Gobierno corporativo de ti

Impulsando el Liderazgo de TI a través
del Buen Gobierno Corporativo de las Contenidos:
Tecnologías de la Información »» Presentación
Hacer más con menos »» Prólogo
Tanto los tradicionales catalizadores del Buen Gobierno Corporativo de TI -conformidad »» Buen Gobierno Corporativo [de TI]. Una
y rendimiento-, como la actual necesidad de optimizar recursos y reducir costes (hacer necesidad
más, con menos), constituyen una excelente lanzadera para impulsar el liderazgo de
TI, traducido en una ganancia en visibilidad de la función informática, que le permitirá »» Nuevo rol de “Gobernador corporativo de TI”
ubicarse en una posición más elevada desde la que tendrá la oportunidad de ser motor
de la aportación de valor -eficiencia e innovación- de toda la organización y desarrollar, »» Arquitectura de Empresa
de ese modo, unas TI de primera clase.
»» Informática “verde” ¿eco-logía o eco-nomía?
»» Sobre Control Interno
»» OS4QA®, la oficina de calidad de TI
»» Gestión cuantitativa de TI
»» Gestión del cambio cultural

www.es.atosorigin.com

PrESENTACIÓN
Es un honor para mí presentar este documento que recomendaciones, sino la capacidad de liderar a su
hoy tiene en sus manos. Tomando como excusa la gente en el entorno competitivo, y de incertidumbre,
celebración del primer aniversario del lanzamiento actual.
de la norma internacional ‘ISO/IEC 38500:2008.
Corporate governance of information technology’, Nuestra reciente campaña de imagen, “We see things
en él va a encontrar un conjunto de interesantes differently” (Vemos las cosas de forma diferente),
mensajes en torno al tema central del Buen Gobierno apunta exactamente en esa dirección: con nuestra
Corporativo de las Tecnologías de la Información visión llevamos a nuestros clientes a posiciones de
(TI) y cómo éste podrá ayudarle a garantizar la liderazgo, tanto internas, como externas, en el marco
transparencia que el mercado le demanda y, al de sus propios mercados.
mismo tiempo, a elevar la visibilidad de su área de
tecnología, dentro de la organización. Éste es precisamente el espíritu que subyace al texto
que aquí le presento: impulsar el liderazgo de TI Fernando Molpeceres
Atos Consulting -y, por ende, Atos Origin- vuelve a través de un buen gobierno corporativo de las
a establecer, de este modo, un precedente único tecnologías de la información. Desde el área de
que viene a sumarse a toda una serie de iniciativas Consultoría de Negocio de Atos Consulting hacemos
lanzadas en los últimos años. Claro exponente nuestro ese lema y confiamos en que la ganancia
de éstas fue la creación y puesta en marcha, a en visibilidad de la función informática, le permitirá
principios de la década, de unas estructuras que, ubicarse en una posición de liderazgo desde la que
bajo la denominación de Centros de Excelencia tendrá la oportunidad de ser motor de la aportación
(Centers of Excellence, CoE), no han pretendido de valor -traducido en eficiencia e innovación- de
sino el intercambio de información, conocimiento y toda la organización.
experiencia entre los miembros de la familia Atos, en
los diferentes países donde la firma está presente, Para terminar, no quisiera dejar pasar la oportunidad
con el fin último de contribuir de forma conjunta y sin expresar mi apoyo y felicitación, tanto a los autores,
configurar una respuesta homogénea a las demandas como a los miembros del equipo de comunicación
del mercado global. que han hecho posible este white paper y animarlos
a todos a que sigan contribuyendo a desarrollar el
La actividad de los actuales seis CoE (Adquisiciones, liderazgo de nuestros clientes y a conseguir, junto a
Estrategia e Innovación, Finanzas, Gestión del Cliente, ellos, unas TI de primera clase.
Personas y Cambio, y Tecnologías de la Información)
gira, hoy día, alrededor del concepto de liderazgo.
Fernando MOLPECERES SÁNCHEZ
Ello se traduce en que no ha de ser sólo experiencia,
Director de Consultoría de Negocio
conocimiento y excelencia lo que nuestros clientes Atos Consulting (Atos Origin sae)
obtengan a partir de nuestras soluciones y Madrid, junio de 2009

2

Prólogo
Cuando comencé mi carrera en el mundo de las pero la mayoría se habían visto implicados porque
Tecnologías de la Información (TI), los primeros sus patrones necesitaban a alguien que conociese el
“mini-ordenadores” aún estaban siendo adaptados negocio y que ayudase a informatizarlo. Y en cuanto
a las aplicaciones comerciales; y las organizaciones, a los métodos, hace treinta años el desarrollo de
que nunca antes habían utilizado nada más potente métodos se encontraba en su más absoluta infancia;
que una calculadora, estaban comenzando a sin madurez en nada y, definitivamente, sin normas.
automatizar sus negocios.
Por tanto, parece que, hoy, en el lado de la tecnología,
En aquellos días no había “CIOs“ y eran pocos estamos mucho mejor de lo que estábamos en los 70.
los departamentos de TI reconocidos como tales. Sin embargo, ahora tenemos proyectos de TI con una
Trabajábamos directamente con la gente que tasa de fallos por encima de lo aceptable; tenemos
conocía y hacía funcionar el negocio para diseñar proyectos marginalmente exitosos que no aportan el
nuevas formas de operar, en busca de una mayor beneficio cuantitativo, tangible, esperado; y tenemos Mark Toomey
eficacia y eficiencia. Desarrollábamos el software negocios expuestos a un riesgo de daño, como
al mismo tiempo que rediseñábamos -siquiera consecuencia de sistemas que fallan. ¿Por qué? Mark es un especialista
mínimamente- el negocio; y a la vez que se instalaban de referencia, a nivel
los nuevos sistemas, todo el mundo era entrenado y Creo que la razón principal de esta situación no es internacional, en
“re-adaptado”. La gente de arriba se lo tomaba con que hayamos fallado al tratar de mejorar desde el gobierno corporativo
gran interés, no sólo supervisando el proceso, sino lado de la tecnología; sino que, en realidad, lo que de las tecnologías de
participando activamente para maximizar el valor de lo hemos hecho, ha sido desarrollar un problema en la información y las
que estábamos haciendo. el lado del negocio. Donde una vez los ejecutivos comunicaciones. Es un
de la alta dirección estuvieron involucrados y los consultor independiente
La mayoría de aquellos proyectos finalizaron con mucho consejos de aministración/comités de dirección experto en la norma ISO/
éxito, aportando lo que la organización demandaba, supervisaban muy de cerca, ahora lo que tenemos IEC 38500:2008, de la que
a un coste aceptable y conduciendo tanto a un mayor son directivos demasiado ocupados y demasiado fue co-creador.
rendimiento, cuanto a un crecimiento del negocio. alejados y consejos que muy raramente se involucran.
La implicación del negocio en los proyectos de TI se
Desde entonces, la tecnología se ha abaratado; ha dejado en manos de mandos intermedios, muchos
la capacidad del software se ha incrementado; la de los cuales están sobrecargados intentando una
dependencia por parte de los negocios, y de la gente, y otra vez recortar gastos, y muchos de los cuales
respecto de la tecnología se ha hecho más profunda; han sido escasamente advertidos sobre su papel y
los proyectos que abordan las organizaciones se han responsabilidades en el éxito de los proyectos.
hecho más ambiciosos; y la certidumbre en cuanto al
éxito con las TI, ¡ha disminuido! Hace treinta años, lo que hoy día llamamos proyectos
de TI -esto es, proyectos de cambio o mejora del
¿Por qué dicho éxito resulta, hoy, tan esquivo? ¿Por negocio a través del uso de las TI- eran objeto de
qué las organizaciones son, tan a menudo, víctimas un buen gobierno porque las personas encargadas
de fallos, tanto en los proyectos, como en aquellas de la gobernanza a alto nivel estaban directamente
operaciones que tienen una alta dependencia de las involucradas. Hoy en día, a medida que dicha
TI? ¿Es que la tecnología ya no es buena? ¿Es que la implicación ha disminuido, así ha decrecido la eficacia
gente que proporciona esa tecnología no está bien del marco general de gobierno corporativo. Y la
formada, o, acaso, es incompetente? ¿Es que los experiencia de los últimos años nos ha demostrado
métodos que usamos no son satisfactorios? ¡No! Hoy, que, al tiempo que se reconoce que el gobierno es
incluso el ordenador personal más barato es mucho importante, intentar resolver el problema a base de
más fiable que aquel “mini-ordenador” de 1975. El más reglas, herramientas y marcos de referencia que
software en los años 70 era extremadamente simple invariblemente ponen el foco sobre la gestión de las TI,
y parco en funcionalidades; y mucho más propenso en lugar de en su gobierno, no es una estrategia que
a fallos de lo que lo es actualmente. Hoy tenemos lleve a buenos resultados.
grandes esperanzas en la enorme capacidad del
software, de modo que toleramos menos fallos. Hace Un gobierno corporativo de las TI, eficaz, depende
treinta y cinco años la mayoría del personal informático no sólo de herramientas, o de procesos, o de
no tenía formación universitaria -muy pocos tenían una modelos, o de estructuras organizativas. Depende,
licenciatura-. Algunos eran elegidos para sus trabajos simple y llanamente, de que la gente que gobierna
porque habían superado una prueba de aptitud; la organización -el consejo y la alta dirección-

3

bajo el procedimiento de tramitación rápida del comité técnico conjunto JTC1 de ISO/IEC. procesos. La ISO/ en numerosos procesos de TI.au. y. y. es tan concisa Mark TOOMEY como puede serlo una guía de gobierno corporativo. organizaciones. El destacado académico e investigador del MIT. los cuales resultan orientando la conducta de las organizaciones demasiado detallados para el perfil de los individuos en relación al uso que en ellas se hace de las TI. Infonomics Pty. muchos directivos no los siguen. la propia norma identifica tres tareas altos órganos de gobierno. publicada el 1 de junio de 2008.comprenda y asuma su responsabilidad para aplicar Este documento preparado por Atos Consulting sus habilidades de gobierno al uso de las TI. poniendo el foco sobre las cosas que ellos sí entienden. www. Un año aclarando el con ellos. »» rendimiento. Fundador y Presidente Ejecutivo. reflejado governance of information technology’. sugirió que el comportamiento Esta forma de presentar las actividades ofrece un es un problema significativo cuando declaró modo más adecuado de involucrar a los órganos que. los modelos.infonomics. la lupa a través de la cual pueden ser concepto de gobierno corporativo de TI evaluados dichos comportamientos): (Elaborado a partir de contenido publicado en »» responsabilidad. prestando especial atención a las comprendida y utilizada por los directivos de las características más particulares de la organización. organización es única y. de la que en en este trabajo. herramientas y Cuando lo hagan. los modelos de la industria. Peter Weill. incluídos los miembros de sus más No obstante.infonomics. Dice La ISO/IEC-38500 es un documento breve. »» adquisición. las habilidades pueden combinarse con una gobernanza estructuras y otros recursos que hemos diseñado para eficaz. Pensando en esos ejecutivos y directivos. para el negocio. »» estrategia. Espero y deseo que le dediquen el estos días hemos visto cumplido su primer año de tiempo suficiente para descubrir los mensajes que vida. 4 . parte del negocio. la norma internacional ‘ISO/IEC 38500:2008.com. aunque se definan sistemas de gobernanza de gobierno que los habituales enfoques basados formales. y puede ayudarlas a tomar conciencia de que el desarrollo continuo de marcos. Ltd. tal y puede llevar a las organizaciones a entender cómo como ya las aplican al resto de aspectos que forman reconectar el gobierno corporativo con la tecnología. »» conformidad. las herramientas. fundamentales que deben ser puestas en marcha en un sistema de gobierno: evaluar. escrito claramente que cada entidad necesita diseñar su en lenguaje llano. comités de dirección o estructuras equivalentes. Corporate Es un placer para mí poder alabar su esfuerzo. les habilita para controlar aquello que ellos no entienden. aportarán su valor más significativo. como recogen IEC-38500 deja claro que eso no es aceptable. Está diseñada para ser leída.com. y está La norma ISO/IEC-38500 reconoce que cada basada en la norma australiana AS 8015:2005. no intenta describir detallados procesos de gobierno. y con un nivel de riesgos aceptable. ofrece una clara directriz que les guiará en el encierra. de alto nivel. dirigir y El buen gobierno corporativo [de TI] tiene mucho supervisar el uso actual y futuro que se hace de las más que ver con comportamientos. que con TI para el logro de los objetivos de la organización. Presidente del Comité Técnico IT-030 de Standards Australia. La norma internacional ‘ISO/IEC 38500:2008. con permiso del autor). fue desarrollada »» conducta humana. Corporate governance of information technology’. por tanto. para incrementar la probabilidad ayudarnos a controlar y a garantizar la eficacia en el de que la inversión en TI aporte un verdadero valor uso de las TI. desempeño de sus responsabilidades. junio de 2009 ISO/IEC 38500:2008. que forman parte de los consejos de administración. a través de seis principios clave (y ofreciendo. medible. propio marco.au Melbourne. www. La norma está escrita empleando su propio lenguaje.

