Líneas viudas y huérfanas son aquellas líneas de un párrafo que la composición presenta aisladas,  al principio o final de una página. Sobre cuál sea una u otra, no parece haber consenso. En todo caso, son líneas que no parecen pertenecer a un párrafo, al no verse las precedentes o siguientes.

El mundo de la empresa (y otras organizaciones)  tiene, a veces, políticas  viudas y procedimientos huérfanos. Políticas sin soporte (de normas o procedimientos), procedimientos sin una política a la que llamar ¡madre!

Cuando la frecuencia de viudas y huérfanos es alta, el panorama es desolador, ante tanto déficit de allegados. Parece como si un siniestro —una sequía, una peste, una guerra— hubiera asolado esa organización. Y probablemente es cierto, han tenido la hambruna del desgobierno y no han recibido la lluvia benéfica del buen gobierno.

Las políticas las  promulga la autoridad competente (determinada por la ley, los estatutos y delegaciones).

Si alguien de menor autoridad prepara una política, lo que prepara es un borrador, no una política: será una política cuando la promulgue la autoridad competente.

Normas (‘estándares’, incluidas ‘métricas’)  y procedimientos  soportan y desarrollan las políticas.

Debe haber una doble trazabilidad ascendente-descendente: una norma que no corresponde a una política es arbitraria; una política sin normas o procedimientos probablemente es solo la expresión de un ideal.

 * *

Recientemente, en un curso que he impartido en una empresa tecnológica, he tenido la oportunidad de proponer a los participantes (una docena de titulados superiores, con cargos de cierta responsabilidad en la empresa) el siguiente ejercicio:

----------------------------------------------

Por Grupos

1 Escojan una norma o (preferiblemente) procedimiento en vigor y trácenlo ascendentemente a su política.Documenten/Referencien.

2  Escojan una política en vigor y trácenla descendentemente a sus normas o (preferiblemente) procedimientos. Documenten/Referencien.

3 Si les queda tiempo, repitan 1 o 2.

Tiempo: 15 min.

Puesta en común 15 min.

----------------------------------------------

El resultado fue frustrante para mí; no tanto, aparentemente, para los participantes (estarían habituados, supongo). Nadie pudo realizar los ejercicios 1 ni 2. Nadie conocía una política (escrita, publicada) que amparase el procedimiento escogido. Bueno, sí, hubo una excepción, alguien invocó la “Política de copias de seguridad” que —al aclarar que determinaba que “a las 02:00 de cada día se lanzaría el proceso…”— se aceptó que sólo era un procedimiento, bautizado de política. 

* *

Las políticas (escritas, publicadas) comprometen. Comprometen porque pueden invocarse en casos de incumplimiento flagrante (tan relativamente frecuente). 

Por ello, muchos órganos de gobierno son renuentes a formalizar políticas (que así quedan limitadas a consignas conspiratorias). 

Hace años conocí el original de una carta que el Presidente Ejecutivo de una multinacional europea dirigió a todos sus empleados. Copio a continuación unos párrafos traducidos literalmente (el nombre de la empresa es ficticio):

«En PAYESA tenemos ideas firmes sobre cómo llevar a cabo nuestro negocio. 

Creemos que los principios esbozados en este folleto son la clave de nuestro éxito (el de PAYESA y el nuestro personal). 

Una política escrita no es el camino más fácil para hacer negocios: lo es para hacerlos bien. 

No es fácil cumplir una política, es difícil. 

Por eso estamos juntos. Para conseguirlo. Si todos lo intentamos, entre todos lo conseguiremos.»

* * *

The goal and scope of ‘identity thefts’ has been traditionally considered to be individual: a method to illegally access somebody assets [i]. Nowadays there is evidence that it can be and is being used to steal corporations’ assets. 

A few days ago The New York Times published an article [ii] advancing a report to be published on Monday, by Kaspersky Lab, relative to the recent discovery of a massive bankers’ identity theft. 

“Kaspersky Lab says it has seen evidence of $300 million in theft through clients, and believes the total could be triple that”, “transferring millions of dollars from [more than 100] banks in Russia, Japan, Switzerland, the United States and the Netherlands” into rogue accounts, and turning on ATMs to dispense money at convenient times and places.

Since late 2013 and for nearly two years, hackers sent email containing malware to bank employees, succeeding to infect the banks’ systems, recording keystrokes and video, taking screen shots and controlling the banks’ computers remotely.

The hackers invested a significant amount of time in order to learn about the individuals and banks routine practices, “mimic[king] their activities” to impersonate bank officers and also limiting their fraudulent transactions to ‘reasonable’ amounts, easier to go undetected. 

In this way, the hackers succeeded at transforming individual identity thefts into a much more profitable heist.

* * *

[i] Wikipedia. (2015). “Identity theft is a form of stealing someone's identity in which someone pretends to be someone else by assuming that person's identity, usually as a method to gain access to resources or obtain credit and other benefits in that person's name”. Retrieved: 20150215. 

