Follow us on:
Perspectives

Articles tagged with: Buen Gobierno

El Triángulo de la Gobernanza

Thursday, 18 May 2017 Manolo Palao Posted in Corporate Governance of IT

Distribución de roles y responsabilidades en el Gobierno y Gestión de las TI entre Consejo de Administración (CA), CEO y CIO

 * *

Propósito de este documento

Explorar la distribución de roles y responsabilidades en el gobierno y gestión de las TI entre: i) Consejo de Administración [CA]; ii) Presidente Ejecutivo o Consejero Delegado o Director General [CEO]; y iii)  Director de Tecnologías de la Información (TI) o de Informática [CIO]. 

Me refiero, en terminología y referencias, al ámbito de las empresas, pero es probable que lo que digo pueda extenderse — mutatis mutandi— a otras organizaciones, como fundaciones, universidades, ONGs o la Administración Pública. 

* *

Gobernanza | Buen Gobierno TI

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’, ‘gobierno corporativo de las TI’ (GCTI) y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

La norma ISO 38500[2]  define la Gobernanza de las TI (“gobernanza que es distinta de la gestión”) como “El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI”[3].

En 2012, Gartner publicó una definición de Gobernanza [de las TI], tras “haber recibido más de 3200 consultas sobre el tema de la gobernanza” en los 6 primeros meses de ese año. 

Gartner[4]  define “gobernanza” como el proceso de:

- «Establecer los derechos de decisión y responsabilidad; y también establecer políticas alineadas con los objetivos del negocio (conservación y aumento del valor para el accionista)

- Equilibrar las inversiones conforme a las políticas y en apoyo de los objetivos del negocio (ejecución coherente de la estrategia)

- Establecer medidas para monitorizar el cumplimiento de decisiones y políticas (cumplimiento y aseguramiento)

- Asegurar que los procesos, comportamientos son conformes con las políticas y están dentro de las tolerancias de las decisiones (gestión del riesgo)» 

ISACA[5] define la gobernanza empresarial como “un conjunto de responsabilidades y prácticas ejercidas por el consejo de administración y la dirección ejecutiva con el propósito de aportar dirección estratégica, asegurando que se alcanzan los objetivos y que los riesgos se gestionan apropiadamente y verificando que los recursos de la empresa se usan de forma responsable”[6]. 

iTTi[7], en su Manifiesto sobre GCTI[8] dice:

- El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso.

- La responsabilidad sobre la rendición de cuentas en torno al uso que se hace de las TI recae en el consejo de administración u órgano de gobierno equivalente. Los mecanismos de gobierno corporativo enlazan las actividades de dirección y control del consejo con el dominio de gestión de la organización a través del consejero delegado (CEO) y el resto de ejecutivos, incluido el director de sistemas de información (CIO). 

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso de las tecnologías, más que de su detalle táctico, operativo y técnico. Gobernanza que tiene la virtualidad de hacer forzosa en la realidad (y vacua en la teoría) la alineación de la denominada[9] ‘estrategia TI’ con la ‘estrategia corporativa’.

* * 

Polarización sesgada de la responsabilidad sobe GCTI

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones y sobre muchos temas, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos[10]. Y también, la que aquí me importa de las tecnologías de la información (TI).  

El protagonismo y la propiedad de las acciones en temas de gobierno de TI se han asignado tradicionalmente, por investigadores, docentes y medios a los CIO (directores de informática), los CEO (ejecutivos jefe), y —más recientemente— a los órganos de gobierno [OG], CA. 

Muchas de esas asignaciones han sido focales en uno de los tres agentes (CIO, CEO, OG), ignorando los otros dos o haciéndoles jugar un papel subordinado o complementario al central del agente favorecido en cada estudio o por cada institución.

Así, se ha publicado mucho sobre temas como los siguientes: 

- Cómo puede / debe explicar el CIO al CEO la estrategia de TI 

- Cómo alinear la estrategia TI con la estrategia corporativa

- Cómo informar al consejo de administración del riesgo TI

- El CIO ideal para un CEO

- Los temas TI que el CA no puede delegar

- Etc.

Sin embargo, tanto el sentido común cuanto la disciplina de organización de empresas (o denominación afín) apuntan que el protagonismo y la propiedad de las acciones de GCTI será, en cada caso (país, sector, tamaño, multinacionalidad, empresa concreta), el resultado de un equilibrio trilateral más o menos distribuido entre los tres actores, pero probablemente sin exclusión de ninguno de ellos. Equilibrio dinámico resultante de la acción de la micropolítica, motor de toda institución[11].

La reducción a tres grandes actores es probablemente, a su vez, una simplificación, aunque sea aceptable en primera aproximación. 

En un análisis más fino convendría considerar también a otros principales interesados (stakeholders) con algún cuanto significativo de poder y por tanto con una influencia sensible; piénsese, por ejemplo, en los reguladores. 

No parece, sin embargo, viable (salvo por estudio de algunos casos aislados) recoger información estadística de muchos,  ni rebasar lo que sería un mero ‘mapa de influencias’ (formales e informales) de los tres actores.  Pero —dado que la gobernanza es un proceso complejo— también serían de mucho interés los principales flujos e interacciones entre los actores. 

* *

Motivos por los que no se observa la trilateralidad

Opino que la información generalmente disponible —encuestas y análisis por diversas entidades sobre muestras diversas de empresas y organizaciones— adolece a menudo de dos grandes sesgos: uno derivado del posicionamiento u óptica desde el que se acomete el estudio y otro debido a la representatividad de la muestras[12]. 

Los marcos, normas, encuestas y estudios producidos por entidades que —por su origen, evolución e intereses— son proclives a la preponderancia de uno de los tres colectivos de actores citados, tienden a ignorar o relegar a los otros dos o a alguno de ellos[13].

