Dos. Gobierno de Tecnologías de Información: alcance y desafíos Featured

Escrito por  Viernes, 18 Septiembre 2015 21:47

¿Cómo generar valor al negocio desde TIC?

 

Oscar González R.

Diego Hernán Pérez J.

El presente artículo describe la evolución que ha tenido el Gobierno de las Tecnologías de Información (TI) en los últimos años, y la importancia que reviste hoy en día  su implementación en las organizaciones. Se presentarán los  hallazgos más importantes encontrados en diferentes iniciativas de Gobierno de TIC y los principales aspectos a tener en cuenta para la implementación exitosa.

 

1.            Entorno de TIC ¿Qué es Gobierno de TIC?

El rol de las TIC (Tecnologías de información y comunicación) en las organizaciones ha venido adquiriendo diversos matices y énfasis en la búsqueda de ventajas competitivas. Centrada originalmente en soportar los procesos de apoyo y modelos operativos, evolucionó para soportar los procesos misionales-alineado con la estrategia, logrando compatibilidad y colaboración-; y, más recientemente, dando origen a nuevos modelos de negocios. Y, para ser más precisos, a ser en muchos casos el “core” de los negocios. No hay duda que los negocios y las empresas más exitosas en el mundo y en Colombia (basta mencionar a Amazon, AIRBNB, UBER, Baloto, Facebook, entre otros), están haciendo un despliegue descomunal de TIC,  rompiendo paradigmas que construyen nuevas categorías de negocios donde el centro son las TIC.

 

Pero no todo es color de rosa en esa evolución, basta citar algunos hechos:

i) las fallas y caídas de los servicios de TIC impactan seriamente la operación y reputación de los negocios (como ocurrió en los recientes sucesos en la bolsa de valores de NYC, en una compañía aérea y en un banco colombiano de amplia cobertura nacional). Como menciona Richard Nolan[1] nos estamos enfrentando a un reto debido a las grandes inversiones y gastos que están realizando las empresas, las que en algunos casos no guardan proporcionalidad con el valor agregado generado, por lo cual los inversionistas ya no están dispuestos a entregar “cheques en blanco” como lo hacían en años anteriores, sino que están exigiendo cuentas exactas de sus inversiones.

 

ii) De otro lado, el uso extendido en el core de los negocios incrementa el riesgo operativo y reputacional, pudiendo afectar negativamente las inversiones de los accionistas.

 

iii) A nivel internacional el 34% de los proyectos no terminan[2] y, si son de tecnología, el 50%  tienen desviaciones significativas de costo, tiempo y rendimiento, sumándole el hecho de que muchos no terminan porque hay algo más nuevo.

 

Nos enfrentamos a un panorama en el cual la importancia estratégica de las TIC  es innegable y, por tanto, conlleva a redefinir y evolucionar en la manera como las utilizamos.

 

En síntesis,  la dependencia de los negocios de TIC es cada vez mayor por las inversiones, la construcción de valor y el riesgo negativo

 

A diferencia de años anteriores, el entorno tiene grandes niveles de incertidumbre que se deben entender y abordar, frente a unas necesidades cada vez más crecientes de información especializada, no solo descriptiva, sino prescriptiva y predictiva. Entorno empresarial caracterizado por ecosistemas muy complejos por el número de jugadores y sus interacciones.

 

Dicho ambiente está muy impactado por la interdependencia entre empresas, su evolución constante y, particularmente, por la fuerte presencia de TIC en los procesos de negocio, la cual genera un alto riesgo asociado a la viabilidad y continuidad de la organización, si las TIC no operan en forma adecuada.

 

El escenario actual genera la necesidad de definir y diseñar estrategias proactivas para gobernar las TIC, de tal forma que permitan la adaptación continua del negocio.

 

El Gobierno de TIC especifica los derechos de toma de decisiones y los marcos de rendición de cuentas para guiar el comportamiento deseable del uso de TIC (Weill & Ross, 2004). Desde la misma definición podemos precisar el alcance de Gobierno de TIC. Para empezar, entendamos el comportamiento deseado en TIC, como todo aquello que genera valor para el negocio (así TIC sea negocio). Por esta razón, los principales objetivos de gobierno de TIC son la optimización de riesgos, la optimización de recursos y la entrega de beneficios sobre los activos de TIC (infraestructura, arquitecturas, personas, procesos, servicios, sistemas de información, etc.).

 

2.            ¿Cómo se ha hecho Gobierno de TIC?