o incluso hacer referencia a la de la economía japonesa. En la raíz de este desastre corporativo -probablemente el más relevante del siglo XX y el primero de En 1995. los ejecutivos de Barings en Londres. que implicarían caer en manos de la justicia confiaron las operaciones sobre mercados de singapurense. a Nicholas William Leeson? A estas alturas. No lo consiguió. elementos que afectaron ‘mortalmente’ a la entidad para la que Leeson trabajaba. el 23 de febrero de 1995.”. tal vez. una necesidad El caso “Leeson” Al principio todo fue bien: a finales de 1993. desdichado Nick Leeson. seis meses después. en el joven Leeson. relata el inicio del fin de Tokio logró recuperarse y estabilizarse por de una historia bien distinta. Barings PLC era un banco comercial con 233 muchos otros. Singapur. pero con la intención de librarse. que sería adquirida. La historia recogida en los párrafos anteriores parece -cifra que superaba. las pérdidas apartamento. en su intento de llegar a ciertos éxitos en anteriores encargos de menor Londres. consciente de las posiblemente recupere la memoria.. al por la policía alemana a los pocos días. la holandesa ING. las reservas del propio centrarse excesivamente en los aspectos humanos. tras treinta meses de secuencia inicial de cualquier “thriller” al uso. incluso. encima de los 19. en la que durante tres meses volvió a emplear nuevos cientos de millones El pasaje anterior bien podría pertenecer a una de dólares. sin recesión. Pocas horas después. lo que condujo. acompañado de su entonces esposa en las últimas semanas del invierno de 1995. más recientes. ni el índice Nikkei de la bolsa embargo. por el quiebra fulminante de la entidad. consecuencias que le acarrearían sus actuaciones. Sin embargo. no le diga nada. irremediablemente. ¿Acaso recuerda Ud. la compra del. al de Barings PLC. si trata de asociarlo dos días antes de cumplir veintiocho años. realizadas desde el sudeste asiático. al menos. Para diciembre de 1994. un veinteañero que había obtenido aeropuerto de Frankfurt. De este modo. las cosas no tardaron en Nick y Lisa abandonaron apresuradamente su cambiar. se produjo. no mucho tiempo las. El esquema Leeson como el único culpable: ¿dónde quedaba la financiero creado por Leeson supuso unas pérdidas responsabilidad de la alta dirección de Barings en totales de más de mil trescientos millones de dólares todo este asunto? 5 . sufrida.BUEN GOBIERNO CORPORATIVO [de ti]. al mismo a posteriori. En un intento desesperado por revertir estaban disfrutando de una hermosa playa en la isla la situación. Subieron con sus maletas al taxi acumuladas por Nick en la cuenta ‘especial’ que aguardaba en la puerta y partieron hacia el número 88888 superaban los quinientos millones aeropuerto. sirve de excusa perfecta para repasar otros simbólica cifra de una libra esterlina.000 puntos. sin embargo. lamentablemente. Leeson había logrado hacer más de diez millones de libras “Aquella calurosa mañana de finales de febrero. y. como reflejaba algunas. tal y como Nick había previsto. sería extraditado responsabilidad. el banco que se desplomó Nick. en el hombre fuerte del banco en la oficina de finalmente. compras de opciones. Sin embargo. por citar sólo decisiones equivocadas. esterlinas. en la financiación de algunas destacadas operaciones comenzando. Lamentablemente. duras condiciones atrás. Sin embargo. conocidos después- años de historia a sus espaldas. de La historia comenzó cuando. Nick se convertía a la isla-estado donde sería juzgado y cumpliría. que había colaborado pueden identificarse múltiples y variadas razones. a la personales. Lisa. los dos jóvenes de dólares. su condena. Leeson se lanzó a una escalada de de Borneo . de la aventura vivida. Fue apresado futuros. abondonó Singapur. por su rival. hoy profesional del propio Nick Leeson y sus desacertados americano. por la tiempo. no sería acertado pensar en clientes a Su Majestad la Reina Isabel II. es muy probable que ese nombre ya De ese modo. y que se sentía orgulloso de contar entre sus la prensa de la época. ni el ansiado repunte novela romántica. más que probables. estado de Luisiana o la construcción del pronósticos que lo llevaron a una temeraria cadena de Ferrocarril Canadiense del Pacífico. banco-.. por la ambición personal y como las guerras napoleónicas.

incluso. la dualidad londinenses. la solución a estos problemas se ha planteado en términos de regulación. diversidad de propuestas. voluntario. que el puesto requeriría -pero. desde el punto de corporativos. incluso. todas las coinciden plenamente. y todos ellos de carácter »» de ser así. “La investigación sobre la naturaleza y causas de la riqueza de las naciones”. de planificación. potenciales conflictos de interés entre los propietarios a menudo. actualmente. “Código Conthe” »» ¿forman las TI parte de la agenda de las reuniones (2006). garantía “… cuando la propiedad y citar: de transparencia. no es satisfactorio y el impacto negativo y los gestores (administradores) …” A. más reciente. voluntaria o Para atajar esta brecha en el seno de las jurídica. éstas deberían ser capaces de ofrecer se han venido publicando diversos informes o códigos respuestas positivas a preguntas como las siguientes: como el “Código Olivencia” (1998). constituye el mejor reflejo de las medidas normativas »» ¿dispone el Consejo de una perspectiva clara de la adoptadas tras la aparición de diversos escándalos cartera total de inversiones en TI. como el terremoto de 7. al jugar con un dinero que le era ajeno. rendimiento de cuentas. es la »» ¿revisa e. dentro de la organización. panorama nacional. como el aquí descrito. que ya advertía del posible “Las organizaciones deben establecer. desde hace más de una década. financieros e. el rendimiento de dichas inversiones. la que con respecto a las TI?. que constituye un factor fundamental en los planes de negocio futuros de la organización.. A pesar de esta vista del riesgo y del retorno de tales inversiones?. dirigidos a los consejos de administración del Consejo de Administración?. en las organizaciones puede ser muy significativo. 6 . fechada en 1776. de las organizaciones. Smith. entre aquellos. gestión la gestión (administración) »» la asignación de una persona muy joven -a pesar del riesgo. ¿quién de entre propuestas pueden quedar resumidas en el siguiente habrá potenciales los directivos de Londres. es la propia TI la un nuevo desplome del índice Nikkei.2 puntos en la clave para el negocio. de Kobe. como en el marco internacional. decisiones sobre el índice Nikkei. se trata de un negocio apoyadas en las TI.Entre los muchos ‘errores’ imputables a Barings cabe generación de valor. con mayor gravedad: dado que muchas ajenos. como la de sus superiores Llevada al terreno tecnológico. proporcionan fondos para invertir en actividades del En cualquiera de las dos posibilidades. de forma regular. En España. al mundo de las Tecnologías de la Información (TI). supervisión de de las empresas no de su experiencia. reflejada en la dejadez mostrada en “propietarios-gestores” puede observarse -agudizada el cumplimiento de sus responsabilidades como por la creciente complejidad “social” del mercado-. que parecen estar en la génesis de la quiebra de Barings. de las empresas no coinciden plenamente. aprueba el Consejo la estrategia Ley estadounidense Sarbanes-Oxley. el 17 de enero de 1995. las años después de la fundación del banco: inversiones relacionadas con la tecnología pueden representar una parte importante de la inversión total en “… cuando la propiedad y la gestión (administración) recursos financieros y humanos de una organización. con una economía japonesa atravesando una larga recesión Hoy día. incremento del control. En el plano internacional.. tanto la conducta de Leeson. »» la aparición de otros factores. el problema descrito por Smith se traslada que ya se extendía por más de dos años. supervisores y controladores de los pasos del primero. quizás. unas condiciones (marco de control) Adam Smith Singapur. aparentemente y. sin duda. pocas podrían garantizar escala de Richter. habrá A pesar de ello. que contribuyó a Además. actuaciones y salvaguardar la CREDIBILIDAD de la »» la permisividad para la toma de determinadas propia Organización”. de 2002. administración: los propietarios y los »» la nula atención prestada a un informe interno. tanto en el tecnológicos. en que permitan garantizar la TRANSPARENCIA de las relación a las operaciones realizadas. 1776. en los papeles de juez y parte.para el grado de responsabilidad los sistemas de información. pocos Ha de tenerse en cuenta que. todas ellas recogen una »» ¿recibe el Consejo. aprobación de inversiones. ocurrido en la ciudad japonesa un funcionamiento eficaz si no contaran con ella. que no fueron convenientemente organizaciones utilizan la tecnología como herramienta ponderados. organizaciones. gestores (administradores) fechado en 1993. en todos los casos. Las principales razones de estos resultados Los resultados de esta dualidad apuntada por Smith negativos pasan por dar mayor relevancia a aspectos se han dejado ver en no pocas ocasiones. informes de serie de mensajes que se repiten insistentemente: progreso de los principales proyectos de TI?. y aquellos otros que se problema ya anunciado por Adam Smith en su obra ocupan de gestionar el objeto de tales inversiones. En definitiva. ¿lo hacen de una manera estructurada?. a nivel …” peligro de mantener a una única persona en corporativo. y que al contexto global del uso de las TI en el negocio. o. iba a querer ir a vivir a mensaje que deberían recoger todos los consejos de conflictos de interés entre Singapur?-. En suma. el “Informe Aldama” (2003) y el. en muchos de los casos.

las tecnologías de la para las TI y de que se están mitigando los riesgos? información. finalmente. colegiada.. dirigir y controlar el uso que se hace de las tecnologías. ello lleva a la siguiente reflexión: en la u órganos equivalentes. Serán dichos órganos de gobierno los que deberán dar repuesta a interrogantes como los que siguen: »» ¿cuánto habrá de gastar la organización en TI?. Sin embargo. cortoplacista. representada en los citados órganos directivos”. servicios. esto es.»» ¿es informado el Consejo. miembros de sus órganos de gobierno. el proceso de toma de independiente -vía un auditor externo. al menos. es una parte integrante del Buen Gobierno factores. en realidad. es un sistema. y. al »» ¿qué riesgos de seguridad/privacidad está tiempo que la gestión de TI. gobierno de TI tenía una orientación más centrada en »» ¿cuán buenos necesitan ser. el Director de TI. y. particularmente. »» ¿QUÉ decisión se toma? En el contexto fijado por la anterior definición. con proveedores. periódicamente. unilateral. ¿es consciente la organización -los profesor Ryan Peterson del Instituto de Empresa. los productos y las operaciones. las instalaciones. »» ¿qué nuevas capacidades de TI deben ser de ámbito general para toda la compañía? O.. aun cuando la Dirección de Informática no esté »» ¿CÓMO se toma la decisión (de manera individual. con clientes. quedaba patente la idea de que el departamental?. Y todo Delegado. presente y futuro. en definitiva. tal y como ya se viene haciendo con el resto de “activos clave”. los financieros. parece oportuno ofrecer una Por lo dicho hasta ahora. mediante el cual se dirige y controla el uso. se 7 . ¿de que las TI forman parte del conjunto en el que ya se encuentran otros elementos. podría llegarse a una definición -posiblemente. Definición Gobierno frente a Gestión Llegado este punto.la que habrá de responsabilizarse de gobernar.de que la quien. constituyen uno gráfica: más de los activos clave cuyo uso se ha de gobernar?. mientras que la cuestión del el gobierno de TI como »» ¿está el Consejo obteniendo garantía ¿QUÉ? -y. »» ¿QUIÉN toma la decisión (el Consejo. El primero en advertir sobre dicha diferencia fue el En suma. »» ¿a qué procesos de negocio deberán ir destinados los euros invertidos en TI?..)? Se trata. consensuada. el Consejero de las TI dentro de dichas organizaciones.)?. de tomar conciencia de que ha de ser la organización -órganos rectores. sus Tecnologías afines es una responsabilidad de los Consejos de Administración de las organizaciones. en última instancia. una más. por tanto. o. para ayudar a aquél a alcanzar retos futuros. de El gobierno de TI guarda más relación con el ¿QUIÉN? Una primera interpretación los riesgos de carácter tecnológico a los que la y con el ¿CÓMO? (estructuras organizativas para la básica pasaría por definir Organización está expuesta?.)?.del concepto de primera interpretación básica que pasaría por gobierno de TI: definir el gobierno de TI como el proceso de toma de decisiones en torno a las tecnologías de la “El Buen Gobierno Corporativo de la Información y información. por ejemplo. y sus tecnologías afines. tres Dirección. los elementos de propiedad intelectual o las relaciones (internas. ¿cuáles será suficiente con que tengan un alcance De este modo. queda más en el terreno de la gestión del día a día de decisiones en torno a de que se están alcanzando los objetivos definidos las TI. que nadie cuestiona. como los RR HH. los su contribución al negocio y en su posicionamiento servicios prestados desde las TI?. y de sus equipos de Alta toma de toda decisión intervienen. se fijaba en la eficacia y eficiencia de los »» ¿quién deberá rendir cuentas. toma de decisiones). cuando un proyecto corporativo de TI falle? Gobierno de TI. ello.. con una perspectiva más dispuesta a aceptar la organización?. la ejecución de ese ”qué”. ya en 2001.. ofrecía la siguiente representación información.. A saber: Corporativo.