[ii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. Retrieved: 20150215. 

El debate sobre el CIO en evolución y la cambiante estructura y alcance de la función de Tecnologías de la Información dentro de las organizaciones no resultan nuevos. Muchos años antes de que la revista “BusinessWeek” publicase (1986) el artículo “Management’s Newest Star: Meet the Chief Information Officer” (La Estrella Más Nueva de la Dirección: Conozca al CIO) -sin duda, una de las primeras referencias en contribuir a acuñar el término- ya se hablaba de su transformación.

Una transformación que reflejaba el reconocimiento de que lo que había comenzado como mero tratamiento electrónico de datos (del inglés, EDP, Electronic Data Processing) empezaba a considerarse como un factor estratégico para los negocios. Quedaban, de ese modo, atrás denominaciones como la propia de Director de Tratamiento de Datos (Director of Data Processing), surgida en la década de los años 50, o la posterior Director de Sistemas de Información de Gestión (Director of Management Information Systems) que perduraría hasta los años 80. 

En su artículo del otoño de 1982, “The Changing Role of the Information Systems Executive: A Critical Success Factors Perspective” [i] (El Cambiante Papel del Ejecutivo de los Sistemas de Información: Una Perspectiva de Factores Críticos de Éxito), el recientemente desaparecido John Fralick “Jack” Rockart, quien fuera cofundador (1974) y antiguo director (1976-2000) del Center for Information Systems Research (CISR) en la Sloan School of Management del MIT declaraba: 

“Hoy día existen pocas dudas de que el trabajo del ejecutivo de los sistemas de información (S/I) está cambiando. El papel del ordenador en las grandes organizaciones y la labor de sus primeros ejecutivos han variado sustancialmente. Dentro de la profesión existe la percepción fundamental de que el ejecutivo de sistemas de información ’orientado hacia lo técnico’, propio de los años 60 y 70, está siendo rápidamente sustituido por un ejecutivo de los 80, ‘orientado hacia la labor de gestor’.

[¡Cabría preguntarse si dicha transición ha sido realmente tan rápida y si está, más de tres décadas después, concluida!]

Sin embargo, [finaliza Rockart] precisamente, aún no queda claro qué significa esto”.

A partir de ahí, quizás en un continuo y reiterado intento de aclarar “qué significa esto” serán innumerables los artículos, libros, etc., que tratarán, en las décadas siguientes, el asunto de las competencias, atribuciones y responsabilidades del nuevo CIO y de la función de Tecnologías de la Información dentro de la empresa. Algunos ejemplos de ello, tomando en consideración sólo parte de lo publicado por la “factoría” CISR, podrían ser: “Reconceptualizing IT” [ii] (Reconceptualizando las TI) (1999), “The IT Organization of the 21st Century: Moving to a Process-based Organization” [iii] (La Organización de TI del Siglo XXI: Moviéndose hacia una Organización basada en el Proceso) (1999), “The Evolving Role of the CIO” [iv] (El Evolutivo Papel del CIO) (1999), “The IT Organization of the Future: Driving Business Change” [v] (La Organización de TI del Futuro: Guiando el Cambio en el Negocio) (2009), “The IT Unit of the Future: New Approaches to Run and Build” [vi] (La Unidad de TI del Futuro: Nuevos Enfoques para Operar y Construir) (2010), “The IT Unit of the Future: Creating Strategic Value from IT” [vii] (La Unidad de TI del Futuro: Creando Valor Estratégico a partir de las TI) (2011) o “Demand Shaping: The IT Unit’s New Passion” [viii] (Moldeado de la Demanda: La Nueva Pasión de la Unidad de TI) (2014). 

A pesar de lo numeroso de las referencias, podría decirse que todas ellas confluyen en un mensaje común para el “nuevo” CIO y sus responsabilidades sobre las TI: “Esencialmente la parte ‘Información’ del término TI se hace mucho más relevante que los aspectos tecnológicos”, como afirmaba el analista Patrick Gray en su entrada “The CIO is Dead (Long Live the CIO)” [ix] (El CIO Ha Muerto -Larga Vida al CIO-), publicada, el 1 de junio de 2009, en la bitácora electrónica sobre Liderazgo en las TI del portal TechRepublic. 

* *

Todas las reflexiones y análisis repasados hasta este punto parecen compartir, además, una segunda característica común: haber sido realizadas “desde la órbita CIO”; esto es, por CIOs o promotores del mundo CIO. Ello hace oportuno contrarrestar o, simplemente, complementar esa visión con la de terceros; otros directivos, que puedan conocer muy de cerca las actividades pasadas, presentes y, casi, futuras del CIO. Mi mejor candidato, un auditor de Sistemas de Información (y exCIO). ¿Quién esperaban que iba a proponerles? 

