In a popular professional social network recently, an individual penned a post suggesting that considering COBIT 5 a “business framework” was nonsense. He challenged readers to provide an explanation to justify such a definition for ISACA’s model.

Here goes mine! In its early years, COBIT was more of an IT model. Nonetheless, its latest edition—COBIT 5—has actually evolved into a “business framework.” This needs clarification; otherwise it would be easy to make the mistake of thinking that we are talking about a model for traditional business processes, such as sales, engineering, marketing, etc.

Nothing could be further from the truth! This is clearly detailed by ISACA, which describes COBIT 5 as “a business framework for the governance and management of enterprise IT.” That means—as anyone who knows the model’s background can tell you—that the new version maintains a focus on IT but with a more pronounced business approach and emphasis. The stakeholders on the business side can benefit along with those on the IT side. In other words, driving and controlling (governing) the IT behavior within any organization goes beyond the CIO’s realm.

In this way, COBIT 5 becomes a framework for the corporate governance of IT. Previous editions—from the first COBIT, introduced in 1996, to 2007’s COBIT 4.1—focused more on practices to help the CIO better manage the IT shop.

Of course, the message of COBIT 5 is not a new one. This message emerged seven years ago, back in 2006 when Val IT was born. Val IT was the first of ISACA’s models that provided a business standpoint of IT and its related issues, highlighting that there are many IT-related activities that should be performed by the “business people,” not the IT team.

If you explore this idea through the RACI matrix, to model the number of accountabilities and responsibilities beyond the CIO’s, you see how COBIT 5 is a framework not exclusively designed for the IT team.

Since it is a collection of good practices to be adopted and adapted in the implementation of an overarching IT governance-and-management system, COBIT 5 can be—should be—referred to as a business framework for the governance and management of enterprise IT.

There is nothing nonsensical about that.

This article was originally released by ISACA's "Now" blog, on June, 12th, 2013.

El gobierno corporativo de TI, o gobernanza de TI, no es un concepto nuevo. Tiene sus orígenes en lo que se denominó gobernanza – aplicado a la buena gestión de los recursos por parte de los gobiernos y al fomento de la participación de la sociedad civil – y en el desarrollo del concepto de gobierno corporativo en las dos últimas décadas.

El presente artículo desgrana la evolución desde la gobernanza hasta el gobierno corporativo y sus diferentes enfoques y tratamientos. Finalmente, muestra el marco teórico para la concepción e identificación de la gobernanza de TI como la disciplina dentro del gobierno corporativo.

.

El concepto de gobernanza

El concepto de gobernanza es relativamente antiguo y era un sinónimo de gobierno. El Diccionario de la Real Academia Española (DRAE) dice: Acción y efecto de gobernar o gobernarse.

En los años 90, el término fue utilizado para hacer referencia a un nuevo estilo de gobierno de las administraciones públicas, mediante el cual estas tratan de gestionar de forma eficiente, honesta, transparente, igualitaria y con responsabilidad, los recursos públicos[1].

Este significado queda recogido en el DRAE:

Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el estado, la sociedad civil y el mercado de la economía.

Finalmente, este concepto comienza a ser adoptado por instituciones (por ejemplo el Banco Mundial y las Naciones Unidas) como elemento clave en la dotación de financiación a países en vías de desarrollo.

.

El gobierno corporativo

Asociado al término gobernanza surge el concepto de gobierno corporativo, que ya fue introducido por Adam Smith en su obra “La riqueza de las naciones”:

“Cuando la propiedad y la gestión de las empresas no coinciden plenamente, habrá potenciales conflictos de interés entre los propietarios y los gestores/administradores”.

En la década de los años 90 se desarrolló este concepto abordando las diferencias de intereses entre la propiedad y la administración de la empresa (“problemas de agencia”[2]). Específicamente, el gobierno corporativo trata de definir y establecer mecanismos de control y salvaguarda por parte de los accionistas, sobre las acciones realizadas por los miembros del consejo de administración.

Los problemas de agencia tienen un enfoque más amplio en la década de los años 90, al considerar a los llamados grupos de interés dentro del esquema de gobierno de las empresas, surge así el enfoque de “stakeholder”:

La preocupación por los problemas de gobierno corporativo en los países se presentó por primera vez en el “Informe Cadbury”[3] (1992, Reino Unido), que recogía un “código de buen gobierno” al que las compañías que cotizaban en la bolsa de Londres debían adherirse.