La discusión de esta sección no pretende presentar un análisis exhaustivo de marcos, estándares e investigaciones para el Gobierno de TIC. Vamos a presentar una visión general de la evolución de Gobierno de TIC, alrededor de dos marcos de trabajo comúnmente usados: ISO38500 y COBIT y que plantea ante todo que este gobierno no es sólo de los responsables de TIC, sino que es una responsabilidad corporativa.

 

Desde la perspectiva de la ISO 38500 (Calder, 2008), la respuesta a la situación descrita del Gobierno de TIC, como se observa en la gráfica anterior, es poder responder a las necesidades y presiones al negocio, a través de una gestión adecuada de proyectos y procesos donde el desempeño y el uso presente y futuro de las TIC, se centre en los siguientes aspectos:

 

·                    Pasar de centro de costos a centro de utilidades.

·                    Ser rentable o auto sostenible.

·                    Brindar soluciones competitivas  y ser foco de desarrollo con el ecosistema de la empresa.

·                    Gestionar procesos, proyectos y recursos eficientemente y con un rendimiento acorde con el negocio.

·                    Agregar valor al negocio.

·                    Gestionar el riesgo dentro de los límites de apetito de riesgo de la empresa y el sector.

 

Desde la perspectiva de COBIT (ISACA, 2012), la evolución de gobierno de TIC se ve reflejada en los cambios de intención que ha sufrido este marco de trabajo: desde auditoría y control hacía una aproximación de gobierno corporativo de TIC. Esto básicamente se ve materializado en la alineación que cada vez más se busca con otros marcos de gestión de TIC, de Gobierno de TIC, y de gobierno corporativo (COSO, COSO ERM, ISO 31000, entre otros). Con este objetivo en mente, las últimas actualizaciones de COBIT contemplan artefactos de enlace entre elementos estratégicos inherentes a negocio y TIC, además de  mecanismos de gobierno (procesos de TIC). La personalización de estas herramientas a cada organización es un mecanismo muy útil para definir el mapa de ruta a seguir en la implementación de Gobierno de TIC. Sin embargo, si no se lleva a cabo una personalización y diseño específico de los mecanismos de gobierno más relevantes, el resultado puede fácilmente crear artefactos de gobierno complejos de administrar. Es decir, decenas de procedimientos y matrices de autoridad que nadie consulta y sigue. En este contexto se crea un escenario propicio para auditoría, pero no para gobierno.

 

Algo determinante para establecer el mapa de ruta es tener en cuenta la importancia relativa que se le da a cada objetivo de gobierno (optimización de riesgos, optimización de recursos, entrega de beneficios) respecto al motivador principal de cada organización (crecimiento, utilización de activos, rentabilidad, etc.). Esto determinará los principios, métricas, mecanismos, infraestructura de soporte y arquetipos de toma de decisión que deben primar en el diseño de la implementación de gobierno. Por otro lado, se debe tener claro que existen objetivos de gobierno que deben ser transversales a cualquier organización, tales como  promover transparencia y empoderamiento, ofrecer flexibilidad sobre la estructura organizacional y aplicar Inteligencia de negocios para la gestión de procesos y servicios de TI, entre otros.

 

3.            ¿Cuál es el estado de Gobierno de TIC en las organizaciones?

A partir de nuestra participación en diferentes iniciativas de Gobierno de TIC en varias  organizaciones tanto públicas como privadas, queremos compartir los principales hallazgos de lo que tradicionalmente pasa con Gobierno de TIC en las organizaciones. Estos hallazgos pueden ser usados como criterios para determinar la falta de Gobierno de TIC y/o escenarios de un comportamiento inadecuado de TIC (destrucción de valor).

 

·                    Sin brújula: Se centra en negociación con proveedores más que en aplicar una estrategia.

·                    Operativo: Centrado en administrar infraestructura y con bajos estándares de rendimiento en la operación.

·                    Barril sin fondo: Las TIC vistas como costos, sin entrega de valor, constituyéndose en un barril sin fondo, donde no se discuten suficientemente los gastos y las inversiones ni las prioridades ni se realizan análisis financieros (costo beneficio, productividad, rentabilidad, ROI entre otros) y, por tanto, no se conoce el  costo real de las TIC.

·                    Jungla: Inversiones de TIC redundantes entre unidades de negocio y sin un uso adecuado; en este caso, lo que se ha observado son unidades, procesos o áreas muy empoderados que tienen cierta independencia y toman decisiones en muchos casos no muy bien soportadas, lo cual genera una jungla informática.

·                    Bajo rendimiento: Falta de lineamientos y baja capacidad para la ejecución de proyectos, debido a que no se definen bien los alcances, los gerentes de proyectos no tienen  la experiencia para el reto planteado y, en muchos casos, no se definen bien los presupuestos y recursos para lograr soluciones sostenibles.