* *

Hace unos días tuve la oportunidad -y, como de costumbre, el placer- de conversar con un buen colega y amigo, miembro de “La Comunidad iTTi” de directivos preocupados y ocupados por la contribución de las TI al progreso de sus organizaciones. Él es Director de Auditoría de Sistemas de Información en una multinacional española y ve un futuro lleno de oportunidades -y, sobre todo, retos- para la función auditora -y para su compañía- ante el panorama tecnológico que ya vivimos; y, particularmente, ante el que está por llegar.

Compartiendo la premisa enunciada por Gray -la “Información” es lo verdaderamente relevante-, a su juicio, esa información (sus fuentes), hoy, han trascendido sus espacios naturales tradicionales. Como consecuencia, la actividad desarrollada por la función que dirige, esto es, la supervisión del “comportamiento” de las Tecnologías de la Información de su organización se ha visto abocada a ampliar su lista de interlocutores, más allá del territorio de las TI corporativas. Y ello atendiendo a tres ejes principales:

- el creciente peso de la “Informática en la sombra” (sobre todo, peso presupuestario);

- la avalancha que va a suponer la “Internet de las Cosas”; y,

- en el caso de organizaciones marcadamente industriales, la convergencia entre las Tecnologías de la Información (TI) y las Tecnologías de Operación (TO), que los departamentos de Auditoría de Sistemas de Información han comenzado a revisar en los últimos, recientes, años.

Estoy convencido de que, aunque no sea Ud. auditor, sino CIO, también se habrá visto reflejado en el análisis de nuestro amigo. ¿Acaso no constituyen, los tres ejes citados, retos -y, desde luego, oportunidades- para el CIO de hoy (y de mañana)? 

Dele la vuelta a las reflexiones de nuestro amigo, recupere el terreno que, a su juicio, tal vez, Ud. haya perdido y piense:

- que la “Informática en la sombra” nació con el primer ordenador personal, hace más de treinta años; y no hizo sino consolidar la figura del CIO y dar relevancia a la función de TI dentro de las organizaciones. El desarrollo de Internet contribuyó a, y corroboró, ese efecto unos años después. Hoy sigue haciéndolo esa corriente irreversible que llamamos BYOD (del inglés “Bring Your Own Device” -Traiga Su Propio Dispositivo-); 

- que el advenimiento de la “Internet de las Cosas” (en inglés, “Internet of Things” - IoT-) no supondrá sino una explosión de lo anterior, así que confíe en sus efectos positivos, pero esté preparado; y,

- finalmente, si se mueve en el ámbito industrial, en la otra “I-O-T”, la que podríamos denominar I/OT (del inglés, “Information/Operational Technology” -Tecnología de Información/de Operación-) que está llegando ya y que se hará notar, aún más, con la materialización de la “Industria 4.0” en la que, como efecto de la digitalización, el acceso a, y manipulación de, elementos de control industrial tendrá más que ver con la operación de sistemas informáticos que con la programación tradicional de tales dispositivos por parte de técnicos especializados. 

* *

Confío en que sepa sacar ventaja de estas oportunidades.

¡Le adelanto mi enhorabuena!

* * *

Este artículo fué publicado por ComunicacionesHoy, nº 137, diciembre 2014. Referencia: VII Premios ComunicacionesHoy / Opinión pg. 16 – "Un desafiante nuevo perímetro para los dominios del CIO" – Miguel García-Menéndez. 

-------------------------------------------- 

[i] John F. Rockart. "The Changing Role of the Information Systems Executive: A Critical Success Factors Perspective". CISR, April 1982. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2010/SWP-1297-08770929-CISR-085.pdf?sequence=1 

[ii] J.W.Ross & J.F.Rockart. "Reconceptualizing IT". CISR, January 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/48936/reconceptualizin00ross.pdf?sequence=1 

[iii] C.V.Brown & J.W.Ross. "The IT Organization of the 21st Century: Moving to a Process-based Organization". CISR, July 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2752/SWP-4078-43797411-CISR-306.pdf 

[iv] J.W.Ross & D.F.Feeny. "The Evolving Role of the CIO". CISR, August 1999. URL: http://dspace.mit.edu/bitstream/handle/1721.1/2758/SWP-4089-43797710-CISR-308.pdf?sequence=1 

[v] J.W.Ross.  "The IT Organization of the Future: Driving Business Change". CISR, 2009. URL: http://cisr.mit.edu/blog/documents/2009/12/25/2009_1201_itorgoffuture_rosswoernerscantleburybeath-pdf/ 

[vi] J.W.Ross. "The IT Unit of the Future: New Approaches to Run and Build". CISR, December 2010. URL: https://c.ymcdn.com/sites/www.simnet.org/resource/resmgr/APC/2010_1201_ITValueProposition.pdf 

[vii] J.W.Ross. "The IT Unit of the Future: Creating Strategic Value from IT”. CISR, October 2011. URL: http://c.ymcdn.com/sites/www.simnet.org/resource/resmgr/apc/2011_0901_itunit_ross.pdf 

[viii] J.W.Ross & C.M.Beath. "Demand Shaping: The IT Unit’s New Passion". CISR, Enero 2014. URL: https://cisr.mit.edu/blog/documents/2014/01/16/2014_0101_itsd_rossbeath-pdf/

[ix] Patrick Gray. "The CIO is dead (Long live the CIO)". "TechRepublic", June 1, 2009. URL: http://www.techrepublic.com/blog/tech-decision-maker/the-cio-is-dead-long-live-the-cio/ 

El joven (2001) banco danés Saxo Bank [i] acaba de publicar sus diez “Predicciones Escandalosas” ('Outrageous’ en el original) para 2015 [ii], como continuación de una serie anual que viene atrayendo la atención de muchos analistas [iii].

