Gracias a la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones, CaSaTIC, recientemente tuvimos la oportunidad de escuchar y aprender, dirigidos por su propio autor, acerca de la norma ISO 38500, referida al Gobierno corporativo de Tecnologías de Información.
El australiano Mark Toomey, quien ha sido Jefe del comité responsable por los estándares de Gobierno y Gestión de TI de Australia, y es el representante principal de Australia en el comité internacional de ISO/IEC 38500, estuvo en El Salvador, siendo ésta su primera visita a Centroamérica. Su objetivo, auspiciado y apoyado por la gremial salvadoreña CaSaTIC, fue la presentación y difusión de la norma ISO 38500, así como las razones de la importancia de su implantación en las empresas que buscan posicionar a la Tecnología de Información como un elemento transversal clave en su desempeño.
Las ideas contenidas de manera formal en la norma, han sido desarrolladas también por Toomey en su libro “Bailando con el elefante” (“Waltzing with the Elephant”). El autor dice que “la tecnología de información (TI) es el el Elefante en el salón, especialmente el salón de la Junta Directiva. Las organizaciones dependen de la TI para sus operaciones rutinarias y el desempeño futuro, y los problemas originados en TI tienen consecuencias serias. A pesar de esto, muchas organizaciones no ejercen una supervisión efectiva de la TI, y se arriesgan a recibir sorpresas”.
La informática es demasiado clave para estar en manos de informáticos
Puede parecer una parodia, un chiste o una frase irónica, pero coincide con el mensaje fundamental de la norma ISO 38500: las juntas directivas o las altas direcciones deben asumir el gobierno de la estrategia, la implantación y la supervisión del papel de las TI en la ejecución actual y el desempeño futuro del negocio fundamental (“core business”) de la empresa.
Los expertos en tecnología informática pueden y deben administrar el día a día, así como asesorar a sus directivos acerca de las potencialidades y el costo beneficio de las tecnologías emergentes, pero dadas las condiciones actuales de competencia y diferenciación en el mundo, los miembros de la dirección superior deben ejercer el gobierno TI.
La analogía es fácil de comprender: en las sesiones de casi cualquier junta directiva, un punto que no falta es la revisión de los estados financieros, balance, estado de resultados, y presupuesto, entre otros, pues es la alta dirección la que considera una de sus funciones la supervisión del comportamiento de las finanzas en la empresa. Esto no significa que el gerente financiero no puede actuar por su propia iniciativa, o que el equipo de personas que registra, analiza y reporta los movimientos contables debe esperar instrucciones puntuales de la directiva.
Por el contrario, en muchas situaciones, basados en que “de tecnología no entendemos mucho”, los altos directivos delegan en exceso y no se molestan en ejercer su parte de la dirección estratégica en TI en la empresa. Por otro lado, la buena cantidad de normas y estándares que existen en el área de la Tecnología de Información (ITIL, CMMI, CoBIT, etc.) no se dirigen al factor clave: el comportamiento humano. Esos son los argumentos y la base fundamental para la creación e impulso a esta norma.
En esta figura, desarrollada por Mark Toomey, se resumen las funciones del gobierno corporativo (dirigir, evaluar y supervisar), y su relación con las tareas y la responsabilidad de la administración de TI: planear, construir y operar. Aparece evidente que no es lo mismo gobernar la función TI en la empresa, responsabilidad ineludible de la alta dirección y la junta directiva, que administrar la TI, a cargo de los gerentes de informática y sus equipos de apoyo.
Los siete mensajes clave y los seis principios
Afortunadamente, la norma también entra en mayor detalle, con la finalidad de apoyar la clarificación de las acciones y actitudes que se pueden desarrollar para lograr este balance entre un buen gobierno TI y una buena administración TI.
