de la Función de TI en el marco del Gobierno Corporativo de la organización.

Seguidamente, D. Juan José repasó el tercer y último bloque del documento, mediante un rápido recorrido por los seis principios generales del Buen Gobierno Corporativo de las TIC recogidos en la norma ISO 38500  –responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana-. Durante su exposición, el Sr. Huerta explicó cómo la Guía desarrolla una batería de preguntas específicas para cada uno de tales principios, conformandose, así, el núcleo principal del cuestionario de autoevaluación.

Por último, Dña. Cristina desarrolló, en cierto detalle, la estructura y funcionamiento de la herramienta que acompaña al texto “Gobierno Corporativo de TI. Guía breve de Autoevaluación“. Basada en una hoja de cálculo, incorpora la posibilidad de cumplimentar los cuestionarios de la Guía en soporte electrónico, presentando automáticamente un informe con el resultado de la evaluación. Adicionalmente, como complemento al resultado obtenido, ofrece una serie de recomendaciones sobre los controles más pertinentes para contrarrestar las debilidades detectadas en el marco de Gobierno Corporativo de TI evaluado.

Tras este hito inicial con el que, además, se ha inaugurado la nueva serie bibliográfica del capítulo local  – “Cuadernos de ISACA Madrid“-  se emplazó a los asistentes a asistir a próximos anuncios de la Comisión. Los trabajos actualmente en ejecución por parte del resto de subcomités de la CoBGCTIC  -SC2, SC3 y SC4-  verán la luz, previsiblemente, tras el verano; y podrán ser presentados durante la celebración de las Jornadas 2010 de la Asociación, que tendrán lugar los próximos días 28 y 29 de septiembre.

Mientras tanto, disfruten de este “Cuaderno nº 1“. Ha quedado disponible en la zona de socios de la sede oficial del Capítulo.

¡Descárguenlo (o, pídanle a un amigo que lo comparta con Uds., :-))!

Si tienen alguna dificultad, o si desean hacerse, también, con la herramienta de autoevaluación, pónganse en contacto con la dirección-e administracion@isacamadrid.es.

 

Artículos relacionados

Como se había anunciado desde estas mismas páginas, el pasado viernes, día 20 de noviembre, llegaba a la Terminal 4 (T4) del Aeropuerto de Madrid-Barajas el vuelo de Iberia IB3515, procedente de Frankfurt (Alemania), con un esperado pasajero. A eso de las 10:45 de la mañana, y tras más de veinticinco horas de viaje, aparecía en el hall de llegadas de la citada terminal el especialista australiano en Gobierno Corporativo de TI, Mark Toomey.

La escala madrileña del autor de “Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology” formaba parte de un periplo más amplio, iniciado en Perth (Australia) y que continuaría, tras su paso por Madrid, en las ciudades de Frankfurt, donde, esta misma semana, tenía previsto ofrecer un curso de dos días de duración sobre “Fundamentos del Gobierno Corporativo de TI“, y Singapur, a donde acudiría con motivo de la reunión plenaria del grupo de trabajo JTC1/WG6 de ISO. Todo ello, antes de su regreso definitivo a Melbourne (Australia).

Gobernanza de TI ha tenido la oportunidad de acompañar al Sr. Toomey durante gran parte de los casi seis días que ha durado su estancia en Madrid y ha tenido ocasión de compartir e intercambiar con él una serie de impresiones sobre el Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones; sobre cómo el mercado  -y quiénes dentro de este mercado-  están siendo más proclives a acoger el mensaje subyacente a esa “nueva” disciplina; y, sobre el previsible desarrollo que, en este campo, se adivina.

Los párrafos que siguen tratan de ofrecer un resumen de tales reflexiones. El formato elegido en esta ocasión para presentar dichos comentarios  -una entrevista-  ayudará, sin duda, a trasladarles a Uds. los mensajes del Sr. Toomey y hará más dinámica la lectura de tales conclusiones.

Gobernanza de TI: Estimado Sr. Toomey, ¡bienvenido! Su primer viaje a España. ¿Qué impresiones se está llevando en estas primeras horas, casi minutos, desde su llegada?

