El Triángulo de la Gobernanza

Distribución de roles y responsabilidades en el Gobierno y Gestión de las TI entre Consejo de Administración (CA), CEO y CIO

 * *

Propósito de este documento

Explorar la distribución de roles y responsabilidades en el gobierno y gestión de las TI entre: i) Consejo de Administración [CA]; ii) Presidente Ejecutivo o Consejero Delegado o Director General [CEO]; y iii)  Director de Tecnologías de la Información (TI) o de Informática [CIO]. 

Me refiero, en terminología y referencias, al ámbito de las empresas, pero es probable que lo que digo pueda extenderse — mutatis mutandi— a otras organizaciones, como fundaciones, universidades, ONGs o la Administración Pública. 

* *

Gobernanza | Buen Gobierno TI

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’, ‘gobierno corporativo de las TI’ (GCTI) y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

La norma ISO 38500[2]  define la Gobernanza de las TI (“gobernanza que es distinta de la gestión”) como “El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI”[3].

En 2012, Gartner publicó una definición de Gobernanza [de las TI], tras “haber recibido más de 3200 consultas sobre el tema de la gobernanza” en los 6 primeros meses de ese año. 

Gartner[4]  define “gobernanza” como el proceso de:

- «Establecer los derechos de decisión y responsabilidad; y también establecer políticas alineadas con los objetivos del negocio (conservación y aumento del valor para el accionista)

- Equilibrar las inversiones conforme a las políticas y en apoyo de los objetivos del negocio (ejecución coherente de la estrategia)

- Establecer medidas para monitorizar el cumplimiento de decisiones y políticas (cumplimiento y aseguramiento)

- Asegurar que los procesos, comportamientos son conformes con las políticas y están dentro de las tolerancias de las decisiones (gestión del riesgo)» 

ISACA[5] define la gobernanza empresarial como “un conjunto de responsabilidades y prácticas ejercidas por el consejo de administración y la dirección ejecutiva con el propósito de aportar dirección estratégica, asegurando que se alcanzan los objetivos y que los riesgos se gestionan apropiadamente y verificando que los recursos de la empresa se usan de forma responsable”[6]. 

iTTi[7], en su Manifiesto sobre GCTI[8] dice:

- El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso.

- La responsabilidad sobre la rendición de cuentas en torno al uso que se hace de las TI recae en el consejo de administración u órgano de gobierno equivalente. Los mecanismos de gobierno corporativo enlazan las actividades de dirección y control del consejo con el dominio de gestión de la organización a través del consejero delegado (CEO) y el resto de ejecutivos, incluido el director de sistemas de información (CIO). 

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso de las tecnologías, más que de su detalle táctico, operativo y técnico. Gobernanza que tiene la virtualidad de hacer forzosa en la realidad (y vacua en la teoría) la alineación de la denominada[9] ‘estrategia TI’ con la ‘estrategia corporativa’.

* * 

Polarización sesgada de la responsabilidad sobe GCTI

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones y sobre muchos temas, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos[10]. Y también, la que aquí me importa de las tecnologías de la información (TI).  

El protagonismo y la propiedad de las acciones en temas de gobierno de TI se han asignado tradicionalmente, por investigadores, docentes y medios a los CIO (directores de informática), los CEO (ejecutivos jefe), y —más recientemente— a los órganos de gobierno [OG], CA. 

Muchas de esas asignaciones han sido focales en uno de los tres agentes (CIO, CEO, OG), ignorando los otros dos o haciéndoles jugar un papel subordinado o complementario al central del agente favorecido en cada estudio o por cada institución.

Así, se ha publicado mucho sobre temas como los siguientes: 

- Cómo puede / debe explicar el CIO al CEO la estrategia de TI 

- Cómo alinear la estrategia TI con la estrategia corporativa

- Cómo informar al consejo de administración del riesgo TI

- El CIO ideal para un CEO

- Los temas TI que el CA no puede delegar

- Etc.

Sin embargo, tanto el sentido común cuanto la disciplina de organización de empresas (o denominación afín) apuntan que el protagonismo y la propiedad de las acciones de GCTI será, en cada caso (país, sector, tamaño, multinacionalidad, empresa concreta), el resultado de un equilibrio trilateral más o menos distribuido entre los tres actores, pero probablemente sin exclusión de ninguno de ellos. Equilibrio dinámico resultante de la acción de la micropolítica, motor de toda institución[11].

La reducción a tres grandes actores es probablemente, a su vez, una simplificación, aunque sea aceptable en primera aproximación. 

En un análisis más fino convendría considerar también a otros principales interesados (stakeholders) con algún cuanto significativo de poder y por tanto con una influencia sensible; piénsese, por ejemplo, en los reguladores. 

No parece, sin embargo, viable (salvo por estudio de algunos casos aislados) recoger información estadística de muchos,  ni rebasar lo que sería un mero ‘mapa de influencias’ (formales e informales) de los tres actores.  Pero —dado que la gobernanza es un proceso complejo— también serían de mucho interés los principales flujos e interacciones entre los actores. 

* *

Motivos por los que no se observa la trilateralidad

Opino que la información generalmente disponible —encuestas y análisis por diversas entidades sobre muestras diversas de empresas y organizaciones— adolece a menudo de dos grandes sesgos: uno derivado del posicionamiento u óptica desde el que se acomete el estudio y otro debido a la representatividad de la muestras[12]. 

Los marcos, normas, encuestas y estudios producidos por entidades que —por su origen, evolución e intereses— son proclives a la preponderancia de uno de los tres colectivos de actores citados, tienden a ignorar o relegar a los otros dos o a alguno de ellos[13].