Las empresas recogidas en las muestras y casos de estudio de mayor difusión son, con frecuencia, grandes multinacionales y –si bien pueden ser representativas de ‘mejores prácticas’  por su cuota de mercado o empleados, no cabe tomarlas como guía absoluta para la miríada de empresas menores (incluso PYMEs) que constituyen el tejido económico y social de muchos países, entre ellos España.

Hay que mencionar también que la política freemium de muchos de los grandes analistas, por la que publican gratis solo un pequeño resumen y sólo mediante pago (a veces sustancial) el estudio completo, dificulta al estudioso un análisis crítico más fundamentado. El pequeño resumen, que sirve de noticia y a la vez acicate para adquirir el estudio completo, suele carecer de la información demográfica y técnica de la encuesta, impidiendo así su interpretación correcta. 

* *

Banalización del término ‘gobernanza’

En el campo de las TI (y sus numerosos subcampos, herramientas y técnicas) se ha venido produciendo una banalización de la gobernanza que —como acabo de exponer— es un proceso de ‘alto nivel’ en toda organización.   

Probablemente se debe a intereses espurios, de mala mercadotecnia, que se proponen aumentar el atractivo de un producto o servicio, quizá bueno para su función puntual original, proclamando también su contribución al buen gobierno. Por citar un ejemplo, mencionaré la clase de productos de software (SW)  GRC (Governance, Risk and Compliance), que en su mayoría son meros gestores documentales. Dejo al lector interesado que —con un mínimo esfuerzo de búsqueda— deduzca cuánto tienen que ver los que se ofrecen en el mercado con la gobernanza, como se ha definido más arriba[14].

Esa banalización difumina, en muchos casos, el concepto de gobernanza y puede dificultar su asignación a los tres (o más) perfiles citados.  

* *

Conclusión

El GCTI es una función y un proceso de alto nivel en las organizaciones. Proceso que dirige y controla el uso, los objetivos y estrategias de las TI. 

Compete en proporciones variables y dependientes de las características de cada empresa a la terna OG – CEO – CIO, con una responsabilidad última irrenunciable del OG.

No hay mucha información fácilmente asequible que documente claramente y sin sesgos cómo se distribuye la responsabilidad y la influencia de las tres partes principales en gran número de empresas de diferentes tipos.

De forma ideal y simplificada sería bueno disponer de estudios empíricos (encuestas) que —por ejemplo— tipificasen la tupla (a, b, c) de influencia [ver figura], (con a+b+c = 100%, por ejemplo).[15] 

* * *

Artículo escrito por Manolo Palao, iTTi 20170505   

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.   

-------------------------------------------------

[1] http://dle.rae.es/?id=JHRSmFV  [URL consultado el 20170422]. 

[2] ISO/IEC 38500:2015 Governance of IT for the Organization.

[3] Fuente de la traducción: UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI). §1.6.3 gobernanza corporativa de la TI. 

[4] Julie Short, J. et al.(04 September 2012). " Gartner Defines 'Governance'". Gartner. ID: G00237914. https://www.gartner.com/document/2145816?ref=lib  [URL consultado el 20170511].

[5] https://www.isaca.org/pages/default.aspx [URL consultado el 20170511]. 

[6] SACA. (2013). CEGEIT Review Manual 2013. Rolling Meadows, IL. EEUU. ISACA. p.7. 

[7] http://www.ittrendsinstitute.org/about-itti [URL consultado el 20170511]. 

[8] iTTi. (2015). "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" V01.00.20150530ES https://es.slideshare.net/iTTi_news/el-manifiesto-itti [URL consultado el 20170511].

[9] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada (no es una estrategia adecuada), como está equivocado o es inadecuado quien la haya elaborado así, por ignorancia o intereses espurios. 

[10] Como cualquier búsqueda rápida en Internet puede confirmar. 

[11] Sobre ‘equilibrio’, en teoría de la organización, han tratado muchos sociólogos y economistas ilustres desde mediados del siglo pasado. 

[12] Confirmar empíricamente esta doble opinión es un trabajo pendiente, de una envergadura probablemente considerable. Hacen falta más estudios, más equilibrados y detallados, que probablemente manifiesten una participación equilibrada (que no uniforme) de los tres agentes (CIO, CEO y OG) y unos protagonistas distintos y relaciones menos diferenciados en muchas empresas medianas o pequeñas; con descripción suficiente de la muestra y de una metodología de muestreo suficientemente rigurosa. 

[13] No es fácil, y rebasaría el propósito de este trabajo, hacer la nómina de los autores y entidades que han tenido / tienen influencia importante en la tipificación de los roles de esos colectivos. Entre los más importantes están, probablemente:   Center for CIO leadership, CIO, Davenport, Forrester, Gartner, IESE, Infonomics, iNFoRMáTiCa++, ISACA, ITAG Research Institute, ITIL, iTTi, Johnson, King, McKinsey, MIT – CDB, MIT – CISR, NACD, Nolan & McFarlan, novática, Porter, PwC, Sieber & Valor,  Swedish Royal Institute of Technology’s Department of Industrial Information and Control Systems, Toomey, Ward & Peppard, Weill & Ross. 

[14] Sí pueden tener que ver con una visión reduccionista de ‘gobernanza’ de algunos autores, que la equiparan a ‘cumplimiento’ (compliance). 

[15] Ver:  Weill, P., & Ross, J. (2005). "A Matrixed Approach to Designing IT Governance". MIT Sloan Management Review. Cambridge 46.2 (Winter 2005): 26.   http://0-search.proquest.com.cataleg.uoc.edu/docview/224976041?pq-origsite=summon&http://0-search.proquest.com.cataleg.uoc.edu/pqcentral?accountid=15299  [URL consultado el 20170511].

