Un largo camino
Considerando los pasos que hemos recorrido en la última década y media en la materia que da título a esta monografía, "Gobierno Corporativo de las Tecnologías de la Información", sería fácil comenzar diciendo aquello de "este trabajo es la culminación de un largo camino ...". ¡Sería fácil y, desde luego, sería cierto!
Sin embargo, preferimos verlo con otra pers- pectiva y pensar que el lanzamiento de este especial de Novática, con la cortesía y complicidad de la Asociación de Técnicos de Informática (ATI), no supone para nosotros más que un nuevo hito en un viaje, iniciado hace dos años. ¡Permítanos explicárselo con detalle!
Para empezar, remóntese tres lustros atrás y ubíquese en el año 2000. Superados los miedos al "efecto 2000", no sabemos qué le ocuparía en aquel verano; pero, con toda probabilidad, no sería el gobierno de las TI (¡todo lo más, su gestión!; aunque discutir ese importante matiz se aparta, por el momento, de nuestro interés). Lo afirmamos con esa rotundidad porque somos conscientes de que eran tiempos muy pioneros para la gobernanza tecnológica, con escasísimas oportunidades de encontrar foro alguno en el que dicha materia se tratase. (Naturalmente respetamos -no sin suspicacia- que Ud. siga insistiendo en que lleva dedicado a esto "toda la vida").
En todo caso, las referencias eran escasas. Sambamurthy y Zmud habían publicado su artículo "Arrangements for information technology governance: a theory of multiple contingencies"[i] sólo un año antes. Y la entonces Information Systems Audit and Control Association -ahora, ISACA[ii]- llevaba apenas dos años congratulándose por la creación de su IT Governance Institute (ITGI)[iii]; el mismo que hoy pretende desmantelar o reformar.
Fue precisamente ISACA quien marcaría nuestro primer contacto con el término "IT Governance" al adoptarlo como parte de su "nuevo" discurso -obviamos, naturalmente, que por entonces llevaba años practicando ese mismo discurso, bajo la denominación "IT Control"-. Y lo hizo, en nuestro caso, a través de la versión 2 de su modelo de buenas prácticas CobiT[iv], publicada en 1998. La versión 3 aparecería aquel mismo verano de 2000.
Al principio, no resultó nada trivial encontrarle una interpretación fácil de digerir al nuevo término, "governance". Las primeras lecturas del modelo no ayudaron en exceso; pero no mucho después terminaríamos advirtiendo que CobiT, en aquel momento, no era más que un referente para la gestión, no para el gobierno, de las TI. Un marco orientado a ayudar al CIO[v] a gestionar el departamento de TI (y a los auditores a supervisarlo).
No obstante, a partir de aquel momento, respetaríamos siempre nuestro compromiso con COBIT. (Honestamente, nos reconocemos, sin rubor, entre los más activos impulsores de la difusión de, y la formación en, el modelo COBIT, en España, en la última década; aunque esa es otra historia...).
En 2004 la publicación del libro "IT governance. How top performers manage IT decision rights for superior results"[vi], firmado por los profesores Peter Weill y Jeanne W. Ross, del MIT, tampoco aportó una definición amigable del término. El concepto quedaba claro, y lo hacía desde la nitidez que ofrecía el enfoque de los autores de plasmar el "gobierno de las TI en una página"[vii], una matriz en la que quedaban recogidas las responsabilidades sobre las decisiones en materia tecnológica dentro de la empresa. La definición, no obstante, seguía resultando farragosa: "La especificación de un marco de imputabilidades y derechos de decisión que fomente un comportamiento deseable en el uso de las TI"[viii].
Haría falta esperar sólo unos meses más, hasta la primavera de 2005, para que, finalmente, Craig Symons, entonces analista para la firma Forrester Research, nos aportase la luz que esperábamos al definir el gobierno de TI como "el proceso mediante el cual se toman las decisiones relativas a las inversiones en TI"[ix]. Una definición clara del concepto -así lo han reconocido siempre nuestros alumnos y audiencias-, que, desde entonces, nos ha acompañado, y de la que constantemente hemos lamentado no haber sido autores.
Al otro lado del globo, sin embargo, las cosas parecían estar más claras. De hecho, parecía que llevaban claras bastante tiempo. Mientras los enfoques americanos, desde la época de Sambamurthy y Zmud, adolecían de un marcado sesgo CIO-céntrico -muy acusado en los casos de ISACA/ITGI, con la excepción de su "Board briefing on IT govenance"[x] de 2001, o de Forrester Research y algo más tenue en la propuesta de MITSloan/CISR-, en Australia la experiencia de algunos notables fiascos empresariales, con origen en una mala aplicación o control de las TI, había hecho saltar las alarmas a principios de la década del 2000, advirtiendo sobre la responsabilidad, en relación a la rendición de cuentas en materia de TI, que tenían los máximos órganos de gobierno de las entidades afectadas.
En enero de 2005, el organismo normalizador australiano publicaba la norma "AS 8015: 2005. Corporate governance of information and communication technology"[xi], la cual ponía el acento, certeramente, en el papel de los consejeros-administradores en la toma de decisiones tecnológicas clave. Poco tiempo después recogería el testigo la comunidad internacional, elevando a categoría de norma ISO el texto australiano, bajo la nueva codificación "ISO/IEC 38500:2008. Corporate governance of information technology"[xii].
