Se está construyendo un debate acerca de la distinción entre «Gobierno de TI» y «Gestión de TI». Por muchos años, hemos visto como la industria de TI utiliza estas palabras en forma intercambiable o, tratando de distinguir entre los niveles de gestión altos y bajos, refiriéndose a los niveles más altos como «Gobierno». Hemos visto como el término «Gobierno» se junta con datos, XML, computación verde, computación en la nube, tercerización, procesos, y probablemente al fregadero de la cocina.

Llamar a algo gobierno sin ninguna otra explicación, no conduce a nada excepto a la confusión. Y no solo confunde a las personas de TI – confunde a los gerentes, ejecutivos y directores de las empresas – porque para cada una de esas comunidades, la palabra tiene sutiles diferencias de significado.

El problema de distinguir entre Gobierno y Gestión, va más allá de simplemente definir los términos. Requiere que construyamos un entendimiento de cómo el Gobierno y la Gestión se mezclan entre sí, para proveer un completo control efectivo y supervisión de una organización, con respecto a cómo esta organización utiliza TI.

Un Marco para el Gobierno y la Gestión de TI

ISO/IEC 38500 es frecuentemente citado como uno de los marcos de trabajo disponibles para el gobierno de TI – junto a CobiT, ITIL, ISO 20000 e ISO 27000. Mientras que es bueno ver que el estándar es reconocido como una herramienta relevante, es incorrecto clasificarlo de esa manera. ¿Por qué? Básicamente, ISO/IEC 38500 es puramente acerca de gobierno de TI – todo el resto está enfocado en las disciplinas de gestión que deben funcionar bien para que TI pueda ser eficiente, efectiva y aceptada.

La mayor razón por la que vemos que ISO/IEC 38500 está siendo comparada con los marcos de trabajo y estándares, es que continúa existiendo un considerable bache de entendimiento común acerca de la diferencia, y relacionamiento, entre gobierno y gestión.

Es remarcable que esta discusión aparece como única en la arena de TI. No vemos en la mayoría de la literatura de «Gobierno de Recursos Humanos», «Gobierno de Finanzas», «Gobierno de Activos», «Gobierno de Riesgos». ¿Por qué? Estas viejas y bien establecidas disciplinas tienen integración entre los sistemas de gestión y los acuerdos de gobierno global. En estas disciplinas, existen prácticas bien establecidas a través de las cuales, las intenciones de los cuerpos de gobierno son comunicadas a la gestión, y a través de estas, la gestión provee la información necesaria al cuerpo de gobierno de manera tal que se pueden descargar las responsabilidades. Están bien comprendidos los actos de la gestión dentro de la autoridad delegada por el cuerpo de gobierno, pero nadie insiste en que esa autoridad delegada significa que está haciendo «gobierno». Al mismo tiempo, los gerentes tienen un claro entendimiento de sus sistemas de gestión y, como sus actividades de nivel básico son agregadas para proveer información y evidencia para todos aquellos que son los responsables del desempeño de la organización. En efecto, estos aspectos de gobierno corporativo pueden ser vistos como un sistema que supervisa, da dirección hacia y, monitorea el desempeño de la organización con respecto a esa clase particular de activo o dominio de gobierno. El nivel exacto de profundidad en el cual la transición entre las tareas puras de gobierno y, las tareas puras de gestión son un poco variables, dependiendo de la naturaleza de la organización, pero en las organizaciones bien gestionadas, es muy claro donde están estas fronteras.

Así, este documento propone un marco inicial para entender los conceptos de, una distinción entre las disciplinas de gobierno y gestión de TI, que es similar en naturaleza al gobierno y gestión de otros tipos de activos acerca de los cuáles, el cuerpo de gobierno de la organización estará normalmente preocupado.

Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado actual y futuro del uso de TI (ISO/IEC 38500). El gobierno de TI trata principalmente con los planes para utilizar TI (en ambos contextos; estratégico y operacional), las iniciativas que crean sus usos futuros y, las actividades operacionales que constituyen su utilización actual.

El modelo de gobierno de TI presentado en ISO/IEC 38500 posiciona tres tareas claves de gobierno – evaluar, dirigir, controlar, como la clave para dar dirección hacia y, controlar el desempeñó de los roles de gestión en la conducción de la organización para la planificación, implementación y utilización operacional de TI.

Modelo de Gobierno IT ISO/IEC 38500

Puede ser rápidamente comprendido que el foco del gobierno de TI lleva directamente al modelo más básico de los negocios – Planear – Construir – Operar. Debe ser reconocido que, mientras este modelo es utilizado, a veces, por los especialistas de TI para explicar aspectos del ciclo de TI, es también ampliamente comprendido por los líderes de negocio y los educadores como el ciclo básico de la gestión de negocios – y ese es el contexto en que se utiliza aquí.

