Gobernanza TI y el estándar ISO 38500

Martes, 02 de Marzo de 2010 19:40

El pasado día 24 de noviembre tuvo lugar en Madrid un seminario organizado por ItilView y patrocinado por AEMES y Atos Consulting junto con la colaboración de ALI, CIOnet, IEE, Gesein, Asimelec y Funcoas que se celebró en el hotel Puerta América de Madrid. Con la asistencia de una treintena de representantes de empresas, el seminario contó como orador invitado con Mark Toomey, consultor y fundador de la empresa Infonomics, como experto en el tema de la ISO 38500 de la cual es uno de los promotores.

Abrió la sesión don José Carillo, presidente de AEMES TI, para resaltar la correcta, e importante definición de la gobernanza de la TI. Como bien define el Diccionario de la Real Academia Española, en su vigésimo segunda edición online, la gobernanza es:

1. f. Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía.
2. f. ant. Acción y efecto de gobernar o gobernarse.

En palabras de José Carrillo, "la gobernanza no es un modelo de uso de la tecnología sino la forma de estudiar cómo debe ser usada la tecnología en la empresa". Y esto se entronca con la forma en que, junto con otras metodologías y procesos, se alinea el negocio con las TI para que sean gobernables y sostenibles. Una reflexión sobre cómo el consejo de administración de una empresa controla y dirige el uso de la tecnología, que es una de las bases de funcionamiento de cualquier empresa moderna.

En la primera parte de la sesión Mark Toomey ilustró diversos ejemplos de las consecuencias de una inadecuada ejecución de proyectos, afectando a empresas de todo tipo y sector de actividad. Fallos que se han traducido en importantes costes, tanto en dinero como en prestigio, pasando por una severa reducción de la cotización en bolsa de la empresa y llegando en algún caso incluso a la quiebra de las empresas afectadas. El motivo de estas graves consecuencias proviene de no haber creado una completa definición de cuál era el objetivo del proyecto y, también, cómo llevarlo a cabo.

Y no sólo se trata de una adecuada definición inicial, sino también de todo el camino a recorrer. En palabras de Toomey "los cambios no bien documentados producen fallos y retrasos en el proyecto". Y si antiguamente un problema tenía efectos sólo en un departamento o una empresa, la interconexión a todos los niveles de la actividad comercial hace que en nuestros días las consecuencias sean más importantes ya que "ahora se trata de un problema de gobernanza a nivel masivo". Un fallo en una actualización de un banco no sólo deja a los clientes sin capacidad para conocer su saldo sino que bloquea una enorme cantidad de operaciones, lo que repercute en un elevado número de empresas, así como a su vez, sus clientes y proveedores. Y todo ello sin olvidar el "factor humano", ya que como indicó Mark "los problemas que van mal en las TI están generalmente relacionados con el comportamiento humano".

La norma ISO 38500, de la cual Mark Toomey es considerado el padre y principal gurú, aborda el problema, buscando no sólo que las TI funcionen, sino que hagan su trabajo correctamente y al servicio de la organización. Para este experto, la gobernanza TI se define como "el sistema por el cual una organización dirige y controla el uso actual y futuro de su TI". Y con un enfoque para alinear, en un doble sentido, el negocio con las TI. La norma ISO 38500 hace foco en cuatro conceptos clave:

- Rigor
- Proceso
- Control
- Informe

Y, a su vez, toma como elementos fundamentales: Evaluar, Dirigir y Monitorizar. Por último, emplea seis principios para la buena gobernanza de las TI de la organización:

- Responsabilidad
- Estrategia
- Adquisición
- Cumplimiento (Performance)
- Conformidad
- Comportamiento humano

Estos métodos son aplicables tanto a microempresas, como a Pymes, corporaciones o a la administración pública. Toomey explicó cómo realizar una evaluación de cada uno de  estos elementos en las organizaciones, así como diversos consejos para ir mejorando los procesos que los analizan y controlan. Todo ello debe llevar a un cambio desde una cultura de derroche donde TI es criticada y constreñida, a otra cultura de valor y desempeño donde la TI es apreciada y adoptada. Al término de su intervención, una frase clave y tal vez asombrosa. "No se necesita alanzar la excelencia en el proceso. Sobre todo porque resulta muy caro lograrlo".