Este mismo año se publica el Informe COSO[4] (EE.UU.) como el marco de trabajo para el establecimiento de un sistema de control interno en las organizaciones.

El “Código Combinado”[5] (1998) integra las diferentes recomendaciones que fueron apareciendo a lo largo de los años 90 (accionistas institucionales, remuneración del consejo, etcétera) adoptando el principio de “cumplir o explicar”:

•  La imposición a las compañías de informar cómo aplican las recomendaciones del Código Combinado.
• La necesidad de explicar por qué no se han aplicado las recomendaciones.

El respaldo internacional para el gobierno corporativo llega con la publicación (1999 y revisada en 2004) de los Principios de Gobernanza Corporativa por la OCDE[6], donde se definen los elementos principales y se adopta un modelo stakeholder. Estos principios han sido asumidos por los distintos países en la definición de sus recomendaciones y códigos de buen gobierno.

La Ley “Sarbanes-Oxley”[7] (2002, EE.UU.) aparece como respuesta a los escándalos corporativos ocurridos en ese país (Enron, Worldcom, etcétera). El principio de cumplir o explicar desaparece, introduciéndose responsabilidades penales a los administradores y ejecutivos de las compañías.

Los códigos de buen gobierno han evolucionado, destacándose especialmente el “Código King III”[8]  (Sudáfrica, 2009).

.

La concepción de la gobernanza de TI

El siguiente paso, dado por CIMA e IFAC[9] (EE.UU.), consistió en dividir el gobierno de la empresa, atendiendo a dos aspectos: regulatorios y de negocio:

•  El gobierno corporativo, que cubre los aspectos de cumplimiento legal y normativo.
• El gobierno del negocio (rendimiento y valor).

Así, la gobernanza de TI es un subconjunto del gobierno de la empresa que persigue obtener el máximo valor de las TI en las organizaciones, buscando el alineamiento estratégico de las TI con el negocio, gestionando riesgos de forma acotada, recursos de forma eficiente y supervisando el rendimiento de las mismas.

En 2004, Weill y Ross[10] (investigadores del MIT), dan un paso más, identificando los seis activos clave que deben ser objeto de gobierno en toda organización:

• Activos financieros.
• Activos físicos.
• Recursos humanos.
• El esquema de relaciones de la organización.
• Propiedad intelectual.
• La información y las TI.

.

Esto se puede ver en la siguiente figura (adaptado de Weill y Ross):

En ese último grupo se ubica, conceptualmente, la gobernanza de TI o gobierno corporativo de TI.

This article was originally released by Mexican magazine "Magazcitum", on May, 24th, 2013.

Las siguientes reflexiones tratan de analizar el nacimiento de un concepto que se apoya en, y supera, la estadística y el análisis de datos convencionales, establecidos a lo largo de los siglos, como consecuencia  de la actual explosión en la generación de datos e información sobre personas, máquinas y sus relaciones.

Hace algún tiempo que el término Big Data aparece con frecuencia como fenómeno nuevo, a propósito de nuevas herramientas de ayuda al análisis de datos para fines diversos, fundamentalmente comercial, científico, político, criminal, etc.

Ese análisis está dirigido a obtener información sobre una persona, un grupo de personas o una institución, a partir de comportamientos pasados -datos recopilados- de sus situaciones actuales, relaciones ocultas y, lo que es más discutible, comportamientos futuros de la persona, ente o grupo que se estudia.

Todo ello es fundamental en el proceso de toma de decisiones tanto en el ámbito privado corporativo como en el ámbito público.

Pero esto no es nuevo. Tampoco lo son ni el tratamiento de los datos, propiamente dicho, ni la gran cantidad de datos a tratar.  

La ciencia ha empleado el análisis de datos y se ha enfrentado al tratamiento de una gran cantidad de datos en complejas simulaciones de procesos físicos -Meteorología, por ejemplo-, en investigaciones relacionadas con procesos biológicos y ambientales, etc. Este mismo fenómeno ha sucedido en diversos sectores empresariales -banca, seguros, tarjetas de crédito, terminales de punto de venta, etc. No se puede  dejar de mencionar a las agencias de inteligencia, creadoras de sistemas como ECHELON, ADVISE, NarusInsight, etc.