Las predicciones tratan de consecuencias catastróficas en las finanzas internacionales de posibles eventos inusuales, de diversa naturaleza. 

En palabras del Economista Jefe del banco, Steen Jakobsen: “No hay nada predestinado y las Predicciones escandalosas siguen siendo un ejercicio para encontrar diez ideas discutibles y no relacionadas, que pudieran dar un tumbo al mundo de las inversiones de Ud. Al imaginar los escenarios y eventos más negativos, Ud. tendrá más oportunidades para capear el temporal, tanto si este es un default de Rusia, cuanto si es la devastación diseminada por volcanes, o un Armagedón en la Internet” [iv]. 

Las previsiones para 2015 son [v]:

1. Se desploma el sector de la vivienda del Reino Unido

2. La inflación en Japón alcanza el 5%

3. China devalúa el yuan un 20%

4. Draghi abandona el BCE

5. Rusia vuelve a situación de default

6. Los ciber ataques de hackers destrozan el e-commerce

7. Una erupción volcánica acaba con el verano en Europa

8. Los futuros del cacao marcan un récord en 5.000 dólares/tonelada

9. El Reino Unido se decanta por su salida hacia 2017 de la UE

10. Los diferenciales de los bonos corporativos de alta rentabilidad se duplican

Es curioso observar que 8 de las 10 previsiones son de carácter económico-financiero (o de política / política económica) y sólo 2 de otra naturaleza: una física (vulcanológica) y otra de ciber-inseguridad.

Por cierto que, de las diez previsiones para 2015, todo apunta a que una (la 5) está a punto de cumplirse [vi] ya en 2014, y otra (la 6) está también teniendo precedentes alarmantes [vii].

Dado que todas las catástrofes reseñadas por Saxo Bank son ‘sistémicas’ (en el sentido canónico de que producirían perjuicios serios a nivel de mercado, regional o global [viii]), algunos [Nota 5, p. ej.] las han denominado —con el término ampliamente usado— “cisnes negros”. 

Yo he preferido llamarlos “patitos feos” [ix], por si ninguno llegara a crecer, alcanzando la envergadura de los fenómenos tratados por el Prof. Taleb [x].

* *

Sería bueno conocer con qué métodos y criterios procede Saxo Bank a la selección y evaluación de sus predicciones. 

El estimulante, a veces rentable y muy frecuentemente fallido (aunque pronto olvidado) ejercicio prospectivo de imaginar futuras cosas insólitas o desconocidas tiene precedentes, quizá prehistóricos, y desde luego en la larga historia de oráculos y profetas.

Un ejercicio que es practicado con profusión por oráculos, profetas, “torres de marfil” y think tanks, con características y resultados, casi siempre, más de profecías [xi] que de previsiones educadas, usando —en lugar de alguna de las pocas (y débiles) heurísticas disponibles: escenarios, Delphi, etc.— ‘humo y espejos’, cortinas y bolas de cristal.

* * *

--------------------------------

[i] http://www.saxobank.com/why-saxo/  -    http://es.wikipedia.org/wiki/Saxo_Bank. Consultados: 20141213. 

[ii] Saxo Bank. (2014). OUTRAGEOUS predictions for 2015. OutrageousPredictions2015-eBook-TF.pdf. Consultado: 20141213. 

[iii] En 2010 acertaron en 3 de las 10 previsiones -“As FT Alphaville points out, Saxo's list got 3 out of 10 correct in 2010.” http://www.businessinsider.com/saxo-bank-10-outrageous-predictions-for-2011-2010-12?op=1. Consultado 20141213. En las predicciones de 2013 para 2014 acertaron en la caída del Brent - http://www.marketwatch.com/story/internet-armageddon-and-more-outrageous-predictions-from-saxo-bank-2014-12-10.

[iv] “Nothing is ever given and Outrageous Predictions remains an exercise in finding ten relatively controversial and unrelated ideas which could turn your investment world upside. By imagining the most negative scenarios and events you will have a better chance of navigating the turmoil, be it a Russian default, volcanoes spreading havoc, or an internet Armageddon.” Ibid, p. 2.

[v] CINCO DÍAS (20141212). Diez riesgos extremos para 2015 que darían un vuelco a los mercados.  Consultado: 20141212. Para el original en inglés, ver Nota 2. 

[vi] Rusia, "... en medio de las crecientes alertas de 'default' ". A.S.S. (20141216). "Los inversores huyen de Rusia y el rublo profundiza en su derrumbe". expansion.com. Consultado 20141221. 

