El Consejo de Administración en el Gobierno Corporativo de las TI

Aclaración terminológica

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’ y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

Trato también como sinónimos, salvo mención expresa órgano de gobierno OG) y consejo de administración (CA).

* *

Propósito de este documento

El propósito de este trabajo es hacer una breve reseña de los principales hitos en que se recaba para los órganos de Gobierno (OGs) de las entidades, el protagonismo en el gobierno corporativo de las TI (GCTI) , en un movimiento relativamente nuevo durante la última década.

* *

Introducción

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos [2].

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso del tema en cuestión, más que de su detalle táctico, operativo y técnico. 

Es quizá en la última década cuando los OGs, y los estudiosos han reivindicado con más fuerza el   derecho y la obligación de los primeros de establecer las políticas y estrategias de las TI y de supervisar su cumplimiento por los ejecutivos; el mismo derecho y obligación-responsabilidad que tienen (por ley) sobre las demás funciones de la empresa.

Sin perjuicio de lo razonable que parece ese enfoque, en la práctica no se aplica en muchos casos, quedando las políticas y estrategias de las TI en manos del CIO, con mayor o menor intervención —quizá creciente— del CEO, según resulte del equilibrio de poder en cada organización. Pero esto ya no es tema de este documento.

Gobernanza que —en el caso de las TI (como pasaría con otras funciones corporativas)— tiene la virtud de hacer efectiva la alineación de la denominada [3] ‘estrategia TI’ (o la estrategia de otras unidades) con la ‘estrategia corporativa’. 

* *

El Consejo de Administración

El Consejo de Administración (CA) es el órgano de gobierno de las empresas, usual en España en grandes empresas y bastantes PYMEs.  (Ver recuadro inferior)

----------------------------------------------------------------------------------------------------------------------------------------------

Los órganos de gobierno o de administración (OG)

Los órganos de gobierno o de administración de empresas y entidades tienen en español denominaciones diversas, que dependen de la legislación aplicable en cada país.

En España, las ‘sociedades de capital’ se rigen por la  Ley de sociedades de capital, 2011, que –en su Artículo 209- indica que “Es competencia de los administradores la gestión y la representación de la sociedad...”. Y en su Artículo 210 señala que pueden ejercerla uno o dos administradores y –si fueren más- “constituirán consejo de administración” (CA).  Los miembros del CA se denominan consejeros. El CA tiene un Presidente (P), que puede o no ser ejecutivo (PE). El CA puede nombrar en su seno un Consejero Delegado (CD); o –fuera de su seno- un Director General (DG).

El CA tiene Comisiones (algunas determinadas por ley), constituidas por consejeros. Puede haber un Comité Ejecutivo.

El PE | CD | DG  suele a su vez encabezar un Comité de Dirección (CoD) que reúne a todos o parte de los Directores de unidades —los ‘ejecutivos’..

No debe confundirse el CoD con el CD o sus comisiones.

Otras entidades, no de capital, en España se rigen por otras Leyes y su equivalente (a nuestros efectos) del CA son, por ejemplo, el Patronato (y su presidente), en el caso de Fundaciones; o el Rectorado (presidido por el Rector), en las Universidades.

En LATAM, equivalentes del CA son la Junta (Directiva), o el Directorio.   

 En Inglés, el órgano de gobierno más frecuente es ‘the Board of Directors’ (the Board) —equivalente a nuestro CA— y sus miembros son Directors (NO directores, sino consejeros –miembros del CA). El primer ejecutivo, sea o no consejero, es el Chief Executive Officer (CEO). 

En Francia es frecuente la figura del PDG - Président-directeur général (P-DG).

Para nosotros, aquí, CEO = PE | CD | DG | P-DG.  

Para más finura, consúltese la legislación mercantil (y otra pertinente) del país en cuestión.

--------------------------------------------------------------------------------------------------------------------------------------------------

* *

Desentendimiento CA – Tecnologías de la Información (TI)

Hasta hace algunos años —y lamentablemente aún en muchas empresas— el CA ha estado generalmente ajeno a las TI. Incluso ahora, cuando se ocupa de las TI, es a menudo solo tras un ciberincidente; un robo escandaloso de datos o una caída importante del servicio. (Incidentes graves, en el extranjero, han desembocado en un cese o dimisión del CEO [4]).