·                    Caos: Múltiples unidades de TIC con operación redundante y conflictiva (estándares, procesos, arquitecturas, etc.) y sin una utilización real o con un uso muy bajo de esta, y sin un marco claro.

·                    Egocéntrico: Falta de acuerdos de niveles de servicio hacía el cliente (SLA), hacia las unidades de negocio (OLA), con unidades de sistemas centradas en la operación y en la  gestión de proveedores.

·                    Dispersión: Toma de decisiones dispersa y sin acuerdos sobre lo fundamental, lo cual genera conflictos corporativos.

·                    Levitando: Gestión de riesgos inexistente y/o desconectada del riesgo corporativo.

 

4.            ¿Cómo se debería implementar Gobierno de TIC?

Desde un punto de vista muy general, y teniendo en cuenta como referencia los casos anteriores, implementar Gobierno de TIC requiere tres actividades: a) definir qué decisiones son críticas en TIC y deben ser controladas. b) Definir quién tiene derecho a tomar decisiones. c) Determinar cómo se deben tomar las decisiones, de tal forma que sea controlable. Lo más importante de estas actividades es entender el alcance que pueden y deben llegar a tener dependiendo del nivel de madurez de una organización en TIC. Esto  permitirá diferenciar implementaciones generales, de implementaciones detalladas/específicas de Gobierno de TIC.

 

En general, cualquier decisión sobre un activo de TIC se podría enmarcar en alguna de las siguientes cinco categorías (Weill & Ross, 2004): principios, arquitectura empresarial, infraestructura, aplicaciones de negocio e inversiones. En cada una de estas categorías se deben identificar las decisiones que se toman en la organización, generales como específicas.  Por ejemplo, para la categoría de inversiones se pueden identificar decisiones como: ¿cómo se priorizan las inversiones de TIC?, ¿cuánto se invierte en TIC?, ¿qué cambios o mejoras en procesos son estratégicos para la organización?, ¿cuál es la distribución de inversiones en el portafolio de TIC actual y en el objetivo?, ¿cuál es la importancia relativa de inversiones transversales contra inversiones locales?, etc. Una decisión general puede dejar la puerta abierta a los problemas mencionados previamente. Por tal razón, es necesario identificar decisiones específicas que estén asociadas con las de carácter general. Por ejemplo, para la decisión general de la categoría aplicaciones ¿quién es el dueño de cada proyecto y sus actividades?, se pueden identificar decisiones específicas que ayuden a controlar el uso de los activos de TIC. Es decir, especificar las necesidades de compra/desarrollo/alquiler de aplicaciones, especificar e implementar requerimientos, coordinar la demanda de aplicaciones, administrar cambios, etc. Un mapa de decisiones completo es un artefacto de Gobierno indispensable para entender lo que requiere ser controlado en la operación de TIC. El alcance de las decisiones identificadas debe mantener el alcance de Gobierno de TIC, sin llegar a decisiones de dominios específicos de gobierno (gobiernos de datos, gobierno de arquitectura, gobierno SOA, etc.).

 

Una vez se tienen claras las decisiones que se toman en TIC, es necesario identificar quién es el responsable actual de tales  decisiones y quién debería serlo. En el estado actual de toma de decisiones, seguramente vamos a encontrar comportamientos no deseados como la falta de responsables claros, lo que conlleva a la anarquía (se toman decisiones de forma individual). Aún para aquellas decisiones con uno o muchos responsables es necesario analizar el impacto (alineación con objetivos, materialización de riesgos, entrega de beneficios, uso de recursos) que puede tener, de acuerdo con el comportamiento esperado del negocio. Este comportamiento puede ser obtenido del modelo operativo deseado en la organización (niveles de integración y estandarización de procesos). Por ejemplo, un comportamiento no deseado en una empresa diversificada (baja integración y baja estandarización) podría ser la centralización en la toma de decisiones de inversión. Mientras que para una empresa coordinada (baja estandarización, alta integración) este puede ser el comportamiento deseado. Este comportamiento esperado del negocio debe ser el punto de partida para definir el comportamiento en el uso esperado de las TIC (restricciones). La delegación exclusiva o compartida de toma de decisiones entre unidades y roles de negocio y de TIC debe estar alineada con el comportamiento de TIC esperado. Al finalizar este análisis, el Gobierno de TIC debe entregar tres artefactos de salida: un mapa de toma de decisiones actual, un diagnóstico sobre el comportamiento actual, y un mapa de toma de decisiones esperado.