 

El Consejo de Administración en el Gobierno Corporativo de las TI

Sunday, 07 May 2017 Manolo Palao Posted in Corporate Governance of IT

Aclaración terminológica

En este documento utilizo como sinónimos, en un sentido lato, ‘buen gobierno’, ‘gobernanza’ y ‘governance’. Cuando conviene más finura, suelo usar ‘buen gobierno’, como ejercicio adecuado y correcto de la —más abstracta— ‘gobernanza’[1].

Trato también como sinónimos, salvo mención expresa órgano de gobierno OG) y consejo de administración (CA).

* *

Propósito de este documento

El propósito de este trabajo es hacer una breve reseña de los principales hitos en que se recaba para los órganos de Gobierno (OGs) de las entidades, el protagonismo en el gobierno corporativo de las TI (GCTI) , en un movimiento relativamente nuevo durante la última década.

* *

Introducción

Desde la última década del siglo pasado ha habido un creciente interés por temas de buen gobierno (governance) por muy diversas razones, desde la gobernanza de las naciones a la del agua, pasando por la portuaria y logística, la corporativa, la de carteras de programas y  proyectos, la de las TI, o la gobernanza de datos [2].

Esa gobernanza o buen gobierno se entiende, en general, como una capa superior o estratégica de la gestión. Un ocuparse de políticas, objetivos y estrategias sobre el empleo (o no) y modo de uso del tema en cuestión, más que de su detalle táctico, operativo y técnico. 

Es quizá en la última década cuando los OGs, y los estudiosos han reivindicado con más fuerza el   derecho y la obligación de los primeros de establecer las políticas y estrategias de las TI y de supervisar su cumplimiento por los ejecutivos; el mismo derecho y obligación-responsabilidad que tienen (por ley) sobre las demás funciones de la empresa.

Sin perjuicio de lo razonable que parece ese enfoque, en la práctica no se aplica en muchos casos, quedando las políticas y estrategias de las TI en manos del CIO, con mayor o menor intervención —quizá creciente— del CEO, según resulte del equilibrio de poder en cada organización. Pero esto ya no es tema de este documento.

Gobernanza que —en el caso de las TI (como pasaría con otras funciones corporativas)— tiene la virtud de hacer efectiva la alineación de la denominada [3] ‘estrategia TI’ (o la estrategia de otras unidades) con la ‘estrategia corporativa’. 

* *

El Consejo de Administración

El Consejo de Administración (CA) es el órgano de gobierno de las empresas, usual en España en grandes empresas y bastantes PYMEs.  (Ver recuadro inferior)

----------------------------------------------------------------------------------------------------------------------------------------------

Los órganos de gobierno o de administración (OG)

Los órganos de gobierno o de administración de empresas y entidades tienen en español denominaciones diversas, que dependen de la legislación aplicable en cada país.

En España, las ‘sociedades de capital’ se rigen por la  Ley de sociedades de capital, 2011, que –en su Artículo 209- indica que “Es competencia de los administradores la gestión y la representación de la sociedad...”. Y en su Artículo 210 señala que pueden ejercerla uno o dos administradores y –si fueren más- “constituirán consejo de administración” (CA).  Los miembros del CA se denominan consejeros. El CA tiene un Presidente (P), que puede o no ser ejecutivo (PE). El CA puede nombrar en su seno un Consejero Delegado (CD); o –fuera de su seno- un Director General (DG).

El CA tiene Comisiones (algunas determinadas por ley), constituidas por consejeros. Puede haber un Comité Ejecutivo.

El PE | CD | DG  suele a su vez encabezar un Comité de Dirección (CoD) que reúne a todos o parte de los Directores de unidades —los ‘ejecutivos’..

No debe confundirse el CoD con el CD o sus comisiones.

Otras entidades, no de capital, en España se rigen por otras Leyes y su equivalente (a nuestros efectos) del CA son, por ejemplo, el Patronato (y su presidente), en el caso de Fundaciones; o el Rectorado (presidido por el Rector), en las Universidades.

En LATAM, equivalentes del CA son la Junta (Directiva), o el Directorio.   

 En Inglés, el órgano de gobierno más frecuente es ‘the Board of Directors’ (the Board) —equivalente a nuestro CA— y sus miembros son Directors (NO directores, sino consejeros –miembros del CA). El primer ejecutivo, sea o no consejero, es el Chief Executive Officer (CEO). 

En Francia es frecuente la figura del PDG - Président-directeur général (P-DG).

Para nosotros, aquí, CEO = PE | CD | DG | P-DG.  

Para más finura, consúltese la legislación mercantil (y otra pertinente) del país en cuestión.

--------------------------------------------------------------------------------------------------------------------------------------------------

* *

Desentendimiento CA – Tecnologías de la Información (TI)

Hasta hace algunos años —y lamentablemente aún en muchas empresas— el CA ha estado generalmente ajeno a las TI. Incluso ahora, cuando se ocupa de las TI, es a menudo solo tras un ciberincidente; un robo escandaloso de datos o una caída importante del servicio. (Incidentes graves, en el extranjero, han desembocado en un cese o dimisión del CEO [4]).

Ese desentendimiento parece ser un fenómeno global, aunque quizá exacerbado en algunos países, entre ellos España, como se comentará más abajo. 

Pero en el momento actual (y desde hace un par de lustros) es evidente que el mundo está inmerso en la ‘revolución digital’ que está cambiando radicalmente la economía, las empresas, la sociedad y nuestras vidas personales.

Y en esas condiciones, no parece razonable que los órganos de gobierno —los CA— no tengan una agenda activa, frecuente y bien informada sobre las TI. Naturalmente, no necesariamente, sobre la evolución tecnológica y sus detalles, pero sí sobre las políticas y estrategias corporativas del uso de las tecnologías.

Caben muchas explicaciones sobre ese desentendimiento histórico. Entre ellas pueden señalarse: 

- la aceleración del cambio ha cogido por sorpresa y/o no ha dado tiempo a reaccionar a empresas poco ágiles: oligopolios, estructuras ‘pesadas’ (muchos niveles jerárquicos), sin la cultura adecuada.