Mark Toomey: Muchas gracias. Lo cierto es que lo que, apenas, he podido contemplar desde el avión no parece diferir mucho del paisaje australiano. Al llegar a Madrid hemos visto cómo, bajo nosotros, se extendía un amplio manto de color pardusco. Una tonalidad muy similar a la que, mayoritariamente, se puede observar en tierras australianas. La geología y la historia natural de la isla-continente han ayudado; el comportamiento del hombre blanco, tras su llegada, en relación al uso de los recursos naturales y del entorno, y la deforestación, han hecho el resto. Del mismo modo, confío en poder encontrar similitudes equivalentes entre ambos paises, en lo relativo al uso que se hace de las TI en el seno de las organizaciones y a la inquietud por ejercer sobre aquellas una dirección y control adecuados.

GdTI: Obviamente, es esto último lo que ha motivado su visita a España; pero, ¿podría comentar cómo nace su preocupación y qué pretende con ello?

MT: Tras una larga carrera en el mundo de las TI  -gran parte de ella en el sector financiero-,  a principios de esta década comencé a involucrarme y a colaborar con una nueva corriente que surgía en Australia a la sombra de ciertos escándalos y desastres económicos cuya raiz se hundía en el uso que, de las TIC, se había hecho en determinadas instituciones. Esa labor coral culminaría con la publicación, en enero de 2005, de la norma australiana AS8015:2005. Corporate governance of information and communication technology, germen de la posterior ISO/IEC 38500:2008. Corporate governance of information technology, publicada, finalmente, en junio de 2008. A partir de aquí, en los últimos tiempos he hecho de la difusión de los principios subyacentes al concepto de Buen Gobierno Corporativo de TI mi misión personal. De este modo, estoy tratando de concentrar todos mis esfuerzos en transmitir a las organizaciones la necesidad de poner en marcha sistemas que permitan ejercer las debidas actividades de evaluación, dirección y supervisión sobre el uso, presente y futuro, de sus propios recursos de TI.

GdTI: Claro fruto de dicho esfuerzo ha sido el libro “Waltzing with the Elephant“, publicado hace tres meses. ¿Por qué esa invitación a “bailar un vals con el elefante”?

MT: (Sonrisas). Bien, la idea parte de la expresión “the elephant in the room” (el elefante en la habitación). No se lo que ocurre en España (más sonrisas); pero en Australia no es habitual encontrarte un elefante en la habitación. De ocurrir, probablemente, lo primero que diríamos sería “¿qué diablos hace esto aquí?“. Esa es precisamente la percepción que, sobre las TI, parece existir entre los miembros de los consejos de administración de las organizaciones de hoy. En no pocas ocasiones la aparición de temas tecnológicos en las agendas de dichos consejeros parecen “desentonar” del curso normal de las reuniones del consejo. “¿Qué diablos hace ESTO aquí? ¿No deberían haberse ocupado de ello los chicos de Informática?“. “Waltzing with the Elephant” trata de poner la semilla para que los sistemas de dirección y control de las Tecnologías de la Información comiencen a verse como una herramienta más del negocio, que, por tanto, habrá de ser manejada por quien tiene potestad para manejar dicho negocio.

GdTI: En las respuestas anteriores ha venido haciendo un reiterado hincapié en el “uso de las TI” o “de los recursos de TI” de los que disponen las organizaciones. Ello, junto a su último comentario sobre “el Elefante”, ¿han de hacer pensar que debería ponerse más nitidamente el acento en ese lado de la ecuación, en el lado del usuario, en definitiva, en el lado de quien demanda soluciones y servicios habilitados por TI?