Mientras observábamos los pasos que se daban en el panorama internacional, continuamos nuestra labor divulgativa. De ese modo, un 7 de febrero de 2007 aparecería "Gobernanza de TI"[xiii], la "Bitácora sobre el Buen Gobierno Corporativo de la Información y sus Tecnologías Afines"; hoy decana, en el mundo hispanohablante, entre las dedicadas a tratar estrictamente esta disciplina. ¡Aún pueden visitarla! Todavía alberga interesantes mensajes; si bien, hace ya tiempo que dejamos de prestarle la atención que merecía. De lo escrito en ella -información, formación y opinión, dijimos entonces- permítanos rescatar, al menos, dos piezas.
En primer lugar, por orden cronológico, la crónica de la cena anual del Instituto de Consejeros-Administradores de 2009 [xiv], en la que tuvimos oportunidad de presenciar el alejamiento de los consejeros españoles de los temas tecnológicos. Y, en segundo término, la entrevista a Mark Toomey [xv], uno de los padres -sí, tuvo varios- de la AS8015 y primer editor del proyecto ISO38500, a quien tuvimos ocasión de acompañar extensamente en sus dos visitas a España (la de noviembre de 2009 y la de septiembre de 2011).
La primera visita de Toomey a España sirvió para la presentación de su flamante libro "Waltzing with the Elephant"[xvi], en cuya posterior traducción al español [xvii], realizada por nuestro buen amigo Juan Pardo Martínez, tuvimos cierta participación. El libro se centraba en, y ampliaba y explicaba los dictados de la norma ISO38500, a la cual ya llevábamos prestando atención desde antes de su nacimiento.
Habíamos tenido la oportunidad de presentar la norma en España [xviii], en mayo de 2008, a escasas dos semanas de su publicación por ISO, en el Congreso Académico de itSMF España de aquel año; y, con motivo de su primer aniversario, en junio de 2009, también la habíamos homenajeado oportunamente, editando, para la firma Atos Consulting, un monográfico [xix] específico.
De aquella misma época fue el especial "Gobierno de las TIC" [xx], publicado en el número 191 de Novática, correspondiente a los meses de enero y febrero de 2008. Naturalmente, ese es el verdadero antecedente de la presente monografía y, por tanto, el reto a emular.
En esa ocasión, nuestra aportación, realizada en compañía de otro buen amigo, Ricardo Bría -antiguo Vicepresidente Internacional de ISACA y del IT Governance Institute-, se materializó en un artículo que trataba de ofrecer una aproximación práctica a la puesta en marcha de un sistema de gobierno corporativo de las TI [xxi], basado en marcos de referencia de buenas prácticas.
Uno de los marcos señalados en el artículo era Val IT, el verdadero primer marco de gobierno corporativo de TI de ISACA. Cierto, no fue COBIT, sino Val IT el primero que contempló el papel del consejo de administración en la toma de decisiones sobre las inversiones en actividades de la organización que estaban apoyadas en las TI. ¡Recuerde la definición de Symons! Aquel artículo sirvió, además, para acuñar el término "ad@ptarTM"[xxii], fusión de "adoptar" y "adaptar", en clara alusión al modo en que tales marcos de referencia habían de ser aprovechados.
Pero continuemos con más hechos relevantes. El primero de ellos, que creemos el más significativo de cuantos hemos venido relatando, volvía a tener como escenario un país anglosajón del hemisferio austral: Sudáfrica. El 1 de septiembre de 2009, el Institute of Directors in Southern Africa (IoDSA) revolucionaba el panorama internacional del gobierno corporativo, con la publicación de la tercera edición del código "King"[xxiii].
La Comisión King ya había sido pionera en 2002, al incorporar en la correspondiente edición un asunto inédito en los códigos de gobierno corporativo: la sostenibilidad. Ahora había llegado el momento del gobierno corporativo de las TI. A ello dedicaba el "Código King III" un capítulo entero, en el que detallaba las responsabilidades de los miembros de los consejos de administración en materia tecnológica, para las empresas cotizadas en la Bolsa de Valores de Johannesburgo. ¡Todo un ejemplo, que en los cinco años transcurridos podría haber sido emulado por otros reguladores! En España, por ejemplo, hemos asistido, recientemente, al proceso de actualización de nuestro "Código Unificado"[xxiv], en el que tal oportunidad se ha dejado pasar, como hemos venido denunciando, desde estas mismas páginas, en los últimos meses [xxv].
El otro hecho de cierto relieve ocurrido en estos últimos años ha sido el reconocimiento -si no explícito, al menos, sí por la vía de los hechos- por parte de ISACA, de que su modelo CobiT, que durante años había pasado por ser el referente en la puesta en marcha de sistemas de gobierno corporativo de TI, no merecía tal consideración. CobiT -con minúsculas, así se escribía hasta la versión 5- no era un marco de gobierno, sino un marco de gestión; una colección de buenas prácticas para facilitarle la vida al CIO dentro de su departamento de TI.
La sorpresa venía dada por el hecho de que COBIT -con mayúsculas-, en su versión 5, sí lo iba a ser. La nueva edición del modelo ofrecería una imagen más amplia de las implicaciones de las TI dentro de la empresa, unificando los mensajes subyacentes a su versión anterior, así como los recogidos en sus marcos hermanos Val IT y Risk IT, que sí ponían en escena a los consejos de administración, como ya habíamos adelantado más arriba.