Ese desentendimiento parece ser un fenómeno global, aunque quizá exacerbado en algunos países, entre ellos España, como se comentará más abajo. 

Pero en el momento actual (y desde hace un par de lustros) es evidente que el mundo está inmerso en la ‘revolución digital’ que está cambiando radicalmente la economía, las empresas, la sociedad y nuestras vidas personales.

Y en esas condiciones, no parece razonable que los órganos de gobierno —los CA— no tengan una agenda activa, frecuente y bien informada sobre las TI. Naturalmente, no necesariamente, sobre la evolución tecnológica y sus detalles, pero sí sobre las políticas y estrategias corporativas del uso de las tecnologías.

Caben muchas explicaciones sobre ese desentendimiento histórico. Entre ellas pueden señalarse: 

- la aceleración del cambio ha cogido por sorpresa y/o no ha dado tiempo a reaccionar a empresas poco ágiles: oligopolios, estructuras ‘pesadas’ (muchos niveles jerárquicos), sin la cultura adecuada.

- la informática, que hace unas décadas solo, se llamaba ‘proceso de datos’ o ‘mecanización administrativa’ era una mera herramienta de productividad (sobre un recurso barato, el personal administrativo); y útil solo para llevar la contabilidad y hacer la nómina; no merecedora de la atención del CA.

- herramienta que —antes de la generalización de la informática transaccional— podía radicar en una “oficina de servicios” externa (¡‘outsourcing’ en las décadas de 1970 y 80!), o en una ínsula interna —una torre de marfil en que inputs y outputs entraban o salían en carros con resmas de papel.

- la informática nació rodeada de misterio, que muchos de los escasos iniciados (hechiceros, mandarines) aumentaban con cortinas de humo lingüísticas adoptadas del inglés (por si este idioma no fuera ya bastante obstáculo en algunos países). Así, ‘escrachear’ era borrar un soporte magnético, o  ‘desencriptar’ (que, por desgracia, se nos ha quedado) era descifrar. Ello ha supuesto una barrera de ‘analfabetismo informático’ para muchas personas y en particular quizá las de más edad o con menos formación STEM (siglas en inglés para: ciencia, tecnología, ingeniería, matemáticas).

- la composición de los CA estaba sesgada hacia las especialidades eficaces y rentables en el ‘estable’ régimen anterior: el Derecho, la Economía, la Academia… Las especialidades adecuadas a las necesidades entonces de los mercados (derecho administrativo, derecho mercantil, macro- y microeconomía) y a los perfiles de los políticos y administradores públicos (por facilidad de diálogo y por ‘puertas giratorias’).

- el propio interés de consejos y consejeros de preservarse y perpetuarse, como una casta, en unas funciones generalmente poco exigentes, bien retribuidas, bien consideradas socialmente, y con relativo poder, influencia y beneficios indirectos.

En España, lo anterior se ha visto reforzado por:

- una tradición altamente licenciataria de tecnologías (no solo TI) de las empresas, lo que   —en cierta forma, no positiva— ‘comoditizaba’ la tecnología, simplificando, en cierta medida, su gobierno y gestión. Lo que necesito, lo compro, como una ‘caja negra’;

- los consejos de administración siguen generalmente compuestos (aparte de por muchos consejeros NO independientes) por una gerontocracia de abogados, economistas y exministros, bien adaptada a las necesidades, regulaciones e intereses, creados en gran medida por ellos mismos a lo largo del último siglo. Es un sistema autoestabilizante.

Las generalizaciones son casi siempre falaces, y hay empresas, profesionales, analistas y académicos que hace tiempo vienen adoptando y recomendando la asunción por los CA de roles más activos en la orientación y supervisión del uso de las TI en sus empresas, y en la sociedad.

* *

Hitos en fomento de una mayor intervención de los CA en las TI

1. Probablemente el documento pionero (¡2003!) en esta línea fue el Board Briefing (Informe al Consejo) de ITGI[5]. Un informe destinado a un consejo de administración genérico.

“Los consejos de administración y las direcciones ejecutivas tienen que extender el gobierno a las TI y proporcionar el liderazgo, las estructuras y procesos organizativos que aseguren que las TI de la empresas soportan y extienden las estrategias y objetivos. El gobierno TI no es una disciplina aislada, sino parte integral del gobierno general de la empresa. La necesidad de integrar el gobierno TI en el gobierno general de la empresa es similar a la necesidad de que las TI sean parte integral de la empresa y no rincones recónditos o torres de marfil. 