- la informática, que hace unas décadas solo, se llamaba ‘proceso de datos’ o ‘mecanización administrativa’ era una mera herramienta de productividad (sobre un recurso barato, el personal administrativo); y útil solo para llevar la contabilidad y hacer la nómina; no merecedora de la atención del CA.

- herramienta que —antes de la generalización de la informática transaccional— podía radicar en una “oficina de servicios” externa (¡‘outsourcing’ en las décadas de 1970 y 80!), o en una ínsula interna —una torre de marfil en que inputs y outputs entraban o salían en carros con resmas de papel.

- la informática nació rodeada de misterio, que muchos de los escasos iniciados (hechiceros, mandarines) aumentaban con cortinas de humo lingüísticas adoptadas del inglés (por si este idioma no fuera ya bastante obstáculo en algunos países). Así, ‘escrachear’ era borrar un soporte magnético, o  ‘desencriptar’ (que, por desgracia, se nos ha quedado) era descifrar. Ello ha supuesto una barrera de ‘analfabetismo informático’ para muchas personas y en particular quizá las de más edad o con menos formación STEM (siglas en inglés para: ciencia, tecnología, ingeniería, matemáticas).

- la composición de los CA estaba sesgada hacia las especialidades eficaces y rentables en el ‘estable’ régimen anterior: el Derecho, la Economía, la Academia… Las especialidades adecuadas a las necesidades entonces de los mercados (derecho administrativo, derecho mercantil, macro- y microeconomía) y a los perfiles de los políticos y administradores públicos (por facilidad de diálogo y por ‘puertas giratorias’).

- el propio interés de consejos y consejeros de preservarse y perpetuarse, como una casta, en unas funciones generalmente poco exigentes, bien retribuidas, bien consideradas socialmente, y con relativo poder, influencia y beneficios indirectos.

En España, lo anterior se ha visto reforzado por:

- una tradición altamente licenciataria de tecnologías (no solo TI) de las empresas, lo que   —en cierta forma, no positiva— ‘comoditizaba’ la tecnología, simplificando, en cierta medida, su gobierno y gestión. Lo que necesito, lo compro, como una ‘caja negra’;

- los consejos de administración siguen generalmente compuestos (aparte de por muchos consejeros NO independientes) por una gerontocracia de abogados, economistas y exministros, bien adaptada a las necesidades, regulaciones e intereses, creados en gran medida por ellos mismos a lo largo del último siglo. Es un sistema autoestabilizante.

Las generalizaciones son casi siempre falaces, y hay empresas, profesionales, analistas y académicos que hace tiempo vienen adoptando y recomendando la asunción por los CA de roles más activos en la orientación y supervisión del uso de las TI en sus empresas, y en la sociedad.

* *

Hitos en fomento de una mayor intervención de los CA en las TI

1. Probablemente el documento pionero (¡2003!) en esta línea fue el Board Briefing (Informe al Consejo) de ITGI[5]. Un informe destinado a un consejo de administración genérico.

Los consejos de administración y las direcciones ejecutivas tienen que extender el gobierno a las TI y proporcionar el liderazgo, las estructuras y procesos organizativos que aseguren que las TI de la empresas soportan y extienden las estrategias y objetivos. El gobierno TI no es una disciplina aislada, sino parte integral del gobierno general de la empresa. La necesidad de integrar el gobierno TI en el gobierno general de la empresa es similar a la necesidad de que las TI sean parte integral de la empresa y no rincones recónditos o torres de marfil. 

A los grupos de interés (stakeholders) cada vez más educados y resolutos les preocupa una gestión sólida de sus intereses. Esto ha llevado al surgimiento de principios y normas para el gobierno general de la empresa. Además, las regulaciones establecen responsabilidades del consejo de administración y requieren que éste actúe con la debida diligencia en sus roles.”[6]

El informe, de 66 páginas, es de acceso libre, por lo que, pese a su interés no procede extenderse sobre él aquí; sí, recomendar la lectura de su contenido, totalmente vigente. Como botón de muestra, unas preguntas (que el consejo debería hacerse), extraídas del medio centenar recogidas en su Anejo A. 

- ¿Está claro [para el consejo] lo que TI está haciendo?

- ¿Cuánto del esfuerzo de TI se dedica a ‘apagar fuegos’ en vez de a facilitar mejoras del negocio?

- ¿ El consejo articula y comunica la dirección del negocio con la que TI debiera alinearse?

- ¿Cuán crítica es TI para sostener la empresa? ¿Y para hacerla crecer? 

2. La norma ISO/IEC 38500:2008 Corporate governance of information technology  (que rebautizó la ISO/IEC DIS 29382: 2007) fue el resultado de la aprobación rápida (fast track) de la norma australiana AS 8015:2005;  por lo que probablemente se empezó a ‘cocinar’ en las mismas fechas que el informe de ITGI.

Para la 38500, “El gobierno es distinto de la gestión y, para evitar confusión, ambos conceptos están claramente definidos en la norma” [7]. 

La 38500 fue revisada en 2015 con muchos pequeños retoques, pero con dos cambios importantes [8]: 

i) un nuevo nombre, para ampliar su cobertura potencial: Governance of IT for the Organization [antes, Corporate]; y 

ii) permitiendo, de forma explícita, dos posibles escalones de delegación: a) del consejo a una comisión del consejo; y b) de los anteriores al equipo directivo. Esto —como comentaré más abajo— me parece una decisión radical que encierra claras ventajas y claros riesgos asociados.

La norma propone 6 Principios y un Modelo. 

Los principios son: 1) responsabilidad referente a TIC;  2) alineación de la estrategia TIC con la de la organización; 3)  adquisiciones TIC razonables y razonadas; 4) rendimiento y desempeño; 5) conformidad; y 6) comportamiento humano. 