Con ello y con la incorporación de un modelo de gobierno heredado -pese a no reconocerlo explícitamente- de la norma ISO38500, COBIT alcanzaba -podemos decirlo así- la mayoría de edad desde el punto de vista del gobierno corporativo de las tecnologías de la información. Hemos de indicar que, nuevamente, estuvimos en esa puesta de largo del flamante modelo: el 10 de abril de 2012, coincidiendo con el lanzamiento mundial de COBIT 5, tuvimos el honor de organizar, amparados por nuestros amigos de ISACA en Madrid, una sesión formativa sobre el nuevo modelo. Y volveríamos a estar presentes en el lanzamiento de la edición en español, un año después.
Suponemos que este bagaje -y algún otro- ofreció la suficiente confianza y estuvo en la raíz del encargo recibido hace unos meses, por parte de ATI, para la elaboración de la monografía que aquí presentamos. Sin embargo, nuestra relación con la Asociación había comenzado mucho antes. En el caso de alguno de nosotros, en 1975, el mismo año en que apareció, oficialmente, la veterana Novática. Ha sido precisamente con ésta, con la que hemos mantenido una relación más estrecha. Diversos artículos de variada temática, publicados a lo largo de estas décadas, así lo atestiguan.
Pero, sin duda, la prueba más fiable de lo bien que ha rodado dicha relación la cons- tituye la serie "Auditoría SITIC (Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones)" -columna de aparición perió- dica dentro de la sección "Referencias Autorizadas" de la revista- a la que, junto a nuestra amiga Marina Touriño, hemos dedicado, como mínimo, los últimos veinte años. Hoy, sin embargo -y esto viene más a cuento-, nuestros esfuerzos se centran en una nueva serie, iniciada en 2013, bajo el título "Gobierno Corporativo de las TI". ¡Seguro que, a estas alturas, nuestro cambio de libretto ya no le sorprende!
No habría de sorprenderle si, aparte de lo leído hasta este punto, le decimos que nuestras actividades conjuntas -con ATI- en materia de gobernanza de las TI habían comenzado unos años antes, cuando, con su patrocinio, comenzamos a impartir -actualmente en modalidad a distancia [xxvi]- los que han sido primeros cursos ofrecidos en España para la preparación de candidatos a las pruebas de certificación CGEIT, Certified in the Governance of Enterprise IT. Este mismo hecho nos llevaría a participar en el "I Foro Profesional TIC" organizado por ATI con motivo de la celebración del Congreso SIMO 2012 [xxvii].
Como le decíamos, este bagaje -y algún otro- ha servido de excusa para que nos decidiéramos, hace ahora dos años, a fraguar una iniciativa como ha sido la creación de un centro de análisis -"think tanks" los llaman ahora- ocupado en el estudio y la promoción de la disciplina del Gobierno Corporativo de las Tecnologías de la Información. Un centro desde el que tratamos de poner de relieve el papel de los individuos que se encuentran al frente de las organizaciones -consejeros/ administradores, principalmente, y otros directivos-, respecto de las decisiones que se toman en torno al uso que se hace de las TI. Y un centro que, al mismo tiempo, trata de ayudar y animar a los directivos informáticos a ganar en visibilidad y a convertirse en impulsores del negocio capaces de acelerar su crecimiento, mediante una óptima contribución de la tecnología.
Ese centro es iTTi, el Instituto de Tendencias en Tecnología e Innovación [xxviii], pionero en su género en el mundo hispanohablante, y que surge en un momento en el que los más veteranos institutos para el gobierno de las TI viven desiguales circunstancias. Así, el IT Governance Institute [xxix] de Chicago, como señalábamos antes, se encuentra en pleno proceso de reconversión hacia una fundación con fines educativos. Al Institut de la Gouvernance des Systèmes d’Information [xxx] francés no se le ha conocido actividad, al menos, aparentemente, desde hace cuatro años. Y, finalmente, el ITGI Japan [xxxi] parece gozar de buena salud y encontrarse en plena actividad. Con él ha alcanzado, muy recientemente, iTTi un -confiemos- fructífero acuerdo de colaboración.
Visión multidimensional del gobierno corporativo de las tecnologías de la información
Ahora que iTTi y sus antecedentes le han sido presentados formalmente, advertirá Ud. la firme postura que defiende el "think tank" español a la hora de interpretar el término "gobierno" aplicado a las TI. Dicha postura, recogida en su reciente publicación "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" [xxxii] no es otra que la que subyace a esta frase del Prof. G. Vaughn Johnson: "Information systems are too important to leave them to computer professionals alone" (Los sistemas de información son demasiado importantes como para dejarlos sólo en manos de los informáticos)[xxxiii], acuñada en 1990.
Sin ánimo de caer en ningún extremo, pero conscientes y convencidos de la verdad que encierra la frase del Prof. Johnson, hemos de reconocer que la dirección y el control -esto es, el gobierno- de las TI constituye un territorio fronterizo, por el que deambularán diferentes actores. De forma destacada, podría pensarse en los consejeros-administradores, en los ejecutivos y, entre éstos, el CIO (en sus diferentes formas y representaciones actuales); así como en el resto de posibles interesados: en particular, los auditores.