 

A pesar de que este último artefacto de gobierno da el lineamiento general para operar TIC y para soportar cambios que se vayan presentando en el negocio (personal, crecimiento, etc.), es necesario definir cómo se va a controlar el uso de las TIC. Para facilitar la rendición de cuentas, se deben definir y diseñar mecanismos específicos de gobierno. Las estructuras de toma de decisiones (comités, roles, unidades) son los mecanismos más comunes y de mayor visibilidad por su carácter organizacional. Sin embargo, el Gobierno de TIC empieza a tener mayor valor cuando se diseñan mecanismos detallados de alineación y comunicación (procesos de TIC, procesos de gobierno, acuerdos de servicio, portales web de TIC, etc.). Un diseño detallado de estos mecanismos debe contemplar decisiones que permitan su implementación (actividades, herramientas, personas, costos, beneficios, manejo de información, etc.). Sin embargo, se debe tener en cuenta que el diseño de todos los mecanismos a la vez demanda gran cantidad de recursos y tiempo y puede no generar valor para las TIC. Esta aproximación se observa cuando se intenta adoptar todo lo que está en un marco de referencia o estándar de gobierno (por ejemplo los múltiples macro-procesos, indicadores, matrices, etc.) sin ningún método de adopción personalizado a la organización. Se sugiere realizar en primer lugar una priorización y selección de mecanismos, y luego sí un diseño detallado e incremental solamente de aquellos mecanismos prioritarios y de mayor impacto para el negocio. Para contestar la eventual pregunta: ¿cómo saber cuáles mecanismos pueden tener mayor impacto?, se sugiere realizar un análisis en términos de su relación con los objetivos y riesgos, tanto de negocio como de TIC.

 

Siempre debemos tener presente que entre mayor capacidad y madurez de TIC y de gobierno de TIC, el diseño de los mecanismos de gobierno debe tener mayor especificidad. Por ejemplo, si en una primera etapa se diseña la estructura de un comité, en otra etapa se debe diseñar acuerdos de servicio, y así sucesivamente hasta diseñar cada proceso involucrado en la toma de decisiones del comité. El diseño de cada proceso debe contemplar la incorporación de principios, métodos, responsables, información y herramientas específicos para que sea operacional. Por ejemplo, se podría llegar hasta diseñar cómo implementar el método Business Impact Analysis, para un proceso tan importante de  gobierno como lo es la medición de impacto al negocio, debido al comportamiento de las TIC. El uso de las tecnologías de información para controlar los mecanismos de gobierno se vuelve fundamental, a medida que avanza el nivel de madurez.

 

5.            Reflexiones

Como expusimos en este artículo, la principal motivación para implementar el Gobierno de TIC en una organización es la de controlar el comportamiento de TIC. Sin embargo, en este proceso hay que ser muy cuidadosos para evitar perder el control en el Gobierno de TIC. Esto podría presentarse por un inadecuado diseño, en el cual los mecanismos definidos para controlar TIC sean complejos de administrar. Una estrategia para implementar el Gobierno de TIC de forma exitosa es hacerlo a través del mismo activo que va a controlar; es decir,  las tecnologías de la información.

 

El gobierno de TIC es una función del negocio y no sólo del CIO y debe ir de lo general a lo específico, y enfocado primero en lo crítico.

 

Referencias

[1] Calder, A. (2008). ISO/IEC 38500: The IT Governance Standard. IT Governance Publishing.

[2] ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.

[3] Romero, S. (2011). Eliminating "Us And Them": Making IT and the Business One. Apress.

Weill, P., & Ross, J. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results.

 

 

Oscar González R.Profesor asistente en el Departamento de Ingeniería de Sistemas y Computación de la Universidad de los Andes. En 2010 obtuvo su doctorado en Computer Science en la universidad Vrije Universite it Brussel (VUB) de Bélgica y en la universidad de Los Andes en Colombia. Ha participado como consultor en diferentes proyectos de transformación empresarial con Tecnologías de Información (TI). Sus áreas de actuación son Gobierno de TI, Arquitectura Empresarial y Business Process Management. Ha publicado varios artículos científicos en estos temas.

 

Diego Hernán Pérez J.Ingeniero industrial de la Universidad Nacional de Colombia con estudios de especialización en sistemas de información. Consultor en temas de estrategia y procesos, especialmente en proyectos de TI desde 1990. Consultor del CIFI INFORMATICA y profesor universitario en programas de postgrado y pregrado de la universidad de Los Andes. Director del Salón de informática de 1996.

 


[1]University of Washington Business School and Harvard Business School en Seattle SIM Annual Conference

[2]Rita Mulcahy PMP exam prep eight edition 

Califique este elemento
(0 votes)
Leido 3974 veces Modificado por ultima vez Viernes, 18 Septiembre 2015 22:49

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información