Gobierno Corporativo y de TI

La bitácora sobre gobierno corporativo, y de TI

Orígen y evolución del concepto de gobierno corporativo – Artículo Magazcitum

Posted on | May 26, 2013 | No Comments

He publicado, a través del iTTi o Innovation and Technology Trends Institute en la revista de Magazcitum un interesante artículo sobre el origen y evolución del concepto del gobierno corporativo, y la concreción en el gobierno corporativo de TI.

Otro fallo del gobierno corporativo

Posted on | July 3, 2012 | No Comments

Cuando, después de todos los escándalos varios, Bankia incluido, parecía que venía la calma con los acuerdos donde Rajoy y Monti se coronaron, viene otra vez la tempestad. Y es que esto del gobierno corporativo parece que está otra vez de moda.

Ahora resulta que en Londres, en la City, Barclays ha sido condenado a pagar más de 200 millones de dólares por el fraude de la manipulación del Libor.Y es que los ciudadanos de a pie no nos libramos de escándalos. Primero Bankia, luego (o antes) Caixanova colocando preferentes a gente que no sabe lo que es, yluego esto de Barclays.

Al final del todo se trata de la maximización del beneficio a corto plazo. ¿Que hay que vender en un día 100 hipotecas? ¡No pasa nada! Presión a los directores de sucursales y bajamos el Libor o el Euribor. ¿Que hay que colocar las preferentes como sea? Pues lo mismo. ¡Ah! Y que el cliente firme el acuerdo por el que se da por enterado de las condiciones, que ya vale…

¿Dónde está la preocupación por la sostenibilidad, el largo plazo y el interés real y verdadero por los accionistas? En el cajón del regulador, o del ministro, o del CEO de turno.

Al fin y al cabo algunas cosas se descubren, y hasta los CEOs estrella tienen que dimitir. Que se lo pregunten a Bob Diamond.

¡Que dimitan todos!

¿Otro bug en COBIT 5?

Posted on | June 3, 2012 | No Comments

He estado repasando la documentación que tengo de COBIT 5, y cada vez le encuentro más pegas al tal framework. Ahora me centro en la separación entre gobierno y gestión. La verdad es que me gustan las dos definiciones de gobierno y de gestión. Especialmente, en el lado de la gobernanza o gobierno, me gusta eso de

Agreed-on enterprise objectives

Que, por otro lado, no significa más que el gobierno trata de “negociar” (un término que se comenta en otro lado de COBIT 5) los objetivos de los diferentes grupos de interés o stakeholders, e integrarlos en un conjunto de objetivos comunes de la compañía, acordados (así es como yo resuelvo en inglés lo de “Agreed-on”).

Pero hay algo que me chirría. En la página 32 del framework está esta figura:

Aunque yo me pregunto… ¿El gobierno solo se “entera” de las cosas cuando se empiezan y cuando se terminan? También se deben monitorizar las cosas en medio de los procesos de gestión. Así, a mi modo de ver, la figura debe contemplar estos aspectos: monitorizar la gestión no solo cuando entrega los resultados; y dirigir las cosas no solo al principio; también en la ejecución (aunque esto es más discutible). Cierto, esto es discutible, pero a mi modo de ver el dibujo debe de quedar así:

La primera piedra del gran lupanar

Posted on | February 25, 2012 | No Comments

Mi antigua empresa, quiero decir la empresa en la que antes colaboraba, se acaba de certificar en la ISO 31000, la ISO de gestión de riesgos. Según me comentan, la primera empresa en certificarse en ISO 31000. No es que sea una buena o mala noticia para la empresa, que me da igual. Es el principio de la prostitución generalizada.

Me explico. La norma ISO 31000 es, como la norma 38500, no certificable. Creo que hasta lo dice la propia norma. Es tan pequeña en su longitud que solo define términos sobre la gestión del riesgo, los principios, procesos y poco más. Es tan pequeña por algo, porque establece un marco de trabajo para la gestión de riesgos, pero no para la certificación de los mismos.