De igual modo, la Estadística, propiamente dicha, tampoco es una disciplina nueva. De hecho, el término fue acuñado en Alemania -Statistik-, por Gottfried Achenwall en 1749, para referirse al análisis de datos del Estado, es decir, la "ciencia del Estado" (o más bien, de la ciudad-estado), y ya en el siglo XIX el término estadística adquirió su actual  significado de recolectar y clasificar datos de la mano del militar británico Sir John Sinclair (1754-1835).

¿Entonces, por qué un nuevo concepto? ¿Dónde reside la novedad?

Lo que actualmente se entiende por Big Data, es un término aplicado a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y tratados en un tiempo razonable.

Los tamaños que hoy se señalan para el  Big Data se encuentran en una permanente y creciente evolución. Así, en 2012 se citaban  tamaños entre la docena de terabytes y varios petabytes de datos en un único data set (conjunto de datos).

Sirvan las siguientes cifras como ilustración de lo afirmado:

·        El telescopio de “Sloan Digital Sky Survey” en Nuevo México, que inició su actividad en el 2000, recogió en una década 140 terabytes de información.

·        Wal-Mart maneja más de un millón de transacciones de clientes cada hora, alimentando bases de datos estimadas en más de 2.5 petabytes.

·        Facebook almacena cuarenta mil millones de fotografías.

·        El descifrado del genoma humano implica el análisis de tres mil millones de pares base, lo que inicialmente suponía un esfuerzo de 10 años y ahora se logra en una semana.

Por otro lado, con la llegada de  la miniaturización de los sistemas electrónicos que pueden formar parte de cualquier dispositivo, entre ellos sistemas de medida, y, particularmente, de Internet y su poder de comunicación máquina-máquina y persona-máquina, hoy se dispone de recolectores de datos de todas las actividades humanas por todas partes -tarjetas de crédito, dispositivos móviles, ordenadores, cámaras en la calle y en establecimientos, etc-, y de recolectores de datos de máquinas situadas a nuestro alrededor o sensores ambientales.

Unido a todo ello, ha aumentado en órdenes de magnitud la capacidad de computación de los ordenadores. Ahora cualquiera lleva en su bolsillo un smartphone, con una potencia de cómputo superior a la de los ordenadores de la nave Apolo. 

Consecuentemente, la novedad del Big Data parece estar, únicamente, en su magnitud y en el desarrollo de las herramientas adecuadas para tratar  dichas cantidades  de datos de forma que se obtengan resultados en un tiempo  útil para su aprovechamiento.  

Y no sólo eso,  sino que  los datos producidos son tanto estructurados como no estructurados, lo que supone un reto de almacenamiento y tratamiento.

Finalmente, está además el reto de intentar protegernos organizativa, tecnológica y regulatoriamente.

Así pues, aquí es donde nos encontramos ahora … ante la necesidad de responder a los retos planteados por ese aluvión de datos de manera tal que su análisis permita extraer un conocimiento que resulte valioso para la ciencia, los gobiernos, las empresas, y en definitiva, para la mejora de la calidad de vida de todos nosotros.  

La publicación de este artículo ha coincidido con la inauguración oficial del más grande radiotelescopio construido hasta ahora, el ALMA (Atacama Large Millimeter Array). Su funcionamiento consiste en un proceso de “... canalización, recepción, conversión, trasmisión, combinación y análisis” de datos del Universo, que se iniciará en  las  sesenta y seis  antenas parabólicas que lo conforman, y proseguirá en un entramado de ordenadores, uno de los cuales, El Correlacionador, está dotado de  2.912 circuitos impresos, 5.200 cables de interfaz y más de 20 millones de puntos de soldadura, con el objetivo es estudiar la diversidad de objetos y procesos físicos implicados en la formación estelar.

La pregunta que intitula este primer artículo -de una serie con la que se ofrecerá opinión y análisis sobre el panorama tecnológico corporativo actual- era planteada, recientemente, en uno de los foros de discusión de una afamada red social de carácter profesional. El autor de la consulta parecía haberla formulado, no sin cierta intencionalidad, insinuando que tal cosa -hablar de “marco de referencia de negocio”-  sonaba poco menos que a disparate y retando a los lectores a que le pintasen una figura con la que pudiese quedar representado semejante concepto.

