Lejos de pretender resultar ofensivo  -vaya lo de “pobre” con todo el respeto-,  el titular que precede estas líneas no hace sino constatar una evidente realidad: a diferencia de lo ocurrido con su hermana mayor  -a la que se ha dedicado no poca literatura-,  de la norma australiano-neozelandesa AS/NZS 8016(Int):2010. Corporate governance of projects involving information technology investments apenas se ha oído hablar en el año que lleva en vigor.

¡Poco se ha escrito sobre ella! ¡Pocas charlas/conferencias se le han dedicado! Una búsqueda en Google de la cadena “AS/NZS 8016(Int):2010” arroja unos escuálidos 85 resultados. ¡Haga la prueba!

La publicación, en enero de 2005, de la norma australiana AS 8015-2005. Corporate governance of information and communication technology  , constituía el final de una etapa, iniciada cinco años atrás por un grupo de individuos preocupados y motivados pòr la aparición en el panorama corporativo y gubernamental australiano de una serie de escándalos económicos, en cuya génesis se encontraban determinadas inversiones  -dotadas de un notable componente tecnológico-  mal dirigidas y peor controladas.

Sin embargo, la aparición de la AS8015  -reeditada, en junio de 2008, como norma internacional ISO/IEC 38500:2008. Corporate governance of information technology, “pseudónimo”, por el que, hoy, es más conocida-  supuso, también, la apertura de una puerta a nuevos desarrollos normativos en ámbitos particulares del uso de las Tecnologías de la Información y las Comunicaciones. Dichos ámbitos se concretaban, particularmente, en dos: los proyectos de TI y las operaciones de TI.

Del segundo de aquellos, nada se ha vuelto a saber. Transcurridos seis años desde que la norma base  -AS8015-  viera la luz, no hay constancia de la publicación de resultado alguno sobre la gobernanza de las operaciones de TI  -supuesta AS8017-.  Cabe, en este sentido, pensar que los desarrollos habidos en estos años en los ámbitos de la gestión de los servicios de TI  -aparición de la serie de normas ISO/IEC 20000, en 2005, y sus recientes y actuales revisiones, unidas a la publicación de la tercera versión del modelo ITIL, en 2007-  hayan contribuido a frenar el ímpetu inicial de los promotores de la serie AS 801x. De confirmarse este extremo, habría que lamentarlo, por cuanto se estaría dejando pendiente de aclarar la, nunca suficientemente entendida, diferencia entre Gobernanza y Gestión, y, con ello, aquellos aspectos relativos a la toma de decisiones sobre los servicios de TI que reciben y sustentan las operaciones de negocio de las organizaciones. Estas últimas nada tendrían que decir  -asunto, en todo caso, más que discutible-  sobre cómo se operan los sistemas de información y de soporte al negocio; sin embargo, sí parece que debieran asumir un destacado protagonismo a la hora de decidir: qué servicios se han de recibir  -¿cuáles, por qué y para qué?-;  qué alcance habrían de tener tales servicios  -¿departamental o corporativo?-;  a qué coste  -¿qué dinero ha de dedicárseles, a juicio de la organización?-;  qué modelo de aprovisionamiento de dichos servicios conviene más al negocio  -¿interno o externo?-;  etc. ¡El tiempo despejará la incertidumbre sobre la AS8017!

Retomando el primero de los dos ámbitos citados más arriba, la materialización, hace un año, de la AS8016, publicada como norma provisional, permite ver con un mayor optimismo  -al menos, a priori–  las tareas de desarrollo normativo en torno a las inversiones en nuevas actuaciones, apoyadas significativamente en la tecnología; esto es, en torno a los que  -de forma simplificada, en exceso-  se denominan proyectos de TI.

Con un cierto paralelismo en relación a lo expuesto para las operaciones de TI, la elaboración de una norma sobre el gobierno corporativo de aquellos proyectos de negocio que impliquen inversiones en Tecnologías de la Información y las Comunicaciones, ha supuesto dar un paso más allá de la mera gestión de proyectos  -disciplina suficientemente cubierta por modelos del sector como CMMI-DEV, PMBoK o PRINCE2 y otras normas-,  poniendo el acento, no en la ejecución de tales proyectos, sino en el beneficio que, para la organización, supondrá abordarlos.