aportación de éstas al negocio. organizaciones “hagan las cosas correctas. por otro. compromiso y corporativo. son un claro ejemplo de la interpretación que ésta hace del concepto de Buen Como se ha apuntado. y por una correcta medida y mejor aceptados. también. no es sino una responsabilidad exclusiva de la Alta Dirección de la organización. derivados del las TI empleo de dichas tecnologías. visibilidad dentro de la propia organización (mayor fronterizo de esta nueva responsabilidades e interrelaciones bien definidos. y. liderazgo. conformidad. en algunos casos. esto es. dentro de una organización. la en último lugar. cuyos beneficios Asimismo. de las TI dentro de la organización. un gobierno (recuérdese el caso “Leeson”). no resulta del todo erróneo. en acompañada de una elevación de la función de TI realidad. para el área de TI hay una oportunidad del concepto de Buen en la adopción de un marco de buen gobierno Gobierno Corporativo »» conductas éticas. asimismo. reducir el “time to market”. del riesgo. »» mediante la aportación de valor por parte de las TI. para la Dirección De igual modo. orientada a: hacia posiciones más cercanas al negocio. y generalmente mayor rendimiento. un mayor grado de olvidar el carácter »» estructuras organizativas. de las TI. la garantía de conforma el llamado principio de “Equilibro del conformidad con las diferentes normativas. en Gobierno Corporativo de las TI. Se trata de la oportunidad de ganar o. Todos esos valores. gestión de los recursos y medida del 8 . también. materializada en un »» procesos naturalmente agrupados. que indudablemente va ligado en la preservación del valor creado. valor (reducir costes. estará. particularmente los tres citados mediante la que habrá de buscarse. corporativa de la compañía-. nacida de la y/o externas. La terna sincronía-valor-riesgo de interés demandan. constituyen la esencia misma del transparencia que el mercado y los diferentes grupos gobierno de TI. por un lado. internas Valor”: a partir de una estrategia. de la práctica. derivados de su conducta. y. a que pudiera estar expuesta la entidad sincronización de las TI con el negocio. en la a la necesidad de que las personas al frente de las mitigación del riesgo). al mismo tiempo en él se encierra el origen del concepto de “Buen que evitará que sucedan cosas malas (enfoque Gobierno Corporativo”. En este caso. los ya mencionados de transparencia. del modo correcto”.presumirá. esa ganancia en visibilidad en actividades de la organización soportadas por del área de TI habrá de venir dada por la mayor las TI. Un razonamiento tal. medición y De todo ello se concluye que el gobierno de TI es una comunicación. eficaz garantizará que sucedan cosas buenas sin duda. puedan afectar a la -alineamiento estratégico. otros nuevos como los de sincronía de Informática (incrementar la agilidad. »» actividades de supervisión. además. Perspectiva general de Atos Origin »» al tiempo que se mitigan los riesgos que pueden sobre el Buen Gobierno Corporativo de afectar a la propia organización. el gobierno de las TI. ha de apuntarse que cualquier iniciativa se muestran en una doble vertiente: ofreciendo una que persiga materializar los anteriores mecanismos mayor transparencia y una ganancia en visibilidad. cumpliendo con las Sobre la base del marco de cinco dominios definidos prescripciones impuestas y mitigando los riesgos por el IT Governance Institute para el gobierno de TI que. por cuanto (enfoque en la creación de valor). rendimiento o comunicación. entrega de valor. entre los que cabrá planteamiento. del concepto de Buen Gobierno Corporativo de las promover la innovación) o riesgo -todos ellos TI. de Buen Gobierno Corporativo de las TI en el terreno En el caso de esta última. La adopción de una cierta ortodoxia en la definición aumentar la adaptabilidad). desde hace tiempo a la imagen nueva disciplina. puede venir. como recoge el lema elegido para este documento. no debe hacer respaldo. esto es. obren bien. recuperar. un gobierno de TI constituido No obstante. visibilidad desde la perspectiva del resto de áreas de disciplina. con papeles. si bien resulta correcto ese La adopción de una cierta por una serie de mecanismos. no debe hacer olvidar el carácter fronterizo de esta incorporados. »» ayudar a la organización a alcanzar sus objetivos estratégicos. para la toma de decisiones sobre las inversiones la entidad). que cubran el Ciclo de Vida completo comunicación (”venta interna”) de dicha aportación. El enfoque de Atos Origin hacia el gobierno de las »» y a asegurar un adecuado comportamiento en el TI queda patente por su adhesión a principios como uso presente y futuro de aquellas. se hace insuficiente si se considera ortodoxia en la definición identificar: que. Un mensaje. gestión organización. sentido estricto. competencia compartida entre la Alta Dirección de las organizaciones y la función de TI.

Gobierno de los riesgos corporativos derivados principios generales de buen gobierno fijados por la de las TI. a medio camino entre el actual CIO y otros estamentos 7. además. Coporate governance la definición de arquitecturas empresariales como of information technology”. una inmediata »» El capítulo de “Arquitectura de Empresa” entra de comparación con los principios establecidos por la lleno en el principio de ESTRATEGIA. RESPONSABILIDAD-. Comunicación y gestión del cambio cultural. y permite. gobierno corporativo de TI y. servicios profesionales de Atos Consulting para el 3. tal Esta segmentación en dominios propuesta por Atos vez. a distintos niveles. Atos Consulting ha conformado su perspectiva al Gobierno Corporativo de TI. los diferentes caminos hacia se encuentra. la base de la cartera corporativa sea la palanca para elevar la función de servicios profesionales de la firma en el ámbito del informática a niveles más ejecutivos. TI]”. recursos y »» En el capítulo segundo. asimismo. Se escándalos financieros del siglo XX. dentro de las un marco general de buen gobierno corporativo organizaciones. Evaluación y medida del rendimiento de las TI. Aporte de valor por parte de las TI. norma ISO/IEC 38500:2008: 5. la aparición de ese nuevo actor en la escena Consulting constituye.rendimiento-. desde las áreas de 1. Gobernador de TI” -dedicado al principio de 6. en las conductas inapropiadas la materialización de dichas iniciativas dentro de de individuos. sirve de introducción al resto del documento una duda sobre la verdadera motivación de y ofrece una perspectiva del origen del término las iniciativas de optimización energética. proponiendo norma “ISO/IEC 38500:2008. gobierno de TI. creación de una nueva figura. Sincronización estratégica negocio-TI. alejada propio marco de referencia. Con el resto de capítulos se ha tratado de dar cobertura a los distintos dominios de la cartera de 2. 9 . incorporando un total de del enfoque de los riesgos y más afín a las nuevas siete dominios: tendencias de creación de valor. a su vez. “Nuevo rol de activos de TI. ejecutadas por Corporativo. »» Utilizando como excusa el principio de Este primer capítulo. Gestión óptima de las operaciones. estratégica entre el negocio y las áreas de TI. nacido a la sombra de los grandes un creciente número de organizaciones. al mismo tiempo. a los 4. y “Gobierno de TI”: el concepto mismo de Gobierno otras inversiones sostenibles. cuyo primer año de vida catalizadoras de la requerida sincronización conmemora este texto. titulado “Necesidad de ADQUISICIÓN se plantea en el capítulo establecer un Buen Gobierno Corporativo [de “Informática ‘verde’: ¿eco-logía o eco-nomía?”. a su vez. gobierno corporativo de las TI y puesta en marcha de marcos basados en procesos. Definición de estructuras eficaces para el buen TI. directivos. se lanza la propuesta de y. Finaliza aportando una nueva de TI. el CGO. cuya motivación muestran. planteando la posibilidad de que.

procesos y tecnología). rendimiento. dentro de la organización. a En el segundo. Se La figura mostrada a continuación representa los ofrece. en el seno de una determinada entidad. la oficina de calidad de TI” clave del buen gobierno corporativo de las TI y “Gestión cuantitativa de TI”. en el que se desarrolla el estudio TI. se profundiza en 38500:2008 y cartera de servicios de la necesidad de mitigar los riesgos corporativos mediante el establecimiento de estructuras de Atos Consulting control interno. control interno (OCIs). el establecimiento de una »» Finalmente. quienes de mejora del rendimiento de los proyectos toman las decisiones oportunas sobre la TI. dirige. a su vez. “Control interno”. toda acción de mejora que quiera abordarse en »» la definición de una estrategia para la organización torno al rendimiento de las TI. una aproximación práctica. asimismo. (organización. que resume en las siguientes afirmaciones: viene a garantizar un rendimiento óptimo tanto de las operaciones (procesos). ligado al Principios de la norma ISO/IEC principio de CONFORMIDAD. conformidad y conducta »» El principio de RENDIMIENTO queda cubierto por humana) y su relación con los mecanismos y recursos los capítulos “OS4QA®. del caso particular de Atos Origin y su iniciativa »» las personas son. siguiendo el axioma HUMANA tiene su reflejo en el capítulo “Gestión del de sincronización estratégica entre el negocio y las cambio cultural”. asimismo. el principio dedicado a la CONDUCTA estrategia para la tecnología. en última instancia. como de los productos resultantes. como elementos indispensables en personas que forman parte de dicha entidad. personas. En el primero de ellos se presenta un nuevo modelo La interpretación que ha de hacerse de cada uno se de oficina para la calidad en las tecnologías. específica de gestión del cambio. seis principios generales establecidos por la norma materializada en la puesta en marcha de oficinas de ISO/IEC 38500:2008 (responsabilidad. o sobre la tecnología ya existente.»» En el capítulo quinto. adquisición. o la inversión en. nueva tecnología. se presentan el uso de métricas e identificar las responsabilidades de cada una de las indicadores. ayuda. estrategia. »» la definición de estructuras organizativas. mediante la aplicación de una metodología adquisición de. 10 .