[vii]  Sony Picture Entertainment, una de las principales productoras y distribuidoras de cine de EEUU ha recibido recientemente un ataque en que le han sido sustraídos (y parcialmente difundidos) —entre otros muchos terabytes— 5 películas completas sin estrenar, incluida la titulada “The Interview”, sátira del régimen de Corea del Norte y motivo o pretexto del ataque. Di Lenola, S. (20141220). “Sony Pictures de rodillas: La política del terror gana”.  Grupo 'Asociación de Técnicos de Informática’ en LinkedIn. Consultado 20141221. 

[viii] http://es.wikipedia.org/wiki/Riesgo_sistémico. Consultado: 20141214. 

[ix] Sí, recuerdo que ‘el patito feo’ —que era un cisne!—, en  el cuento de Hans Christian Andersen, era sólo uno y no diez. http://es.wikipedia.org/wiki/El_patito_feo Consultado: 20141214. 

[x] Taleb, N. N. (2007). The Black Swan. Random House.

[xi] http://es.wikipedia.org/wiki/Profec%C3%ADa Consultado 20141221.  

Dan Muse en Tech Musings, del prestigioso portal CIO  glosa, en un breve artículo, un estudio publicado en el libro “Confesiones de un CIO de éxito”, de Roberts y Watson [i]. El estudio analiza CIOs de algunas grandes compañías [ii].

Dichos rasgos comunes son:

i) Asumen grandes riesgos

ii) Innovan

iii) Responden a las solicitaciones de su organización

iv) Lideran la transformación 

v) Valoran a su personal

vi) Usan su experiencia para encontrar la mejor opción

vii) Son decisorios

viii) Confían en la premonición

ix) Se centran en mejoras al negocio medibles

x) Cultivan extensamente redes profesionales

En iTTi queremos destacar que –sin que nos sorprenda- ninguno de esos rasgos parece altamente correlado con las habilidades tecnológicas o digitales. 

* * *

[i] Dan Roberts, D. y Watson, B. 2014. Confessions of a Successful CIO: How the Best CIOs Tackle Their Toughest Business Challenges. Wiley. 

[ii] Centene, HP, ITT, Proctor & Gamble, Raytheon Company, Sysco, Union Pacific, US Can y USAA. 

Unas mafias medran principal o totalmente en la oscuridad, por ejemplo los traficantes de armas o personas, o los hackers. 

Otras, las que explotan a numerosos ‘usuarios finales’ –drogodependientes, pequeños comerciantes o proxenetas extorsionados-, requieren, para su negocio, de una cierta imagen pública más difundida.

Esa imagen pública se conseguía tradicionalmente –los gánsteres americanos– por la ostentación (predominantemente ‘local’): los haigas, las compañeras despampanantes, la crueldad ejemplarizante; ciertas ayudas a desprotegidos (Medellín).

Ahora, los mafiosos en busca de publicidad –sobre todo los más jóvenes, los de las generaciones ‘digitalizadas’– recurren ampliamente a las redes sociales.

No pueden discutirse los beneficios de las redes sociales (sobre todo para aquéllos de sus promotores que han sabido materializarlos), pero también para quien desea comunicaciones más ‘globales’ rápidas y baratas.

Las redes sociales atraen a las nuevas generaciones –también a las de mafiosos– con un potente magnetismo: así, están llenas de basura y virutas como las que nos mostraban de niños, atraídas por el imán. No cabe duda también de que hay numerosas y valiosas menas, aunque cada vez cueste más separarlas de la ganga.

Los mafiosos digitalizados, por una parte, sucumben a ese magnetismo y por otra tienen la necesidad de recurrir a las redes, quizá el actual medio más eficaz para comunicar con sus usuarios, también digitalizados.

Pero en ocasiones, caen en la estupidez. Es el caso, por ejemplo de José Rodrigo Aréchiga, “el jefe de sicarios [… del] brazo armado del cártel de Sinaloa”, detenido, con identidad falsa, por la policía holandesa en el aeropuerto de Ámsterdam hace unos meses, y extraditado a los EEUU. Aréchiga, que estaba en busca y captura, iba anunciando a bombo y platillo, en las redes sociales, su viaje desde México y su escala previa en Madrid.

Más información, en el excelente reportaje de  Lucia Magi y el recuadro en el mismo de Juan Diego Quesada, de donde procede la información anterior.

* * *

Aprobado por el Consejo de Ministros -el día 23 de Mayo de 2014- el proyecto de Ley de sociedades de capital y mejora de gobierno corporativo. 

“Algunas de las modificaciones introducidas son que los administradores de empresas que cotizan en Bolsa deberán aprobar las operaciones tributarias relevantes de sus empresas. El artículo 41 del proyecto de Ley enumera cuáles son las "facultades indelegables" del consejo de administración. Entre ellas incluye la siguiente: "La aprobación de las inversiones u operaciones de todo tipo que por su elevada cuantía o especiales características, tengan carácter estratégico o especial riesgo fiscal, salvo que su aprobación corresponda a la junta general". Además, en otro apartado del mismo artículo añade: "La determinación de la política de control y gestión de riesgos, incluidos los fiscales...".” según aparece en el diario “El País” el día 26 de Mayo de 2014 pasado. 

