El buen gobierno de las TIC, IT-Governance, Corporate Governance of IT, o como las tendencias de mercado deseen nombrarlo, está afrontando dificultades de implantación y de percepción de su valor real en las compañías.
En los tiempos turbulentos que afrontamos, las organizaciones perciben las TIC (tecnologías de la información y comunicaciones, encarnadas en las empresas en el departamento de sistemas) como una commodity: necesaria, omnipresente, pero externalizable, en tanto en cuanto soportan las necesidades del negocio, pero no lo implementan. De esta forma los departamentos de sistemas son vistos como centros de coste sin fondo desde una óptica financiera y, desde el punto de vista de un departamento jurídico, como un foco importante de incumplimientos normativos.
En las prácticas de buen gobierno corporativo debemos reconocer la existencia de diversos dominios de actuación que la Dirección debe afrontar, por ejemplo: gobierno financiero, de recursos humanos y de las TIC.
El gobierno de las TIC no es un campo de conocimiento de especialización técnica a desarrollar en exclusiva por ingenieros informáticos. Tan sólo es una modalidad más de gobierno corporativo mejorado a través de principios, herramientas de aprendizaje automático, y marcos de trabajo que ayudan en la correcta aplicación y ejecución del gobierno corporativo en el campo de las tecnologías de la información.
Para que las TIC sean gestionadas en base a este criterio, se deben ponderar como el resto de dominios corporativos: mediante una aproximación basada en riesgos. Esto permite a la Dirección priorizar y valorar, consiguiendo su involucración. Si la Dirección no está involucrada, no podremos hablar de Gobierno de las TIC, sino de Gestión TIC.
La realidad nos muestra un marco mucho más práctico. Existe una relación directa entre el buen gobierno corporativo y el gobierno corporativo de las TIC. El primero busca, de forma general, generar beneficios, de forma sostenible en el tiempo y cumpliendo con la ley. De la misma forma debe ser conceptuado el gobierno de las TIC, generando beneficios (intraempresa), de forma sostenible (alineado con los objetivos de negocio) y cumpliendo con la normativa que le es de aplicación.
Vamos a detenernos en este último aspecto. La práctica totalidad del marco regulatorio al que se encuentra sometido cualquier empresa española tiene su reflexión e incidencia en sus sistemas informáticos, como en la LOPD, LSSICE, Reforma del Código Penal, Ley de Infraestructuras Críticas, Ley de Propiedad Intelectual, Ley de Prevención de Blanqueo de Capitales, etc. De esta forma, en muchas ocasiones, se convierten en el motivo de cumplimiento más sencillo de abordar y, por contra, en el motivo de incumplimiento, más directo y abundante. Proporcionalmente, unas TIC sin gobierno, adolecerán de un marco de gestión adecuado y, sin gestión, en un número más elevado de incumplimientos.
La actual situación económica ha catalizado la vorágine externalizadora a la que se encuentran sometidos los departamentos de sistemas en la gran totalidad de las empresas nacionales. Existe la idea generalizada de que, externalizando las TIC, externalizo los problemas de cumplimiento normativo. Debe quedar claro que, se externaliza la gestión, no el gobierno de las mismas ni, por extensión, la responsabilidad de cumplimiento.
Un buen punto de partida puede ser la adopción de un modelo de gobierno TIC basado en el estándar internacional ISO 38500, complementando con la implantación de un marco de decisión basado en riesgos, ponderando especialmente, los riesgos de cumplimiento normativo y su adaptación en los sistemas informáticos corporativos.