7. Aporte de valor por parte de las TI 4. regulaciones o normativas. Comunicación y gestión del cambio cultural. cada uno de los restantes capítulos. 2. externas o internas. Atos Consulting Cartera de Servicios Profesionales para el Gobierno Corporativo de las TI 1. Gestión óptima de las operaciones. Sincronización estratégica negocio-TI. profesionales que. recursos y activos de TI. y. 11 . a la eficacia de los procesos puestos en marcha por la organización. 3. se ofrecen »» la conducta de las personas afectará positiva.»» la puesta en marcha de unos adecuados procesos Tomando como base el mismo esquema mostrado contribuye al rendimiento óptimo de la tecnología aquí. 5. los capítulos que siguen también ofrecerán un subyacente. Definición de estructuras eficaces para el buen gobierno corporativo de las TI y puesta en marcha de marcos basados en procesos. mostrará una panorámica del abanico de servicios aplicables. resumen-recordatorio de aquel principio general para »» la puesta en marcha de unos adecuados el gobierno de TI hacia el que estén orientados. 6. Evaluación y medida del rendimiento de las TI. desde Atos Consulting. o negativamente. procesos ha de ser garantía de la conformidad exigida a la organización por las diferentes Finalmente. Gobierno de los riesgos corporativos derivados de las TI. en el dominio de referencia.

hasta tal punto. el buen anglosajona). sino de la alta dirección en su conjunto. »» deberán ser capaces de asegurar que las TI actúan como catalizador para el logro de los objetivos del negocio. o CGO. desde hace tiempo. Ello ha llevado a un importante está surgiendo una nueva figura a nivel directivo: el número de organizaciones a darse cuenta de que Gobernador corporativo de TI (Chief [IT] Governance la gobernanza ha de extenderse también al ámbito Officer.NUEVO ROL DE “GOBERNADOR corporativo DE TI” Los Consejos de Administración y las Direcciones Este escenario -con una creciente demanda. mediante la integración de los planes estratégicos de TI con los planes estratégicos de la organización y mediante la sincronización de los servicios prestados desde TI 12 . maximizando la contribución hecha por las Tecnologías de la Información al éxito de la organización y. dentro de la organización. Con la mira puesta en el negocio En el nuevo contexto. la dirección y el control de las TI a lo largo y ancho de la organización. y con una superior concienciación sobre corporativo. han adquirido una gran relevancia como una preocupación exclusiva de la Dirección de en el logro de los objetivos corporativos y en la Informática. por Generales han comprendido. cabe descartar las siguientes: »» deberán conocer las actuales tendencias. de la aportación que ofrece la necesidad de establecer marcos de buen gobierno tecnología. que. los Sistemas de Información. como medio de apoyar Como ventaja añadida. supondrá una demostración palpable del compromiso de aquella con la excelencia en las buenas prácticas de gobernanza de TI. la misión del gobernador de TI será proporcionar el debido apoyo al Consejo de Administración y a la Dirección General. El perfil Entre las responsabilidades -o. puesto tal. hoy en día. al mismo tiempo. gobierno de las TI es considerado una parte integrante de la gobernanza corporativa. Esto se hace particularmente evidente la importancia de contar con buenas prácticas y si se tienen en cuenta las crecientes obligaciones en modelos. Esta meta se alcanzará mediante el establecimiento de procesos de implantación y despliegue de dichos marcos de referencia para el gobierno. así como los principales modelos organizativos y de dirección de TI.de los profesionales que desarrollen su actividad en torno a la gobernanza de las TI en sus respectivas entidades. gestionando y mitigando los riesgos derivados del uso que se hace de la propia tecnología. despliegue de la Gobernanza de TI. Más aún. y saber armonizar y canalizar su valor para la entidad.abre un claro camino hacia el desarrollo y materia de conformidad regulatoria. entrega de beneficios. y dado que la Tecnologías de la Información y las Comunicaciones dirección (gobierno) de las TI ya no ha de verse que los sustentan. y las Como parte de este “despliegue”. el establecimiento de un y reforzar las estrategias y objetivos de la organización. como recogería la bibliografía tecnológico. la parte del negocio. habilidades. dicho de otro modo.

aplicaciones. a través de una gestión Tal vez convendría reformular la pregunta de óptima de la inversión. en la mayoría de los casos. que las capacidades (soluciones y servicios) son Una invitación a la reflexión entregados en coste y plazo. como del privado. a lo cual se llegará. -CGO. cuando menos. el perfil -CGO. Todo ello. mediante el desarrollo. una oportunidad única de crecimiento planificación. asimismo. ¿no tecnológica de la empresa. estratégicos presentes y futuros. riesgos del negocio relacionados con las TI. alineados con las normas y Sin ánimo de polemizar. dubitativo ante semejante pregunta. A ello contribuirá directamente relacionadas con la definición. gestión y optimización de activos. cuya propia “configuración” interna presenta. externos e internos.en los niveles la definición y desarrollo de una estrategia establecimiento y/o el mantenimiento de un conjunto de alta dirección. »» estos nuevos directivos deberán ocuparse de que habitualmente. menos desarrollada. organizaciones del sector público. medible. »» adicionalmente. teniendo en cuenta el perfil actual. el uso y la asignación de esta manera: la aparición de este nuevo perfil los activos tecnológicos (personas. tecnóloga. y la vertiente directiva competentes y capaces de ejecutar los objetivos (empresarial). y de responder a las demandas del negocio. las TI. organizaciones? »» igualmente. personal y de elevación de su posición dentro de las recursos y operaciones de TI. y que los servicios A partir del perfil descrito para estos nuevos y otros activos de TI contribuyen de manera directivos cabría plantearse la siguiente duda: ¿están contínua al valor del negocio. Todo ello. tanto organizaciones? individual. evaluar. supervisen y evalúen objetivo. tanto en el desarrollo de un proceso de gobierno del valor. la entidad. una cumplen con sus responsabilidades sobre de negocio mediante la puesta en marcha de buenas oportunidad única de la gestión del valor: esto es. en empresariales. y. en colaboración con las partes de dar pistas en la dirección de ayudar a lograr ese interesadas. definitiva. mediante de constituir. para los actuales Directores de la puesta en marcha de un proceso contínuo de Informática. con las operaciones de la compañía para optimizar Se trata. mediante procesos continuos de medición. ¿no habría infraestructuras e información). comunicar y supervisar los Particularmente. gestionar. medio. posición dentro de las aportan un valor al negocio.en los niveles de alta dirección. comprender y en el tiempo y en paralelo a la implantación de las aceptar sus respectivas responsabilidades en relación nuevas prácticas y procesos adoptados dentro de a la demanda y al suministro que cada uno haga de la organización. Principios de la norma ISO/IEC »» finalmente. Todo ello. que la empresa. mediante los actuales responsables de tecnología. para »» deberán. en definitiva. como colectivamente. a través de la El principio de RESPONSABILIDAD establece que. mejora y mantenimiento de un proceso pero al que no siempre le resulta fácil. encargarse de garantizar asegurar la sincronía con el gobierno corporativo de los actuales Directores que. Todo ello. para identificar. que las nuevas prácticas. ciertos objetivos medibles. y a garantizar la conformidad con los crecimiento personal inversiones en actividades apoyadas en requisitos. de habilidades y actividades La aparición de este nuevo los procesos de negocio. gestión y evaluación del rendimiento. más acusada. y que se fijen. a controlar el entorno de TI y la información de Informática. ha ido ganando en responsabilidad con los años. deberán asegurar que se establecen metas e indicadores para las TI. ni cómodo. de mecanismos de gobernanza de las TI orientados a habría de constituir. del directivo de TI: un individuo con un enorme como una actividad más del buen gobierno de bagaje técnico. uno podría mostrarse. tanto TI. 13 . Un individuo. continuo y analítico de gobierno de los riesgos adoptar perspectivas de negocio. mitigar. deberán ser capaces de actuar como 38500:2008 y cartera de servicios de impulsores del cambio cultural y organizativo dentro Atos Consulting de la entidad. un claro desequilibrio entre la vertiente el área de TI disponga de recursos suficientes. los gobernadores de TI deberán preparados para asumir ese nuevo papel? asegurar la existencia y puesta en marcha de marcos apropiados. han de conocer. de apoyo Este documento no tiene otra intención que tratar al negocio. modelos de referencia. como las áreas de negocio. a que esté sujeta la y de elevación de su tecnología producen el beneficio esperado y organización. como los colectivos en el seno y gestión del cambio que habrá de mantenerse de las organizaciones. activación del oportuno programa de comunicación tanto los individuos.

responsabilidades e interrelaciones: Diseño de diagramas RACI Integración de TI en fusiones y adquisiciones: Proceso de “due dilligence” Definición de la estructura organizativa de la función de TI: ▪▪Organización de TI centralizada ▪▪Organización de TI descentralizada ▪▪Organización demanda/suministro de TI Definición de relaciones de externalización Definición de políticas y normas de Gobierno Corporativo de las TI Puesta en marcha de marcos de Gobierno Corporativo de las TI. la puesta en marcha de marcos basados en procesos. también dispondrán de la eficaces para el buen gobierno corporativo de las TI y autoridad para ejecutarlas. que aquellos a los La cartera de servicios profesionales de Atos que se les asigne una determinada responsabilidad Consulting en el ámbito de la definición de estructuras sobre ciertas acciones.El principio determina. queda reflejada en la siguiente relación. Definición de estructuras eficaces para el buen gobierno corporativo de las TI y puesta en marcha de marcos basados en procesos Preevaluación de Gobierno Corporativo de TI: ▪▪Diagnóstico del nivel de madurez del actual marco de Gobierno Corporativo de TI Definición de estructuras y órganos de gobierno: ▪▪Comité de Inversiones Corporativas ▪▪Comité de Estrategia de TI ▪▪Comité de Dirección de TI ▪▪Consejo Tecnológico ▪▪Junta de Revisión de la Arquitectura Empresarial ▪▪Comité de Evaluación de Necesidades del Negocio ▪▪Comité de Auditoría Interna de TI Definición de perfiles. no exhaustiva: 1. igualmente. CGO) 14 . basados en procesos: CobiT Puesta en marcha del Gabinete de Gobierno Corporativo de las TI (Oficina del “Chief [IT] Governance Officer”.

lo que a su vez conduce los sistemas que tienen que ser implantados. la administración (dirección) Inicialmente. El fundamentalmente. siendo uno de los retos fundamentales a problema. demandan respuestas Sin embargo. aparentemente. ha pasado a ser. ha devenido en una la necesidad de sincronía entre sus funciones de gestión cada vez más compleja y en áreas de TI que. Los avances técnicos no han convergido directamente con las necesidades de Adicionalmente. centrada en aspectos meramente resultado final no puede ser otro que el del desgobierno. centrada en la diseñaban arquitecturas empresariales estaba. tecnología se ha vuelto corporativo. de fondo. táctica. hay un elemento que. se constatan dos realidades para su evolución. al tiempo que se constataba Ello conduce. La falta de planificación y dirección. que se muestran simultáneamente en la empresa actual y que. como un mal necesario que a duras penas da ¿Existe alguna vía para conciliar todas estas respuesta a las necesidades del negocio. (b) a dedicar menor tiempo a cuestiones estratégicas. y así. Como consecuencia. cualquier empresa apoya gran especialmente desde el punto de vista tecnológico. más herramienta para optimizar el valor aportado por la allá de aspectos económicos coyunturales. en muchos casos. de hecho. desgraciadamente. y que a menudo fuente de soluciones. se espera de una probabilidad de que surjan incidencias que requieran AE moderna que ofrezca directrices sobre: (a) una respuesta a corto plazo. evolucionando a lo largo del tiempo. las tecnologías que deben ser usadas. por tecnología a las empresas: la Arquitectura Empresarial su dinamismo. las empresas. pues aun tratándose de un departamentos técnicos. La presión por responder con celeridad a un mercado demandante. a un crecimiento caótico plazo. que ha impedido aprovechar el verdadero potencial por las organizaciones. se traslada inevitablemente Se hace difícil establecer una definición precisa a las empresas. Así. la Tecnología de la »» por un lado. en plazos de tiempo cada término relativamente nuevo. de falta de entendimiento y de incapacidad dentro de la empresa. problemática inmediata menudo complejos. TI. de dichos grupos y el contenido de su actividad se han ido enriqueciendo. unida los que se enfrentan las modernas corporaciones: al crecimiento experimentado. mayor es la también se ha ampliado. Sin embargo. negocio y tecnológicas. su significado ha ido vez más restringidos. Como consecuencia planificación estratégica y a la sincronización entre las de ello. a un círculo la necesidad de hacer que la tecnología estuviese vicioso: cuanto menor es el esfuerzo dedicado a la sincronizada con el negocio. y. el alcance de las arquitecturas empresariales funciones de negocio y las de tecnología. en el mundo y organizaciones cada vez más complejos. la propia definición ofrece algunas claves radicalmente distintas: de lo que es y lo que supone la AE: 15 . Afortunadamente. (c) la agravando el problema. información que debe ser manejada. sí supone una valiosa el entorno corporativo actual. pero todo ello dentro del contexto de negocio y tecnológico en el que se encuentra la compañía y siempre dentro del En el camino hacia la toma de control marco de la estrategia global fijada por la empresa Ante este escenario. se requiere un mayor esfuerzo de La administración Información ha ido adquiriendo un papel creciente planificación para poder gestionar sistemas (dirección) de la en la sociedad y. un se obvia. las funciones en la respuesta ofrecida desde las áreas técnicas. si bien no constituye en sí mismo la solución última y milagrosa Esta falta de control se ha visto potenciada por a todos los problemas. el mercado demanda soluciones a corto y con una visión lugar. cuyas áreas de negocio requieren de lo que es y representa el concepto de la soluciones cada vez más avanzadas de sus Arquitectura Empresarial. técnicos.ARQUITECTURA DE EMPRESA En las últimas décadas. problemática inmediata y con una visión cortoplacista. en estos momentos. se muestran como centros de coste. Sin embargo. lo que se prometía como una que afecta a ambas realidades. a y. especialmente en el sector de las (AE). Hoy en día. y cuyos realidades de una manera satisfactoria? proyectos suelen desviarse en plazo y presupuesto. relativos a las decisiones de adopción la falta de resultados y una sensación. tal eclosión ha dado »» por otro. centrada en la parte de su actividad en sistemas de información. existe un tercer aspecto. particularmente. desde las áreas de tecnologías y normas técnicas de aplicación de negocio. de dicha tecnología. que exigen agilidad en la respuesta ofrecida cortoplacista. caracterizado. la función de los grupos que de la tecnología se ha vuelto táctica.