El Modelo (que la norma esquematiza en una figura elocuente) plantea dos capas: una de Gobierno y otra de Gestión / Administración. 

La capa de Gobierno (el cometido del órgano de gobierno) tiene 3 funciones (EDM, siglas en inglés): Evaluar, Dirigir (establecer la dirección) y Supervisar. Estas tres funciones forman un ‘círculo virtuoso’ triangular (similar al más conocido cuadrangular PDCA –planificar, ejecutar, comprobar, actuar).   

La capa de Gestión / Administración (el cometido de los órganos ejecutivos) recoge los procesos de la organización en un esquema que podría ser una simplificación de la clásica cadena de valor de M. Porter.

Ambas capas se relacionan mediante tres flujos principales: un primero, de Gobierno a Gestión, contiene objetivos, políticas, estrategias y directrices; un segundo, de Gestión a Gobierno, rinde cuentas; y un tercero, también de Gestión a Gobierno, eleva propuestas.

El cuerpo de la norma (que es “asesora, de alto nivel, basada en principios”) ofrece consejos o recomendaciones, que podría visualizarse como una matriz de 18 casillas: el producto de los 6 principios, vistos cada uno desde las 3 grandes actividades EDM

3. En 2009, el australiano Mark Toomey, que fue coeditor de la AS 8015:2005, publicó Bailando el Vals con el Elefante[9], un interesante y atractivo texto en que desarrolla sus ideas sobre GCTI, sintetizadas en la AS 8015. Desde entonces Mark ha dado varias vueltas al mundo haciendo presentaciones personales de sus ideas, y difusión virtual, mediante su revista Infonomics [10]. 

4. COBIT 5 [11]

En 2012, ISACA[12] publicó COBIT 5 y desde entonces ha publicado un gran número de productos muy diversos de esa familia (aparte de sus traducciones a diversos idiomas). 

COBIT 5 se subtitula “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”. COBIT es un nuevo nombre propio, no ya un acrónimo como en versiones anteriores, y es el vástago más joven de una generación que se inició 15 años antes.   

Pero COBIT 5 supuso una revolución en la familia, en al menos dos aspectos: i) —el que más importa aquí es que— explicita y consolida la distinción entre Gobierno (Governance) y Gestión [Administración, en LATAM] (Management) de las TIC; y ii) —aquí menos importante—abjura de su tradicional modelo de madurez de procesos ‘CMM’ [13] y abraza el de capacidad de procesos de ISO/IEC 15504, SPICE [14].

La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT 5,  desde su título y comienzo, y está en línea con la ISO 38500 [15].

El marco COBIT 5, se desarrolla a partir de unas necesidades de los interesados / derechohabientes (stakeholders needs)[16], y propone 7 elementos habilitadores (drivers) para atenderlas: 

1) procesos; 2) cultura, ética, comportamiento; 3) estructuras organizativas; 4) información; 5) principios y políticas; 6) habilidades y competencias; y 7) capacidades de servicio; que están sistémicamente interrelacionados.

COBIT 5 se basa en 5 Principios:  

1) Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma razonable. No es prescriptivo, aunque propone un modelo de referencia de procesos (ver más abajo).

2) Se rige por la persecución del valor para los interesados (stakeholders).

3) Está orientado al negocio [en sentido genérico: engloba administraciones públicas, ONGs, etc.].

4) Se basa en los 7 habilitadores enunciados más arriba.

5) Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración] diferenciados pero interrelacionados. 

COBIT 5 consta de 37 procesos [17] de alto nivel, frente a los 34 del previo CobiT 4.1. De ellos, 5 son de Gobierno Corporativo; los demás de Gestión. Algunos consideran que es demasiado engorroso; pero quizá no han reparado en que —al no ser prescriptivo— muchos de tales procesos pueden no considerarse, en función de la circunstancias de la empresa u organismo.

Cada uno de los procesos es tratado en detalle en una ‘ficha’ normalizada que describe subprocesos y actividades, métricas, flujo de trabajo (I/O) y tabla RACI (Responsable-Alto_Responsable-Consultado-Informado)[18]. La riqueza de información es muy considerable. 

5. NACD [19] 

En 2014,  la americana Asociación Nacional de Consejeros [de Administración] de Empresa [20], puso en marcha la iniciativa “La Intersección de Tecnología, Estrategia y Riesgo”, orientada a trasladar a su comunidad de miembros el mensaje de que “las Tecnologías de la Información evolucionan de forma imparable y, por tanto, de igual modo, ha de evolucionar el perfil de un consejero eficaz”[21]. 

El programa se asienta en la premisa, que comparto,  de que “las tecnologías [de la información] crean oportunidades para que las empresas innoven, para que generen eficiencias operativas y para que alcancen una ventaja competitiva” en sus respectivos sectores/mercados.

En el programa colaboran ISACA, la consultora KPMG[22] y la firma de análisis de mercado Gartner[23]. 

La Intersección de Tecnología, Estrategia y Riesgo” se compone de una colección de vídeos en los que, a modo de entrevistas, un grupo de expertos (consejeros, consultores, CIOs, …) van respondiendo a una serie de cuestiones clave y ofreciendo su particular visión sobre la influencia de las TI en las organizaciones de hoy y sobre el papel que los consejos de administración —y, por ende, los consejeros—  han de jugar en el actual escenario.

Los ocho capítulos de la serie están configurados como pequeñas video-píldoras, de entre cinco y diez minutos de duración, con los siguientes títulos[24]:

- Capítulo 1. Un mundo nuevo y desafiante (A brave new world).

- Capítulo 2. Cuestiones clave que los consejos de administración deberían estar preguntando sobre tecnología (Critical questions boards should be asking about technology).

- Capítulo 3. Tecnología y liderazgo: el papel crítico del CIO (Technology and leadership: the critical role of the CIO).

- Capítulo 4.  Abrazando lo perturbador (Embracing disruption).