A partir de estas reflexiones y de la experiencia en numerosas empresas, se pueden generar siete mensajes clave:
- Los directores deben gobernar el uso de TI
- Gobierno y administración son conceptos separados
- La norma es aplicable a cualquier organización
- Las personas que más deben utilizar las normas son los gerentes
- El buen gobierno de TI es un atributo deseable para todos los actores interesados
- El comportamiento humano es clave
- La implementación es responsabilidad de cada organización
La norma, en vez de indicar explícitamente cómo deben realizarse las actividades dentro de la empresa que logren desarrollar un buen gobierno TI, y que garanticen el cumplimiento de los siete mensajes clave, establece seis principios básicos, que definen un comportamiento preferido para orientar el proceso de toma de decisiones. Así mismo, definen lo que debe suceder, pero no cómo, cuándo o realizado por quién. Eso es lo que cada empresa debe concretar.
Los seis principios en los que se basa la norma ISO 38500 son:
Responsabilidad
Los individuos y los grupos dentro de la organización entienden y aceptan sus responsabilidades en cuanto a la oferta y demanda de uso de TI. Los que tienen la responsabilidad de acciones concretas también tienen la autoridad para realizar esas acciones.
Estrategia
La estrategia de negocios de la empresa toma en consideración las capacidades actuales y futuras de la TI; los planes estratégicos de TI satisfacen las necesidades presentes y las que van surgiendo de la estrategia de negocios de la organización.
Adquisición
Las adquisiciones para TI son hechas por razones válidas, basadas en un análisis apropiado y dinámico, con procesos de toma de decisiones claros y transparentes. Hay un equilibrio apropiado entre beneficios, oportunidades, costos y riesgos, tanto en el corto como en el largo plazo.
Desempeño
La TI responde al propósito de apoyar a la organización, proveyendo los servicios, los niveles del servicio y la calidad de los servicios requeridos para cumplir los requerimientos presentes y futuros de la organización.
Cumplimiento
La TI cumple con todas las normas, reglamentos y legislaciones aplicables. Las políticas y las prácticas están claramente definidas, implementadas y supervisadas.
Comportamiento humano
Las políticas, prácticas y decisiones en torno a la TI muestran respeto por el comportamiento humano, incluyendo todas las necesidades presentes y previsibles de las personas en el proceso.
Ing. Ibarra
Lo primordial de este mensaje es que como dirigente de una organizacion de informatica debieramos plantear en terminos sencillos los aspectos a administrar y las desiciones relacionadas con las TIC y no agobiarlos con nuetra jerga para que la junta directiva se vea motivada a participar de las desiciones
Me parece un excelente articulo, que pone en perspectiva una nueva visión de quien debe de asumir la responsabilidad del gobierno de las TICs dentro de una empresa.
Son tan importantes las TICs, que la norma 38500 debieran ser tan popular entre los empresarios como lo son las normas de aseguramiento de la calidad, la norma de responsabilidad Social empresarial y otras que han sido adoptadas de manera masiva en el mundo empresarial.
Hola Lito,
gracias por este buen resumen del mensaje de la norma acerca de la diferencia entre Gobierno y Gestión de TI, y el rol que deben cumplir las juntas directivas en el uso de TI en la empresa.
Al ser una norma basada en principios, lo más importante es incorporar estos principios al comportamiento humano – aspecto clave de la norma – y actuar de acuerdo a ellos en las dos dimensiones, la demanda de TI (el uso de TI por el negocio) como del lado de la oferta (los servicios que entrega TI).
A diferencia de muchos de los marcos de trabajo y/o normas que estamos acostumbrados a trabajar en TI que solo cubren los aspectos de la oferta de TI – con la excepción de Val IT que traduce en términos de negocio los beneficios de TI, los principios de ISO 38500 nos permitirán encontrar un lenguaje en común entre TI y el resto de la organización para poder difundir este mensaje y que se adopte en las juntas directivas como comentan Enrique y Carlos.
Para mí fue un placer que Mark haya podido difundir el mensaje en El Salvador.
Nuevamente gracias, saludos Carlos Francavilla