Ello hace pensar que las actividades requeridas dentro de un sistema de gobierno corporativo de las TI serán, igualmente, abundantes en número y variedad. Por citar sólo algunas, cabría mencionar actividades como el establecimiento de directrices, la toma de decisiones, la evaluación de estrategias, el conocimiento y seguimiento de tendencias, la asunción de imputabilidades, la asignación de responsabilidades, la optimización de los desafíos (oportunidades y retos) y sus consecuencias, las evaluaciones de rendimiento, el "moldeado" de las conductas, propias y ajenas, la comunicación, etc. A nuestro juicio, todas estas -y otras- actividades son susceptibles de ser clasificadas y agrupadas en lo que podríamos denominar "dimensiones" del sistema de gobernanza tecnológica. Cabría, por tanto, pensar en una estructura de dimensiones (actividades) que, partiendo de una dimensión básica, transversal -la dimensión "0"-, permita engranar el resto de dimensiones del sistema de gobierno corporativo.
Dimensión 0: Digitalización (necesidad de un buen gobierno de las TI en plena era digital)
Esta dimensión primigenia acoge actividades como la toma de conciencia, por parte de quienes estén al frente de la organización, de la necesidad de establecer el propio sistema de gobierno. Empleando un lenguaje de hoy, en nuestro contexto esta dimensión de base podría denominarse la dimensión de la "Digitalización", y marca la necesidad de dotarse de un buen gobierno corporativo de las TI y, como consecuencia, de las competencias pertinentes, por parte de quienes han de rendir cuentas sobre la marcha del referido sistema, en las organizaciones de la era digital.
Dimensión 1: Rendición de cuentas sobre "lo digital" (creación de estructuras organizativas y perfiles, y adopción de marcos de referencia para gobernar el uso de las TI)
El conjunto de actividades derivadas de la toma de conciencia inicial sobre la necesidad del sistema de gobierno es aquél en el que los individuos al frente de la organización fijan las responsabilidades -suyas y ajenas- y asignan la autoridad que permita ejercer, con garantía, las anteriores responsabilidades. Adicionalmente, son propias de esta dimensión las actividades encaminadas a definir las estructuras organizativas de apoyo al sistema de gobierno y los perfiles de quienes las constituyan; y, finalmente, a ad@ptarTM marcos de referencia que faciliten y agilicen la puesta en marcha del referido sistema en el seno de la organización.
Dimensión 2: Estrategia digital (alineamiento-sincronización TI- Resto_del_Negocio / Resto_ del_ Negocio-TI)
Las actividades de orientación (fijación de una dirección a seguir), de planificación estratégica, de evaluación de la estrategia, de aprobación (en su caso) de dicha estrategia, de acercamiento entre las áreas de TI y el "Resto_del_Negocio" (y viceversa), etc., constituyen algunos de los pasos a dar en la construcción de una estrategia digital, como reza el nombre de esta nueva dimensión del sistema de gobierno corporativo de las TI.
Dimensión 3: Perturbación digital (contribución de las TI a la innovación del negocio y a la generación de valor)
El conocimiento de las tendencias tecnológicas y su grado de adopción, el conocimiento del nivel de digitalización de la competencia, la identificación de nuevas propuestas de inversión en actividades soportadas por "lo digital", su evaluación y priorización, la propia innovación, interna y externa, son todas ellas actividades que dan sentido a esta dimensión número 3. Esta dimensión recoge, además, el aspecto estratégico y positivo de los desafíos: las oportunidades a considerar. E incluye el riesgo de omisión de oportunida- des, por mala información y/o decisión.
Dimensión 4: Consecuencias digitales (gobierno corporativo del riesgo tecnológico)
Nos referimos aquí a las malas consecuencias derivadas del uso de las TI, tanto las de naturaleza estrictamente operativa (aquellas relacionadas con la protección de la información), como las derivadas de riesgos en proyectos de base tecnológica, de fusiones o adquisiciones, de desinversiones, etc., que afecten, o se vean afectadas, por los sistemas de información. Las acciones encaminadas a evitar esas consecuencias adversas o, en su defecto, a mitigar sus efectos quedarán amparadas bajo esta dimensión. Esta dimensión recoge el aspecto negativo de los desafíos: los riesgos tácticos y operativos a tratar. (Los riesgos estratégicos los hemos ubicado en la Dimensión 3).
Dimensión 5: Gestión de "lo digital" (optimización de los recursos de TI)
Los nuevos paradigmas y modelos de aprovisionamiento, explotación y operación de los sistemas de información, así como, indudablemente, los más tradicionales (incluidos los de desarrollo informático, dirección de proyectos o garantía de calidad) conforman el terreno de juego natural de la Función de TI. El líder tecnológico juega, en esta dimensión, en campo amigo. ¡De hecho, esto no es gobierno corporativo, esto es gestión de las TI!
Dimensión 6: Vivencia digital (medida, valoración y evaluación del rendimiento de la organización digitalizada)
La supervisión -incluida la auditoría-, la medición, la valoración, la evaluación, la información, la rendición de cuentas, etc., son actividades fundamentales para el sistema de gobierno corporativo de las TI. Es el espacio propio de las métricas, medidas e indicadores; de los cuadros de mando; de la información por excepción y los procedimientos de escalado; de la medición del rendimiento de la organización digitalizada.
Dimensión 7: Comportamiento digital (el factor humano en el proceso de digitalización, la gestión del cambio cultural y la comunicación)
Los resultados medidos, las anomalías, debilidades y oportunidades de mejora detectadas en los procesos de evaluación -dimensión 6- han de comunicarse. Asimismo, las nuevas formas de hacer, impuestas por la puesta en marcha del propio sistema de gobierno corporativo de las TI, han de integrarse en la cultura corporativa, han de institucionalizarse. Las conductas han de contribuir del mejor modo a la consecución de un buen gobierno en el ámbito digital.