los El principal valor que aporta a una organización en gran medida. La AE en la práctica: resultados ni fijan objetivos. requisitos de negocio y que ilustren cómo debería »» comunicar la visión futura y la forma de llegar a ser la empresa a través de los distintos puntos de ella que propone la arquitectura. cada derivados de una práctica incompleta es la falta de una de las cuales responde a puntos de vista distintos una orientación al proceso. como deben regir la forma de implantar estos cambios. las actividades de cambio que deben ser para los arquitectos empresariales. sí deben tener la Una de las críticas que históricamente han tenido capacidad de comunicarse con todas las áreas de la que afrontar los equipos encargados de la definición organización. dentro de la empresa. dentro del marco establecido por su contexto La importancia de la comunicación empresarial y por su estrategia particular. »» los requisitos. adaptada a Los líderes de la organización deben tener una visión cada audiencia. »» hoja de ruta específica que indique a los distintos niveles de la empresa. de consiste en centrar la atención en dichos resultados. La Arquitectura Empresarial debe proporcionar a los La misión de un arquitecto consta de dos etapas distintos agentes del cambio. sobre el estado futuro de la empresa en relación a su negocio. de arquitecturas empresariales es que su labor responde a un proceso teórico. su organización interna y sus formas de trabajo. principios. lo hace porque desea cambiar. habrá de estar ligado. capacitación técnica y la capacidad de proponer y. un error común evolucionar de una forma ordenada y racional. en el que la acometidas para alcanzar el estado futuro objetivo. De ahí que los productos intermedios cambio. Arquitectura Empresarial un conjunto de resultados -en forma de guías. y. Sin embargo. alejado de la realidad Toda arquitectura está compuesta por un conjunto de concreta de la empresa. uno de los peligros visiones diferentes de un mismo estado futuro. a su El resultado principal de un proceso de AE es el practicidad. y a niveles de abstracción. generales de la empresa. prácticas o taxonomías-. a su vez. normas y directrices que pero a las que se suma esta nueva labor. conocer sus necesidades y las necesidades »» requisitos de negocio y tecnológicos. métodos. objetivos de cambio. Dentro del proceso que constituye la AE la comunicación es un elemento crítico. principales: herramientas adaptadas a sus necesidades y a su labor dentro de la organización. el éxito de una Arquitectura Empresarial El cambio como principal resultado de la AE habrá de estar ligado. diferenciados. permiten a la empresa alcanzar sus disponer de una AE es mejorar su disposición para practicidad. Esta visión debe servir para identificar La AE en la práctica: implantación necesidades de cambio. Cuando una organización toma la decisión del proceso no deberían consistir únicamente en un de dotarse de una arquitectura -una tarea costosa y conjunto de modelos. llevarla a la realidad dentro de la organización. en gran medida. tal manera que sea capaz de responder ágilmente a en lugar de en el propio proceso. toda iniciativa empresarial que afecte que motiva el cambio y la manera de acometer dicho a varias áreas de una organización y que tenga como 16 . principios. soluciones imaginativas siguen siendo necesarias. Entre dichas »» obtener todos los puntos de vista de las áreas de herramientas se deben incluir: la empresa impactadas por la arquitectura que va a definir. Los arquitectos no establecen estrategias dentro de la empresa. o de detalle. aportar información sobre la forma de acometer los cambios para implantar dichos modelos. la definición del escenario futuro Normalmente. las nuevas necesidades que le plantee su mercado. comunicador de la estrategia de cambio. Sin embargo. de manera comprensible y Esto supone un cambio radical en el perfil requerido realizable. a su cuales. e integrarlas en un marco »» modelos del estado futuro que respondan a esos común. en línea con El éxito de una La AE ha de verse como un proceso vivo que produce la estrategia de negocio y tecnológica de la empresa. La implantación de una AE dentro de una organización no debería llevarse a cabo sin las siguientes premisas: El proceso de AE establece un marco que posibilita este cambio a partir de un análisis completo de la Soporte desde la dirección situación de partida. En efecto. sino que la arquitectura debería compleja-.La AE es un proceso cambio de forma coordinada y eficiente. de una manera vista que toma en consideración la AE para apoyar inteligible y útil para los distintos agentes que deben la estrategia empresarial. Por tanto.

y. Más allá del (TOGAF™) es uno de estos marcos. negocio. Existe. »» una base de información de estándares (SIB). »» un modelo técnico de referencia (TRM). Un marco »» en el caso de los usuarios. Para ello deberían Aunque no es imprescindible. normas) mediante los distintos niveles 17 . una gran diversidad de respaldo por parte de la dirección. actual queda bien definido. debería valorarse si resulta cómodo pasar una AE que permita comunicarlo. TOGAF se centra en la producción de arquitecturas para organizaciones y proporciona un conjunto de herramientas para este fin: »» una base teórica. es importante disponer de un negocio a la hora de pasar del modelo a la plan estratégico de negocio y tecnológico con una implantación real. si el estado componentes se relacionan entre sí. de acción. y que ayude a su de los requisitos a los productos obtenidos (planes implantación y futuro mantenimiento. requerirá un firme. hoy día. que cuenta con ámbito estrictamente tecnológico. No debería dedicarse excesivo tiempo a la decisión de qué marco utilizar. mientras que. debe obstante. es recomendable seguir un marco de referencia para implantar una AE. por la demostración palpable del valor ser riguroso y estar avalado por la experiencia y que la iniciativa aportará al negocio. válidos. respecto de otros. debería considerarse Como se ha venido indicando en los párrafos si es fácil establecer la sincronía tecnología- anteriores. TOGAF pone énfasis en el hecho de que las AE deben ser dirigidas con una visión de “arriba hacia abajo”. no para que un marco sea verdaderamente útil. y tácito. en sí mismo. deberá hacer las ventajas adicionales. El responsable por su aplicación. El apoyo de la dirección estará condicionado. con éxito. Lo importante será adoptar uno que ponga un mayor énfasis en aquellos puntos de especial relevancia para la organización. La elección del marco de referencia Como se ha dicho. dicho plan la arquitectura responden a los requisitos definidos. convendría preguntarse de referencia da coherencia al modelo de arquitectura si resulta fácil ver cómo los requisitos estratégicos implantado y establece cómo sus distintos se trasladan al modelo de futuro. »» un método de desarrollo de arquitecturas (ADM). deberían centrarse los esfuerzos en valorar lo que aquel puede producir y cómo encaja en el tipo de Un marco de referencia empresa en la que desea aplicarse. hoy día existen multitud de marcos válidos que permiten (o ayudan a) implantar una AE. en distintos entornos y de la misma será el encargado de convencer de las empresas. La AE no es ajena a esta tendencia. debido a la complejidad tenerse en cuenta las siguientes consideraciones: inherente al proceso. entre los que escoger éxito. Sin embargo. Sin embargo. partiendo de la visión de negocio. en la actualidad. TOGAF™: el marco de referencia »» en el caso de los arquitectos. pierde gran parte de su valor si no está soportado por Esto es. El método para su construcción requiere una comprobación periódica de la sincronización de los componentes de la arquitectura con los objetivos y metas del negocio. y si los productos resultantes de visión de futuro concreta. The Open Group Architecture Framework bondades que la AE puede suponer. o.consecuencia un cambio. si se hace cómodo encontrar directrices acerca de una determinada tecnología o proceso de interés. a la hora de implantar una AE que ponga en valor el plan estratégico de una organización. En lugar de poner el foco en el marco. como garantía de marcos de referencia. nacido de un consenso previo y de estar basado en así como en la sincronización de la tecnología con el estándares. de haber especial hincapié en aspectos de control y gobierno.

derivadas de la estrategia de negocio de la para implantar las soluciones definidas. organización. 2. presentes y futuras. no exhaustiva: El principio de ESTRATEGIA establece que la estrategia de negocio de la organización ha de tener en cuenta las capacidades. hacia abajo -top/down-): ▪▪Identificación de objetivos de negocio ▪▪Identificación de objetivos de TI Planificación estratégica de TI: ▪▪Estrategia de software de aplicación al negocio: --Análisis de las necesidades del negocio --Toma de decisiones “Construir/Comprar/Asociarse” Gestión de la demanda de TI Servicios de agilidad empresarial: ▪▪Definición de arquitecturas de empresa 18 . La cartera de servicios profesionales de Atos Principios de la norma ISO/IEC Consulting en el ámbito de la sincronización 38500:2008 y cartera de servicios de estratégica negocio-TI. Cuanto más complejo sea Del mismo modo. Sincronización estratégica negocio-TI Alineamiento en cascada (de arriba. los planes estratégicos de TI el marco elegido. actuales y los citados entregables la información necesaria venideras. queda reflejada en la siguiente Atos Consulting relación. más difícil se hará encontrar en han de satisfacer las necesidades. de abstracción y detalle. de TI.

de estrategias de “Informática Verde” tiene su origen en motivaciones de tipo económico: reducir El segundo nivel de aproximación centra la atención los costes operativos.. tratará de diseñar una estrategia criterios ecológicos contemplan los siguientes de TI que tenga en cuenta factores ambientales y aspectos: viabilidad económica. esto es.. a la introducción de una serie como combustible. la dentro del Centro de Proceso de Datos (CPD) o de las principal motivación (catalizador) para la adopción salas técnicas. recursos o estratégica. eliminación). una estrategia las organizaciones. la Informática Verde cubre factores ambientales en el estudio y la práctica del uso eficiente de los aspectos de alcance corporativo como la definición y de sostenibilidad. Como parte de esa estrategia “verde” de las soluciones tradicionales que sólo tenían en se pueden contar las siguientes actividades: cuenta el primero de dichos criterios. Investigaciones de la consultora ambiental británica utilización. . que la organización tenga para sus TI. y. Green IT puede incluso llegar a estrategia corporativa. establecimiento de acuerdos de nivel de son un fiel reflejo del doble nivel de aproximación a la servicio (ANS) “verdes”. toners. lo cual difiere de negocio. como la organización. estratégico IT Governance” tratará de probablemente por diferentes motivos: conciencia Toda iniciativa de Green IT requiere. 19 . constituir un diferenciador competitivo. esto es. podría propuestas de reducción de tiempos de tránsito. la “Informática La Green IT vista desde el plano Una estrategia de “Green Verde”.. y con el uso del hidrógeno fundamentalmente. como “una estimulación del teletrabajo. dirección y control adecuados.. no existe una definición diseñar una estrategia de oficial. se presume que la adopción de toda de vista energético) de los activos de un CPD iniciativa Green IT no puede hacerse de una manera lo harán más eficiente y más fácil de gestionar. sus procesos y sus proyectos. en términos de capacidad y de determinadas políticas de ahorro o de RR HH: en consonancia con la energía. aislada. sustituyendo el carbón y el petróleo por combustibles más bajos en emisiones El primero de dichos enfoques atiende. ligadas al llamado electrónica. el teletrabajo o las videoconferencias..INFORMÁTICA “VERDE”: ¿ECO-LOGÍA O ECO-NOMÍA? El interés por la llamada Green IT. conformando. como el gas. un enfoque virtualización. tratará de Aunque.. que de “Green IT Governance” tratará de sincronizar tienen en cuenta el medio ambiente y la sostenibilidad”. y crecerá aún más en ejecutada. de CO2. dentro de las organizaciones: Los beneficios de introducir Green IT »» Reducción de los niveles de contaminación. .). específicas. dentro de la estrategia los objetivos del negocio. generalización de las aproximación holística a un gobierno y a una gestión de videoconferencias. con indicadores “verdes”. “ciclo de vida de los equipamientos” (adquisición. centrado en la cantidad emitida de CO2 y del nivel de basura consideraciones más operativas. activación de una gestión del coste Las dos definiciones ofrecidas en el párrafo anterior energético. del término Green Como elemento integrante de todo marco general TI que tenga en cuenta IT. establecimiento de la figura de un responsable de Green IT. verse la Green IT. sino que debe estar sincronizada con la De este modo. Departamento de Informática o. Según la firma de análisis de mercado IDC. energéticos renovables. la estrategia global del negocio.. de ese modo. utilizando una abordado-. hasta la fecha. en consonancia con la estrategia e impacto ambiental. y desde otra perspectiva. o Green Computing. responsabilidad social de sostenibilidad. Asimismo. recursos informáticos. sino que también ha de ser objeto de una “verdes” de las TI con los años venideros. dentro del »» Ahorro de costes.. más concretamente. que adoptaría una visión más holística combinación de eficiencia energética. comúnmente aceptada. donde han tenido un Carbon Trust y de la prestigiosa institución protagonismo especial las actividades de reciclaje académica London Imperial College demuestran (ordenadores. teléfonos. Green IT que se ha venido observando. de iniciativas tecnológicas. ahorro de costes. De este modo. los objetivos “verdes” de las TI con los objetivos del En la actualidad.. podría decirse que la informática verde consiste de Gobierno de TI.. aquellos entornos de TI que incorporan negocio. que para el año 2050 se podrían reducir en un »» un segundo tipo de acercamiento -el menos 60% las emisiones de carbono. en la elección de un camino común para toda la Algunos ejemplos de iniciativas. hasta ahora. de »» un primer nivel -el mayoritario-. no sólo ser sincronizar los objetivos ambiental. ha ido creciendo en los últimos años. En este segundo La racionalización y optimización (desde el punto supuesto. propiamente dicho. estrategia de negocio. más proactivo que pretende integrar la Green IT en suponen un considerable ahorro de costes.