Y tras una mesa redonda donde el propio Toomey y otros expertos indicaron a su juicio cuáles son los factores clave para la implantación de la gobernanza de TI, cerró el acto José Carillo, presidente de AEMES, para agradecer al ponente su alocución, formativa, clara y amena, así como resaltar la necesaria interrelación responsable entre los encargados del negocio y los de TI.

Sobre Mark Toomey

Mark Toomey es un experto independiente y reconocido impulsor de los métodos para la gobernanza de la tecnología de la información. Lideró el comité australiano que desarrolló la norma AS8015, precursora del ISO/IEC 38500, y ha sido el director de proyecto encargado de preparar el texto definitivo para el estándar internacional. Con más de tres años de experiencia en aplicación práctica de la AS8015, Mark se ha convertido en un reclamado consultor por su experimentada guía en la aplicación del nuevo estándar. Mark ha impartido conferencias en Australia, Estados Unidos y Europa, incluyendo recientemente España.

Mark es también un prolífico contribuidor al desarrollo del conocimiento sobre gobernanza corporativa de las tecnologías de información. Ha publicado numerosos documentos y artículos en periódicos sobre gobernanza TI, impartido charlas en gran número de importantes conferencias con muy diversas audiencias, incluyendo directores de empresas, ejecutivos de banca, consultores y especialistas TI. Mark publicó la segunda edición de su libro, The Director's IT Compass, en 2006 y ha escrito una nueva y comprensible guía sobre ISO 38500, así como acaba de publicar su reciente libro (Agosto 2009, 1ª edición) Waltzing with the Elephant.

Mesa redonda

En la mesa redonda al final del seminario los diversos participantes desvelaron interesantes opiniones sobre el tema de la gobernanza TI y cómo implantarla en las organizaciones. Por orden de intervención, se resume las principales opiniones y propuestas realizadas, así como puntos notables de la alocución final del presidente de AEMES, José Carrillo:

Fernando Davara - ASIMELEC

Las tecnologías son, a veces parte del problema, pero también una pieza importante de la solución.

Hay que transferir el conocimiento a la sociedad, hablar el mismo lenguaje, aunque sea buscando un lenguaje común.

Los responsables de TI rara vez están en la cúpula de dirección a la hora de la planificación estratégica.

Desde los departamentos de informática debemos hablar de hardware y de software, pero también de personas y de gestión del conocimiento.

Se trata de un problema de lenguaje acerca de cómo convencer al CEO que el buen uso de la TI supone una reducción de coste. Al menos así es en cuanto a recursos humanos, pero así y todo hay que mejorar los procesos y ofrecer más información.

Mona Biegstraaten - CIOnet

Casi ningún CIO está involucrado en los proyectos de estratégicos de las empresas.

Sin ese apoyo no puede haber gobernanza, ya que el CIO debe ser, entre otras tareas, promotor de buenas prácticas.

Se necesita un buen plan de comunicación de las acciones realizadas por el departamento de TI, para involucrar y motivar a todas las partes implicadas, desde dirección a empleados.

Se necesita capacitación y formación. Por nombrar a una persona para el puesto de CIO no se asignan con el cargo los conocimientos necesarios y adecuados.

Hay que crear un modelo de toma de decisiones respecto a quién hace qué en la empresa, y sobre todo en las áreas de TI.

Para convencer al consejo de administración hay que hablar en un lenguaje común y comprensible.

Como bien indicó en su momento Charles Darwin, hay que saber adaptarse al cambio.

La gobernanza permite saber cómo influir en el desarrollo de la empresa, comprobar el valor que aporta, disminuir los riesgos, ser conforme con las normas, disminuir los costes y aumentar el servicio.

