Gracias a la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones, CaSaTIC, recientemente tuvimos la oportunidad de escuchar y aprender, dirigidos por su propio autor, acerca de la norma ISO 38500, referida al Gobierno corporativo de Tecnologías de Información.
El australiano Mark Toomey, quien ha sido Jefe del comité responsable por los estándares de Gobierno y Gestión de TI de Australia, y es el representante principal de Australia en el comité internacional de ISO/IEC 38500, estuvo en El Salvador, siendo ésta su primera visita a Centroamérica. Su objetivo, auspiciado y apoyado por la gremial salvadoreña CaSaTIC, fue la presentación y difusión de la norma ISO 38500, así como las razones de la importancia de su implantación en las empresas que buscan posicionar a la Tecnología de Información como un elemento transversal clave en su desempeño.
Las ideas contenidas de manera formal en la norma, han sido desarrolladas también por Toomey en su libro “Bailando con el elefante” (“Waltzing with the Elephant”). El autor dice que “la tecnología de información (TI) es el el Elefante en el salón, especialmente el salón de la Junta Directiva. Las organizaciones dependen de la TI para sus operaciones rutinarias y el desempeño futuro, y los problemas originados en TI tienen consecuencias serias. A pesar de esto, muchas organizaciones no ejercen una supervisión efectiva de la TI, y se arriesgan a recibir sorpresas”.
La informática es demasiado clave para estar en manos de informáticos
Puede parecer una parodia, un chiste o una frase irónica, pero coincide con el mensaje fundamental de la norma ISO 38500: las juntas directivas o las altas direcciones deben asumir el gobierno de la estrategia, la implantación y la supervisión del papel de las TI en la ejecución actual y el desempeño futuro del negocio fundamental (“core business”) de la empresa.
Los expertos en tecnología informática pueden y deben administrar el día a día, así como asesorar a sus directivos acerca de las potencialidades y el costo beneficio de las tecnologías emergentes, pero dadas las condiciones actuales de competencia y diferenciación en el mundo, los miembros de la dirección superior deben ejercer el gobierno TI.
La analogía es fácil de comprender: en las sesiones de casi cualquier junta directiva, un punto que no falta es la revisión de los estados financieros, balance, estado de resultados, y presupuesto, entre otros, pues es la alta dirección la que considera una de sus funciones la supervisión del comportamiento de las finanzas en la empresa. Esto no significa que el gerente financiero no puede actuar por su propia iniciativa, o que el equipo de personas que registra, analiza y reporta los movimientos contables debe esperar instrucciones puntuales de la directiva.
Por el contrario, en muchas situaciones, basados en que “de tecnología no entendemos mucho”, los altos directivos delegan en exceso y no se molestan en ejercer su parte de la dirección estratégica en TI en la empresa. Por otro lado, la buena cantidad de normas y estándares que existen en el área de la Tecnología de Información (ITIL, CMMI, CoBIT, etc.) no se dirigen al factor clave: el comportamiento humano. Esos son los argumentos y la base fundamental para la creación e impulso a esta norma.
En esta figura, desarrollada por Mark Toomey, se resumen las funciones del gobierno corporativo (dirigir, evaluar y supervisar), y su relación con las tareas y la responsabilidad de la administración de TI: planear, construir y operar. Aparece evidente que no es lo mismo gobernar la función TI en la empresa, responsabilidad ineludible de la alta dirección y la junta directiva, que administrar la TI, a cargo de los gerentes de informática y sus equipos de apoyo.
Los siete mensajes clave y los seis principios
Afortunadamente, la norma también entra en mayor detalle, con la finalidad de apoyar la clarificación de las acciones y actitudes que se pueden desarrollar para lograr este balance entre un buen gobierno TI y una buena administración TI.
A partir de estas reflexiones y de la experiencia en numerosas empresas, se pueden generar siete mensajes clave:
- Los directores deben gobernar el uso de TI
- Gobierno y administración son conceptos separados
- La norma es aplicable a cualquier organización
- Las personas que más deben utilizar las normas son los gerentes
- El buen gobierno de TI es un atributo deseable para todos los actores interesados
- El comportamiento humano es clave
- La implementación es responsabilidad de cada organización
La norma, en vez de indicar explícitamente cómo deben realizarse las actividades dentro de la empresa que logren desarrollar un buen gobierno TI, y que garanticen el cumplimiento de los siete mensajes clave, establece seis principios básicos, que definen un comportamiento preferido para orientar el proceso de toma de decisiones. Así mismo, definen lo que debe suceder, pero no cómo, cuándo o realizado por quién. Eso es lo que cada empresa debe concretar.
Los seis principios en los que se basa la norma ISO 38500 son:
Responsabilidad
Los individuos y los grupos dentro de la organización entienden y aceptan sus responsabilidades en cuanto a la oferta y demanda de uso de TI. Los que tienen la responsabilidad de acciones concretas también tienen la autoridad para realizar esas acciones.
Estrategia
La estrategia de negocios de la empresa toma en consideración las capacidades actuales y futuras de la TI; los planes estratégicos de TI satisfacen las necesidades presentes y las que van surgiendo de la estrategia de negocios de la organización.
Adquisición
Las adquisiciones para TI son hechas por razones válidas, basadas en un análisis apropiado y dinámico, con procesos de toma de decisiones claros y transparentes. Hay un equilibrio apropiado entre beneficios, oportunidades, costos y riesgos, tanto en el corto como en el largo plazo.
Desempeño
La TI responde al propósito de apoyar a la organización, proveyendo los servicios, los niveles del servicio y la calidad de los servicios requeridos para cumplir los requerimientos presentes y futuros de la organización.
Cumplimiento
La TI cumple con todas las normas, reglamentos y legislaciones aplicables. Las políticas y las prácticas están claramente definidas, implementadas y supervisadas.
Comportamiento humano
Las políticas, prácticas y decisiones en torno a la TI muestran respeto por el comportamiento humano, incluyendo todas las necesidades presentes y previsibles de las personas en el proceso.