Este enfoque centrado en el valor de las inversiones  -ya explorado por ISACA, en su modelo Val IT, desde 2006; ITIM, VMM o, más recientemente, MoV, son otros ejemplos-  favorece, asimismo, la ampliación de la perspectiva tradicional del Gobierno Corporativo, centrado en la conformidad y en el cumplimiento con normas y regulaciones, hacia un nuevo planteamiento que apunta a la contribución (rendimiento/rentabilidad) que, desde TI, se hace a los resultados del negocio.

Este nuevo discurso, centrado en términos como priorización de inversiones, gobierno del valorrealización de beneficios, etc., debería servir, además, para atraer, hacia la problemática que plantean las inversiones tecnológicas, a todos cuantos tengan responsabilidades en la dirección y control de las organizaciones. Lamentablemente, la poca atención que parece haber recibido la norma en su primer año de vida, crea serias dudas sobre el interés que haya podido causar, siquiera, entre los más fervientes seguidores de su hermana mayor.

¡No se sorprendan! ¡Sigue tratándose de mensajes que no van dirigidos a nosotros, los técnicos!

 

Artículos relacionados

  1. Dos años de ISO 38500: ¿es éste el camino?
  2. ISO/IEC 38500:2008. Un año difundiendo el concepto de ‘Buen Gobierno Corporativo de las TIC’
  3. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  4. Gobernanza de TI en una línea (revisada)
  5. Una “misiva” para la alta dirección
Anuncios

Finalizadas las conmemoraciones de su cuadragésimo aniversario, ISACA, la antigua Information Systems Audit and Control Association, se presenta ante el nuevo año con un cambio en su imagen corporativa. El cambio va más allá de la obligada eliminación del número “40” que ha acompañado durante 2009 al logotipo de la Asociación, y se extiende a su lema, que pasa de ser “Serving IT Governance Professionals“, al nuevo “Trust in, and value from, information systems“. De este modo, ISACA se convierte en organización promotora de la confianza en, y del valor aportado por, los sistemas de información, dejando, aparentemente, de servir a los profesionales dedicados al buen gobierno corporativo de las tecnologías de la información y las comunicaciones. Pero, ¿es cierta tal afirmación? En opinión de Gobernanza de TI, rotundamente, NO.

Principio de “Equilibrio del Valor” o la metáfora de la balanza

Hasta tal punto el cambio de lema, por parte de ISACA, no supone un “abandono” de su comunidad de asociados dedicados a la gobernanza de las TI -sino, al contrario, un afianzamiento de su respaldo a los mismos-,  que la nueva leyenda elegida resume la esencia del principio de “Equilibrio del Valor” de las TI  -subyacente al concepto mismo de Gobierno Corporativo de TI-,  en el que concurren los dos componentes clave de tal equilibrio: el propio valor, y el riesgo, o mejor dicho, la mitigación de dicho riesgo, entendida como garantía de confianza.

El principio de “Equilibrio del Valor” podría quedar enunciado así: “a partir de una determinada estrategia para las TI  -que necesariamente ha de venir fijada por la estrategia previa del negocio, al que las TI sirven-  [sincronización estratégica TI-Negocio], han de ponerse en marcha dos fuerzas: una, en el sentido de crear valor para el negocio [aportación de valor]; y otra, en el sentido de preservar el valor creado [mitigación del riesgo de destrucción de valor]”.

Como se ha desgranado en la propia definición, el principio recoge los tres elementos fundamentales (dominios) del Gobierno Corporativo de las TIC:

  • la sincronización de las TI con el negocio al que sirven;
  • la aportación de valor al negocio, por parte de las citadas TI; y,
  • la mitigación de los riesgos que, del propio uso de dichas TI, se pueden derivar.