Sin ánimo de pretender corregir al citado individuo sirvan las siguientes reflexiones como aclaración a la duda por él planteada y, de paso, como brevísima introducción a algunos conceptos que subyacen a la aparición de COBIT 5[i], el modelo de buenas prácticas de ISACA[ii].

La cuestión de cabecera se origina por la nueva consideración que ISACA tuvo para su creación. Identificado tradicionalmente como un modelo de TI, en su última versión ha sido rebautizado como un “marco de referencia de negocio”. Ello requiere una matización pues de otro modo, resultaría fácil caer en el error de pensar que de lo que se está hablando es de un modelo para los procesos tradicionales del negocio, tales como la atención al cliente, el diseño e ingeniería de producto, el desarrollo de nuevos mercados, etcétera.

¡Nada más lejos de la realidad! Y para ello -de ahí la señalada intencionalidad del autor de la consulta original- no hace falta más que leer el título completo de la guía COBIT, que reza[iii] “A Business Framework for the Governance and Management of Enterprise IT”. Ello significa  -como cabría esperar por cualquiera que conozca los antecedentes del modelo- que esta nueva versión sigue hablando de las TI pero con un acento de negocio aún más marcado.

En definitiva el nuevo título sugiere que el lector de COBIT ha de leerlo desde una óptica de negocio. Quienes han de captar los mensajes de COBIT han de ser, mayoritariamente, aquellos que se ocupan del negocio de la organización (no de TI). Dicho de otro modo, dirigir y controlar el “comportamiento” de las TI, dentro de cualquier organización, trasciende el perímetro del CIO[iv].

De ese modo, COBIT 5 se convierte por primera vez en un verdadero marco de referencia para el gobierno corporativo de las TI. Las versiones precedentes -de la 1 (1996) a la 4.1 (2007)-  nunca pasaron de ser conjuntos de buenas prácticas para ayudar al CIO a gestionar mejor el departamento de TI.

El mensaje no es nuevo en absoluto; surgió por vez primera hace siete años, en 2006, con el nacimiento de Val IT. Este -del cuál COBIT 5 es heredero- sí fue el primer modelo de ISACA que ofreció una perspectiva de las TI y de sus problemáticas asociadas desde la óptica del negocio, con una clara indicación en el sentido de que hay un cúmulo de actividades relacionadas con las TI que deben ser ejecutadas por la “gente de negocio”, no por el grupo de TI.

Volviendo a COBIT 5, bastaría “asomarse” a las matrices RACI[v] que incorporan el modelo para comprobar las numerosas altas responsabilidades (A) y responsabilidades (R) asociadas a perfiles, más allá del propio de CIO. Definitivamente esto hace de COBIT 5 un marco de referencia dirigido no al equipo de TI  (o, al menos, no SOLO al equipo de TI), a diferencia de CobiT 4.1 y versiones anteriores.

En suma, siendo COBIT 5 una colección de buenas prácticas (que han de ser adoptadas y adaptadas) para poner en marcha un sistema de gobierno corporativo de TI (y también de gestión), no es extraño referirse a él como “marco de referencia de negocio (para el gobierno y la gestión de las TI de la empresa)".

PD. El documento "COBIT 5 Design Paper. Expore Draft" publicado por ISACA el 22 de marzo de 2010, brinda una representación gráfica muy clara de lo explicado más arriba. La figura 6, página 14, muestra de izquierda a derecha cómo la responsabilidad sobre los diferentes procesos COBIT varía desde TI (los situados más a la izquierda), hasta el negocio (los de la derecha), en función de su "sustancia". ¡Tal vez sea la figura que estaba buscando quien planteó la duda inicialmente!

This article was originally released by Mexican magazine "Magazcitum", on March, 6th, 2013. 

iTTi, the Innovation & Technology Trends Institute, is the independent research source for all those corporate leaders looking for objective opinion and advise on business advancement through technology, mainly business information technology.

iTTi aims to foster directors and executives’ awareness on their accountability and advocacy for key information, and related technology, assets.

iTTi focuses on analyzing the most significant trends regarding the application and use of technology, and its consequences, but primarily on analyzing how organizations make decisions on -i.e., govern-  such issues.

At the same time, iTTi helps technology leaders in becoming business boosters capable of increasing business growth through improved technology contribution.