Del dia, Destacado, Noticias, Principal

IT Governance, nada personal son sólo negocios

[widget id="text-31"]

Los que recordamos la magna obra de Mario Puzo (autor de origen italoamericano conocido como el literato de la mafia, especialmente por su obra maestra El Padrino), sabemos que a lo largo de esta historia muestra una serie de “valores” que guardan un orden militar gracias a las prácticas funcionales con las que operaba la familia, donde el Don representa a la dirección general todo poderosa, pero a su vez casi guiada por Tom Hagen, su fiel consigliere y cerebro. Y por supuesto al igual que el mítico Tom Hagen, los CIOs son personajes claves para las TI, actúan de forma fría y calculadora para proveer medios de información dándole a la dirección, su Don, elementos para el crecimiento de la empresa con controles precisos. Los CIOs y los CEOs se preguntan desde hace mucho tiempo ¿Cómo encaminar el negocio hacia el desarrollo sin perder el control durante este crecimiento? Las reglas no escritas asumen como la ausencia de control cuando “sale a flote algo que se traduce por prácticas informales” no discriminando entre organizaciones pequeñas o grandes corporativos. Pero son los CIOs quienes tienen la presión de encaminar la tecnología hacia la máxima alineación con el negocio, y la responsabilidad de administrar millones en activos dentro de la misma empresa, por lo que establecer prácticas de estandarización y diversas normas tienen un papel fundamental hacia la gobernabilidad en TI. Y para tener un mejor panorama debemos tomar en cuenta la opinión de algunos expertos, Juan Carlos Cedillo, IT Manager, de Hasbro, señaló que la gobernabilidad es la implementación de modelos exitosos en el servicio, “es el resultado de la aplicación de políticas, procedimientos, normas de operación, estándares y mejores prácticas internacionales al desempeño de todas las funciones y servicios, y por ende una necesitad táctica”. En este sentido, cabe mencionar que hay muchos estándares que a los que se puede alinear y el CIO aún debe escoger cuál. De hecho, ITIL, COBIT, ISO y otras varias son sólo algunas de las normas que se pueden implementar opcionalmente en las TI, incluso en las empresas, que parecen tener procesos muy estandarizados. Existen diferentes niveles de implementación, que se traducen en diversos grados de gobernabilidad. Pero lo más importante es el resultado de la aplicación de estas políticas, procedimientos y normas de operación, ya que se convierten en niveles de servicio que sustentan el crecimiento de una organización. Pero regresando a estas metodologías y su significado en muchos aspectos está en el control, ya sea de prácticas para el razonamiento práctico y guías sobre cómo implementar o directrices de auditorías, todas estas definidas por ISACA, en un marco de control de procesos, proyectos, personal y medidas de prevención para alcanzar la gobernabilidad de TI. Por supuesto todo tiene un origen y una necesidad, en un principio los CIOs que se vieron obligados a modificar procedimientos internos por regulaciones, eran más reacios a la implementación de estas prácticas, pero grandes cambios en las leyes americanas surgieron, con políticas express elaboradas a raíz de grandes empresas como Enron y los escándalos del 2001 que luego dieran origen a la recién nacida en 2002 Ley Sarbanes Oxley, que afectó a todas aquellas empresas que cotizaran en la bolsa y que luego influyera a los gobiernos y empresas para la implantación de políticas similares. Aunque las necesidades de certificación para el cumplimiento de leyes no es la principal causalidad de la gobernabilidad, enmarca ejemplos inconfundibles de estas necesidades como las leyes. De hecho, no hay actualmente un proveedor que sea ajeno a los riesgos de no implementar estándares donde el menor de los costos es crecer “desestructuradamente” o no crecer. Por consiguiente, si hablamos de concientización, la metodología ITSM interpretada por EMC -por poner un ejemplo- menciona en su apartado de Administración de Riesgos, “atribución de responsabilidades, protección de