A los grupos de interés (stakeholders) cada vez más educados y resolutos les preocupa una gestión sólida de sus intereses. Esto ha llevado al surgimiento de principios y normas para el gobierno general de la empresa. Además, las regulaciones establecen responsabilidades del consejo de administración y requieren que éste actúe con la debida diligencia en sus roles.”[6]

El informe, de 66 páginas, es de acceso libre, por lo que, pese a su interés no procede extenderse sobre él aquí; sí, recomendar la lectura de su contenido, totalmente vigente. Como botón de muestra, unas preguntas (que el consejo debería hacerse), extraídas del medio centenar recogidas en su Anejo A. 

- ¿Está claro [para el consejo] lo que TI está haciendo?

- ¿Cuánto del esfuerzo de TI se dedica a ‘apagar fuegos’ en vez de a facilitar mejoras del negocio?

- ¿ El consejo articula y comunica la dirección del negocio con la que TI debiera alinearse?

- ¿Cuán crítica es TI para sostener la empresa? ¿Y para hacerla crecer? 

2. La norma ISO/IEC 38500:2008 Corporate governance of information technology  (que rebautizó la ISO/IEC DIS 29382: 2007) fue el resultado de la aprobación rápida (fast track) de la norma australiana AS 8015:2005;  por lo que probablemente se empezó a ‘cocinar’ en las mismas fechas que el informe de ITGI.

Para la 38500, “El gobierno es distinto de la gestión y, para evitar confusión, ambos conceptos están claramente definidos en la norma” [7]. 

La 38500 fue revisada en 2015 con muchos pequeños retoques, pero con dos cambios importantes [8]: 

i) un nuevo nombre, para ampliar su cobertura potencial: Governance of IT for the Organization [antes, Corporate]; y 

ii) permitiendo, de forma explícita, dos posibles escalones de delegación: a) del consejo a una comisión del consejo; y b) de los anteriores al equipo directivo. Esto —como comentaré más abajo— me parece una decisión radical que encierra claras ventajas y claros riesgos asociados.

La norma propone 6 Principios y un Modelo. 

Los principios son: 1) responsabilidad referente a TIC;  2) alineación de la estrategia TIC con la de la organización; 3)  adquisiciones TIC razonables y razonadas; 4) rendimiento y desempeño; 5) conformidad; y 6) comportamiento humano. 

El Modelo (que la norma esquematiza en una figura elocuente) plantea dos capas: una de Gobierno y otra de Gestión / Administración. 

La capa de Gobierno (el cometido del órgano de gobierno) tiene 3 funciones (EDM, siglas en inglés): Evaluar, Dirigir (establecer la dirección) y Supervisar. Estas tres funciones forman un ‘círculo virtuoso’ triangular (similar al más conocido cuadrangular PDCA –planificar, ejecutar, comprobar, actuar).   

La capa de Gestión / Administración (el cometido de los órganos ejecutivos) recoge los procesos de la organización en un esquema que podría ser una simplificación de la clásica cadena de valor de M. Porter.

Ambas capas se relacionan mediante tres flujos principales: un primero, de Gobierno a Gestión, contiene objetivos, políticas, estrategias y directrices; un segundo, de Gestión a Gobierno, rinde cuentas; y un tercero, también de Gestión a Gobierno, eleva propuestas.

El cuerpo de la norma (que es “asesora, de alto nivel, basada en principios”) ofrece consejos o recomendaciones, que podría visualizarse como una matriz de 18 casillas: el producto de los 6 principios, vistos cada uno desde las 3 grandes actividades EDM. 

3. En 2009, el australiano Mark Toomey, que fue coeditor de la AS 8015:2005, publicó Bailando el Vals con el Elefante[9], un interesante y atractivo texto en que desarrolla sus ideas sobre GCTI, sintetizadas en la AS 8015. Desde entonces Mark ha dado varias vueltas al mundo haciendo presentaciones personales de sus ideas, y difusión virtual, mediante su revista Infonomics [10]. 