En este punto aparece, también, la metáfora de la balanza que constituye, quizás, la forma más clara de representar gráficamente, no sólo el principio de “Equilibrio del Valor” de las TIC, sino, también, el concepto mismo de su Gobierno Corporativo. Piénsese en una simple balanza compuesta por un brazo del que penden dos platos: el brazo representaría el alineamiento (sincronización) entre TI y el negocio; un primer platillo, vendría a simbolizar el valor aportado por el empleo de esas TI; y, finalmente, el otro platillo, contendría los riesgos para la organización, nacidos de la adopción de tales tecnologías.

En suma, la imagen de la balanza viene a recordar tres sencillas ideas: en primer lugar, las TI han de estar al servicio de, y en línea con, las necesidades del negocio del que forman parte; en segundo, existe un indudable beneficio para las organizaciones en el uso de las TIC, materializado en el valor añadido que les aportan; y, en tercer lugar, no todo son ventajas, sino que el mismo empleo de esas tecnologías puede suponer una serie de perjuicios, nacidos de los riesgos asociados a su uso. Un Buen Gobierno Corporativo de las TIC habrá de garantizar el paralelismo entre los objetivos a establecer para las áreas de TI dentro de la organización y los del negocio al que aquellas dan sustento, al tiempo que tratará de buscar el necesario equilibrio entre las ventajas y desventajas  -valor aportado y riesgo-  derivadas del uso de las tecnologías.

Los modelos de ISACA y la metáfora de la balanza

Ese mismo planteamiento es el que ha seguido ISACA durante los últimos quince años, a través de la publicación de sus diferentes modelos: CobiT (1996), Val IT (2006)  y, ahora, Risk IT (2009). Tomados de manera individual, ninguno de ellos constituye un verdadero marco de Gobierno Corporativo de TI, tal y como defienden, incluso, algunos de los más reputados difusores de la gobernanza de TI. Tomados de manera individual no son, sino, meros componentes de un marco global. Este marco global, esta balanza, ha podido completarse con la reciente publicación del modelo Risk IT, de modo que la balanza de ISACA para el Gobierno de TI dispone, ahora sí, de sus tres elementos esenciales:

  • un brazo para la sincronización TI-Negocio, representado por el modelo CobiT (véanse Apéndices I y II del modelo);
  • un platillo simbolizando la aportación de valor por parte de las TI, ámbito de desarrollo natural de Val IT; y,
  • otro platillo, que ha de equilibrarse con el primero y que representa los riesgos nacidos del uso de las TI, para cuyo gobierno ha nacido Risk IT.

Sin embargo, no será hasta la aparición de CobiT 5, prevista para no antes de 2011/12, cuando se ofrezca esta visión global, completa, de conjunto. Bajo el paraguas de CobiT 5 se ubicarán los actuales modelos CobiT, Val IT y Risk IT, así como algún otro marco de referencia de los actualmente puestos a disposición por parte de la Asociación.

¡Parece que su compromiso con los profesionales ocupados en el Gobierno de TI está más que garantizado!

 

Comentario: El nuevo lema y los capítulos

El cambio de lema de la Asociación había sido anunciado en las últimas semanas a todos los responsables de sus más de ciento setenta (170) capítulos a nivel mundial; sin embargo, en el momento de escribir este artículo sólo una pequeña parte de ellos habían adoptado la nueva directriz, actualizando convenientemente las cabeceras de sus páginas web. Se trata de los capítulos de:

  • Alemania;
  • Canadá (Valle del Ottawa);
  • EEUU (Área Metropolitana de Nueva York, Baton Rouge, Centro del Estado de Ohio, Hawaii, Los Ángeles, Poniente de La Florida, San Antonio de Béjar/Sur de Texas, Sur de La Florida,  Tulsa y Valle del Willamette);
  • España (Valencia);
  • Estonia;
  • India (Bangalore, Chennai y Cochin);
  • Italia (Milán);
  • Japón (Tokyo);
  • Pakistán (Karachi); y,
  • Trinidad y Tobago.

Dos capítulos más, Puget Sound (EEUU) y Suecia, aún no habiendo actualizado sus cabeceras, sí han optado por hacer del nuevo lema el motivo central de sus páginas web en este día 1 de enero de 2010.