información, garantía de recuperación de desastres y continuidad del servicio”, entre otros, por lo que es necesario tomar medidas al respecto, junto con los socios de negocio. La decisión de qué metodología usar es del CIO y la dirección general, y por supuesto depende del negocio aunque hay muchas opciones, pues como lo habíamos mencionado, todo depende de las necesidades, ya que como en el ejemplo anterior otra metodología puede ayudar a cumplir ciertos requerimientos empresariales, tal y como lo hace ITSM. Pero cualquiera de ellas coinciden en el mismo punto: ayudar al negocio, de tal manera que, ya sea ITSM o COBIT, deberán apuntar estrictamente al negocio. Para Gabriela Castro, consultor de Inteli, es claro que una implementación de prácticas basadas en la norma COBIT ayuda a las organizaciones a tener un mejor control de lo que se hace, aunque señala “desde el punto de vista de la dirección es cómo TI soporta toda la información y apoya a los objetivos de negocio”, y dejó claro que la gobernabilidad ha ayudado a las TI a no ser un costo en la organización como antes se solía ver. A diferencia del tristemente célebre Don, creación de Puzo, la dirección general ha traído a la mesa de decisiones al Consigliere, que como ya vimos, es un socio estratégico y éste ha sabido encaminar sus consejos para una mejor selección de socios de negocio. CA, por ejemplo, considera la gobernabilidad como un mejor control interno de procesos, “no sólo son para las empresas financieras, sino para las que están preocupadas por el control de las implementaciones y procesos de negocio que se interrelacionan y necesitan de un gobierno corporativo”, señaló Erick Espinosa, consultor de Proyect and Potfolio Management de la compañía y advirtió que esta labor es una de las más importantes tanto para la mesa directiva como para el CIO, ya que tiene que ver directamente con la administración de recursos. En este sentido, Gabriela Castro de Inteli coincide con la visión de CA y va más allá, pues hizo referencia al buen criterio y ética del tomador de decisiones. ¿Qué sería del Don si su Consigliere no hiciera lo correcto para la familia? Si consideramos que cualquier cargo tiene una responsabilidad ética inherente ¿Por qué el CIO no habría de tenerla? “muchas veces las implementaciones dependen del dinamismo del CIO, algunos suelen buscar proyectos con beneficios a corto plazo y pueden sumergir a una organización en complicados silos que esperan que otro disuelva”, aunque Castro reconoció que estos son casos aislados, recomendó la prevención en cualquier caso. Como proveedor, CA sí lo considera un factor ético primordial, y por supuesto promueve esta práctica entre sus clientes, donde una oficina de proyectos pueda garantizar que éstos se encuentren ligados 100% a la organización y por ende, a sus objetivos. No es de sorprender que esta visión sea compartida por CIOs líderes, como Ismael Cabrera, Gerente de Informática y Telecomunicaciones de Conagua, una organización gubernamental tan sólida en gobernabilidad que mantiene certificaciones en ISO 9001-2000, y que desde hace años son una constante en la organización, y que según Cabrera, “debe ser a fin con la dirección general”. Mantén cerca tus amigos, pero más cerca de tus proveedores “Desde mi punto de vista, gobernabilidad no viene sólo del área de sistemas, debe estar en forma transversal y tiene que estar perfectamente acordado y definido con la máxima autoridad de la institución. No podemos pensar en que debemos operar conforme vayan llegando las cosas”, señaló Ismael Cabrera, de Conagua. A esta visión se suma el proveedor CA, “la mesa directiva en realidad es quien debe estar convencida y no debe ver como un gasto este tipo de proyectos, ya que le va a dar una visión enorme”, señaló Pedro Gil, Country Manager de CA. Sumando proveedores, gobierno y sector privado, Juan Carlos Cedillo, de Hasbro, opinó: “un proyecto de implementación como éste toma tiempo y no sólo involucra al área de TI sino también a toda la organización, incluyendo a la dirección general”. De igual manera, hizo referencia a la importancia del trabajo conjunto y no sólo a la búsqueda de mejores prácticas. Por otro lado, Juan Carlos Cedillo mencionó otro punto importante: la divulgación, un tema que ayudará al cumplimiento en las organizaciones. De hecho, como uno de los principales factores para alcanzar la gobernabilidad, Juan Carlos Cedillo enumeró a dos como los ‘básicos’: 1.