4. COBIT 5 [11]

En 2012, ISACA[12] publicó COBIT 5 y desde entonces ha publicado un gran número de productos muy diversos de esa familia (aparte de sus traducciones a diversos idiomas). 

COBIT 5 se subtitula “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”. COBIT es un nuevo nombre propio, no ya un acrónimo como en versiones anteriores, y es el vástago más joven de una generación que se inició 15 años antes.   

Pero COBIT 5 supuso una revolución en la familia, en al menos dos aspectos: i) —el que más importa aquí es que— explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TIC; y ii) —aquí menos importante—abjura de su tradicional modelo de madurez de procesos ‘CMM’ [13] y abraza el de capacidad de procesos de ISO/IEC 15504, SPICE [14].

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500 [15].

El marco COBIT 5, se desarrolla a partir de unas necesidades de los interesados / derechohabientes (stakeholders needs)[16], y propone 7 elementos habilitadores (drivers) para atenderlas: 

1) procesos; 2) cultura, ética, comportamiento; 3) estructuras organizativas; 4) información; 5) principios y políticas; 6) habilidades y competencias; y 7) capacidades de servicio; que están sistémicamente interrelacionados.

COBIT 5 se basa en 5 Principios:  

1) Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, aunque propone un modelo de referencia de procesos (ver más abajo).

2) Se rige por la persecución del valor para los interesados (stakeholders).

3) Está orientado al negocio [en sentido genérico: engloba administraciones públicas, ONGs, etc.].

4) Se basa en los 7 habilitadores enunciados más arriba.

5) Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados pero interrelacionados. 

COBIT 5 consta de 37 procesos [17] de alto nivel, frente a los 34 del previo CobiT 4.1. De ellos, 5 son de Gobierno Corporativo; los demás de Gestión. Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al no ser prescriptivo— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en una ‘ficha’ normalizada que describe subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI (Responsable-Alto_Responsable-Consultado-Informado)[18]. La riqueza de información es muy considerable. 

5. NACD [19] 

En 2014,  la americana Asociación Nacional de Consejeros [de Administración] de Empresa [20], puso en marcha la iniciativa “La Intersección de Tecnología, Estrategia y Riesgo”, orientada a trasladar a su comunidad de miembros el mensaje de que “las Tecnologías de la Información evolucionan de forma imparable y, por tanto, de igual modo, ha de evolucionar el perfil de un consejero eficaz”[21]. 

El programa se asienta en la premisa, que comparto,  de que “las tecnologías [de la información] crean oportunidades para que las empresas innoven, para que generen eficiencias operativas y para que alcancen una ventaja competitiva” en sus respectivos sectores/mercados.

En el programa colaboran ISACA, la consultora KPMG[22] y la firma de análisis de mercado Gartner[23]. 

“La Intersección de Tecnología, Estrategia y Riesgo” se compone de una colección de vídeos en los que, a modo de entrevistas, un grupo de expertos (consejeros, consultores, CIOs, …) van respondiendo a una serie de cuestiones clave y ofreciendo su particular visión sobre la influencia de las TI en las organizaciones de hoy y sobre el papel que los consejos de administración —y, por ende, los consejeros—  han de jugar en el actual escenario.

Los ocho capítulos de la serie están configurados como pequeñas video-píldoras, de entre cinco y diez minutos de duración, con los siguientes títulos[24]:

- Capítulo 1. Un mundo nuevo y desafiante (A brave new world).

- Capítulo 2. Cuestiones clave que los consejos de administración deberían estar preguntando sobre tecnología (Critical questions boards should be asking about technology).

- Capítulo 3. Tecnología y liderazgo: el papel crítico del CIO (Technology and leadership: the critical role of the CIO).

- Capítulo 4.  Abrazando lo perturbador (Embracing disruption).

- Capítulo 5. Fomentando una cultura de innovación (Fostering a culture of innovation).

- Capítulo 6. La revolución del aluvión de datos (The big data revolution).

- Capítulo 7. Ciberseguridad (Cybersecurity).

- Capítulo 8. Redes sociales: beneficios y riesgos (Social media: risk and reward). 

6. King III

Los Informes King –King Reports on Corporate Governance­– son una pionera colección de directrices sobre gobierno corporativo y operación de empresas. Los publica en Sudáfrica el ‘Comité King sobre Gobierno Corporativo’ (King es el nombre del presidente del Comité). Han sido considerados como “la síntesis más eficaz de las mejores prácticas internacionales sobre gobierno corporativo”. 