- Capítulo 5. Fomentando una cultura de innovación (Fostering a culture of innovation).

- Capítulo 6. La revolución del aluvión de datos (The big data revolution).

- Capítulo 7. Ciberseguridad (Cybersecurity).

- Capítulo 8. Redes sociales: beneficios y riesgos (Social media: risk and reward). 

6. King III

Los Informes King –King Reports on Corporate Governance­– son una pionera colección de directrices sobre gobierno corporativo y operación de empresas. Los publica en Sudáfrica el ‘Comité King sobre Gobierno Corporativo’ (King es el nombre del presidente del Comité). Han sido considerados como “la síntesis más eficaz de las mejores prácticas internacionales sobre gobierno corporativo”. 

Obligan a las empresas que cotizan en la Bolsa de Johannesburgo. El primero (King I) se publicó en 1994; el vigente es el King III, de 2009; y está anunciado el King IV para este año 2017 [25]. 

Por su origen y función, los Informes King pueden ser comparados con los códigos españoles: Código Unificado de Buen Gobierno de las Sociedades Cotizadas (2013) de la CNMV[26] y sus precursores Código Conthe (2006), Código Aldama (2003) y Código Olivencia (1998). Una comparación más detallada resulta ilustrativa, pero rebasa el propósito de este documento. 

* *

Referencias: ATI. (2014). Novática. Monografía. Gobierno Corporativo de las TI. Nº 229, julio-septiembre 2014. http://www2.ati.es/novatica/2014/229/Nv229-Digital.pdf  [URL consultado el 20170501]. 

* * *

Artículo escrito por Manolo Palao, iTTi 20170507    

Copyright © 2017 Manolo Palao e ITTi. Reservado todos los derechos.  

----------------------------------------

[1]  http://dle.rae.es/?id=JHRSmFV [URL consultado el 20170422].

[2] Ver, por ejemplo, http://www.un.org/es/globalissues/governance/, https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwij1fSIurjTAhUIrRoKHcWnAnUQFggjMAA&url=https%3A%2F%2Fwww.oecd.org%2Fgov%2Fregional-policy%2FOECD-Principles-Water-spanish.pdf&usg=AFQjCNHWSCfHJBseXwBFYYjWe0ZSU1ruGQ&sig2=tA0RwhtTBlIQUx92ENhtag&cad=rja,  https://www.insead.edu/executive-education/corporate-governance-programmes?CampaignId=GGL_Search_A&SiteId=GGL&AdId=CORPGOV&device=c&term=corporate%20governance%20program&gclid=CjwKEAjw_uvHBRDUkumF0tLFp3cSJACAIHMYMI4VDIy448O9NGeODZkEVvX1ZYtzbLdjfwWTrOdRdhoC4tHw_wcB, https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=governance+of+portfolios+programs+and+projects+a+practice+guide+pdf, https://www.google.es/search?client=firefox-b&q=gobernanza&spell=1&sa=X&ved=0ahUKEwjoh5KmuLjTAhVRkRQKHeX4AqoQBQgiKAA#q=%22data+governance%22++ , [URLs consultados el 20170422]. 

[3] Digo “denominada” porque —desde la óptica corporativa (de toda la organización,  la única óptica que debería usarse para tratar estos temas)— la ‘estrategia TI’ en una mera ‘SUB-estrategia (TI)’ de la ‘estrategia corporativa’, por lo que —si la primera no está alineada con la segunda— es inadecuada, como lo es quien la haya elaborado así, por ignorancia o intereses espurios. Con palabras como ‘gobernanza’, ‘estrategia’ y (otras muchas) se viene produciendo un deslizamiento semántico, normalmente hacia su banalización. 

[4] Ver, por ejemplo la docena larga de dimisiones de CEOs importantes causadas por incidentes de ciber-inseguridad reseñada por García-Menéndez, M. (2017).  “¿Quién se hace cargo?”.  Novática nº 238, noviembre 2016 - febrero 2017. http://www2.ati.es/novatica/2017/238/Nv238-Digital.pdf [URL consultado el 20170502].

[5] ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition .    https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/board-briefing-on-it-governance-2nd-edition.aspx [URL consultado el 20170303]. El ITGI fue creado en 1998 http://www.isaca.org/About-ISACA/IT-Governance-Institute/Pages/default.aspx  [URL consultado el 20170303] por ISACA . ISACA —en sus orígenes, en 1967, una asociación de auditores de sistemas de información— es en la actualidad una asociación al servicio de “los profesionales en gobierno de TI” y cuenta con unos 140 000 socios en 180 países http://www.isaca.org/about-isaca/Pages/default.aspx [URL consultado el 20170303]. 

[6] Fuente: ITGI – IT Governance Institute (2003) Board Briefing on IT Governance, 2nd Edition . p. 6.  Copyright © 2003 by the IT Governance Institute.  Con autorización, para uso académico. 

[7] "Governance is distinct from management, and for the avoidance of confusion, the two concepts are clearly defined in the standard.”  ISO/IEC 38500: 2008  , p 5.

[8]  https://en.wikipedia.org/wiki/ISO/IEC_38500#Updates_to_the_standard  [URL consultado el 20170303].

[9] Toomey, M. (2009, 2011). Waltzing with the Elephant. Edition 1, Print 1, 3rd August 2009. Bailando el Vals con el Elefante Primera edición en español. Primera impresión. 30 de abril de 2011.  https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwizqIrbsobTAhVmBMAKHWdjApsQFggcMAA&url=http%3A%2F%2Fwww.infonomics.com.au%2FWeb%2520Content%2FDocuments%2FBailando%2520el%2520Vals%2520con%2520el%2520Elefante%2520-%2520extracto%2520promocional.pdf&usg=AFQjCNHWleHgv4hIluwqGDuyzSfp_73-uA&sig2=yi4z4DMj1zd2fyD39VQf7g&cad=rja  [URL consultado el 20170409]. 