Esta aproximación multidimensional -o, dicho de otro modo, el intento de cubrir las diferentes dimensiones identificadas en este enfoque- es la que ha dado forma a la presente monografía. ¡Veámoslo!
Estructura y contenido de la monografía
La estructura, contenido y, muy especialmente, calidad de la monografía que tiene delante, jamás habrían sido los mismos sin la participación de quienes, en respuesta a nuestra invitación, aceptaron conformar la nómina de autores. Aquella invitación iba acompañada de una breve referencia al enfoque multidimensional presentado anteriormente. Con ello se pretendía ayudar a los participantes a comprender lo que buscábamos y a acercarlo, de la manera más eficaz, a sus respectivos campos de especialización. De ese modo, quienes recogieron el testigo de nuestro reto han tratado de cubrir, siquiera, alguno de los aspectos señalados en cada una de las dimensiones presentadas.
Así ocurre con el primero de tales artículos, "Gobierno empresarial de las tecnologías de aplicación a los negocios: una perspectiva detallada de tres aptitudes relativas a la gobernanza tecnológica para los consejos de administración". Sus autores, la neozelandesa Elizabeth Valentine y el Prof. Glenn Stewart, de la Queensland University of Technology (Australia), realizan una propuesta de nuevas competencias sobre las tecnologías empresariales y su gobierno, de las que todo consejo de administración - mejor, aún, todo consejero- debería dotarse para afrontar, con garantía, la era digital. Valentine y Stewart cubren, con ello, la dimensión "0" de nuestra vista multidimensional relativa a "la necesidad de un buen gobierno de las TI" y de la toma de conciencia sobre el mismo, en plena era de la "Digitalización".
Los siguientes tres artículos se enmarcan en la dimensión 1, por cuanto nos hablan de diferentes marcos de referencia para la puesta en marcha de sistemas de gobierno de las TI y su contribución a la responsabilidad sobre la rendición de cuentas e imputabilidad en el ámbito corporativo. Así, el australiano Mark Toomey, de la firma Infonomics, en su "Transformación Digital: Una oportunidad perfecta para el buen gobierno de las tecnologías de la información", lanza una sugerente propuesta de modernización y puesta al día del modelo y los principios generales recogidos en la, todavía vigente, edición 2008 de la norma internacional ISO/IEC 38500. El Prof. Carlos Juiz, de la Universitat de les Illes Balears (España), en "La rendición de cuen- tas en las entidades públicas a través del gobierno de las tecnologías de la información" aprovecha, también, el hilo de la norma ISO mostrando un ejemplo real de aplicación -adopción y adaptación- de la misma en su propia universidad y presentándolo, además, como ejemplo de cómo un marco de gobernanza de las TI da cobertura a los objetivos de buen gobierno en el ámbito público propuestos recientemente por entidades como IFAC [xxxiv] y CIPFA [xxxv]. Finalmente, cerrando este grupo, el texto "Comprensión de los principios básicos del marco de gobierno empresarial de las TI, COBIT 5", de los Profes. Steven de Haes y Wim van Grembergen, de la Antwerp Management School (Bélgica) y del Prof. Roger Debreceny, de la University of Hawaii at Manoa (EEUU), hace un recorrido por el marco de referencia para el gobierno y la gestión de las tecnologías de la información COBIT, analizando el origen de los cinco principios clave por los que aquél se rige.
Continuando con nuestro repaso a los contenidos de la monografía, el artículo "Directores de informática y directivos de negocio. Otra ‘brecha digital’", del Prof. José Ramón Rodríguez, de la Universitat Oberta de Catalunya (España), cubre a la perfección la dimensión 2 de nuestro enfoque, al exponer las problemáticas relaciones que, con frecuencia, se observan entre las áreas de TI y las restantes-áreas-del-negocio, constituyendo un freno al alineamiento, sincronización y convergencia entre ellas.
La dimensión 3, relativa a la perturbación digital y su contribución a la generación de valor, aparece, de nuevo, generosamente representada por un total de cuatro artículos. El primero de ellos, "Gobierno y liderazgo de las TI en la economía digital" del veterano consultor canadiense John Thorp, fundador de The Thorp Network. Thorp recupera sus ideas sobre la materialización del beneficio de las inversiones en actividades del negocio sustentado en las TI y, como ya hiciera Toomey, las acerca al contexto actual de la transformación digital de las organizaciones. Sobre la base de estos principios, el español Julio Saiz, de Adecco (Suiza), y fiel seguidor de las tesis de Thorp, construye su particular enfoque, que queda recogido en "Gestión de carteras en toda su extensión. De la concepción de la idea a la materialización de los beneficios". Por el lado de la innovación y lo perturbador nuestro buen amigo Eduardo Rodríguez Ringach, en "Cuatro ejemplos de perturbación digital", realiza un repaso a los cuatro perturbadores digitales del momento: lo social, lo móvil, la analítica de datos a lo grande y la nube. Finalmente, Fran Chuan, de la firma Dícere (España) plantea un interesante debate sobre la contradicción que se produce al demandar innovación a unos departamentos de TI que mantienen, en muchos casos, una rigidez ancestral, en sus estructuras, procesos, etc. Sus reflexiones compartidas dan forma al artículo "Tecnología, liderazgo y valores. Innovación síncrona o asíncrona".