MT: Así es. Hasta ahora, gran parte de los esfuerzos que se han hecho en relación a la difusión de la necesidad de establecer marcos para el Buen Gobierno Corporativo de TI han puesto el foco y han tenido como claro destinatario el lado de la oferta, de la provisión de soluciones y servicios de TI. De este modo, dichas propuestas han devenido en meros marcos para una eficaz Gestión de TI; pero en ningún caso pueden considerarse modelos para el Gobierno de TI. Asimismo, la literatura sobre Gobierno de TI pone, una y otra vez, el acento en la figura del Director de Sistemas de Información, como protagonista principal en este escenario. Sin embargo, obviar el lado de la demanda no parece tener sentido. Sería dejar la ecuación incompleta y, además, no se antoja la mejor forma de ayudar a aproximar esos dos lados, tan habitualmente distantes. Tomemos el ejemplo de un atomóvil. Un discurso basado, principalmente, en el lado de la oferta, en mejorar dicha oferta, hablaría, casi exclusivamente, de los engranajes ocultos bajo la carrocería, del par-motor, de la potencia del vehículo, etc. Por el contrario, visto desde el lado de la demanda, podrían resultar más interesantes otros aspectos como la marca, línea o el color del coche, la existencia de sólo cinco asientos, o la posibilidad de montar siete a fin de que la familia viajase lo más cómodamente posible, etc. Orientar el mensaje hacia el lado de la demanda contribuirá a facilitar la comprensión de los problemas asociados a las TI, por parte de la gente al mando de los negocios, y ayudará  a elevar la posición de la información y sus tecnologías afines al nivel que le corresponde junto al resto de activos clave de las organizaciones.

GdTI: ¿Qué papel juega el comportamiento humano en relación a las TI?

MT: Muy buena pregunta. Esa es una de las claves, demasiado a menudo olvidada. Al principio de la conversación mencioné el comportamiento del hombre blanco, tras su llegada a Australia, y cómo dicho comportamiento había determinado el uso que se había hecho de los recursos naturales. O, por ejemplo, retomemos, de nuevo, el símil del automóvil. En este caso, tampoco hablaremos de Tecnología de la Información, hablaremos de lo que podríamos denominar “Tecnología de Transporte“. Los principios, no obstante, son, igualmente, aplicables. En el vehículo somos capaces de identificar muchas de las situaciones cotidianas que caracterizan a las TI dentro de las empresas: tenemos la fabricación externalizada en el constructor, tenemos el mantenimiento externalizado en el taller, etc.; sin embargo, nosotros como conductores (y, posiblemente, propietarios) de ese vehículo somos quienes nos hemos de ocupar de darle a esa tecnología de transporte un uso adecuado; y no sólo en nuestro propio beneficio, sino también en el de otros interesados (la familia, otros conductures, los peatones, las autoridades de Tráfico, etc.). Dependerá, por tanto, de nuestro comportamiento al volante, el que utilicemos de uno u otro modo dicho automóvil. En gran parte de los accidentes de tráfico las causas no han de buscarse en fallos mecánicos o eléctricos del vehículo, sino, simplemente, en imprudencias o despistes. De igual modo, gran parte de los problemas con las TI tienen su origen en negligencias u otros comportamientos inapropiados, no sólo de aquellos individuos que proveen dichas tecnologías, sino de los que las utilizan o, en última instancia, determinan su uso.

GdTI: Este último mensaje relativo a la responsabilidad que, sobre el uso de las TI, tienen los “conductores” de los negocios puede que no sea muy bien entendido por esas personas a cargo de las organizaciones e instituciones. ¿Cómo está siendo acogido el discurso del Buen Gobierno de TI en la Australia corporativa?

MT: ¿No es significativo el hecho de que haya tenido que venir a contar esto en España, en lugar de quedarme en Australia? (De nuevo, sonrisas). Lo cierto es que nadie es profeta en su tierra (más sonrisas). Bromas a parte, es cierto que el ritmo al que se está aceptando este mensaje del Gobierno de TI no es todo lo ágil que uno desearía. Por ese motivo estamos planteándonos abordar alguna iniciativa específica que ayude a acercar dicho mensaje a los miembros clave de la comunidad corporativa.

GdTI: ¿Cómo definiría el papel que están jugando, o que podrían jugar, organizaciones como ISACA o el itSMF en el citado acercamiento?