Obligan a las empresas que cotizan en la Bolsa de Johannesburgo. El primero (King I) se publicó en 1994; el vigente es el King III, de 2009; y está anunciado el King IV para este año 2017 [25]. 

Por su origen y función, los Informes King pueden ser comparados con los códigos españoles: Código Unificado de Buen Gobierno de las Sociedades Cotizadas (2013) de la CNMV[26] y sus precursores Código Conthe (2006), Código Aldama (2003) y Código Olivencia (1998). Una comparación más detallada resulta ilustrativa, pero rebasa el propósito de este documento. 

* *

Referencias: ATI. (2014). Novática. Monografía. Gobierno Corporativo de las TI. Nº 229, julio-septiembre 2014. http://www2.ati.es/novatica/2014/229/Nv229-Digital.pdf  [URL consultado el 20170501]. 

* * *

Artículo escrito por Manolo Palao, iTTi 20170507    

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

----------------------------------------

[1]  http://dle.rae.es/?id=JHRSmFV [URL consultado el 20170422].

[2] Ver, por ejemplo, http://www.un.org/es/globalissues/governance/, https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwij1fSIurjTAhUIrRoKHcWnAnUQFggjMAA&url=https%3A%2F%2Fwww.oecd.org%2Fgov%2Fregional-policy%2FOECD-Principles-Water-spanish.pdf&usg=AFQjCNHWSCfHJBseXwBFYYjWe0ZSU1ruGQ&sig2=tA0RwhtTBlIQUx92ENhtag&cad=rja,  https://www.insead.edu/executive-education/corporate-governance-programmes?CampaignId=GGL_Search_A&SiteId=GGL&AdId=CORPGOV&device=c&term=corporate%20governance%20program&gclid=CjwKEAjw_uvHBRDUkumF0tLFp3cSJACAIHMYMI4VDIy448O9NGeODZkEVvX1ZYtzbLdjfwWTrOdRdhoC4tHw_wcB, https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=governance+of+portfolios+programs+and+projects+a+practice+guide+pdf, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=%22data+governance%22++ , [URLs consultados el 20170422]. 

[3] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada, como lo es quien la haya elaborado así, por ignorancia o intereses espurios. Con palabras como ‘gobernanza’, ‘estrategia’ y (otras muchas) se viene produciendo un deslizamiento semántico, normalmente hacia su banalización. 

[4] Ver, por ejemplo la docena larga de dimisiones de CEOs importantes causadas por incidentes de ciber-inseguridad reseñada por García-Menéndez, M. (2017).  “¿Quién se hace cargo?”.  Novática nº 238, noviembre 2016 - febrero 2017. http://www2.ati.es/novatica/2017/238/Nv238-Digital.pdf [URL consultado el 20170502].

[5] ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition .    https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/board-briefing-on-it-governance-2nd-edition.aspx [URL consultado el 20170303]. El ITGI fue creado en 1998 http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx  [URL consultado el 20170303] por ISACA . ISACA —en sus orígenes, en 1967, una asociación de auditores de sistemas de información— es en la actualidad una asociación al servicio de “los profesionales en gobierno de TI” y cuenta con unos 140 000 socios en 180 países http://www.isaca.org/about-isaca/Pages/default.aspx [URL consultado el 20170303]. 

[6] Fuente: ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition . p. 6.  Copyright © 2003 by the IT Governance Institute.  Con autorización, para uso académico. 

[7] "Governance is distinct from management, and for the avoidance of confusion, the two concepts are clearly defined in the standard.”  ISO/IEC 38500: 2008  , p 5.

[8]  https://en.wikipedia.org/wiki/ISO/IEC_38500#Updates_to_the_standard  [URL consultado el 20170303].

[9] Toomey, M. (2009, 2011). Waltzing with the Elephant. Edition 1, Print 1, 3rd August 2009. Bailando el Vals con el Elefante Primera edición en español. Primera impresión. 30 de abril de 2011.  https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwizqIrbsobTAhVmBMAKHWdjApsQFggcMAA&url=http%3A%2F%2Fwww.infonomics.com.au%2FWeb%2520Content%2FDocuments%2FBailando%2520el%2520Vals%2520con%2520el%2520Elefante%2520-%2520extracto%2520promocional.pdf&usg=AFQjCNHWleHgv4hIluwqGDuyzSfp_73-uA&sig2=yi4z4DMj1zd2fyD39VQf7g&cad=rja  [URL consultado el 20170409]. 