Dos autores más, el Prof. George Westerman, del Center for Digital Business del MIT (EEUU) y nuestro colega, el español Carlos Bachmaier Johanning, se encargan de cubrir el espacio correspondiente a la dimensión 4 sobre las consecuencias de "lo digital". Westerman, en "Cómo abordar el diálogo sobre el riesgo en las TI" retoma su discurso de las "4 A’s" [xxxvi], plasmado en su obra "IT Risk: Turning Business Threats into Competitive Advantage"[xxxvii], recordándonos, en una breve, pero interesante pieza, que los riesgos vinculados a la aplicación y uso de las TI van más allá de los retos que pueda plantear la seguridad de la información, a pesar de lo que más de uno pueda creer y predicar. Bachmaier, paralelamente, repasa los prin- cipales modelos y normas de referencia en materia de gestión riesgos [de TI], introduciendo un nuevo término -"desafío"- en su "Gobernanza de desafíos (la mayoría los llama riesgos)" para referirse a los citados riesgos y oportunidades.
Los profesores del IESE de la Universidad de Navarra, Sandra Sieber (EEUU) y Josep Valor (España) contribuyen a la dimensión 5 sobre la gestión de "lo digital" con su "Hacia un nuevo perfil de CIO en un mundo cada vez más digitalizado", en el que ponen de relieve las implicaciones para las organizaciones -y para sus CIOs- de los nuevos paradigmas y modelos de aprovisionamiento, explotación y operación de los sistemas de información.
La dimensión 6 de nuestro enfoque multidimensional queda representada con una nueva aportación de Julio Saiz, quien, con su artículo "La importancia de las cosas sencillas" nos ofrece una serie de recomendaciones que permitirán abordar, con sencillez, las tareas de medición del rendimiento y presentación de información, dentro de la organización, en el escenario digital.
Por último, este especial llega a su fin con sendos artículos de los españoles Domingo Gaitero, fundador de ProcesoSocial, y nuestro Manolo Palao, de iTTi, quienes, a través de "El factor humano en las tecnologías de la información" y "Cambio organizativo, cambio de comportamiento o cambio cultural", respectivamente, nos recuerdan el papel clave del componente "personas" en toda iniciativa que conduzca a la transformación digital de la organización. Queda, por tanto, de este modo, oportunamente representada la última dimensión, la 7, de las propuestas más arriba.
Agradecimientos
Llegados a este punto, no podemos dejar de reconocer lo afortunados que nos hemos sentido en nuestro papel como editores de esta monografía.
Por ello, hemos de dirigir, en primer lugar, nuestro agradecimiento a la Asociación de Técnicos de Informática, a su Junta Directiva y a quienes están al frente de su revista corporativa, verdaderos valedores de nuestra fortuna. Muy particularmente agradecemos al director de Novática, nuestro amigo Llorenç Pagés, la confianza que hace meses depositó en nosotros para abordar este trabajo y la paciencia y comprensión de que ha hecho gala en todo este tiempo, incluso en los momentos en los que la presión del calendario se hacía más acuciante.
Agradecemos, como ya hemos dicho, la amable respuesta que obtuvimos a nuestra invitación, realizada meses atrás, por parte de los verdaderos artífices del texto que tiene hoy en sus manos: sus autores. En todo momento Elizabeth, Glenn, Mark, Carlos, Steven, Roger, Wim, José Ramón, John, Julio, Eduar- do, Fran, George, Carlos, Sandra, Josep y Domingo han derrochado su esfuerzo, conocimiento y agudo análisis con el ánimo único de ofrecerle un producto de calidad, actual y que recoge las principales corrientes de pensamiento, del panorama internacional, sobre el Gobierno Corporativo de las Tecnologías de la Información y otras disciplinas afines. A todos ellos nuestra gratitud y reconocimiento.
Queremos dedicar un cariñoso agradecimiento, también, a quienes, aún no habiendo participado finalmente en el monográfico - problemas personales y de agenda, en unos u otros casos, lo impidieron-, sí quisieron aplaudir la iniciativa, en aquellos primeros momentos, y animarnos a concretarla. Nos referimos a nuestro apreciado amigo, Juan Luís Rodríguez Sánchez del Álamo, entonces Presidente del Capítulo de España de la EOA, y a los profesores del Center for Information Systems Research del MIT, Peter Weill y Jeanne W. Ross.
Hemos podido percibir ese mismo entusiasmo -el nuestro y el de quienes nos han animado a abordar la iniciativa- en el seno de La Comunidad iTTi, el apéndice de iTTi concebido como foro de intercambio de experiencias, reflexiones y conocimiento, constituido, a día de hoy, por un centenar de directivos ocupados y preocupados por la contribución de las TI al progreso de sus organizaciones. A todos ellos, gracias; pero de manera muy especial a quienes se prestaron a tomar, inicialmente, la temperatura de los primeros borradores disponibles y a hacer de revisores de los mismos: Pedro Cano Desandes, de Sanitas; Erik de Pablo Martínez, de Repsol; Juanjo Martí Manzano, de la UOC; Óscar López Benito, de DKV Seguros; Ignacio García del Valle, de Praxair; Rafael Vargas Traid, de Tecnatom; Nuria Fuentes Sánchez, de Ferrovial; Walter Henríquez Távara, de Cuatrecasas, Gonçalves Pereira; José Jiménez Fernández-Mazarambroz; Albert Sabaté, de Cafés Bou; José Manuel Rivero González, de Telefónica España; Oriol Verdura, de Grup Sehrs; Julio Saiz, de Adecco; Félix Ccoicca, de Banco de Crédito del Perú; Mercedes Sánchez Rodríguez de Guzmán; Carlos Fuertes Santaeulalia, de Symbiosis; Alberto Ruiz Román, de Sanitas; David Moreno del Cerro, de Grupo Cortefiel; Javier Morales, de GDF SUEZ Energía España; y, Juan Antonio Caloto, de la Asociación Española para la Calidad. Sus comentarios y contribuciones han elevado, sin duda, la calidad del producto final.