MT: El origen de este tipo de entidades no parece aconsejar que las nuevas iniciativas de aproximación a la comunidad corporativa hayan de seguir sus mismos pasos. Como ya he indicado, la clave estaría en evitar, en lo posible, aproximaciones a través del lado de la oferta; vertiente, que, sin duda, representan las organizaciones citadas. Por el contrario, sería más oportuno pensar en otro tipo de instituciones o asociaciones más afines a los individuos ubicados en el lado del negocio (lado de la demanda). Aún así, incluso entre las propias organizaciones mencionadas existen diferencias. Sirva como ejemplo el diferente poder de convocatoria que una y otra han demostrado en las últimas conferencias promovidas en el ámbito local australiano: itSMF Australia logró convocar a tres personas por cada asistente a los eventos organizados por los capítulos locales de ISACA.

GdTI: Y, ¿qué hay del ámbito de la Administración Pública australiana? A un año de su publicación, ¿qué efectos está teniendo el “Informe Gershon“?

MT: Efectivamente, el documento “Review of the Australian Government’s Use of Information and Communication Technology” (“Revisión del uso de las TIC por parte de la Administración Publica australiana“), firmado por Sir Peter Gershon el pasado mes de agosto de 2008, supuso todo un hito, tanto para el Sector Público australiano, como para la comunidad del Gobierno de TI en general, al resumir todas sus recomendaciones en un único mensaje: la necesidad de adoptar e implantar un marco de gobernanza de TI que permitiese evaluar, dirigir y supervisar el uso de las TI, según los dictados de la norma australiana AS8015:2005. Por desgracia, un año después, he de confesar que la lectura que se está haciendo del “Informe Gershon” está considerando, únicamente, el lado de la oferta, de forma que sólo se están abordando las iniciativas identificadas en el Plan, desde el punto de vista de mejorar la entrega de soluciones y servicios de TI, obviando la labor de dirección y control (supervisión) que el Informe demandaba de y asignaba a los representantes políticos, responsables últimos del correcto uso de los recursos de (y destinados a) las TIC, en favor de los miembros de la Sociedad australiana.

GdTI: Este año, una nueva iniciativa está tratando de elevar las TI a nivel de elemento de gobierno por parte de las organizaciones. Se trata del informe “King III“, publicado recientemente en Sudáfrica, que dedica un amplio apartado a recordar a los miembros de los consejos de administración sus responsabilidades en relación al uso que se hace de las TIC en sus respectivas compañías. ¿Cree Ud. que esta propuesta sudafricana servirá como catalizador para implusar el Buen Gobierno Corporativo de TI entre la comunidad empresarial sudafricana y, por extensión, entre la comunidad corporativa internacional? ¿Cree que podrá servir de ejemplo, para otras regulaciones, en otros países?

MT: Difícil pronóstico. Lo único realmente objetivo es que, a fecha de hoy, se ha creado un cierto excepticismo en torno a la redacción de esta nueva revisión del código sudafricano. Excepticismo sustentado en la creencia de que han podido generarse determinados intereses que pueden haber estado detrás de la publicación del nuevo documento.

GdTI: Por último, y en vista de esa próxima reunión del JTC1/WG6, en Singapur, la semana que viene, ¿cómo ve Ud. el desarrollo de la normativa relativa al Gobierno Corporativo de TI a nivel internacional?

MT: De nuevo, en este caso, cabe aplicar una cierta cautela, dada la composición de algunos órganos de representación en entidades de normalización como ISO. No en pocas ocasiones se encuentra uno con situaciones en las que en ciertos comités y grupos de trabajo se detecta una sospechosa y mayoritaria presencia de representantes vinculados de un determinado fabricante del sector TIC. Ello no sólo puede suponer una falta de independencia en los procesos de aprobación de nuevas normativas; sino que, en casos como el de la norma ISO/IEC 38500:2008, puede constituir una dificultad adicional a la hora de moldear un mensaje más afín al lado de la demanda de soluciones y servicio de TI, imprescindible, como se ha explicado con anterioridad.

GdTI: Muchas gracias, de nuevo, Sr. Toomey, por su amabilidad.

Mark Toomey abandonaba, finalmente, Madrid con destino a Frankfurt el miércoles, 25 de noviembre, tras ofrecer una serie de charlas-conferencias y mantener una serie de encuentros con representantes de algunas de las principales empresas del país.