Fernando Hervada - Endesa

Desde mi atalaya veo que los CIOs raramente están involucrados en las iniciativas de gobierno y control.

Se necesita una relación conjunta en la empresa, buscar aliados en los directores de negocio, ya que lo importante es el negocio, no la TI.

Se necesita responsabilidad; monitorizar los procesos y dar información de calidad.

Desde la parte de negocio a veces se piensa que la TI le va a solucionar la vida.

Juan Pardo - Caja Madrid

En las empresas hay gobierno, porque la TI funciona, pero la gobernanza se aplica para lograr fines saludables.

Hay que mostrar al resto de la organización los beneficios que ocurren cuando se aplica la gobernanza.

En la industria de TI, raramente hay soluciones integradas y únicas. Lo cual complica las funciones del CIO y la gestión de los recursos que debe manejar.

Al final con las TI muchas veces se trata de problemas humanos, que no sabemos comunicar al consejo.

Manuel Monterrubio - ItilView (moderador)

Hay que cambiar la visión que se tiene de la informática, de las TI, en la empresa.

Se necesita una visión global a la hora de abordar soluciones para la empresa.

No se puede plantear ISO 38500 si no se ha tratado previamente con ISO 27000, ITIL, etc.

¿En qué empresas se puede implantar ISO 38500? ¿De qué tamaño? ¿En qué sectores?

Mark Toomey

Necesitamos hablar el mismo lenguaje que el resto de componentes de la empresa u organización y no usar el "tecnobabel", es decir, usar un lenguaje accesible y no tecnológico.

Al consejo de administración de una empresa le "asusta" que le hablen en un idioma que no entienden, y del cual sólo perciben el coste y no tan claramente el beneficio.

(En respuesta a Manuel Monterrubio) Las empresas de tamaño medio son las que mejor equilibrio tienen entre conocimiento y capacidades para aplicar conceptos de gobernanza.

(En respuesta a Manuel Monterrubio) No hay un sector específico de aplicación de los métodos de gobernanza, ya que son aplicables a un amplio conjunto de sectores.

Se necesita describir el comportamiento de la empresa así como establecer criterios, también por escrito, de manera que estén accesibles para todos los involucrados. No se trata de memorizar como para un examen, sino de contar con guías claras y disponibles en cualquier momento y por cualquier persona.

Usamos los sistemas de TI para almacenar información. Pero conocimiento implica una evaluación de los datos que requiere análisis humano. No hay que esperar que se extraiga fácilmente el conocimiento de la información sólo de una manera automatizada o genérica.

En las empresas está la gente que necesita conocer el negocio y que explota la tecnología como herramientas, y los que deben asegurar que los sistemas de TI funcionan de manera adecuada.

Se necesita integrar las TI dentro del Business plan. La tecnología debe rellenar los huecos, pero, salvo excepciones, no es el pilar del negocio.

Javier - UPN

¿Qué se necesita en las empresas y cómo enseñarlo desde la Universidad?

Las herramientas que venden las empresas de TI dan, en general, información, pero no conocimiento.

José Carrillo - AEMES

La crisis actuales un reflejo de la falta de reconocimiento del valor de la información y de su uso para tomar decisiones. Y para ello se necesita una buena información y también buen conocimiento.

España no es un país con criterios de gobernanza que se preocupe de gestionar los recursos de la empresa.

Para poner en marcha la gobernanza en una organización, lo primero sería ver la capacidad de las personas que contribuyen a la gestión y sus conocimientos.

El valor de las TI no está en qué comunican sino en cómo lo hacen.

En las empresas actuales hay mucho artesano.

En la Universidad se piensa que se siembra formación, y que el conocimiento llegará después.

¿Cuánto vale el capital de información de una empresa? ¿Cómo se refleja dicho valor en el balance?

No se valora las TI como un factor crítico y de supervivencia de la empresa. No se reconoce el valor de la información.

Muchas empresas no hubieran quebrado si hubieran sido capaces de emplear la información a su alcance.

Madrid 24 noviembre 2009