Y, finalmente, sin que ello desmerezca su contribución, agradecemos la desinteresada ayuda ofrecida por los miembros del Grupo de Trabajo de Lengua e Informática de ATI, Josep Moya Pérez, Mercedes Montes Rubio, Guillermo Méndez Lojo, César Recasens y Enrique de Guindos Carretero, quienes sacrificaron las tardes estivales del pasado mes de agosto disfrutando, suponemos, de los escritos remitidos por los autores foráneos que firman esta monografía; pero, al mismo tiem- po, traduciéndolos para que la edición en español de este especial viese la luz sin contratiempos.
¡Gracias a todos! También a usted.
* * *
Este artículo fué publicado por la revista NOVÁTICA, nº 229, julio-septiembre 2014, como "Presentación" de la monografía sobre "Gobierno corporativo de las TI", en la que iTTi, por encargo de ATI, participó como editor invitado.
-------------------------------------
[i] V. Sambamurthy, Robert W. Zmud. "Arrangements for information technology governance: a theory of multiple contingencies". MIS Quarterly. Vol. 23. No 2, págs. 261-290, 1 de junio de 1999. <http:// www.jstor.org/discover/10.2307/249754?uid= 2&uid=4&sid= 21104701238367>. Último acceso: 28/09/2014.
[ii] <http://www.isaca.org>. Último acceso: 28/ 09/2014.
[iii] El IT Governance Institute fue creado por ISACA en 1998. Durante años fue su "think tank" en materia de Gobierno Corporativo de TI y temas afines; y, de él, salieron las sucesivas versiones de CobiT (desde la 2, de 1998, hasta la 4.1, publicada en 2007). A partir de 2009, una nueva estrategia corporativa provocó el arrinconamiento de la marca ITGI. Hoy está en proceso de reestruc- turación para convertirse en una fundación educa- tiva. <http://www.itgi.org>. Último acceso: 28/ 09/2014.
[iv] COBIT es el modelo de buenas prácticas de negocio para la gestión y el gobierno de las Tecnologías de la Información en la empresa, creado por ISACA en 1996. La vigente e innovadora versión del modelo, la 5, fue publicada el 10 de abril de 2012. <http://www.isaca.org/cobit>. Último acceso: 28/09/2014.
[v] Chief Information Officer, el primer ejecutivo responsable de los sistemas y tecnologías de la información.
[vi] Peter Weill, Jeanne W. Ross. "IT governance. How top performers manage IT decision rights for superior results". Harvard Business Press. 24 de junio de 2004. <http://hbr.org/product/it-governance-how-top-performers-manage-it-decisio/an/ 2535-HBK-ENG>. Último acceso: 28/ 09/2014.
[vii] Peter Weill, Jeanne W. Ross. "IT governance on one page". MIT Center for Information Systems Research. 30 de noviembre de 2004. <http:// cisr.mit.edu/blog/documents/2004/11/30/mit_cisrwp349_itgovononepage.pdf/>. Último acceso: 28/09/2014.
[viii] Peter Weill, Jeanne W. Ross. "IT governance. How top performers manage IT decision rights for superior results". Harvard Business Press. Pág. 8, 24 de junio de 2004.<http://hbr.org/product/it-governance-how-top-performers-manage-it- decisio/an/2535-HBK-ENG>. Último acceso: 28/ 09/2014.
[ix] Craig Symons. "IT governance framework". Forrester Research Inc. Best Practices. Pág. 2. 29 de marzo de 2005. Este documento no se encuen- tra disponible actualmente en la web de Forrester Research, Inc.
[x] ITGI. "Board briefing on IT governance, 2nd edition". 2003 <http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ Board-Brie-fing-on-IT-Governance-2nd-Edition.aspx>. Último acceso: 29/09/2014.
[xi] Standards Australia. "AS 8015-2005. Corporate governance of information and communication technology". 31 de enero de 2005. <http:// infostore.saiglobal.com/ EMEA/Details.aspx? ProductID=323828>. Último acceso: 29/09/2014. No obstante la norma fue sustituida en 2010 por la nueva AS/NZS ISO/IEC 38500:2010.
[xii] International Organisation for Standardisation / International Electrotechnical Commission. "ISO/IEC 38500:2008. Corporate governance of information technology". ISO/IEC. 1 de junio de 2008. <http://www.iso.org/iso/catalogue_detail?csnumber=51639>. Último acceso: 29/09/2014.
[xiii] Miguel García-Menéndez. (con las valiosas y generosas contribuciones de Manolo Palao que impregnan toda la bitácora; en especial sus TexticulillosTM). "Gobernanza de TI. Bitácora sobre el Gobierno Corporativo de la Información y sus Tecnologías afines". 7 de febrero de 2007. <http:/ /gobernanza.wordpress.com>. Último acceso: 29/09/2014.
[xiv] Miguel García-Menéndez. "Promoviendo el Buen Gobierno Empresarial [... ¿de las TI?]". Gobernanza de TI. 24 de octubre de 2009. <https:// gobernanza.wordpress.com/2009/10/24/promo- viendo-el-buen-gobierno-empresarial/>. Último acceso: 29/09/2014.