[10]  http://www.infonomics.com.au/Index.htm [URL consultado el 20170409].

[11] Esta sección usa ampliamente material previamente publicado en Touriño, M. y Palao, M. (2011).  “Sección Técnica «Auditoría SITIC»-  Ref Autoriz  CobiT PAM y COBIT 5”. Novática. Nº 213, noviembre 2011. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjeitSDspfTAhXJRhQKHeTEChsQFggeMAE&url=https%3A%2F%2Friunet.upv.es%2Fbitstream%2Fhandle%2F10251%2F37507%2FViv%25C3%25B3%2C%2520R.%2520-%2520Referencias%2520autorizadas.pdf%3Fsequence%3D2&usg=AFQjCNF0pCrd0nRJBqTRhcPwwvAovLWfhw&sig2=D58kvEDbt4J2Y2fyPItafA&cad=rja   [URL consultado el 20170409]. 

[12] SACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector". Desde hace unos años ‘ISACA’ es un nombre propio; anteriormente era el acrónimo de Information Systems Audit and Control Association, denominación que se cambió dado el cambio histórico en la composición e intereses de sus socios. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia.  

http://www.isaca.org/about-isaca/Pages/default.aspx  [URL consultado el 20170409]. 

[13] Basado, con adaptaciones en el CMM del SEI de CMU: http://en.wikipedia.org/wiki/Capability_Maturity_Model [URL consultado el 20170409].

[14] http://en.wikipedia.org/wiki/ISO/IEC_15504 [URL consultado el 20170409].

[15] De la que hace una ‘transposición’ (adopción con variaciones). 

[16] Abstraídas como resultado de amplias encuestas. 

[17] Recuerdo que la redacción en ‘imperativo’ fue una positiva innovación de CobiT 4. (2005), no sistemáticamente implementada en castellano, quizá debido a problemas entre el imperativo y el infinitivo. 

[18] La tabla RACI es una matriz unidades_empresariales – actividades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio.

[19] Esta sección usa ampliamente material previamente publicado en García-Menéndez, M. y Palao, M. (2014).  “Sección Técnica «Gobierno corporativo de las tecnologías de la información (GCTI)»-  Ref Autoriz Asociación Nacional de Consejeros de Empresa. Otro espejo en que mirarse”. Novática. Nº 228, abril-junio de 2014. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwji2smh-pfTAhXm6IMKHdWHD4EQFgglMAE&url=http%3A%2F%2Fwww.ati.es%2Fnovatica%2F2014%2F229%2FNv229-106.pdf&usg=AFQjCNETYVkoIEeuiGJeAGZ81-vI9a6YiA&sig2=KnNKCzYvoaUulF6TU9DKFg&cad=rja  [URL consultado el 20170409].

[20] NACD, (del inglés, National Association of Corporate Directors) reúne más de 17 000 miembros de consejos de administración y lleva más de 40 años proponiendo normas para una actuación responsable de los consejos de administración. https://www.nacdonline.org/AboutUs/ [URL consultado el 20170409].

[21] NACD. (2014). The Intersection of Technology, Strategy and Risk. http://www.nacdonline.org/IT  [URL consultado el 20170409]. 

[22] KPMG International Cooperative. http://www.kpmg.com [URL consultado el 20170409]. 

[23] Gartner Inc. http://www.gartner.com [URL consultado el 20170409]. 

[24] La colección completa puede encontrarse tanto en la sede web de la NACD, como en la de ISACA. No obstante, se recomienda optar por esta segunda posibilidad, dado que ISACA ofrece los vídeos “en abierto”, a diferencia de lo que ocurre con la NACD, que ofrece el material sólo para sus miembros.

ISACA. New video series: The Intersection of Technology, Strategy and Risk  http://www.isaca.org/videos/Pages/Intersection.aspx [URL consultado el 20170412].   

[25]  https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance   [URL consultado el 20170412].   

[26] https://www.cnmv.es/portal/Legislacion/COBG/COBG.aspx  [URL consultado el 20170412].