Promoviendo el Buen Gobierno Empresarial” fue el lema elegido por el Instituto de Consejeros-Administradores (IC-A) para la cena-coloquio sobre el “Buen Gobierno de las Sociedades y Entidades“, celebrada la tarde-noche del martes, 20 de octubre, en el marco de su Convención Anual 2009.

La entidad, cuya constitución fue impulsada por las firmas KPMG y Gómez-Acebo & Pombo, viene erigiéndose desde 2003 en referente nacional en materia de Buen Gobierno Corporativo y de profesionalización de la figura del consejero. Prueba de ello ha sido la puesta en marcha de un programa de formación específico para la certificación de los miembros, actuales y futuros, de los consejos de administración en la disciplina del Buen Gobierno y cuyos primeros participantes recibieron su graduación el pasado 1 de julio.

El evento, que coincidió con el sexto aniversario del Instituto, logró reunir a casi dos centenares de consejeros, administradores y otros individuos interesados en la promoción del Buen Gobierno Corporativo; y contó, como invitado especial, con la presencia de D. Juan Ramón Quintás Seoane, Presidente de la Confederación Española de Cajas de Ahorro (CECA).

La agradable velada, celebrada en el Salón Real del Casino de Madrid, transcurrió entre las dos intervenciones del Sr. Quintás Seoane: una inicial, a modo de bienvenida, en la que desarrolló, en cierto detalle, el tema “Nuevas Perspectivas en la Regulación Bancaria“; y otra posterior, a los postres, durante la cual dio respuesta a una serie de preguntas planteadas por los asistentes.

En la conferencia se echó en falta, quizás, un mayor foco en las Cajas de Ahorro  -la ocasión no podía ser más propicia-,  dada la coyuntura actual y la situaciones vividas en los últimos meses. En este sentido, se recordó la pérdida de atribuciones de la propia CECA en relación a su antiguo papel como órgano supervisor y de control sobre las Cajas, en favor del Banco de España (… lo cual, sea dicho de paso, parece bastante saludable si se tiene en consideración el principio de independencia).

Por lo demás, el Sr. Quintás prefirió centrar su discurso en las entidades bancarias, en relación a las cuales se mencionaron ciertas “verdades” perfectamente aprovechables y, en su mayoría, de aplicación general a otras organizaciones:

  • En primer lugar, se habló ampliamente del riesgo, como componente intríseco a la naturaleza de las entidades de crédito.
  • Posteriormente, se recordó la asimetría de los actuales modelos de retribución de los miembros de los consejos de administración y de los ejecutivos (“no cabe pensar que si hay ganancias, se gane; y que si hay pérdidas, también se gane, en perjuicio de otros grupos con intereses en las compañías“); identificándose, en buena medida, esta caracterísca de lo que podría denominarse Mal Gobierno Corporativo, con una de las causas de la crisis vigente, en tanto que favorecedora de una visión cortoplacista materializada en la búsqueda de la rentabilidad/retribución personal a corto plazo, al tiempo que se obvia la continuidad y la sostenibilidad a medio/largo plazo de la organización.
  • El desequilibrio en la composición de muchos consejos de administración también fue objeto de comentario en el transcurso de la conferencia. La proporción de consejeros ejecutivos frente a independientes o, más aún, la presencia misma de los primeros en el seno de los consejos, surge como un nuevo elemento de reflexión e indudable mejora en relación a la transparencia, independencia y, consecuentemente, al incremento del nivel de Buen Gobierno de las sociedades. En este punto, Quintás hizo mención de su conocida opinión sobre la presencia de representantes políticos en los consejos de las Cajas.
  • Finalmente, otro de los aspectos tratados fue la preparación técnica de los consejeros. El ponente dio muestras de un fino humor gallego al recordar cómo un creciente número de consejos de administración en las grandes corporaciones estadounidenses llevan años poblándose de individuos cuyo bagaje se antoja muy alejado de las disciplinas tradicionalmente aceptadas, adecuadas y adoptadas entre los miembros que componen dichos órganos en España: la Economía y el Derecho.