Examinando otros países, se puede apreciar que el aumento de la responsabilidad de los Consejos de Administración es una tendencia que se extiende por los países de nuestro entorno. El proyecto de Ley de sociedades de capital para mejora del gobierno corporativo está inspirado en la normativa que han seguido dichos países, como por ejemplo: 

- En Reino Unido los directores financieros de las compañías cotizadas deben emitir un certificado con carácter anual asegurando la idoneidad de los sistemas de aplicación de impuestos y control de riesgos fiscales. 

- En Estados Unidos la Ley Sarbanes-Oxley y la norma contable FIN 48 garantizan que se controlen los riesgos fiscales. El control tributario de EE UU es tan exigente que existe una comisión en el congreso que investiga supuestas prácticas fiscales. Hace unos meses llamó a declarar a los primeros ejecutivos de las primeras compañías tecnológicas del país para que explicaran sus estrategias fiscales, cuestionadas en algunas jurisdicciones. 

- La autoridad fiscal de Canadá está analizando el riesgo tributario de las multinacionales. Las compañías que tengan un control fiscal elevado y sean cooperativas tendrán un control blando. 

- La normativa de Australia establece que para que las empresas sean consideradas socialmente responsables deben tener un plan detallado de riesgos fiscales. 

- Holanda, por su parte, ha establecido un sistema de relación cooperativa entre la autoridad fiscal y las compañías. De esta forma, las empresas que remitan a su Hacienda el plan detallado de riesgos fiscales recibirán un control menos exhaustivo. 

Pero, en estas modificaciones se hecha de menos la responsabilidad del Consejo de Administración acerca del Gobierno Corporativo de las TI, que como tal “Gobierno” debe ser un tema “indelegable”. Por ejemplo, el tema de riesgos tecnológicos debería estar explícitamente, al igual que “... control y gestión de riesgos, incluidos los fiscales”. 

Según “COBIT 5”, el marco de Gobierno Corporativo de TI, de ISACA,: 

"El consejo de administración, asistido por el comité de riesgos y auditoria, se asegurará de que el rendimiento del grupo de GEIT  es evaluado, supervisado, informado y conocido en un comunicado GEIT como parte del informe integrado. Tal afirmación se basará en los informes obtenidos de los equipos de riesgos, cumplimiento y auditoría interna y de la gestión de cada compañía filial significativa, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del desempeño del grupo de GEIT". 

"El consejo de administración hará que se informe sobre GEIT como parte del informe integrado, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del GEIT". 

Pero de esto se tienen que enterar los miembros de los consejos de administración, o los órganos legislativos, si aquellos no se dieran por enterados.  

* * *

The MIT Center for Information Systems Research (CISR) has recently published another Research Briefing [i] with partial disclosures of results of the ambitious research project on next-generation businesses, directed by Prof. Weill [ii],[iii]. 

The project is “trying to understand what the next generation enterprise will be like in five to seven years.” Its “key insight” is that “businesses have the opportunity to move from value chains to ecosystems”, thus replacing the old seminal Porter’s paradigm [iv]. A business ecosystems being “a coordinated network of enterprises, devices, and consumers that creates value”. 

This concept of ‘business ecosystem’ is an update or generalization, from a digital perspective, of the ‘extended enterprise’ concept [v]. Ecosystems are companies that are “e.g., more networked, with more shared information and feedback loops”. “Ecosystems typically have two kinds of players: drivers, who set the rules; and participants…” .

The project maps in a 2x2 grid (Fig. 1) the variety of business models of the 30 (large) companies studied. Its horizontal axis is the continuum of business designs ranging from ‘value chain’ to ‘ecosystem’. Its vertical axis is the depth of knowledge the company has of its end consumer, continually growing from none, little and partial to complete.

  (The quotations [“ “] above are from Weill 2013, those following are from Weill    2014 ).

Digitization offers important opportunities to enterprises and entails risks. The most significant opportunity is probably that “it can leverage a strong customer relationship and increase cross-selling opportunities”. “… the threats are often real and immediate … in this newly digital multichannel world … enterprises in other industries that had relationships with their customers and were able to offer competing products and services.” More about this, below. 

The project has identified the critical issues that characterize the impact of digitization in a company. They are presented as a 7 questions questionnaire, all questions weighing the same. They refer initially to the company’s “bestselling product or service” but should be further applied to the remaining products / services. 

Five of the questions are about the current or future ‘digital nature’ of the product / service: can it be digitally specified, searched, ordered, delivered, improved, or made more valuable? A sixth one is whether it can be replaced with an alternative digital offering. And the seventh is about the risk of other industries -having access to your own customers- deciding to offer it.