es que aunque la mayoría informa de esa iniciativa previsible que se lleguen a definir indicadores de internamente. de oferta-. VMM. en torno a un 40% indica que niveles de servicio “verdes” como parte de los ANS también lo hace hacia el exterior. con claridad y IT será considerada como “socio verde” por las transparencia en la toma de decisiones. que evitará costes inesperados o. tendrán en cuenta el color de sus proveedores de TI. mediante acordados con terceros. una estrategia de Green IT se presenta como una La creación de esa imagen “verde”. las oportunidades. no los requisitos “verdes”. racionalizará las inversiones a realizar. cuanto antes. como a largo plazo.. informes anuales. de palanca para generar mayor valor para los accionistas. determinarán procesos de selección/ Según datos de un estudio realizado en Bélgica adjudicación de proveedores y contratos. hacerse siguiendo criterios válidos y sobre la base Toda organización que adopte medidas de Green de un adecuado y continuado análisis. prensa. »» Generación de valor para el accionista. Esto refleja que las »» Anticipación a un futuro endurecimiento de la empresas. además.»» Mejora de la imagen de la organización. basados en las TI Gestión presupuestaria de TI Gestión de costes de TI Puesta en marcha de centrales de compras de TI Gestión de la cartera de inversiones en actividades del negocio. al gobierno de las TI y al gobierno El principio de ADQUISICIÓN establece que las corporativo de la organización. mientras que. a su vez. reflejados en las peticiones exhaustiva: 3. conseguirá satisfacer a sus usuarios Ha de existir un equilibrio adecuado entre los (clientes) que también demandan productos y beneficios. PPM) Gestión de programas y proyectos Puesta en marcha de la Oficina de Gestión del Programa/Proyecto (“Programme/Project Management Office”. endurecerán. Beneficios como la mejora de la imagen y la 38500:2008 y cartera de servicios de generación de valor contribuyen. entidades a las que preste servicio. están deseando difundir normativa ambiental. Las organizaciones. VGO) Gestión de la cartera de proyectos Implantación de herramientas de gestión de cartera de proyectos (“Project Porfolio Management”. cada vez más. tanto a corto. como se ha buena opción. servicios “verdes”. PgMO/ PMO) 20 . con lo que adoptar. en general. y. Lo “verde” La cartera de servicios profesionales de Atos formará parte de muchos proyectos tecnológicos y. adquisiciones (inversiones) en torno a las TI han de »» Ventaja competitiva. al mismo tiempo. Consulting en el ámbito del aporte de valor por parte en el futuro. como se ha señalado anteriormente. información sobre sus actividades “verdes” a todo La tendencia indica que las leyes ambientales se el mundo. los criterios Green IT -integrados con de las TI. de Atos Consulting forma directa. al indicado en el anterior párrafo. los costes y los riesgos. ITIM Puesta en marcha de la Oficina de Gobierno del Valor (“Value Governance Office”. habilitadas por las TI: ▪▪Adopción de modelos de la industria: Val IT. actuará menos. Aporte de valor por parte de las TI Servicios de innovación empresarial.. Principios de la norma ISO/IEC »» Contribución al Gobierno de TI. La gestión entre empresas que habían tomado medidas de estos proveedores “verdes” se convertirá en un para reducir sus emisiones de CO2 se descubre tópico. queda reflejada en la siguiente relación.

Existe una multitud de modelos de Control Interno. Basilea II. el mundo todo enfoque de Control Interno. convirtiéndose. Kenneth Livesay.. muestran claramente que la autorregulación no constituye una garantía suficiente. que proporciona financieros ocurridos en los últimos años. MiFID. tienen carácter normativo (Sarbanes-Oxley). sin duda. diferentes grupos de interés) una garantía razonable Asimismo. los restantes quince imputados. es decir.. como se ha comentado. dotada de una mayor trascendencia y atención. gracias a senior y CIO de la compañía. Solvencia II. para apoyar los mecanismos de justificación sobre la necesidad de poner en marcha toma de decisiones. dejando una 21 . en uno que permiten conseguir ese objetivo. supervisión y control. al cuyo objetivo es proporcionar a la organización (y a los menos. corporativo”. de ese modo. 4 de noviembre de 2003. debe servir de corporativo actual se encuentra en uno de esos catalizador para perseguir una mayor eficiencia de sus momentos en los que no requiere una excesiva procesos de negocio. recogían unas ganancias sobrevaloradas de. a pesar de la variedad. modelos presentan muchas similitudes en su ocurrida a principios de esta década. los acontecimientos la ejecución de estos últimos.SOBRE control interno Primer ‘CIO’ imputado en una causa de los temas candentes en las agendas corporativas y. Este hecho marca un hito en la justicia estadounidense. Definición la obtención de una Scrushy. se enfrentan. Directiva de Reaseguro. al reto de tener que disponer de una función de Control Interno que incorporar en sus procesos de negocio -y en consiga los citados objetivos. para el sector seguros). vicepresidente en la ejecución de sus procesos de negocio. el gobierno de los riesgos tratar los aspectos relacionados con el gobierno de corporativos se ha posicionado como una los riesgos corporativos y los sistemas de control responsabilidad básica que. al El establecimiento de un marco de control interno ser la primera vez que un ejecutivo de alto nivel en el seno de una organización debe apoyarse en con responsabilidades sobre los sistemas de un modelo teórico que defina las bases. todos los Tras la quiebra del gigante energético Enron. control interno. Por otro lado. establecen la necesidad de implantar marcos de Solvencia II. información de una compañía es perseguido metodología y perfiles de la función de control interno como consecuencia de prácticas de mal gobierno dentro de la organización.las numerosas obligaciones legales. principios. favorecerá la obtención plazos límite no sincronizados con sus propios de una ventaja competitiva para la organización. Richard Control Interno. día a día. mil cuatrocientos millones de dólares. Buscar el liderazgo en por mal gobierno corporativo muy habitualmente. los consejos acercamiento al Control Interno: en sus objetivos. es decir. Objetivos y beneficios que debe perseguir y propor- cionar el Control Interno Como resultado de los numerosos escándalos La visión holística de la organización. disponer de una función de Dallas. Algunos de ellos. para la banca. Dado que muchas de las citadas normativas naturaleza sectorial (Basilea II. favorecerá delegado de HealthSouth Corporation. “El consejero Control Interno. y la firma de unos falsos estados contables que “. De todos ellos.. Los modelos no a aumentar su preocupación en torno a los riesgos. Las empresas Buscar el liderazgo en control interno.. ha sido imputado por más de ochenta El Control Interno se define como. procesos de dirección. entre los que se incluyen fraude organización. el marco generalista de referencia a la hora de propiamente dicho-. otros. NIC. a través de la definición de planes mecanismos de control interno en el seno de las de acción priorizados. o de otra naturaleza. ventaja competitiva para la y cinco cargos. que han ido ¿Qué modelo de Control Interno debe elegir? apareciendo (Sarbanes-Oxley. pueden ocasionar dramáticas consecuencias para las sino que se apoyan en la definición de principios organizaciones. el “Informe COSO” ha sido. actualmente.un conjunto de procesos ejecutados por personas. Sin embargo. se encuentra entre una adecuada gestión de sus riesgos”. control interno -con especial orientación hacia sin embargo. SEPA). en de administración de las empresas han comenzado sus principios y en su metodología. suelen definir unas normas descriptivas sobre cómo sobre todo por la incertidumbre de estos eventos que debe ser el control interno de una organización. planes internos de reorganización. está siendo interno. en el primer aspecto a tratar. y para realizar el seguimiento de organizaciones.

. la definición de roles establecimiento de canales para la notificación y responsabilidades. habrán de considerarse: »» cultura de control. disponer un proceso independiente de supervisión y revisión del propio marco. iniciativa de control interno debe ajustarse. en detalle. Será imprescindible que exista una cultura dentro de la organización.. se hace imprescindible de la entidad. 22 . puede asumir En función de las peculiaridades. una cultura y una forma de trabajar. imprescindible que el marco defina. el establecimiento Más allá de los numerosos modelos conceptuales de de límites y niveles de autorización para las Control Interno.. relacionado con el reglas de gobierno corporativo. es podrán ampliarse. especialmente.gran libertad y flexibilidad a cada entidad que quiera transferencia del riesgo.. relativo a una definición eficaz de los propios controles. uno de los principios más importantes. cuando éstas se produzcan.. de forma complementaria. Sincronizar las prácticas de Control Interno con las reglas de Gobierno Corporativo presentará la ventaja adicional de incrementar la confianza que terceros -accionistas. ad hoc. operaciones. Sincronización de los principios de Control Interno con el Buen Gobierno de la organización Para que el Control Interno tenga un verdadero alcance corporativo. las buenas prácticas y objetivos sus propias limitaciones. »» control de las operaciones. el alcance y los objetivos del marco contemplan la organización de manera holística. relativa al grado de tolerancia de la organización frente a los riesgos. dado que. coordinando las acciones requeridas las obligaciones legales de la organización será para el cumplimiento con la legislación u otras conveniente definir un único marco de control interno regulaciones aplicables. tanto jurídica.).. Entre los citados principios de control interno. las vías de del proceso de control interno y la distribución de las comunicación de niveles de riesgo y de notificación actividades que lo componen. Se deberá especificar la forma en que se producirá la identificación y valoración de los riesgos. la trazabilidad de los controles. Constituye uno de los pilares del control interno que. El mismo marco deberá abordar la definición Deberán contemplarse. global. la estrategia y esta función. como voluntaria. bancos. el papel de cada órgano y función de la compañía. cada organización tiene una historia. será necesario definir su estructura organizativa y sus principios. pueden depositar en la entidad. La definición de un marco de control interno deberá Estructura organizativa para el Control Interno: considerarse desde una perspectiva de continuidad definición de perfiles y responsabilidades en el tiempo. en función del grado de Debido a que las actividades de Control Interno madurez logrado. Dadas requisitos normativos..-. que habrá de estar en sincronía con los »» supervisión. éstos. implantar un sistema de control interno. El marco de control interno elegido deberá contemplar »» información y comunicación. Y se definirá la táctica de respuesta a los mismos (priorización. como Enfoque para la definición de un marco ‘ad hoc’ la segregación de funciones. inversores. de incidencias. del sistema de control interno. que todos los empleados comprendan y hagan suya. a las que cualquier »» conformidad. Se discriminarán los riesgos asumibles de aquellos que no lo sean. fomentada por el consejo de administración/comité de dirección. los objetivos del propio marco y de los resultados de todas las actividades una metodología adecuada para la consecución de integradas en el sistema de control interno. »» objetivos y estrategia de riesgo. a partir de las normas y principios que rijan la organización: sus reglas de Buen Gobierno. e. sin duda. contramedidas.