En relación a este último punto, y sin ánimo de tratar de imitar el humor del Sr. Quintás Seoane, podrían plantearse las siguientes preguntas:

  • Acaso, al referirse a la necesidad de incrementar el grado de profesionalización de los consejeros, por vía de una mayor competencia y preparación técnica, y a pesar de no mencionarlo explícitamente, ¿cabría pensar que D. Juan Ramón estaba considerando, también, aspectos ligados a la dirección y el control de las Tecnologías de la Información, como competencias necesarias para cualquier consejero  -no sólo en empresas tecnológicas-,  como valor adicional a las tradicionales de naturaleza fiscal y/o jurídica?
  • ¿Acaso el conferenciante tenía en mente las “nuevas” atribuciones que las tendencias internacionales (norma ISO/IEC 38.500:2008. Corporate Governance of IT, King Code of Governance Principles, …) asignan a los miembros de los consejos de administración?

En suma, aunque de forma más ingenua que irónica, ¿podría pensarse que el propio IC-A escogió su lema, “Promoviendo el Buen Gobierno Empresarial“, teniendo presente su extensión a aspectos relacionados con la información y sus tecnologías afines? Realmente no lo parece, a la vista de lo que mostró la sesión.

Probablemente el propio IC-A perdió una oportunidad de oro de hacer referencia, aunque fuese mínimamente, al nuevo Código de Buen Gobierno que su entidad hermana, y admirado espejo, el Instituto de Consejeros (The Institute of Directors, IoD), sección sudafricana, acaba de publicar el pasado 1 de septiembre: el código e informe King III.

Sería un acierto subsanar este desliz el año que viene y, más aún, hacer la corrección palpable mediante la incorporación de la nueva disciplina del Gobierno Corporativo de TI, tanto en sus futuros planes formativos, como en las agendas 2010 de todos y cada uno de sus asociados.

Ello favorecería, sin duda, el acercamiento Negocio-TI y, de ese modo, la comprensión mutua y la sincronización entre ambos colectivos; requisito clave para un definitivo cambio de perspectiva de las organizaciones, sobre sus TI.

Tras más de un año de intenso trabajo, el próximo día 17 de agosto verá, oficialmente, la luz “Waltzing with the Elephant“, la nueva guía del australiano Mark Toomey sobre el Gobierno Corporativo de las Tecnologías de la Información.

La presentación internacional del libro tendrá lugar durante la gala previa a la celebración de la conferencia anual del itSMF-Australia en la ciudad de Sydney. Posteriormente, el lunes, 14 de septiembre, habrá, de forma adicional, una presentación exclusiva para la comunidad corporativa en Melbourne.

Como el propio Toomey ha declarado, la idea de escribir esta guía surgió durante la reunión plenaria del subcomité ISO/JTC1/SC7, celebrada en Berlín, en mayo de 2008, pocos días antes de que la norma ISO/IEC 38500:2008. Corporate governance of information technology fuese publicada. A aquella cita de ISO acudió un notable número de expertos que debatieron sobre el futuro de la norma y la disciplina subyacente; sin embargo, ninguno de ellos contaba con un importante bagaje como responsable de ninguna organización: todos provenían del ámbito TI. Ante esa coyuntura, “Waltzing with the Elephant” surgió con la intención de aportar ideas y contribuir al debate entre las partes (demanda-oferta, negocio-TI) de modo que quedase claro que el gobierno de las TIC es una responsabilidad de aquellas personas que dirigen el negocio y que, por tanto, en ningún caso, han de abdicar dicha responsabilidad sobre los miembros de las áreas de TI.

Gobernanza de TI ha tenido acceso al contenido completo del libro, el cual, al igual que su título, ha ido evolucionando a lo largo de los últimos meses. De la denominación inicial “Corporate Governance of Information Technology. A Guide to ISO/IEC 38500” se pasó a “Corporate Governance of Information Technology. A Substantial Guide to ISO/IEC 38500“; y, de ésta, finalmente, al ya conocido “Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology“.

En la versión final, el libro desarrolla, a lo largo de sus 264 páginas, un total de doce capítulos en los cuales, previa presentación de la problemática general de las TI para las organizaciones y de la propia norma ISO/IEC 38500, se ofrece un repaso a los seis principios generales para el buen gobierno corporativo de las TIC que aquella establece: responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana.

¡Se antoja una buena lectura veraniega!