De hecho, las pocas empresas que se atreven a implantar un sistema de gestión de riesgos atendiendo a esta norma y no a COSO se han preocupado por tener empresas que certifiquen dos cosas: el diseño, y la aplicación, del sistema de gestión de riesgos. Por ejemplo, esto ha ocurrido en Abengoa, quien ha acudido a PwC para ambas certificaciones mediante un informe independiente.

La norma ISO 31000 es una norma de futuro, y que en muchos ámbitos profesionales ven como la que va a sobrepasar a COSO como estándar (de facto) en la gestión de riesgos. Y, como en COSO, se trata de una norma no certificable, basada en buenas prácticas, principios y procesos, y que es verificable (que no certificable) por compañías independientes (en teoría). La incursión de AENOR en un terreno vedado es la primera piedra, la inauguración oficial, de la prostitución generalizada de normas no certificables. A mi, francamente, en otros ámbitos del negocio o de la sociedad, que esto exista me importa un pimiento. Pero como gran purista, como defensor de estándares abiertos, en los que se impongan criterios y principios, en el que no está definido con total amplitud lo que hay que implementar, como defensor de la ISO 38500 as is, o de la norma ISO 31000 de la misma forma, esto me parece un disparate.

Por que, conociendo lo que se ha hecho en mi ex-empresa (que insisto no es criticable cuando lo que se persigue es un sello para ofertar con instituciones internacionales), lo que ha hecho AENOR es un paripé. Y, por supuesto, poner en marcha la máquina registradora del lupanar del gobierno corporativo, de la gobernanza de TI y todas sus disciplinas relacionadas, como la gestión del riesgo.

O sea, hemos pasado de un elemento conceptualmente glorioso a una commodity. Dios nos coja confesados.

¿La prioridad número 1 del CEO?

Posted on | October 10, 2011 | No Comments

Interesante post en Harvard Business Review. ¿Cuál es el papel del CEO? ¿Cuál es su prioridad número 1?

Raynor apunta a que la prioridad número 1 es la supervivencia de la empresa. ¿No es esto algo así como gobierno corporativo? ¿Cuál es, entonces, la relación del CEO con el resto de grupos de interés?

 

Sesión con Mark Toomey en Madrid

Posted on | October 7, 2011 | No Comments

Aunque no estuve, adjunto documentación gráfica sobre el interesante curso de Mark Toomey en Madrid, “Business Oriented Governance of IT”.

La sesión permitió a los asistentes (de gran nivel) compartir conocimientos y conocer de primera mano de Mark Toomey los problemas, ventajas y tendencias en el gobierno corporativo de TI, y su implementación en las organizaciones.

En primer lugar el programa:

Y en segundo lugar una foto con algunos de los participantes (gracias a Manuel Palao).

Estoy ansioso de poder compartir la siguiente visita de Mark Toomey a España.

 

 

Curso ejecutivo de preparación para la certificación CGEIT

Posted on | September 19, 2011 | No Comments

La ATI (Asociación de Técnicos en Informática), en colaboración con Auren, presentan el Curso Ejecutivo de Preparación del Examen de Certificación CGEIT.

Más información en la dirección siguiente. El curso se celebrará en Barcelona, Madrid, y otras ciudades, y en inglés.

En la web se indican las fechas previstas (viernes tarde y sábados de mañana).

Una buena oportunidad con dos buenos profesores: Manuel Palao, y Miguel García Menéndez. Amplia experiencia, y también grandes conocimientos.

Evolucionando en Gobernanza de TI

Posted on | August 9, 2011 | No Comments

Según un estudio que acabo de retomar del IT Process Institute, la evolución de la gobernanza de TI en las empresas es un elemento que existe. Algunos autores u organizaciones han identificado esto como modelos de madurez, como en COBIT.

No obstante, yo me quiero quedar con las conclusiones más claras y menos estructuradas. Me explico: los modelos de madurez no son más que un esfuerzo por “intervalizar” (¡vaya palabra!) y por estructurar los diferentes estadios de la evolución de algo. Sin embargo, a mi me interesan las conclusiones y no estructurar e “intervalizar esto”. Y es que aparecen en la primera página.