[xv] Miguel García-Menéndez. "Entrevista con Mark Toomey, autor de ‘Waltzing with the Elephant’". Gobernanza de TI. 27 de noviembre de 2009. <https://gobernanza.wordpress.com/2009/11/27/ entrevista-con-mark-toomey/>. Último acceso: 29/09/2014.
[xvi] Mark Toomey. Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology. Infonomics, agosto de 2009. <http://www.infonomics.com.au/wwte. htm>. Último acceso: 29/09/2014.
[xvii] Mark Toomey. (traducción de Juan Pardo Martínez). Waltzing with the Elephant (Bailando el Vals con el Elefante). Una guía exhaustiva para la dirección y el control de la tecnología de la información. Infonomics, 2012. <http:// www.infonomics.com.au/BVE.htm>. Último ac-ceso: 29/09/2014.
[xviii] Miguel García-Menéndez. Gobierno Corporativo de las TIC. Retorno al origen del concepto gracias a ISO/IEC 38500:2008 (conferencia). itSMF España. Congreso Académico 2008, 13 de mayo de 2008. <http://homer.uc3m.es/audiovisuales/ 0809/Noviembre/AtosConsulting.wmv>. Último acceso: 29/09/2014.
[xix] Miguel García-Menéndez (editor) y otros. "Gobierno Corporativo de TI" (monografía). Atos Consulting, junio de 2009.
[xx] Dídac López Viñas, Antonio Valle Salas, Aleix Palau Escursell, Willem Joep Spauwen (editores) y otros. "Gobierno de las TIC" (monografía). ATI. Novática, no 191, enero-febrero de 2008. <http://www.ati.es/novatica/2008/191/Nv191- Presentacion.pdf>. Último acceso: 29/09/2014. Esta página muestra únicamente el sumario del especial. El acceso a su contenido completo requiere disponer de credenciales para acceder a la intranet de ATI.
[xxi] Manolo Palao García-Suelto, Ricardo Bría Menéndez. "Implantación de Buen Gobierno de los SI y las TIC ad@ptando CobiT, ITIL y Val IT: Una caricatura respetuosa". Monografía "Gobierno de las TIC", Novática no 191, enero-febrero de 2008.
[xxii] Y su version inglesa ad@ptTM.
[xxiii] Institute of Directors in Southern Africa. "King Code of Governance for South Africa 2009". IoDSA, 1 de septiembre de 2009. <http://www.iodsa.co.za/resource/collection/94445006-4F18-4335-B7FB- 7F5A8B23FB3F/King_Code_of_Governance_for_SA_2009_Updated_June_2012.pdf>. Último acceso: 29/09/2014.
[xxiv] CNMV. "Código Unificado de Buen Gobierno de las Sociedades Cotizadas". Comisión Nacional del Mercado de Valores, revisado en 2013. <https:// www.cnmv.es/portal/legislacion/COBG/ COBG.aspx>. Último acceso: 29/09/2014.
[xxv] Los autores se refieren a la serie de artículos que han comenzado a publicar en la columna "Gobierno Corporativo de las TI" de la sección "Referencias Autorizadas" de esta revista. La serie inició su andadura en 2013, con el número 224 de Novática.
[xxvi] iTTi. "CGEIT online review course (Spanish/ Español). Curso CGEIT en línea, en español". <http://es.slideshare.net/iTTi_news/cgeit-online- review-course-2013-spanish-intro>. Último acceso: 29/09/2014.
[xxvii] Miguel García-Menéndez, Manolo Palao. "Sobre las certificaciones profesionales de carácter personal". <http://es.slideshare.net/iTTi_news/ 2012-0927-mpalaomgarciamenendez-atisimo2012sobre-las-certificaciones-profesiona- les-de-carcter-personal>. Último acceso: 29/09/ 2014.
[xxviii] iTTi, Instituto de Tendencias en Tecnología e Innovación. <www.ittrendsinstitute.org>.
[xxix] ITGI, IT Governance Institute. <www.itgi.org>.
[xxx] ITGI France, Institut de la Gouvernance des Systèmes d’Information. <http://cigref.typepad.fr/ itgifrance/>.
[xxxi] ITGI Japan. <http://www.itgi.jp>.
[xxxii] iTTi. "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información". 15 de septiembre de 2014. <http://es.slideshare.net/ iTTi_news/el-manifiesto-itti>. Último acceso: 29/ 09/2014. Disponible, también, la versión en inglés en: <http://es.slideshare.net/iTTi_news/the-itti-manifesto>.
[xxxiii] G. Vaughn Johnson. "Information Systems: A Strategic Approach". Mountain Top Publishing. Pág 55, 1990. <http://www.amazon.es/ Information-Systems-A-Strategic-Approach/dp/ 0962553301>. Último acceso: 29/09/2014.
[xxxiv] IFAC, International Federation of Accountants. <http://www.ifac.org/>.
[xxxv] CIPFA, The Chartered Institute of Public Finance and Accountancy. <http://www.cipfa.org/>.
[xxxvi] No confundir con los "4 Are ...?’s" citados en el artículo de John Thorp.
[xxxvii] George Westerman, Richard Hunter. "IT Risk: Turning Business Threats into Competitive Advantage". Harvard Business School Press, 1 de agosto de 2007. <http://www.amazon.es/IT-Risk-Business- CompetitiveAdvantage/dp/1422106667>. Último acceso: 29/09/2014.