las propuestas. una vez más. pueden destacarse las siguientes Identificar los riesgos recomendaciones generales: Sobre la base de la documentación de los procesos. normas internas y externas. control interno de la organización. los procesos En aquellos supuestos en los que se cuente con una deberán quedar documentados y. adicionalmente. económica directa). El proceso de Control Interno El proceso de control interno se estructura en un conjunto de actividades cíclicas: Examinar los procesos de la organización Los responsables de Control Interno deben obtener una visión holística de los riesgos para el negocio. necesidades y objetivos de la organización. mejora. »» en caso de que el alcance lo requiera. »» la Dirección General se responsabilizará de la Es aconsejable examinar los riesgos desde varias implantación y puesta en marcha del Sistema de perspectivas: por ejemplo. identificar los riesgos inherentes a los mismos. la Podrá trasladar la implantación del mismo a las fiabilidad de la información o la conformidad con las áreas de negocio y de soporte. Identificar los controles Por ese motivo. realidad. lo cual facilitará la identificación.En este sentido. abordar dentro del proceso general de Control se identificarán los controles ya existentes. el riesgo absoluto (pérdida Control Interno según las directrices del Consejo. Para ello. Como resultado de dicho examen. e informará a la Dirección (ejecutivos y consejeros) sobre la conformidad del nuevo marco con la política establecida. será Con el apoyo del responsable de Control Interno. que deberán ser definidos tanto de los riesgos. se identificarán y validar las pautas de la gestión de riesgos y del consolidarán los riesgos existentes en los procesos. sin embargo. la eficiencia de los procesos. soporte (propietarias de los procesos) la actualización habrán de ser proporcionales y ajustarse a la de los referidos documentos. »» el área de Auditoría Interna será responsable de la supervisión de la eficacia del Sistema de Control Interno implantado. podrá plantearse la creación de una estructura independiente que se responsabilice del Sistema: la Oficina de Control Interno (OCI). Valorar los riesgos Tras concluir esa fase documental inicial. del diseño e implantación del Sistema de Control Interno dentro de su ámbito de actuación. Oficina de Control Interno. verificando el cumplimiento de los procedimientos por parte de los responsables asignados. los cuales Interno será el examen de los procesos de la quedarán documentados en unos procedimientos de organización (de negocio y de soporte) para poder control interno. de la información transmitida por las áreas de »» el Consejo de Administración deberá definir y negocio y de la propia experiencia. »» los responsables (propietarios) de los procesos de negocio podrán encargarse. responsabilidad de las respectivas áreas de negocio y el responsable (propietario) de los procesos de la 23 . finalmente. procedimientos de control. la primera actividad que se deberá Conjuntamente con los propietarios de los procesos. y. por delegación de la Dirección General. ésta podrá centralizar los diagramados. como de las posibles áreas de y actualizados por las áreas de negocio y soporte. Con ello se obtendrá una mayor autonomía y garantía de coordinación e integración en las actuaciones llevadas a cabo por la función de Control Interno. revisará periódicamente los controles puestos en marcha.

tanto Para aquellos riesgos significativos y críticos. deberá establecer planes de acción que permitan Por tal motivo. etc. Sin »» sus personas: la implantación requerirá de negocio . . un ínfimo El Sistema de Control Interno deberá contemplar nivel de detalle en la documentación -si existe. asimismo. se deberán superar distintas su contención o mitigación.. La gestión del riesgo de la propia implantación adicionalmente. identificar plazos para las una nula comunicación -de forma particular. lo que permitirá.. métricas previamente definidas. de cara a definir las acciones de mitigación personal independiente y competente para asumir pertinentes. reflejada en una falta de iniciativa que permita reducir la criticidad del riesgo. con: consistir en la definición de cambios en los procesos. una actividades y responsables de su ejecución. en el sistema. conduce a un importante cambio cultural en la organización. los ejes que sustentan al de ocurrencia del riesgo y de su posible impacto.organización examinará los riesgos inherentes a los que defina como se identifican. Ésta se determinará y controlan los riesgos. funciones. Control intrínsecas que ello conlleva. de modo que se favorezca cambio que afecta a todos los ejes que sustentan al la maduración del propio sistema. Key Risk Indicator) que permitan la incorporación de los activos de TI dentro del su medición. como indicadores (KRI. entre otros aspectos. incluidos los propietarios de los procesos de negocio de la organización... así como de nuevos Control Interno supone un de acuerdo a la política de Control Interno. escasa tendencia a comunicar los riesgos-. como en la organización en la que se va a implantar. además. »» la normalización metodológica.. tanto de las »» el alcance del sistema de control interno. Cada plan deberá. tanto en sus negocio. para su posterior seguimiento.. implicación de los propietarios de los procesos. indicadores permitirán supervisar los riesgos y. de procesos de la organización -si existen-. ajustar la implantación del marco integral a las »» sus procesos: la implantación supondrá el necesidades específicas de la organización. de un nuevo proceso acelerando el cambio cultural.lo que. y. como de las posibles determinado de forma poco clara en los mapas incidencias o “casi incidencias” ocurridas.una un proceso de notificación desde las áreas de baja granularidad de la información. evalúan.... 24 . Dichos planes podrán resistencias relacionadas. negocio/soporte a Control Interno. »» su organización (estructura organizativa): la »» la ejecución de un proyecto piloto inicial sobre implantación implicará la definición de nomas uno de los procesos de la organización. en controles específicos o cualquier otra »» la cultura de control. mitigan Implantar un Sistema de mismos y valorará su criticidad. y. materializada en Supervisar los riesgos y notificar las incidencias la inexistencia de una política de control. una política de gestión que se minimice el riesgo del lanzamiento de de riesgos y de control interno.. Los modelos avanzados de valoración cuantitativa- estadística de los riesgos operativos requerirán. con prioridades pobremente establecidas. consecuentemente. se podrán considerar otros criterios como la nueva función. de modo de gobierno corporativo. »» la obtención del patrocinio comprometido y tangible de la alta dirección. e integración con el resto de mostrando resultados visibles a corto plazo y procesos de la organización. necesario para impulsar la cultura de control y la resolución de posibles Puesta en marcha de un marco de intereses discrepantes. a su vez. establecimiento. la eficacia de los controles implantados. Dichos propio proceso de control (planes de contingencia. seguridad informática…). así como la participación del la detectabilidad. así como la un proyecto global sobre todos los procesos de asignación de responsabilidades a las nuevas negocio de la entidad. Control Interno »» la implantación gradual y evolutiva del marco Implantar un Sistema de Control Interno supone un de control interno. y. procesos. Definir métricas y planes de acción »» su tecnología: la implantación precisará. La base de canales de comunicación para la notificación de cambio que afecta a todos la valoración se realizará en función de la probabilidad incidencias. Interno. junto con los propietarios de los procesos. embargo. resto del personal. el de la definición de un marco tecnológico que Sistema de Control Interno deberá definir unos de soporte al proceso de Control Interno. disponer de un repositorio de datos Algunos elementos clave para mitigar las dificultades históricos recabados a lo largo de varios años de descritas son: funcionamiento del Sistema de Control Interno. con las dificultades Para aquellos riesgos graves o no asumibles.

S-Ox. asimismo. no exhaustiva: 4. que deben existir políticas y 38500:2008 y cartera de servicios de prácticas claramente definidas. implantadas y promovidas. derivado de las TI (“Enterprise IT Risk Management”. derivados de las TI. Gobierno de los riesgos corporativos. derivados de las TI Gestión del riesgo corporativo (“Enterprise Risk Management”. IT-ERM): --Adopción de modelos de la industria: Risk IT ▪▪Convergencia de la seguridad Control interno: ▪▪Control interno de TI: --Adopción de modelos de la industria: CobiT Gobierno Corporativo de la Seguridad de la Información Conformidad normativa: ▪▪LOPD ▪▪LPI ▪▪LSSI-CE ▪▪MiFID ▪▪PCI-DSS 25 . ERM): ▪▪Adopción de modelos de la industria: COSO-ERM. Atos Consulting El principio de CONFORMIDAD establece que las La cartera de servicios profesionales de Atos TI han de ser conformes a la legislación y otras Consulting en el ámbito del gobierno de los riesgos regulaciones aplicables. Basilea II. queda reflejada en la siguiente relación. corporativos. Solvencia II ▪▪Gestión del riesgo corporativo.Principios de la norma ISO/IEC Indica.

no es gestionar de TI. Coste de la Calidad. las herramientas son eso: herramientas. La producción de software como incremental. Ello conduce. por una serie de argumentos adicionales. a uno de los objetivos de la optimización de de servicio en el que un grupo de profesionales. “¡Gestionar la calidad.. se configura como una oficina de calidad ¡la no ocurrencia de fallos en las aplicaciones tecnológica que ofrece a la dirección y a toda la informáticas. sin embargo. a pesar de ser. que hacen Implantación de forma continua y gradual innecesaria la inversión de esfuerzos (recursos) Las posibilidades que ofrece OS4QA para su adicionales para definir nuevos modelos y métodos: implantación gradual y continuada. Office Services for Quality Assurance. garantizando. la práctica. una visión realista del estado de la calidad de sus productos y servicios de tecnología. optimización de recursos y operaciones de TI: OS4QA®. tanto a asegurar la calidad de los procesos la calidad. a lo largo de su ciclo de vida. las organizaciones no pueden detener la premisa de la sincronización con los objetivos su maquinaria de producción de software para estratégicos que haya definido la organización. la necesidad de un nuevo enfoque con la garantía adicional de una reducción en el para las oficinas de calidad de TI queda respaldada. extendida. En definitiva. en espiral. se hace fácil identificar oportunidades de mejora que »» gestión del conocimiento de la organización. útiles. »» en segundo. permitan optimizar aquellos recursos y operaciones materializado en: 26 . »» finalmente. una documentación Enfoque de Atos Consulting para la conforme. la que describe más nítidamente la favorecer una gestión óptima de las TI. y bajo »» tercero. Los servicios que se van a poner en marcha estarán únicamente. siguen implantar nuevas operativas de calidad: “¡hay que el principio de “¡cambiar la rueda con el vehículo en cambiar la rueda con el vehículo en marcha!”. en contenido y formato. entre los que cabe citar: Las características fundamentales de OS4QA son: »» en primer lugar. ha estado más ligada al Dichas oportunidades se suelen materializar. recursos y operaciones: la reducción de costes. como a controlar la calidad de los productos las herramientas!”. la orientación que han recibido software. OS4QA® visión de calidad que perciben los usuarios: (léase /osaka/). la definición e implantación de oficinas de calidad. sin ánimo de minimizar su utilidad. empleados. la modularidad apuntada anteriormente. como en preponderancia del “proceso” frente al “producto” la detección temprana de errores. por ejemplo. no siempre ha resultado Quality Assurance ser garantía de un software libre de fallos. oportunidad para la optimización de recursos y operaciones de TI La calidad de los procesos se conseguirá mediante: A partir de los anteriores planteamientos. durante su operativa diaria! organización. ha dado lugar. en múltiples ocasiones. y. a una serie de normas preestablecidas. Esta al proceso de construcción de software. definía normas y procedimientos y vigilaba su cumplimiento. y. LA OFICINA DE CALIDAD DE TI de TI. tanto “aseguramiento de la calidad de los procesos” que en la adopción de buenas prácticas y su aplicación al “control de la calidad de los productos”. en el ámbito tecnológico. igualmente. ampliamente extendidas y consideradas normas de facto. proyectos tecnológicos. Office Services for Esa aproximación. a un formato además. de la externalización del desarrollo hacia »» implantación continua y gradual. independientemente del modelo elegido para dicho ciclo: cascada.. para agilizar los procesos y favorecer orientados. la existencia de guías de buenas mediante el control de la calidad del producto a lo prácticas y metodologías de desarrollo y gestión de largo de su ciclo de vida. desarrollo rápido de aplicaciones.OS4QA®. con permanencia continuada. derivadas de “¡no se debe reinventar la rueda!”. La innovadora propuesta de Atos Consulting para esta circunstancia. en la producción de Tradicionalmente. »» complementariedad con la calidad del proceso. marcha!”. cada vez más »» modularidad y escalabilidad. prototipado. factorías de software. de ese modo.