Las empresas recogidas en las muestras y casos de estudio de mayor difusión son, con frecuencia, grandes multinacionales y –si bien pueden ser representativas de ‘mejores prácticas’  por su cuota de mercado o empleados, no cabe tomarlas como guía absoluta para la miríada de empresas menores (incluso PYMEs) que constituyen el tejido económico y social de muchos países, entre ellos España.

Hay que mencionar también que la política freemium de muchos de los grandes analistas, por la que publican gratis solo un pequeño resumen y sólo mediante pago (a veces sustancial) el estudio completo, dificulta al estudioso un análisis crítico más fundamentado. El pequeño resumen, que sirve de noticia y a la vez acicate para adquirir el estudio completo, suele carecer de la información demográfica y técnica de la encuesta, impidiendo así su interpretación correcta. 

* *

Banalización del término ‘gobernanza’

En el campo de las TI (y sus numerosos subcampos, herramientas y técnicas) se ha venido produciendo una banalización de la gobernanza que —como acabo de exponer— es un proceso de ‘alto nivel’ en toda organización.   

Probablemente se debe a intereses espurios, de mala mercadotecnia, que se proponen aumentar el atractivo de un producto o servicio, quizá bueno para su función puntual original, proclamando también su contribución al buen gobierno. Por citar un ejemplo, mencionaré la clase de productos de software (SW)  GRC (Governance, Risk and Compliance), que en su mayoría son meros gestores documentales. Dejo al lector interesado que —con un mínimo esfuerzo de búsqueda— deduzca cuánto tienen que ver los que se ofrecen en el mercado con la gobernanza, como se ha definido más arriba[14].

Esa banalización difumina, en muchos casos, el concepto de gobernanza y puede dificultar su asignación a los tres (o más) perfiles citados.  

* *

Conclusión

El GCTI es una función y un proceso de alto nivel en las organizaciones. Proceso que dirige y controla el uso, los objetivos y estrategias de las TI. 

Compete en proporciones variables y dependientes de las características de cada empresa a la terna OG – CEO – CIO, con una responsabilidad última irrenunciable del OG.

No hay mucha información fácilmente asequible que documente claramente y sin sesgos cómo se distribuye la responsabilidad y la influencia de las tres partes principales en gran número de empresas de diferentes tipos.

De forma ideal y simplificada sería bueno disponer de estudios empíricos (encuestas) que —por ejemplo— tipificasen la tupla (a, b, c) de influencia [ver figura], (con a+b+c = 100%, por ejemplo).[15] 

* * *

Artículo escrito por Manolo Palao, iTTi 20170505   

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.   

-------------------------------------------------

[1] http://dle.rae.es/?id=JHRSmFV  [URL consultado el 20170422]. 

[2] ISO/IEC 38500:2015 Governance of IT for the Organization.

[3] Fuente de la traducción: UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI). §1.6.3 gobernanza corporativa de la TI. 

[4] Julie Short, J. et al.(04 September 2012). " Gartner Defines 'Governance'". Gartner. ID: G00237914. https://www.gartner.com/document/2145816?ref=lib  [URL consultado el 20170511].

[5] https://www.isaca.org/pages/default.aspx [URL consultado el 20170511]. 

[6] SACA. (2013). CEGEIT Review Manual 2013. Rolling Meadows, IL. EEUU. ISACA. p.7. 

[7] http://www.ittrendsinstitute.org/about-itti [URL consultado el 20170511]. 

[8] iTTi. (2015). "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" V01.00.20150530ES https://es.slideshare.net/iTTi_news/el-manifiesto-itti [URL consultado el 20170511].

[9] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada (no es una estrategia adecuada), como está equivocado o es inadecuado quien la haya elaborado así, por ignorancia o intereses espurios. 

[10] Como cualquier búsqueda rápida en Internet puede confirmar. 

[11] Sobre ‘equilibrio’, en teoría de la organización, han tratado muchos sociólogos y economistas ilustres desde mediados del siglo pasado. 

[12] Confirmar empíricamente esta doble opinión es un trabajo pendiente, de una envergadura probablemente considerable. Hacen falta más estudios, más equilibrados y detallados, que probablemente manifiesten una participación equilibrada (que no uniforme) de los tres agentes (CIO, CEO y OG) y unos protagonistas distintos y relaciones menos diferenciados en muchas empresas medianas o pequeñas; con descripción suficiente de la muestra y de una metodología de muestreo suficientemente rigurosa. 

[13] No es fácil, y rebasaría el propósito de este trabajo, hacer la nómina de los autores y entidades que han tenido / tienen influencia importante en la tipificación de los roles de esos colectivos. Entre los más importantes están, probablemente:   Center for CIO leadership, CIO, Davenport, Forrester, Gartner, IESE, Infonomics, iNFoRMáTiCa++, ISACA, ITAG Research Institute, ITIL, iTTi, Johnson, King, McKinsey, MIT – CDB, MIT – CISR, NACD, Nolan & McFarlan, novática, Porter, PwC, Sieber & Valor,  Swedish Royal Institute of Technology’s Department of Industrial Information and Control Systems, Toomey, Ward & Peppard, Weill & Ross. 

[14] Sí pueden tener que ver con una visión reduccionista de ‘gobernanza’ de algunos autores, que la equiparan a ‘cumplimiento’ (compliance). 

[15] Ver:  Weill, P., & Ross, J. (2005). "A Matrixed Approach to Designing IT Governance". MIT Sloan Management Review. Cambridge 46.2 (Winter 2005): 26.   http://0-search.proquest.com.cataleg.uoc.edu/docview/224976041?pq-origsite=summon&http://0-search.proquest.com.cataleg.uoc.edu/pqcentral?accountid=15299  [URL consultado el 20170511].