ISO/IEC 38500 en el ciclo de gestión de negocios

La afirmación clave de este documento es que, el sistema para el gobierno de TI supervisa, controla y recibe información, desde un conjunto de sistemas de gestión interconectados y configurados de manera única para responder a las necesidades de la organización. El sistema de gestión implementa la autoridad delegada del cuerpo de gobierno a través de políticas bien diseñadas, procesos, asignación de roles y herramientas de soporte, que proveen un control efectivo e integrado sobre la visibilidad y utilización de TI en la organización. En efecto, el sistema de gestión provee la «maquinaria de gobierno», en que ellos son controlados por, y le da efecto a las políticas determinadas por el acuerdo de gobierno, y provee la visibilidad necesaria para permitir al cuerpo de gobierno llevar a cabo sus obligaciones en la supervisión del desempeño y conformidad respecto de la utilización por la organización de TI.

La definición precisa de los puntos de compromiso es un poco variable, dependiendo de la naturaleza de la organización, pero en general, el propósito de estos puntos de compromiso son para la obtención de dirección desde el cuerpo de gobierno (tales como dirección completa de la empresa, comportamiento y política), la sumisión de temas para aprobación del cuerpo de gobierno (o a todos aquellos que actúan en su nombre por la delegación de autoridad), y la provisión de retroalimentación y evidencia al cuerpo de gobierno tal cual es requerido por las reglas corporativas.

Para entender la naturaleza de un sistema comprehensivo de gobierno de TI, se requiere un progresivo desmenuzamiento del sistema de gestión al cuál la ISO/IEC 38500 está vinculado.

• Desarrollo estratégico – para definir el destino del uso integral de TI con, y en el contexto de la visión y estrategia del negocio. Muchas veces es beneficioso ver el desarrollo estratégico en dos niveles – establecer la visión a la que aspira la organización y, definir como se logrará esa visión.
• Planificación – para priorizar y alocar los recursos para entregar y operar los sistemas del negocio posibilitados por TI tal cual lo requiere la estrategia de la organización
• Implementación – despliegue y gestión de los recursos alocados para entregar el nuevo sistema de negocio requerido por la estrategia de la organización
• Operación – conducción de las actividades de negocio posibilitadas por TI para realizar los objetivos estratégicos y operacionales de la organización.

ISO/IEC 38500 Sistemas de Gestión Primarios

No es esencial que estos 4 sistemas de gestión primarios sean pensados como estando solamente enfocados en TI. Es más, a medida que TI es generalizada a través de la mayoría de las organizaciones, es probable que tomando la perspectiva estrecha de solo TI, podría llevar a una mala gestión – porque TI es solamente un posibilitador de la foto mayor y nunca un fin, o una solución en sí misma. Un acercamiento más efectivo es reconocer que TI está intrínseca en estos sistemas de gestión y, en ese nivel, no tiene un foco independiente.

Para muchas organizaciones, la extensión, complejidad y el riesgo asociado con el uso de TI como un posibilitador de negocios, requiere que estos 4 sistemas de gestión primarios deban ser descompuestos en un conjunto de disciplinas principales. Mientras puede haber muchas maneras de descomponer el sistema de gestión en unidades más discretas, ha habido una buena parte de coherencia en la identificación de los sistemas de gestión de nivel superior. John Thorp, autor de «The Information Paradox» provee un modelo adecuado que identifica 7 disciplinas:

1. Estrategia
2. Arquitectura Empresaria
3. Cartera
4. Programa
5. Proyecto
6. Activo
7. Operación

Además, podemos envolver efectivamente el modelo de Throp con la disciplina esencial de estos días de Seguridad de la Información, la cual no está más confinada a las cuestiones de operación, pero que necesariamente debe ser considerada en todas las disciplinas del modelo Thorp.

El Modelo Thorp Extendido

Mientras el modelo de Thorp se construyó en el contexto de una mejor gestión del uso de TI en las organizaciones, no está limitado por ninguna razón al contexto de TI, y es más no puede ser aislado solo a TI. Hacer esto, podría resultar en negar la realidad que TI es un posibilitador de los sistemas del negocio, que también incluye personas, procesos y estructura, como definió Harold Leavitt en 1965.

El desafío significante en muchas organizaciones que buscan un gobierno de TI mejorado es organizar estas disciplinas de manera tal que ellas participen adecuadamente en los 4 elementos claves del sistema empresarial, en lugar de, tratar TI como un concepto independiente. En este contexto, el papel de la arquitectura empresaria es relevante – como así también – desarrollar una capacidad arquitectónica de la empresa deberá abordar el diseño de la organización total, y específicamente tratar con las 4 dimensiones claves del sistema empresarial.