- El documentar y divulgar a todos los usuarios las políticas y procedimientos; 2.- Las funciones y servicios de TI deben estar catalogados y descritos detalladamente y sin ninguna ambigüedad. Aunque muchos de los tomadores de decisiones entre directivos de negocio y CIOs consideran a la consultoría como uno de los costos más altos en la estrategia, muchos proveedores consideran la autogestión como uno de los puntos a seguir. EMC por ejemplo, ayuda a la propia empresa a convertirse en un grupo multidisciplinario desde la dirección que luego quedará a cargo de un responsable de proyecto. Estrategia que no es exclusiva de EMC, CA comparte esta visión para no dejar el know how fuera de la empresa y por supuesto está la parte de educación que Inteli y muchas otras empresas consultoras ofrecen. ¿Y Cómo saber si funciona? Aunque la relación del Don con su Consigliere se basa en el respeto mutuo profesional, ambos como parte de la cabeza de la organización debían obtener resultados. Estos resultados en tecnologías de información se traducen en servicios. Y la entrega de estos, dependerán directamente del éxito de los planes y procesos de negocio. Ariel Sucari, Consulting Manager de ITERA, señaló que para lograr medir el éxito en un marco de gobierno en TI, hay que implementar métricas específicas, “sabemos que hay estadísticas interesantes donde las empresas ya no se dedican a implementar sistemas de medición por ellos mismos, de hecho, para el 2005 el 33% desarrollaba marcos de manera interna, mientras que para el 2007 sólo el 14% lo seguía haciendo”. Sucari señaló que los marcos desarrollados en consultoras externas son el estándar creciente en las tecnologías de información, y más allá de una tendencia es una necesidad en la búsqueda de mejora continua. Si contraponemos lo anterior con la opinión de los CIOs, obtenemos declaraciones como las de Juan Carlos Cedillo, de Hasbro, en donde afirmó que “es recomendable que este proceso sea apoyado por consultoría externa, especializada en estas metodologías y avalada por firmas de calidad internacional”. Por su parte, Ismael Cabrera, de Conagua, apuntó que es necesario ‘documentar’ además de buscar una manera de medir los resultados, “nosotros tenemos a toda la gerencia, y buscamos medirlo con indicadores además de encuestas, y aunque no estamos obligados, nosotros las hacemos propias para saber qué está pasando con los servicios”, y no eximió a los usuarios de la responsabilidad de cumplir con métricas y políticas. Sería interesante la visión del usuario aunque no sea conciente del proceso y esfuerzo que existe por tener mejores controles. Eduardo Delgadillo Thomé, Director de Tecnología de la Información de SKY, señaló que la gobernabilidad es un poco “educar al negocio y tener una base firme de cómo se deben hacer las cosas”. Cuando se habla de IT Governance, se está pensando en superar algunos retos: soporte a las metas de negocio, ayudar a los CIOs a administrar las oportunidades y riesgos que lleva a las perspectivas de negocio y ‘Operacionalizar’ el problema, sin duda una manera de identificar procesos y objetivos medios y pequeños que pertenezcan a un macro proyecto. La visión de EMC al respecto obedece a la búsqueda de necesidades puntuales “tenemos que encontrar las necesidades para alinear el proceso y luego identificar si realmente se alcanzaron los objetivos”, señaló Carlos Soni, Client Solution Manager, de EMC, pero especifica que cada uno de los objetivos está sujetos a un compromiso. El medir la gobernabilidad entonces no tiene tanto sentido como medir los resultados de negocio, un ejemplo de crecimiento implantando proyectos de gobernabilidad y mejores prácticas es Azcué, una compañía que creció en sólo 4 años cerca de 600% gracias a una reingeniería