Presumiblemente, con este texto de 2002, Manolo Palao introducía, por vez primera, en la bibliografía en español sobre TI, el término ‘gobernanza‘. Algunas traducciones de documentos en inglés de la época habían optado, hasta entonces, por variantes como ‘gobernabilidad‘, o, directamente, ‘gobierno‘.

El citado hecho convierte en perfectamente prescindible, al menos por hoy, la breve introducción  -justificación, casi-  con que Gobernanza de TI acompaña la publicación de cada nuevo ”Texticulillo™”.

 

Texticulillo™ nº 9: El Burro Flautista y la Auditoría de Sistemas (1)(2)

Si hay un antes y un después en la Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC), ese momento lo marca la publicación, en 1996, de CobiT.

CobiT es un instrumento de gobernanza (3) de los SITIC puesto a disposición de directivos y auditores para facilitar el buen gobierno y el control de los sistemas de que se ocupan.

Es promovido y gestionado por el IT Governance Institute (Instituto para la Gobernanza de los SITIC), a su vez, parte de ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

Actualmente en su tercera edición (5) y con una dinámica de crecimiento y mejora continuados, una gran parte de CobiT se ha constituido en “norma abierta”  –open standard-,  que cualquier interesado puede descargar (http://www.isaca.org/cobit) y adaptar a su circunstancia.

No cabe, en este espacio, una descripción pormenorizada de CobiT y sus ventajas.  Cualquier lector interesado puede encontrar más detalles en el sitio web indicado. Quiero limitarme a señalar algunos aspectos que me parecen de particular relevancia.

El giro copernicano que CobiT ha supuesto es que ha planteado la gestión de la totalidad de los SITIC al servicio de la empresa  -u organismo-  dando realidad así, en esta área más modesta, a la famosa exclamación de ‘le Tigre’ Clemençeau (1841-1929): “¡La guerra es demasiado importante para dejarla en manos de los militares!”.

CobiT, con ese enfoque al servicio de la empresa se orienta a “objetivos y procesos de negocio”  -como, por ejemplo, la custodia de los activos-.

Contempla siete criterios básicos acerca de la información: eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de la normativa y fiabilidad.  Considera cinco grandes recursos SITIC: personal, aplicaciones,  tecnología, instalaciones y datos (6).

Se estructura en cuatro grandes áreas  -Planificación y Organización, Adquisición e Implantación, Prestación del Servicio y de la Asistencia, Monitorización-  que contienen treinta y cuatro procesos  -“objetivos de control de alto nivel”-,  que se desglosan en trescientos dieciocho “objetivos de control específicos” (7), por debajo de los cuales el ASITIC puede establecer sus propios “objetivos de detalle” (incluyendo las checklists  -listas de comprobación-  y pruebas que considere adecuadas).

CobiT es general, sin acepción de plataforma o de sector industrial.

Pero CobiT no está fundamentalmente destinado al ASITIC. CobiT es un Marco de Referencia para la buena gestión  -gobernanza-  de los SITIC. Contiene los citados Objetivos de Control, unas Directrices para Gestores y otras para Auditores.

CobiT podría leerse como las clásicas ‘cantigas de amigo paralelísticas’  en que los mismos versos están destinados alternativamente a él y a ella. Una lectura contiene las recomendaciones  -y esto es, en nuestra opinión, lo más importante-  de gobernanza para los directivos de la empresa y de los SITIC; otra lectura, las correspondientes a los ASITIC.

CobiT ha consultado  -y reitera el compromiso de seguir manteniendo actualizada la correspondencia con-  nada menos que cuarenta y una normas  –de facto y de iure–  internacionales sobre la materia; entre ellas, COSO, Cadbury, COCO o King.

Animo a todos  -directivos, técnicos y auditores-  a que se familiaricen más con el contenido, la estructura y las posibilidades de CobiT. No sorprende la aceptación internacional, ‘en bola de nieve’, que CobiT ha tenido; ni su adopción por empresas y organismos destacados. Se ha predicho  -en un estudio del META Group, de 2001-  que “para 2002-03, más del 30-40 % de las empresas del Global 2000 que desplieguen nuevas tecnologías y entren en nuevos mercados […] habrán adoptado un modelo similar a CobiT […]”.

Como dice ISACA: “La gobernanza de los SITIC es un buen negocio”.

Para terminar, como advertencia a quienes, por casualidad, puedan pretender realizar una ‘auditoría informática’, simplemente armados de una mera checklist, vaya el último verso de la fábula ‘El Burro Flautista’ de Tomás de Iriarte (1750-1791), publicada en 1782:

Sin regla del arte,
borriquitos hay
que una vez aciertan
por casualidad”.

 

Artículos relacionados

  1. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  2. Fraude y Auditoría de Sistemas (por Manolo Palao)
  3. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  4. Competencia y Auditoría de Sistemas (por Manolo Palao)
  5. Independencia y Auditoría de Sistemas (por Manolo Palao)
  6. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  7. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  8. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  9. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Nota de Manolo Palao: Voz recogida en el Diccionario de la Real Academia Española de la Lengua (DRAE). En su segunda acepción, sustantivo femenino anticuado, acción y efecto de gobernar o gobernarse.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El modelo CobiT vio la luz en su 3ª Edición en julio de 2000, para ser sustituido, en noviembre de 2005, por CobiT 4.0. Actualmente, y desde abril de 2007,  la versión en vigor es la 4.1, a la espera del, ya próximo, CobiT 5.

(6) CobiT 4 redujo los recursos de TI a cuatro grupos: personas, aplicaciones, información e infraestructuras.

(7) De nuevo, el autor ofrece una descripción de la versión de CobiT vigente en aquella época (2002). Las ediciones posteriores redujeron levemente el número total de “objetivos de control específicos”, colocándolo en torno a los dos centenares.

¡Finalmente, ha llegado!

Gobernanza de TI lo adelantaba el pasado día 1: el mes de noviembre no habría de acabar sin ver la publicación del nuevo marco basado en CobiT, Risk IT. El anuncio llegaba el viernes, 20, de la mano de ISACA y, con él, hacía público su modelo para el gobierno de los riesgos corporativos asociados a las TIC.

Desde que, hace exactamente diez meses, se publicara un borrador del que habría de ser el nuevo modelo de la “familia CobiT”, estas páginas han venido informando puntualmente de los diferentes anuncios que, desde la Asociación, se han realizado sobre la inminente publicación de un marco que vendría a complementar, tanto al propio CobiT, como a su hermano Val IT, en la constitución de un verdadero enfoque, completo, de Gobierno Corporativo de TI.

A las prestaciones como modelo de sincronización estratégica negocio-TI que ofrece CobiT y a las que aporta Val IT como referente para la contribución de TI a la generación de valor para el negocio, se une ahora, Risk IT, con objeto de ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC. De este modo, queda cerrado el triángulo Sincronía-Valor-Riesgo, que conforma la base de la aproximación de ISACA y su IT Governance Institute a la Gobernanza de TI, y sobre la que se apoyará el futuro CobiT 5, cuyo desarrollo se anunciaba el pasado mes de abril, como parte de la estrategia de ISACA para el trienio 2009-2011.

Risk IT viene, en esta primera edición, distribuido en dos documentos principales:

  • el Marco de Referencia propiamente dicho (“The Risk IT Framework“), disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios (3) y procesos (9) ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI; y,
  • la Guía para el Especialista (“The Risk IT Practitioner Guide“), disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos (creación de escenarios de riesgo específicos, basados en escenarios genéricos; creación de mapas de riesgo; definición de criterios de impacto y su relevancia para el negocio; identificación de indicadores clave de riesgo, KRI  –Key Risk Indicator-;  o, combinación práctica con los otros modelos  -CobiT y Val IT-).

Adicionalmente, este paquete documental viene acompañado por un conjunto de herramientas de trabajo (una serie de ficheros en formato Word) que, a modo de material complementario, proporcionan una versión editable de determinadas figuras (tablas) empleadas en “The Risk IT Practitioner Guide“.

Transcurridos algo más de dos años (24 de abril de 2007) desde que viera la luz el modelo para el gobierno corporativo de TI, CobiT, de ISACA y el IT Governance Institute, en su vigente versión, 4.1 , en los pasados días ha sido hecha pública su edición en lengua española.

La iniciativa llega tras las ediciones en japonés (disgregada en seis documentos: Resumen Ejecutivo y Marco de Referencia, dominio PO, dominio AI, dominio DS, dominio ME y apéndices), húngaro, francés y ruso -estas dos últimas, sorprendentemente, disponibles sólo en modalidad de pago-.

A diferencia de lo ocurrido con la versión 4, traducida por la empresa mexicana Glanser Services, S.C. en junio de 2006, ISACA ha recurrido, nuevamente, como ya hiciera en el caso de las versiones 2 y 3 del modelo, al buen hacer de sus asociados, recayendo, en esta ocasión, la responsabilidad de la traducción en el Instructor Acreditado de CobiT colombiano D. Alexander Zapata Lenis, CGEIT, CISA, PMP (Grupo Cynthus-MX) y en el español D. Roberto Soriano Doménech, CISM, CISA (Telefónica-ES), Presidente del Capítulo 182 de ISACA (ISACA-Comunidad Valenciana, España).

 

El pasado 1 de junio de 2008 veía la luz, de la mano de la Organización Internacional de Normalización (International Organization for Standardization, ISO) y de la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC),  la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology.

Por primera vez, una norma de alcance internacional trataba, de manera central, el tema del Gobierno Corporativo de las Tecnologías de la Información. Habían tenido que pasar diez años desde la creación, en 1998, del Instituto para la Gobernanza de las Tecnologías de la Información (Information Technology Governance Institute, ITGI) por parte de ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de Información (Information Systems Audit and Control Association); y había transcurrido, también, casi una década desde que el término “IT governance” apareciese, por vez primera, en el título de un trabajo académico de investigación de naturaleza técnica/empresarial: fue el caso del artículo “Arrangements for information technology governance: a theory of multiple contingencies” (1), firmado tal día como hoy, hace otros diez años  – el 1 de junio de 1999 -,  por los profesores Vallabh Sambamurthy y Robert W. Zmud.

Sin embargo, la “38500” no constituía la primera iniciativa normalizadora en el ámbito del Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de “pioneros” australianos y neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad australiana de normalización, Standards Australia, que daría lugar a la publicación oficial, el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate governance of information and communication technology. De hecho, sería esta norma la que marcaría el camino para la aparición, tres años y medio después, de la norma internacional, cuyo primer aniversario se celebra en el día de hoy.

El citado camino pasó por la adopción de la norma australiana, por parte del Comité Técnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft International Standard, DIS), mediante procedimiento de tramitación rápida. De este modo, el borrador ISO/IEC DIS 29382 (numeración provisionalmente asignada a la nueva norma) fue votado y aprobado por los organismos nacionales de normalización, tanto de ISO, como de IEC. En el caso de España, este papel correspondió a la Asociación Española de Normalización, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue renombrada con la que habría de ser su numeración definitiva: ISO/IEC 38500. Finalmente, se publicó unos días después, el 1 de junio.

Hoy día ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no entra en detalles técnicos), basada en principios (establece seis principios para el buen gobierno corporativo de las TI: responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana) y de naturaleza asesora, esto es, trata de ofrecer directrices (aconseja) sobre el papel que deben asumir los órganos de gobierno de las organizaciones en relación al uso que, en ellas, se hace de las TI.

El ojetivo de la norma pasa, precisamente, por ayudar a aquellos que ocupan los niveles más altos dentro de las organizaciones (miembros de los consejos de administración, u otros) a comprender y cumplir con sus obligaciones legales, regulatorias y éticas, respecto al uso que se hace de las TIC en sus propias entidades.

En ese sentido, cabe subrayar que la norma lleva un año difundiendo y aclarando el verdadero significado de la expresión “gobierno corporativo de las TIC”, recordando que éste deriva del concepto de Gobierno Corporativo y que, como éste, tiene más que ver con comportamientos y aspectos éticos  – responsabilidad, conformidad y conducta humana -,  que con procesos tecnológicos, como ya se ha insistido desde estas mismas páginas.

¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!

 

(1) Sambamurthy V. y Zmud, Robert W. “Arrangements for information technology governance: a theory of multiple contingencies“. MIS Quarterly. Vol. 23. Nº 2, págs. 261-290, 1 de junio de 1999.

Fiel a la  – convertida en habitual en los últimos tiempos –  cita mensual con sus lectores, las rotativas electrónicas de ISACA producían el pasado viernes, 15 de mayo de 2009, una nueva publicación de la familia CobiT.

El documento, que lleva por título “Cobit and Application Controls: A Management Guide“, disponible, actualmente, sólo en formato electrónico (descargable gratuitamente para miembros), podrá ser adquirido en formato papel, a través de la librería de la Asociación, a partir del próximo día 25.

Puede sorprender, nada más abrirlo, ver el logotipo de ISACA en lugar del del IT Governance Institute, como cabría esperar de una publicación sobre el modelo CobiT. Sin embargo, esta “novedad” no es sino la puesta en escena de la evolución de la dirección estratégica de la Asociación, anunciada recientemente. Como parte de dicha evolución se identificaban cinco “temas estratégicos”, entre los que se encontraban “desarrollar el potencial completo de CobiT” y “reforzar el compromiso con los miembros de base de la Asociación: profesionales del control interno de TI y auditores de sistemas de información“. Ambos “temas” parecen materializarse con la publicación de “CobiT and Application Controls: A Management Guide“:

  • por un lado, se desarrollan las fronteras del modelo CobiT cubriendo, en esta ocasión, los aspectos relativos al ciclo de vida de las soluciones software de aplicación al negocio; o, más concretamente, los aspectos relativos al control interno que ha de transcurrir paralelo a las distintas etapas de dicho ciclo de vida. (Hace tan sólo unas semanas se presentaba la publicación “CobiT User Guide for Service Managers“, con la que se trataba de “aterrizar” la filosofía CobiT sobre el área de la Gestión de los Servicios de TI); y,
  • por otro, se trata, a pesar de su título, de un documento dirigido, principalmente, a los profesionales del control interno que han de desarrollar su labor en el ámbito de la construcción de aplicaciones y a los auditores encargados de evaluar dichos marcos de control.

Principal novedad editorial del IT Governance Institute durante este mes de abril, el pasado día 2 vio la luz la esperada “Cobit User Guide for Service Managers“.

La publicación, disponible actualmente para descarga sólo para miembros de ISACA  – puede adquirirse desde la librería-e de la Asociación -,  constituye un paso más de esta última en su pretensión de llevar su modelo, CobiT, al mundo de la Gestión de los Servicios de TI (del inglés, IT Service Management, ITSM).

El documento, primero de una posible serie con la que el ITGI tratará de acercar CobiT a los diferentes perfiles dentro de la organización, ofrece un repaso a la necesidad de establecer marcos de Buen Gobierno Corporativo de las TIC, a la de optimizar la gestión de las operaciones, recursos y activos de TI como premisa para un buen gobierno y al importante papel de los Jefes de Servicio en el logro de dicha óptima gestión.

CobiT User Guide for Service Managers” forma parte, asimismo, del conjunto de iniciativas enmarcadas en el Memorando de Entendimiento ISACA-itSMFI, comentado desde estas mismas páginas, y cuyo fin último es la difusión de los modelos CobiT 4.1 e ITIL v3 y la promoción de su utilización conjunta  – integrada -,  a fin de proporcionar una perspectiva de arriba hacia abajo de las TI dentro de las organizaciones.

En este sentido, la nueva guía se suma a anteriores publicaciones como “Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit. A Management Briefing from ITGI and OGC“ o “CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1“, ambas de 2008.

Ese es el nombre elegido para la nueva comisión de trabajo del Capítulo de Madrid de ISACA. El anuncio de la creación de este nuevo foro fue realizado en la tarde del pasado jueves, 26 de marzo de 2009, durante la celebración de la Asamblea Ordinaria de privamera, de la Asociación.

La comisión, cuya constitución es reflejo del apoyo de la nueva Junta Directiva hacia la difusión y promoción del Gobierno Corporativo de las TIC, nace motivada por tres factores principales:

  • el deseo de sincronizar las actividades del Capítulo con la orientación actual de ISACA y su IT Governance Institute, sirviendo a  – y, respectivamente, liderando –  el colectivo de profesionales dedicados a la Gobernanza de TI;
  • la intención de actualizar y ampliar el enfoque de actividades del Capítulo, con el ánimo de sumar esfuerzos a los ya empleados en las áreas de Control, Auditoría (Aseguramiento) y Seguridad de los Sistemas y Tecnologías de la Información y las Comunicaciones, en el seno de las organizaciones; y,
  • la necesidad de dar respuesta al creciente interés del mercado y, no menos importante, del colectivo de asociados, hacia este ámbito.

Los objetivos y contenidos de los trabajos a abordar en el seno de la nueva comisión girarán, obviamente, en torno al tema del Gobierno TIC, con especial énfasis en el estudio y difusíón de la normativa y bibliografía existente en este ámbito, así como en la elaboración de material propio que sirva de referencia, tanto a los miembros de la Asociación, como a las entidades en las que éstos desarrollan su actividad profesional.

En relación a la participación de los asociados en la citada comisión, se apuntó que:

  • las solicitudes habrán de ser canalizadas a través de los servicios administrativos de ISACA, en la dirección electrónica administracion@isacamadrid.es; y,
  • se priorizará la participación de profesionales que desarrollen su labor profesional, específicamente, en el ámbito de referencia. A tal fin, cada solicitud deberá ir acompañada de un breve resumen que describa la motivación del candidato para formar parte de la comisión, así como de una pequeña referencia a su bagaje laboral/académico.

Por último, se hizo hincapié en la necesidad de que los involucrados ofrezcan una participación comprometida, y activa, en relación al desarrollo y progresión de los trabajos abordados por la comisión.

En otro orden de cosas, esta Asamblea, cargada de novedades en el apartado de Gobierno TIC, sirvió, igualmente, de marco para anunciar los nuevos cursos que se incorporarán al Plan de Formación de la Asociación para 2009. Entre ellos, el curso de Fundamentos de CobiT (CobiT Foundation Course) que da paso a la certificación homónima (CobiT Foundation Certificate) y será ofrecido por Instructores Acreditados en CobiT, por ISACA (Accredited CobiT Trainers); y la incorporación del curso de preparación para el examen CGEIT.

Ya hay quien habla del fracaso de la primera oleada de iniciativas de Gobierno Corporativo de TI. Así, al menos, se reflejaba hace unos días en una discusión mantenida entre diferentes miembros de la comunidad virtual IT Governance Group de CollectiveX. Sin embargo, ¿no resulta un poco atrevido realizar tal afirmación? ¿Sería alguien capaz de identificar unas fechas de inicio y, particularmente, de fin, para tal etapa? ¿No será más oportuno pensar que esa primera oleada de Gobernanza de TI ni siquiera ha llegado; o, a lo sumo, que aún está llegando?

Con toda probabilidad, un gran número de profesionales del sector lleva, o confesará llevar, varios años envuelto en la materia objeto de esta bitácora: el Gobierno Corporativo de las TIC. Yo, personalmente  – y disculpen esta “primera persona” que he tratado de evitar en los artículos publicados hasta la fecha -,  tuve mi primer contacto con la Gobernanza de TI en el año 2000, de la mano de ISACA y su ITGI. (¡Realicen el sencillo ejercicio de recordar dónde estaban Uds. en esa época!). Y ello, tras haber sido responsable , durante más de un lustro  – 1994/2000 -,  de lo que hoy se llamaría “TI”, en una firma de ingeniería. Por otro lado, comencé a escribir y a ofrecer alguna conferencia sobre el tema de referencia hacia 2003/04. Sin embargo, puede decirse que en nuestro mercado se ha empezado a hablar  – respectivamente, a oir –  de Gobierno de TI hace apenas un par de años.

Efectivamente, fue en 2007 cuando comenzó a verse una difusión a mayor escala del concepto de Gobierno de TI desde diferentes frentes. Esa corriente, iniciada, tal vez a finales de 2006, tuvo su origen, en gran medida, en foros de gestión de TI  – gestión de servicios de TI -;  no en foros de gobierno corporativo, propiamente dichos, lo que ha llevado a crear una cierta confusión. (Confusión que no es exclusiva del panorama español).

En definitiva, y con respecto a la pregunta planteada por el título de este artículo, no parece que el mercado se encuentre, ya, en plena segunda oleada  – versión 2.0 –  del Gobierno de TI. Como les ocurre  a los “surferos” novatos, puede decirse que nuestro mercado está, aún, comenzando a subirse, lentamente y con notable cautela, a la primera ola.

Ello no ha de impedir reconocer los errores, numerosos probablemente, que se han cometido y todavía se están cometiendo en la puesta en práctica de iniciativas de Buen Gobierno Corporativo de las TIC; pero llamar a eso fracaso de la primera oleada, se antoja excesivamente ambicioso, y prematuro. ¡De momento, déjese sólo en fracaso!

Eso, al menos, es lo que declaran ITGI/ISACA, con respecto a la publicación del que será su nuevo marco para el gobierno de los riesgos corporativos, derivados de las TIC: Risk IT.

En la tarde de ayer, fue retirado el enlace a la versión borrador del modelo, de la página principal de ISACA, una vez que hubo transcurrido el período de revisión pública, iniciado el pasado 29 de enero de 2009, como anunciaba ‘Gobernanza de TI‘ hace unas semanas.

Comienza, ahora, un proceso de análisis e incorporación de los comentarios recibidos, que, con toda probabilidad, se extenderá más allá del verano. Considerando las previsiones habituales de la Asociación, no sería descabellado pensar que el nuevo modelo esté disponible, como muy pronto, a finales de año.

El nuevo marco, derivado de CobiT, vendrá, de ese modo, a sumarse a este último, y a Val IT, como componente de la terna que, a día de hoy, constituye la oferta del IT Governance Institute para cubrir los tres pilares del buen gobierno corporativo de las Tecnologías de la Información y las Comunicaciones: sincronía negocio-TI (CobiT), aporte de valor (Val IT) y contención de los riesgos (Risk IT).

La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la “torpeza” de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

  • ¿Cuánto debe gastar una organización en TI?
  • ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
  • ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
  • ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
  • ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
  • ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la “Gobernanza de TI” como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

  • ¿QUIÉN toma la decisión?
  • ¿CÓMO se toma la decisión?
  • ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese “qué” –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

  • herramientas?;
  • operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
  • gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran “haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM“, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

  • independencia de herramientas;
  • una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
  • unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
  • simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

  • Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
  • Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
  • Adquisición: adquirir TIC de forma válida;
  • Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
  • Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
  • Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.