Fifty-five percent (55%) within a group of over one hundred executives scored over 70%: “… significant [“red-zone”] impact from digitization. … 67% of respondents said they were experiencing a red-zone level of threat from enterprises in other industries that had relationships with their customers and were able to offer competing products or services…” (e.g.: financial services provided by other sector’s vast networks). 

The project has identified “two very interesting trends”. The first one is a “movement [first] up and [then] to the right” (Fig. 1). It is expected that there will be one Ecosystem Driver per sector (retail, financial services, healthcare, etc.) [vi]. The second trend is “around Modular Producers … “[Where] we expect to see the top one to three players dominate in each niche…”.

Each of the four next-generation enterprise models shows different relative performances (as measured along 3 indicators: time to market, profitability and revenue growth). 

Ecosystem Drivers are the best performers on time to market and revenue growth. Omnichannels are the leaders on profitability. 

* * * 

--------------------------------------------------

[i] (Weill 2014). Weill, P. and Woerner, S. L.  Digitization: Threat or Opportunity? MIT Sloan CISR Research Briefing, Vol. XIII, No. 4, April 2013. Retrieved 20140815. May require registration. 

[ii] How Digitization is Driving the Next-Generation Enterprise. Retrieved 20140815.

[iii] (Weill 2013). Weill, P. and Woerner, S. L. The Next-Generation Enterprise: Thriving in an Increasingly Digital Ecosystem, MIT Sloan CISR Research Briefing, Vol. XIII, No. 4, April 2013. Retrieved 20140815. May require registration.

[iv] Porter, M. E. (1985). Competitive Advantage: Creating and Sustaining Superior Performance. New York.: Simon and Schuster. Retrieved 20140815.

[v] Extended enterprise. Retrieved 20140815. 

[vi] The Weill 2014 briefing comments on the Spanish-based bank BBVA (a CISR Sponsor) efforts to become an Ecosystem Driver.

We are living a time of sad celebration: just a few weeks ago, we were honoring the one hundredth anniversary of the start of the First Great War. For sure, lots of people remember the many unfortunate consequences – both personal and social, including corporate – it provoked; but, maybe, only a few remember the savvy musings of Georges B. Clemenceau.

A former journalist, Clemenceau was Prime Minister of France during World War I. At that time he stated “La guerre! C’est une chose trop grave pour la confier à des militaires” (“War! Something too serious a matter to be entrusted to the military”); a statement one could assume that was not well received, even misunderstood, by those directly concerned (especially within the militia). But a statement of which we could, nowadays, take advantage in our corporate world.

* *

We are living a digital era. Today few activities, if any, escape from the application of technology (at the end, mostly digital technology). Societies, with exceptions, are benefiting from the boosting potential of technology which acts as a growth lever of our personal (quality of life), economical (competitive advantage) or socio-political (transparency, participation and democratization) interests.

But, as with war, when one regards the use of technology one can also notice a lot of not-so-good outcomes and negative consequences in the mentioned realms: personal (menaced privacy), economical (cyber-dependency or – fragility and, finally, losses; or just IT-favored business fiascos [and, finally, losses]) and socio-political (IT-enabled censorship; or, to put it simple, digital media censored the traditional way).

The better or worse attention paid to the way technology is applied and used within organizations – whether public or private, or even your own home (think on how your children are using all the technology they have at hand) – is key to reaching such positive outcomes or avoiding the negative ones.

At the corporate level, it is those accountable for such results – those populating the governing bodies of the organizations – who should pay the due attention that the use of digital technology requests. This seemed to be the idea of Prof. G. Vaughn Johnson (retired, University of Nebraska at Omaha) who, in 1990, paraphrasing Clemenceau, wrote: “Information systems are too important to leave them to computer professionals alone.” 

One could expect that, like in the case of the Clemenceau’s sentence, more than one (especially within the IT community) would disagree with that sentence. But the issue here is not the legitimate rights of IT practitioners on their realm; the actual problem is the lack of awareness or commitment of many organizational leaders regarding their role in directing and controlling (i.e., governing) the use their organizations make of IT.It is that concern what has fueled the publication – by iTTi, the Spanish think tank focused on promoting true Corporate Governance of Information Technology – of a manifesto aimed at improving directors and executives’ accountability and advocacy for information technology.

“The iTTi Manifesto”, an 18-point Decalogue containing iTTi’s insights on the why, what, who and how of Corporate Governance of Information Technology, is open for your inspection. Everyone is invited to endorse the Manifesto! Join the growing list of signatories!

* * *

This article was originally released by James McRitchie on their blog "CorpGov.net", September 29, 2014.

“[Bajo] la idea de integrar los ordenadores de forma general en el mundo, [...] componentes especializados, de software, mediante cables, ondas de radio e infrarrojos, serán tan ubicuos que nadie hardware y conectados advertirá su presencia”. Weiser, M. “The Computer for the 21st Century”. Scientific American, Inc., 1991. 