En este punto, es apropiado notar que las disciplinas identificadas en el modelo extendido de Thorp, todas han sido foco de desarrollo de marcos de trabajo y estándares. La existencia de estándares directamente relacionados que incluyen ITIL, ISO/IEC 20000, ISO/IEC 27000, TOGAF, Prince2, PMBOK y muchas más, nos da la pauta que las disciplinas identificadas en el modelo son adecuadas. También destaca lo inapropiado de la aseveración que surge muchas veces que, ninguno de estos estándares es una respuesta completa a las necesidades de las organizaciones con respecto al gobierno y gestión de IT. (Nota, CobiT también es un marco de trabajo relevante en este contexto, y dado que su alcance es mayor y requiere un mayor conocimiento de CobiT para identificar la manera en que valida las disciplinas identificadas en el modelo Thorp).

Con el modelo extendido de Thorp, si se requiere, es posible descomponer estas 8 disciplinas primarias en prácticas claves. La identificación de las prácticas claves es una tarea que requerirá esfuerzo para descubrir modelos disponibles y juntarlos con las disciplinas, reconociendo también que podría haber prácticas claves adicionales que no están definidas dentro de los modelos de prácticas disponibles. Sin embargo, para el propósito de la ilustración, el estándar ISO/IEC 20000 define claramente las prácticas de gestión de Configuración y Gestión de Incidentes.

En este estado, no es necesario que descompongamos el sistema de gestión. Mejor dicho, podemos esperar que las 8 disciplinas primarias identificadas acá, puedan ser descompuestas de manera fiable y que, haya acuerdos listos en los modelos descompuestos. Lo que ahora es importante, es comprender como las disciplinas y las prácticas claves dentro de ellas encajan con el sistema completo de gobierno de IT.

En realidad, el compromiso del cuerpo de gobierno con el sistema de gestión será un tema de determinación en una base de caso por caso para cada organización. Sin embargo, habrá características comunes en la participación y, estas son apuntadas por ISO/IEC 38500. Debería ser bastante claro que la participación del cuerpo de gobierno es por medio del establecimiento de políticas de nivel superior incluyendo, las delegaciones de autoridad (muchas veces desarrolladas en conjunto con la gestión), la participación en el desarrollo de, y aprobación de la estrategia, aprobación de los gastos mayores, y el monitoreo de conformidad y desempeño con respecto a las actividades de las inversión operacionales. Mientras que el cuerpo de gobierno puede no comprometerse directamente con cada disciplina, y ciertamente no lo hará con las prácticas claves, es con todo importante que el diseño del sistema provea un nivel de integración que, asegure la transmisión adecuada de las políticas del cuerpo de gobierno y otros requerimientos a través del sistema, y también provea los niveles apropiados de visibilidad y transparencia.

En organizaciones grandes y complejas, las autoridades y, mucho del detalle del sistema de gobierno de IT, es probable que sean delegadas a los ejecutivos, gerentes medios y superiores. Esta delegación esta manifiesta en los diseños específicos de los sistemas de gestión.

Encuentro Gobierno – Gestión

Así, ahora podemos visualizar una versión evolucionada del modelo de ISO/IEC 38500 para el gobierno, donde los tres pasos principales en el ciclo de gestión son reemplazados por las 8 disciplinas primarias claves, alineadas sobre los 4 primeros sistemas de gestión. En este camino, podemos ahora comenzar a desarrollar un mejor entendimiento de cómo se relacionan las tareas y roles de gobierno y gestión, y como son distintas e interdependientes.

Se puede decir razonablemente que, el sistema de gestión o las disciplinas dentro de ese sistema tienen un punto, o puntos de encuentro con el sistema de gobierno. Estos puntos de encuentro son:

• Preparación, adopción, comunicación y refuerzo de la política relevante para el sistema de gestión.
• Delegación de autoridad y escalada a niveles superiores de autoridad cómo y cuándo es requerido.
• Provisión de informes formales con respecto a la conformidad y desempeño, para cumplir las necesidades de la supervisión eficiente y diligente por el cuerpo de gobierno y cualquier cuerpo intermedio que puede actuar por la delegación de autoridad.

El diseño detallado de estos puntos de encuentro son, de nuevo, una cuestión de diseño basado en caso por caso por la organización, tomando en cuenta el diseño completo de sus sistema de gobierno de IT y las autoridades delegadas que deben aplicarlo.

Estas ideas presentadas aquí son un principio, no un fin. Ellas serán un tema de debate, esperemos que en diversos foros, e involucrando personas desde todos los conocimientos, incluyendo líderes de corporaciones y gobierno, académicos y especialistas de IT.

Habrá trabajo específico desarrollado en el contexto de ISO, y es de esperar que surja un modelo más claro y trabajable en el futuro cercano, de manera que la industria completa de IT, y las organizaciones que dependen de ella, puedan por lo menos tener una conversación clara y sin confusiones acerca de la gestión y el gobierno de IT.