de procesos, y por supuesto diferentes upgrades tecnológicos. Alejandro Rodríguez, director de Business Intelligence, señaló “la dirección general decidió implementar toda esta metodología y soluciones luego de que se diera cuenta que les era imposible sustentar la operación con procesos no establecidos”, así Rodríguez asemeja el Consigliere de esta empresa, siempre asesorando a su director como su mano derecha. Por supuesto, en el caso Azcué, Alejandro Rodríguez, no realizó el trabajo aislado, Indra como socio de negocios lo puso en el camino para realizar implementaciones exitosas aunque sí representa un caso excepcional de desarrollo. Por otra parte, el tiempo es un factor que siempre está en contra; diferentes organizaciones tienen métricas establecidas para una implementación de cualquier upgrade de hardware, o de sistemas, pero, ¿Cuánto dura la implementación de procesos alineados completamente al negocio? Establecer una estrategia de gobernabilidad de TI no tiene un tiempo límite, Carlos Soni, de EMC, señaló que los cambios en las propuestas de mejores prácticas son constantes y siempre buscan la mejora continua, “la tecnología y prácticas siempre van a estar otorgando posibilidades de mejorar su negocio y el punto no es invertir en tecnología y convertirlo en un valor agregado”, aunque también aceptó que la madurez del negocio influye en la mejora continua y depende del modelo de madurez que acepte la empresa”. Un caso contrario es SKY, donde el negocio se dio a la tarea de crecer tanto en su parte comercial como en TI, mientras que Eduardo Delgadillo encaminó la tarea de brindar procesos sustentables en la ‘Simplicidad’: “lo que hicimos fue deshacernos de sistemas que fueran muy difíciles de manejar y los integramos al core principal”, con ello, señaló Delgadillo, “dejo atrás los silos tecnológicos”. Pero ¿Cuándo pensar en gobernabilidad? Gabriela Castro, de Inteli, considera más el cuándo como una serie de sucesos que se desarrollan en la operación o el negocio en general, y se vuelven cada vez más complicados. “Cuando se empieza a perder el control es cuando se dan cuenta de que no hay controles y no tienen la productividad que deseaban”, aunque no la definió como una necesidad de una compañía en crecimiento, sino de cualquier empresa. El sector financiero es un ejemplo clave, el crecimiento desmedido y rápido de estos negocios crean silos de tecnología que aunque bien estructurado el tamaño puede hacer perder de vista el factor rendimiento, al respecto Castro nuevamente describe cómo este contraste con las empresas en crecimiento tiene a su vez un problema en común, “la ausencia de controles eficientes”. Lo que pasa si se deja pasar Aunque conocemos cuáles pueden ser las consecuencias, valdría la pena meditar si en cada departamento se cumplen con las metas de tiempo establecidas para cada implementación, si a ello aunamos las nuevas tecnologías como SOA o virtualización que pueden impactar no sólo a la parte del negocio que soporte, sino a las tecnologías como área. Pero si hablamos de consecuencias, CA señala que una empresa al estar involucrada en un ecosistema “las necesidades de estandarización y cumplimiento se vuelven estratégicas no solo para alcanzar la gobernabilidad, sino como oportunidades de negocio al interactuar con proveedores o bien ser uno de ellos”. Y aún cuando se trabaja en una estrategia de gobernabilidad que concuerde con las necesidades y certificaciones necesarias, se debe implementar un mecanismo de cumplimiento. Para Ismael Cabrera, de Conagua, “no basta con tener procesos certificados, hay que vigilar que se cumpla con ellos, ya que en todos los casos, el resultado último siempre es la entrega de servicios”. Por supuesto si la dirección general debe estar involucrada, el resto de los usuarios deben cumplir con las normas, “nosotros tenemos los mecanismos de control que se requieren y sancionamos a los usuarios porque es importante que se cumpla con ellos”, señaló Cabrera, y como ya hemos visto, la gobernabilidad también obedece a procesos de control y las sanciones son lógicas.

Deja un comentario