[10]  http://www.infonomics.com.au/Index.htm [URL consultado el 20170409].

[11] Esta sección usa ampliamente material previamente publicado en Touriño, M. y Palao, M. (2011).  “Sección Técnica «Auditoría SITIC»-  Ref Autoriz  CobiT PAM y COBIT 5”. Novática. Nº 213, noviembre 2011. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwjeitSDspfTAhXJRhQKHeTEChsQFggeMAE&url=https%3A%2F%2Friunet.upv.es%2Fbitstream%2Fhandle%2F10251%2F37507%2FViv%25C3%25B3%2C%2520R.%2520-%2520Referencias%2520autorizadas.pdf%3Fsequence%3D2&usg=AFQjCNF0pCrd0nRJBqTRhcPwwvAovLWfhw&sig2=D58kvEDbt4J2Y2fyPItafA&cad=rja   [URL consultado el 20170409]. 

[12] SACA es “una asociación global, sin ánimo de lucro e independiente que se dedica al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de información que sean globalmente aceptadas y líderes en el sector". Desde hace unos años ‘ISACA’ es un nombre propio; anteriormente era el acrónimo de Information Systems Audit and Control Association, denominación que se cambió dado el cambio histórico en la composición e intereses de sus socios. Actualmente cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En España hay 3 Capítulos: Barcelona, Madrid y Valencia.  

http://www.isaca.org/about-isaca/Pages/default.aspx  [URL consultado el 20170409]. 

[13] Basado, con adaptaciones en el CMM del SEI de CMU: http://en.wikipedia.org/wiki/Capability_Maturity_Model [URL consultado el 20170409].

[14] http://en.wikipedia.org/wiki/ISO/IEC_15504 [URL consultado el 20170409].

[15] De la que hace una ‘transposición’ (adopción con variaciones). 

[16] Abstraídas como resultado de amplias encuestas. 

[17] Recuerdo que la redacción en ‘imperativo’ fue una positiva innovación de CobiT 4. (2005), no sistemáticamente implementada en castellano, quizá debido a problemas entre el imperativo y el infinitivo. 

[18] La tabla RACI es una matriz unidades_empresariales – actividades (Ej.: Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye, entre las unidades, el Consejo de Administración, el CEO y los Directivos de Negocio.

[19] Esta sección usa ampliamente material previamente publicado en García-Menéndez, M. y Palao, M. (2014).  “Sección Técnica «Gobierno corporativo de las tecnologías de la información (GCTI)»-  Ref Autoriz Asociación Nacional de Consejeros de Empresa. Otro espejo en que mirarse”. Novática. Nº 228, abril-junio de 2014. https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwji2smh-pfTAhXm6IMKHdWHD4EQFgglMAE&url=http%3A%2F%2Fwww.ati.es%2Fnovatica%2F2014%2F229%2FNv229-106.pdf&usg=AFQjCNETYVkoIEeuiGJeAGZ81-vI9a6YiA&sig2=KnNKCzYvoaUulF6TU9DKFg&cad=rja  [URL consultado el 20170409].

[20] NACD, (del inglés, National Association of Corporate Directors) reúne más de 17 000 miembros de consejos de administración y lleva más de 40 años proponiendo normas para una actuación responsable de los consejos de administración. https://www.nacdonline.org/AboutUs/ [URL consultado el 20170409].

[21] NACD. (2014). The Intersection of Technology, Strategy and Risk. http://www.nacdonline.org/IT  [URL consultado el 20170409]. 

[22] KPMG International Cooperative. http://www.kpmg.com [URL consultado el 20170409]. 

[23] Gartner Inc. http://www.gartner.com [URL consultado el 20170409]. 

[24] La colección completa puede encontrarse tanto en la sede web de la NACD, como en la de ISACA. No obstante, se recomienda optar por esta segunda posibilidad, dado que ISACA ofrece los vídeos “en abierto”, a diferencia de lo que ocurre con la NACD, que ofrece el material sólo para sus miembros.

ISACA. New video series: The Intersection of Technology, Strategy and Risk  http://www.isaca.org/videos/Pages/Intersection.aspx [URL consultado el 20170412].   

[25]  https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance   [URL consultado el 20170412].   

[26] https://www.cnmv.es/portal/Legislacion/COBG/COBG.aspx  [URL consultado el 20170412].   

 

Políticas viudas y procedimientos huérfanos

Monday, 23 February 2015 Manolo Palao Posted in iTTi Views

Líneas viudas y huérfanas son aquellas líneas de un párrafo que la composición presenta aisladas,  al principio o final de una página. Sobre cuál sea una u otra, no parece haber consenso. En todo caso, son líneas que no parecen pertenecer a un párrafo, al no verse las precedentes o siguientes.

El mundo de la empresa (y otras organizaciones)  tiene, a veces, políticas  viudas y procedimientos huérfanos. Políticas sin soporte (de normas o procedimientos), procedimientos sin una política a la que llamar ¡madre!

Cuando la frecuencia de viudas y huérfanos es alta, el panorama es desolador, ante tanto déficit de allegados. Parece como si un siniestro —una sequía, una peste, una guerra— hubiera asolado esa organización. Y probablemente es cierto, han tenido la hambruna del desgobierno y no han recibido la lluvia benéfica del buen gobierno.

Las políticas las  promulga la autoridad competente (determinada por la ley, los estatutos y delegaciones).

Si alguien de menor autoridad prepara una política, lo que prepara es un borrador, no una política: será una política cuando la promulgue la autoridad competente.

Normas (‘estándares’, incluidas ‘métricas’)  y procedimientos  soportan y desarrollan las políticas.

Debe haber una doble trazabilidad ascendente-descendente: una norma que no corresponde a una política es arbitraria; una política sin normas o procedimientos probablemente es solo la expresión de un ideal.