Inicialmente, el enfoque para la adquisición o implementación de buenas prácticas de gobernanza de TI en las empresas se centra en la reducción de riesgo y coste. Este es el principal driver de las organizaciones. Tal y como se avanza en la madurez del gobierno corporativo de TI, estas prácticas se centran más en aspectos como alineamiento del negocio y en aspectos relacionados con el time to market: agilidad, gestión de carteras de TI, e innovación.

Esto es claro, y tiene una lógica aplastante. Actualmente colaboro con una empresa que no tiene esta evolución, y es que el departamento de TI (y, aunque parezca lógico, la gestión y el gobierno de TI) es nuevo y está construyendo la arquitectura e infraestructura. En este ejemplo, el enfoque es mixto: existe una gran presión por el negocio para hacer las TI más ágiles, pero también hay que construir desde cero los aspectos de seguridad, gestión del riesgo y, también, coste.

Un buen artículo para leer, que da las claves de que el gobierno corporativo de TI es necesario.

Gobierno vs. gestión (II)

Posted on | July 1, 2011 | No Comments

Continuando con la diferencia entre gobierno y gestión…

Antes, en este post comentábamos algo sobre la diferencia entre gobierno y gestión. Hay más, incluso conclusiones bastante interesantes.

Antes de abordarlas, distingamos quién ejerce cada una de las actividades. Gobierno. Es ejercido por el “governing body” de acuerdo con Mark Toomey, que no es más que la representación de la propiedad en la empresa. Me explico, el cuerpo de gobierno (mi traducción para lo que se denomina “governing body”), es en definitiva el Consejo de Administración, o cuerpo similar (el Consejo Rector en cooperativas en España, o, en algunas ocasiones, el Consejo de Familia en las empresas familiares, aunque esto no es del todo correcto).

Gestión. Es quien ejecuta las directrices del cuerpo de gobierno. En las empresas, va desde el Director General (CEO, o gerente) hacia abajo, aunque siempre se hablará de la “primera” o “segunda” línea (dirección general y directores de departamento o área). Estos ejecutan las políticas, estrategias y planes aprobados por el “cuerpo del gobierno”.

Aquí viene la sorpresa, o la conclusión interesante: aunque las estrategias, políticas, e incluso la evaluación de las mismas se aprueba en el nivel de gobierno, quienes las definen son, en general, están en el nivel de gestión. Me explico: ¿Quién define el plan estratégico de una empresa? El Director General (con ayuda de quien sea, consultora, directores de área). ¿Quién aprueba el plan estratégico? El nivel de gobierno. ¿Quién define o propone las políticas y reglas de la empresa? El nivel de gestión. ¿Quién las aprueba? El nivel de gobierno.

¿Quién obtiene la información para monitorizar y evaluar la ejecución de políticas, estrategias, e incluso el esquema de toma de decisiones? El nivel de gobierno. ¿Quién realiza tal evaluación? El nivel de gestión.

Curioso…

La gestión de riesgos de TI es corporativa (sobre todo)

Posted on | June 4, 2011 | No Comments

Una de las lecciones que tuve sobre riesgos de TI en mi proceso de investigación fue cuando entrevisté a un CIO de una empresa multinacional en España. En la entrevista intenté comprender cuál era el papel real de este CIO, y qué interlocución tenía con el Consejo de Administración.

“Yo participo en el Consejo de Administración”. Me comentaba que le convocaban para discutir elementos específicos del negocio, pero con un impacto en las TI. Y una vez le preguntaron por cómo gestionaba los riesgos, y cuáles había identificado últimamente. Les comentó los que había identificado, pero les dijo que el que más le preocupaba era que, en la situación de crisis económica, había un proveedor que estaba en riesgo de quiebra, de lo que en España se llama “suspensión de pagos”. Y que esto podría comprometer la operación de las TI en la empresa.

Este es uno de los ejemplos claros de lo que es comprender el riesgo en una organización. Está claro que cuando se habla de riesgos de TI se habla de seguridad, control de acceso, hackers, … Pero… ¿Qué pasa con este tipo de riesgos, con los riesgos corporativos que impactan en las TI?

Estos, también son riesgos. Quizás más importantes que los otros.

keep looking »