“La informática ubicua se caracteriza, fundamentalmente, por la conexión de cosas del mundo real mediante la computación. Esto tendrá lugar a muchas escalas, incluida la microscópica.” Weiser, M. & J.S. Brown. “The Coming Age of Calm Technology”. Xerox PARC, 1996.

Como adelantaba Mark Weiser a principios de los noventa, llevamos años gozando de un nivel de ubicuidad informática -aún no estrictamente en el sentido que él apuntaba- que hace posible que hoy día las personas podamos, por ejemplo, comunicarnos unas con otras de forma remota e instantánea gracias a Internet. Para ello empleamos múltiples elementos -hardware y software- que, no obstante, no están exentos de problemas: los dispositivos que hacen posible el “milagro” adolecen de vulnerabilidades que pueden ser explotadas con objeto de actuar sobre la información que aquellos albergan, transmiten y, en definitiva, tratan.

En el contexto de la informática tradicional esos “problemas” han trastocado los entornos tecnológicos, tanto del ámbito profesional, como del personal, provocando que la información tratada en unos y otros se haya visto afectada en sus diferentes dimensiones de eficiencia, eficacia, confidencialidad, integridad, disponibilidad, fiabilidad y conformidad [i]. Las consecuencias de esta debilidad generalizada que muestra el mundo virtual, han tenido en gran medida naturaleza económica (deterioro de la imagen corporativa, pérdida de ventaja competitiva, pérdidas financieras directas, etc.), más allá de cuanto tiene que ver con la privacidad personal. 

Actualmente, el concepto de “Informática ubicua” (UC, por sus siglas en inglés -ubiquitous computing-) introducido por Weiser en 1988 [ii], parece estar comenzando a convertirse en lo que Kevin Ashton denominaría una década después “Internet de las cosas” [iii]. Con ello se está produciendo un efecto de traslación del mundo físico, real, al mundo virtual. 

Dicha replicación de los objetos cotidianos del mundo físico en sus equivalentes digitales constituirá, sin duda, un salto de gran importancia hacia esa era de la “tecnología de la calma” anunciada por Weiser, en la que el sustrato tecnológico que hace posible nuestras vidas diarias terminará pasándonos inadvertido. 

Sin embargo, esa misma computarización a gran escala de las cosas de la vida real no hará sino ampliar el margen de inseguridad de la vida misma: automatismos diseñados para nuestro confort doméstico - termostatos u otros- cuyas funcionalidades pueden ser “manipuladas” de forma remota, dando al traste con el referido confort; vehículos digitalizados cuyas respuestas autónomas ante determinados eventos de tráfico pueden resultar modificadas o anuladas, poniendo en riesgo nuestras propias vidas; sistemas de control de las redes de suministro que nos proporcionan energía eléctrica, agua o gas natural, que pueden ser controlados -también en perjuicio nuestro- desde la comodidad de una habitación localizada a decenas de miles de kilómetros, etcétera. 

En este nuevo escenario, las cosas del mundo real heredan las debilidades de los dispositivos computacionales que las controlan e interconectan. 

Las consecuencias para, y en el mundo físico se acrecentan hasta alcanzar magnitudes hasta ahora insospechadas. Y ello debido en gran medida a la interacción directa entre dispositivos en un diálogo productor/consumidor o M2M (del inglés “machine-to-machine”), propio del “Internet de las cosas”. Fruto de dicho diálogo, la cantidad de datos generados, tratados en tiempo real, transmitidos, etcétera, crece exponencialmente. Y con ello la posibilidad de que sean recogidos, alterados o eliminados sin nuestro conocimiento o consentimiento para fines muy diversos. 

Por consiguiente, se hace ineludible actuar desde las causas raíz, habilitando sistemas computarizados libres de vulnerabilidades, que permitan minimizar los efectos negativos sobre la vida cotidiana de las personas. Y se hace igualmente oportuna una reflexión en relación a los principios y criterios sobre los que habrá de cimentarse la transformación del mundo real en ese nuevo mundo digitalizado, esa nueva capa virtual, réplica del mundo que habitamos.

* * *

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 10/10/2014. 

------------------------------

[i] Los siete criterios de la información. Citados en “COBIT 5. A business framework for the governance and management of enterprise IT” (2012) y recogidos en “Cobit 4.1” (2007) y versiones anteriores del modelo de ISACA. Determinan las cualidades que ha de cumplir la información para que sea válida en la toma de decisiones empresariales: eficiencia, eficacia, confidencialidad, integridad, disponibilidad, fiabilidad y conformidad. url: http://www.isaca.org/cobit/pages/default.aspx?cid=1003566&appeal=pr 

[ii] Ya en 1988, Mark D. Weiser hablaba por primera vez de la “informática ubicua” para describir un futuro en el que “ordenadores” invisibles, incrustados en los objetos cotidianos, sustituirían a las PC. 

[iii] El término fue acuñado en 1999 por Kevin Ashton durante una presentación sobre RFID (Radio Frecuency IDentification) para la empresa P&G.