  Políticas-Normas

 * *

Recientemente, en un curso que he impartido en una empresa tecnológica, he tenido la oportunidad de proponer a los participantes (una docena de titulados superiores, con cargos de cierta responsabilidad en la empresa) el siguiente ejercicio:

----------------------------------------------

Por Grupos

1 Escojan una norma o (preferiblemente) procedimiento en vigor y trácenlo ascendentemente a su política.Documenten/Referencien.

2  Escojan una política en vigor y trácenla descendentemente a sus normas o (preferiblemente) procedimientos. Documenten/Referencien.

3 Si les queda tiempo, repitan 1 o 2.

Tiempo: 15 min.

Puesta en común 15 min.

----------------------------------------------

El resultado fue frustrante para mí; no tanto, aparentemente, para los participantes (estarían habituados, supongo). Nadie pudo realizar los ejercicios 1 ni 2. Nadie conocía una política (escrita, publicada) que amparase el procedimiento escogido. Bueno, sí, hubo una excepción, alguien invocó la “Política de copias de seguridad” que —al aclarar que determinaba que “a las 02:00 de cada día se lanzaría el proceso…”— se aceptó que sólo era un procedimiento, bautizado de política. 

* *

Las políticas (escritas, publicadas) comprometen. Comprometen porque pueden invocarse en casos de incumplimiento flagrante (tan relativamente frecuente). 

Por ello, muchos órganos de gobierno son renuentes a formalizar políticas (que así quedan limitadas a consignas conspiratorias). 

Hace años conocí el original de una carta que el Presidente Ejecutivo de una multinacional europea dirigió a todos sus empleados. Copio a continuación unos párrafos traducidos literalmente (el nombre de la empresa es ficticio):

«En PAYESA tenemos ideas firmes sobre cómo llevar a cabo nuestro negocio. 

Creemos que los principios esbozados en este folleto son la clave de nuestro éxito (el de PAYESA y el nuestro personal). 

Una política escrita no es el camino más fácil para hacer negocios: lo es para hacerlos bien. 

No es fácil cumplir una política, es difícil. 

Por eso estamos juntos. Para conseguirlo. Si todos lo intentamos, entre todos lo conseguiremos

* * *

 

Sobre responsabilidad del consejo de administración: Ley de Buen Gobierno

Wednesday, 10 December 2014 Manolo Palao Posted in iTTi Views

Aprobado por el Consejo de Ministros -el día 23 de Mayo de 2014- el proyecto de Ley de sociedades de capital y mejora de gobierno corporativo. 

“Algunas de las modificaciones introducidas son que los administradores de empresas que cotizan en Bolsa deberán aprobar las operaciones tributarias relevantes de sus empresas. El artículo 41 del proyecto de Ley enumera cuáles son las "facultades indelegables" del consejo de administración. Entre ellas incluye la siguiente: "La aprobación de las inversiones u operaciones de todo tipo que por su elevada cuantía o especiales características, tengan carácter estratégico o especial riesgo fiscal, salvo que su aprobación corresponda a la junta general". Además, en otro apartado del mismo artículo añade: "La determinación de la política de control y gestión de riesgos, incluidos los fiscales...".” según aparece en el diario “El País” el día 26 de Mayo de 2014 pasado. 

Examinando otros países, se puede apreciar que el aumento de la responsabilidad de los Consejos de Administración es una tendencia que se extiende por los países de nuestro entorno. El proyecto de Ley de sociedades de capital para mejora del gobierno corporativo está inspirado en la normativa que han seguido dichos países, como por ejemplo: 

- En Reino Unido los directores financieros de las compañías cotizadas deben emitir un certificado con carácter anual asegurando la idoneidad de los sistemas de aplicación de impuestos y control de riesgos fiscales. 

- En Estados Unidos la Ley Sarbanes-Oxley y la norma contable FIN 48 garantizan que se controlen los riesgos fiscales. El control tributario de EE UU es tan exigente que existe una comisión en el congreso que investiga supuestas prácticas fiscales. Hace unos meses llamó a declarar a los primeros ejecutivos de las primeras compañías tecnológicas del país para que explicaran sus estrategias fiscales, cuestionadas en algunas jurisdicciones. 

- La autoridad fiscal de Canadá está analizando el riesgo tributario de las multinacionales. Las compañías que tengan un control fiscal elevado y sean cooperativas tendrán un control blando. 

- La normativa de Australia establece que para que las empresas sean consideradas socialmente responsables deben tener un plan detallado de riesgos fiscales. 

- Holanda, por su parte, ha establecido un sistema de relación cooperativa entre la autoridad fiscal y las compañías. De esta forma, las empresas que remitan a su Hacienda el plan detallado de riesgos fiscales recibirán un control menos exhaustivo. 

Pero, en estas modificaciones se hecha de menos la responsabilidad del Consejo de Administración acerca del Gobierno Corporativo de las TI, que como tal “Gobierno” debe ser un tema “indelegable”. Por ejemplo, el tema de riesgos tecnológicos debería estar explícitamente, al igual que “... control y gestión de riesgos, incluidos los fiscales”. 

Según “COBIT 5”, el marco de Gobierno Corporativo de TI, de ISACA,: 

"El consejo de administración, asistido por el comité de riesgos y auditoria, se asegurará de que el rendimiento del grupo de GEIT  es evaluado, supervisado, informado y conocido en un comunicado GEIT como parte del informe integrado. Tal afirmación se basará en los informes obtenidos de los equipos de riesgos, cumplimiento y auditoría interna y de la gestión de cada compañía filial significativa, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del desempeño del grupo de GEIT". 

"El consejo de administración hará que se informe sobre GEIT como parte del informe integrado, para proporcionar a las partes interesadas internas y externas, información relevante y fiable sobre la calidad del GEIT". 

Pero de esto se tienen que enterar los miembros de los consejos de administración, o los órganos legislativos, si aquellos no se dieran por enterados.  

* * *

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk