Lejos de pretender resultar ofensivo  -vaya lo de “pobre” con todo el respeto-,  el titular que precede estas líneas no hace sino constatar una evidente realidad: a diferencia de lo ocurrido con su hermana mayor  -a la que se ha dedicado no poca literatura-,  de la norma australiano-neozelandesa AS/NZS 8016(Int):2010. Corporate governance of projects involving information technology investments apenas se ha oído hablar en el año que lleva en vigor.

¡Poco se ha escrito sobre ella! ¡Pocas charlas/conferencias se le han dedicado! Una búsqueda en Google de la cadena “AS/NZS 8016(Int):2010” arroja unos escuálidos 85 resultados. ¡Haga la prueba!

La publicación, en enero de 2005, de la norma australiana AS 8015-2005. Corporate governance of information and communication technology  , constituía el final de una etapa, iniciada cinco años atrás por un grupo de individuos preocupados y motivados pòr la aparición en el panorama corporativo y gubernamental australiano de una serie de escándalos económicos, en cuya génesis se encontraban determinadas inversiones  -dotadas de un notable componente tecnológico-  mal dirigidas y peor controladas.

Sin embargo, la aparición de la AS8015  -reeditada, en junio de 2008, como norma internacional ISO/IEC 38500:2008. Corporate governance of information technology, “pseudónimo”, por el que, hoy, es más conocida-  supuso, también, la apertura de una puerta a nuevos desarrollos normativos en ámbitos particulares del uso de las Tecnologías de la Información y las Comunicaciones. Dichos ámbitos se concretaban, particularmente, en dos: los proyectos de TI y las operaciones de TI.

Del segundo de aquellos, nada se ha vuelto a saber. Transcurridos seis años desde que la norma base  -AS8015-  viera la luz, no hay constancia de la publicación de resultado alguno sobre la gobernanza de las operaciones de TI  -supuesta AS8017-.  Cabe, en este sentido, pensar que los desarrollos habidos en estos años en los ámbitos de la gestión de los servicios de TI  -aparición de la serie de normas ISO/IEC 20000, en 2005, y sus recientes y actuales revisiones, unidas a la publicación de la tercera versión del modelo ITIL, en 2007-  hayan contribuido a frenar el ímpetu inicial de los promotores de la serie AS 801x. De confirmarse este extremo, habría que lamentarlo, por cuanto se estaría dejando pendiente de aclarar la, nunca suficientemente entendida, diferencia entre Gobernanza y Gestión, y, con ello, aquellos aspectos relativos a la toma de decisiones sobre los servicios de TI que reciben y sustentan las operaciones de negocio de las organizaciones. Estas últimas nada tendrían que decir  -asunto, en todo caso, más que discutible-  sobre cómo se operan los sistemas de información y de soporte al negocio; sin embargo, sí parece que debieran asumir un destacado protagonismo a la hora de decidir: qué servicios se han de recibir  -¿cuáles, por qué y para qué?-;  qué alcance habrían de tener tales servicios  -¿departamental o corporativo?-;  a qué coste  -¿qué dinero ha de dedicárseles, a juicio de la organización?-;  qué modelo de aprovisionamiento de dichos servicios conviene más al negocio  -¿interno o externo?-;  etc. ¡El tiempo despejará la incertidumbre sobre la AS8017!

Retomando el primero de los dos ámbitos citados más arriba, la materialización, hace un año, de la AS8016, publicada como norma provisional, permite ver con un mayor optimismo  -al menos, a priori–  las tareas de desarrollo normativo en torno a las inversiones en nuevas actuaciones, apoyadas significativamente en la tecnología; esto es, en torno a los que  -de forma simplificada, en exceso-  se denominan proyectos de TI.

Con un cierto paralelismo en relación a lo expuesto para las operaciones de TI, la elaboración de una norma sobre el gobierno corporativo de aquellos proyectos de negocio que impliquen inversiones en Tecnologías de la Información y las Comunicaciones, ha supuesto dar un paso más allá de la mera gestión de proyectos  -disciplina suficientemente cubierta por modelos del sector como CMMI-DEV, PMBoK o PRINCE2 y otras normas-,  poniendo el acento, no en la ejecución de tales proyectos, sino en el beneficio que, para la organización, supondrá abordarlos.

Este enfoque centrado en el valor de las inversiones  -ya explorado por ISACA, en su modelo Val IT, desde 2006; ITIM, VMM o, más recientemente, MoV, son otros ejemplos-  favorece, asimismo, la ampliación de la perspectiva tradicional del Gobierno Corporativo, centrado en la conformidad y en el cumplimiento con normas y regulaciones, hacia un nuevo planteamiento que apunta a la contribución (rendimiento/rentabilidad) que, desde TI, se hace a los resultados del negocio.

Este nuevo discurso, centrado en términos como priorización de inversiones, gobierno del valorrealización de beneficios, etc., debería servir, además, para atraer, hacia la problemática que plantean las inversiones tecnológicas, a todos cuantos tengan responsabilidades en la dirección y control de las organizaciones. Lamentablemente, la poca atención que parece haber recibido la norma en su primer año de vida, crea serias dudas sobre el interés que haya podido causar, siquiera, entre los más fervientes seguidores de su hermana mayor.

¡No se sorprendan! ¡Sigue tratándose de mensajes que no van dirigidos a nosotros, los técnicos!

 

Artículos relacionados

  1. Dos años de ISO 38500: ¿es éste el camino?
  2. ISO/IEC 38500:2008. Un año difundiendo el concepto de ‘Buen Gobierno Corporativo de las TIC’
  3. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  4. Gobernanza de TI en una línea (revisada)
  5. Una “misiva” para la alta dirección

La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la “torpeza” de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

  • ¿Cuánto debe gastar una organización en TI?
  • ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
  • ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
  • ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
  • ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
  • ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la “Gobernanza de TI” como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

  • ¿QUIÉN toma la decisión?
  • ¿CÓMO se toma la decisión?
  • ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese “qué” –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

  • herramientas?;
  • operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
  • gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran “haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM“, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

  • independencia de herramientas;
  • una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
  • unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
  • simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

  • Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
  • Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
  • Adquisición: adquirir TIC de forma válida;
  • Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
  • Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
  • Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.