y.trazabilidad Requisitos-Código-Casos de se pueden establecer ciertos factores críticos que prueba. Pasando a la Acción y Realistas. y está cubriendo. -. se divide en una serie de negocio. tales como: -. al nivel de calidad y madurez deseado. la calidad de los productos se obtendrá Retroalimentación a través de: Inicio »» el establecimiento del nivel de calidad deseado y de los indicadores pertinentes para el logro de Planificación ésta. Agreed. favorecerán el éxito de una implantación de OS4QA.evaluaciones de su nivel de capacidad: por ejemplo. Aunque no existan recetas mágicas para la -. OBJETIVOS Por su parte. Diagnóstico »» la planificación de los hitos de control a lo largo del ciclo de vida. y.revisiones funcionales. de Atos Origin: Inicio.implicando en la implantación a individuos que estén “padeciendo” las debilidades actuales del OS4QA servicio. -.certificación del sistema. »» la garantía de que la adaptación de los servicios está enfocada a.la Dirección debe responsabilizarse de las la calidad del producto desde el punto de vista revisiones regulares y de la gestión de riesgos. buenos ejemplos de productos. ni programación. Planificación. pueden elevar. Medibles. Factores críticos de éxito -. »» mejora continua.el establecimiento de una biblioteca de procesos. Retroalimentación. sólo aquellas áreas de proceso que les afectan. »» racionalización de la cartera de aplicaciones. ni diseño. y. sí -. Specific.cada objetivo debe tener sus propias métricas. y. las necesidades de la organización: Fases para la puesta en marcha de -. tácito y »» conocimiento (know-how) basado en la experiencia continuado de los distintos niveles de gobierno de práctica. Cinco son las fases que se identifican en el ciclo -. -.pruebas. limitados en el Tiempo (SMART. y. actividades y genera unos productos concretos. Acordados. -. técnico y de servicio. la organización: dirección. y. de implantación de la oficina de servicios para el »» la definición de unos objetivos de calidad que aseguramiento de la calidad. y. Realistic and Time-limited): -. Diagnóstico. detalla la figura. funcional. Measurable.aplicando el sentido común. a continuación. »» la obtención de un compromiso firme. jefes de proyecto/servicio: basada en la norma ISO 9126 y en el análisis de -.la creación de una biblioteca de activos de proceso: lecciones aprendidas. que no realizan análisis. traducida en: -. 27 . como -.los objetivos de calidad han de estar Cada una de dichas fases tiene claramente sincronizados (vinculados) con los objetivos de identificado un objetivo.revisión de requisitos con usuarios o revisiones entre iguales. buenas prácticas. en el caso de las factorías de pruebas.análisis de código. optimización de los recursos y operaciones de TI. Entre ellos destacan: »» soporte sobre el terreno (como compañeros de viaje). -. habrán de ser Específicos. mandos intermedios.evaluaciones del nivel de madurez de la Pasando a la Acción organización.

ITIL. recursos y activos de TI queda reflejada Ni la mejor herramienta del mercado.poniendo el foco en los resultados que se van obteniendo en las fases iniciales del ciclo de Principios de la norma ISO/IEC vida de los productos. Atos Consulting -. necesidades. »» la demostración de la mejora a través de las medidas. organización. y. 38500:2008 y cartera de servicios de mediante consultores especializados.gestionando eficazmente posibles mejoras El principio de RENDIMIENTO establece que las TI identificadas en las fases de pilotaje y han de ajustarse con el propósito de sustentar la despliegue. presentes y futuras. recursos y activos de TI Gestión de activos de TI: ▪▪Definición de bases de datos de gestión de la configuración (CMDB.revisando y proporcionando apoyo in situ. y.deben identificarse objetivos que permitan perfecto. del negocio. La cartera de servicios profesionales de Atos Consulting en el ámbito de la gestión óptima de las Un último consejo: nunca se cree falsas expectativas. niveles »» la ejecución del despliegue de los procesos con la de servicio y una calidad en los mismos. -. obtener rápidos retornos (“quick wins”). operaciones. mediante la provisión de servicios. Recuerde que “¡gestionar la calidad. no exhaustiva: 5. no es gestionar »» el establececimiento de puntos de control de la las herramientas!”. Gestión óptima de las operaciones. que habrán de hacerse desde el principio. calidad del producto que generen valor: -. ni el modelo más en la siguiente relación. CMMI-SVC Gobierno del ciclo de vida de las aplicaciones: ▪▪Mejora del proceso software: --Adopción de modelos de la industria: ISO/IEC 15504. que cubran las ayuda de herramientas. Business Process Outsourcing) ▪▪Externalización del desarrollo de las aplicaciones: --Adopción de modelos de la industria: CMMI-ACQ ▪▪Externalización de las infraestructuras de TI 28 . Configuration Management Database) ▪▪Implantación de herramientas de gestión de activos de TI Gestión de servicios de TI: ▪▪Estrategia de servicios ▪▪Diseño de servicios ▪▪Transición de servicios ▪▪Operación de servicios ▪▪Mejora continua de los servicios ▪▪Adopción de modelos de la industria: ISO/IEC 20000. CMMI-DEV ▪▪Definición de métricas de desarrollo de aplicaciones ▪▪Calidad en el desarrollo de las aplicaciones: --Puesta en marcha de la Oficina de Calidad de TI: OS4QA® (Office Services for Quality Assurance) --Puesta en marcha de factorías de software --Puesta en marcha de factorías de pruebas --Adopción de modelos de la industria: ISO 9001 ▪▪Gestión del mantenimiento de las aplicaciones Gestión de relaciones de externalización: ▪▪Externalización de los procesos de negocio (BPO. van a solucionar sus problemas. por sí solos. -.

en el ejemplo. Todo bastante evidente y sencillo pero ¿qué es lo que hay detrás? CobiT. muchos más. la velocidad es una aproximación mediante un modelo en cascada: magnitud física que expresa el espacio recorrido por un móvil en »» por un lado. es través del velocímetro. la mayoría de las veces. y del que no digo que circunferencia (2∏R). se »» los datos básicos o medidas de referencia. el modelo para el Gobierno Corporativo de TI del IT Gobernance Institute. esto se realiza a La vida cotidiana está rodeada de medidas. Considérese el siguiente ejemplo: »» su periodo de validez. en su vehículo. No existe una única razón. es tal su número que. »» el procedimiento. Nistal de una forma clara y sencilla en el momento en que éste lo necesita. la trivialidad con la que se »» sus niveles de agregación. los carretera y ve la señal que aparece a la izquierda: modelos de métricas incluyen más de una métrica. propone una escalada. fabricantes incluyen en sus velocímetros unas marcas éstas pasan totalmente inadvertidas. TI: ¿Cuántos proyectos se gestionan en cierta área de la organización? ¿Cuántos de ellos se han desviado Cuando se formaliza esta visión para documentar la en coste o plazo en el mes en curso? ¿Cuántas definición de una métrica. y que ésta no se velocidad a las nuevas condiciones de circulación. en la »» las unidades en las que será medida. aguas relativamente fácil de obtener. 50 km/h –límite de intenta trasladar esta visión a la actividad laboral. mientras el número de vueltas que dan las ruedas en una les hablo.GESTIÓN CUANTITATIVA DE TI “Vivo en una casa de 65 m2. normalizados se están siguiendo en la organización »» su descripción. el dato obtenido se presenta al usuario C. Un conductor. »» el dominio de valores aceptables. »» el universo de medición.análisis. y. para obtener la tras éstos. en producción. pero quizás una de las más -. de modo que. y. y. la unidad de tiempo. Como valor añadido. por lo tanto. aguas abajo. define los objetivos del área de TI. y. verá recompensada sino a medio o largo plazo. que identifican algunos límites que se consideran este panorama cambia radicalmente cuando se de interés para el usuario (p. encuentra en una posición idónea para mejorar. parte de los objetivos de negocio y. es horrible para no incluir ninguna subjetividad en el ejemplo”. se hace evidente que dicha incidencias. se incorpora a una Si a todo lo anterior se le añade que. se han registrado en definición es ligeramente más compleja de lo que el último mes. manejan. me estoy tomando un café ‘de máquina’ unidad de tiempo y multiplicarlo por la longitud de su que me ha costado 0’30 €.7 min. que prohibido circular a más de 100 km/h. respuesta objetiva (numérica) para estas preguntas »» la forma de obtenerla (su fórmula de cálculo). el responsable y la periodicidad ¿Por qué resulta tan difícil gestionar de: cuantitativamente? -. se llegará a un buen conjunto de factores desfavorables. No obstante. ajusta su considerable de esfuerzo y dinero. a partir de las métricas reloj lo suficientemente preciso. relevantes sea la aparente simplicidad que muestran -. basta con tener un arriba. y cuál es su porcentaje de despliegue? Si tiene una »» la finalidad de la métrica. no se preocupe.recolección. propone una De entrada.explotación. El tiempo es una magnitud »» al mismo tiempo. acaba de ahorrarse 5. Por último. proceso algo más elaborado: tendremos que medir tardo en llegar al trabajo 20 minutos y. si no.e. las métricas o. en caso necesario. lectura de este artículo. más bien. conduzco un coche el espacio recorrido necesitamos realizar un que pasa de 0 a 100 km/h en 10’2 segundos. dos datos elementales. los velocidad tendremos que obtener primero esos procesos de TI y las actividades. ¡enhorabuena!. y que en ella intervienen: resolución? ¿Cuál es el grado de satisfacción de los usuarios o clientes? ¿Cuántos de los procesos »» el nombre de la métrica. La señorita todo el proceso en su conjunto requiere una inversión consulta su velocímetro y.y 120 km/h –límite de especialmente si ésta se desarrolla en el ámbito de las velocidad en autovías y autopistas-). pero para obtener identificadas en cada uno de los niveles de la 29 . velocidad en centros urbanos. habitualmente. y cuál ha sido su tiempo medio de podría parecer a priori.

La creación de siempre que sea posible. además. Por ejemplo. directa o indirectamente de los procesos de la organización. son las mejores den al traste con el programa de medición. implantación de la gestión cuantitativa del rendimiento de métricas como si finalmente. en lo relativo a los beneficios esperados. como »» la comunicación. que tenga por objeto la generalización interesante. en el que los requisitos razón de más. ni recetas infalibles. sin en el que los requisitos ¿Cómo implantar la gestión duda. causas del fracaso de los programas de métricas. Ha de tenerse asimismo. ni deberá organización. La esta actividad. aunque sean parciales o falsas expectativas suele estar entre las principales no incluyan la totalidad de las métricas definidas. casi permanente. la implicación de las »» la integración de las actividades de medición dentro personas en la iniciativa. No deberán o el conjunto de buenas prácticas tomado como »» el claro establecimiento de qué objetivos se escatimarse esfuerzos en referencia para aplicar la gestión cuantitativa en la persiguen -de negocio y de TI. (actividades y procesos) van alimentando a los Al igual que en otras muchas actividades. armas para romper esa resistencia. para combatirlas con firmeza. por la diferentes partes interesadas. los procesos y. No deberán escatimarse esfuerzos en mayor número de personas que sea posible. serían los objetivos y el producto desarrollado las »» la participación en el proceso de medición del métricas. que. buenas prácticas o lecciones aprendidas. existir garantía de que las nuevas en cuenta. plan de métricas como si fuese un proyecto de que no existen “métricas- tipo” susceptibles de ser portadas de una organización a otra. tanto hechos”. mayoría de las veces la resistencia al cambio Ha de tenerse muy en cuenta que no existen está motivada por el miedo a lo desconocido. de forma que (por ejemplo. la formación en organización a otra. Una práctica obviarse ningún paso. sobre todo. desarrollo de software. ni deberá obviarse ningún paso. Ha implantación. La “métricas-tipo” susceptibles de ser portadas de una comunicación de los objetivos. el gran cambio que puede actividades aportan un valor añadido. de resultados. podrá ser tratar el de tenerse muy en cuenta (institucionalización) de estas actividades. en la podrá ser tratar el plan situados en los niveles superiores (objetivos de TI y. Deberá. podrían identificarse las métricas de 30 . suponer pasar de ser una organización “dirigida por »» la comprensión y la difusión del significado de las percepciones” a ser una organización “dirigida por métricas. la norma las métricas.y de cuál es esta actividad. de las TI no hay fórmulas mágicas. cascada. desarrollo de software. Algunas de ellas pasarían por: producto desarrollado Independientemente de cuál sea el modelo. a través de foros de participación los cambios que se puedan producir en ésta no habilitados en una Intranet). a las limitaciones identificadas. ayudarán a allanar el camino y a garantizar el serían los objetivos y el cuantitativa del rendimiento de las TI? éxito de la iniciativa. objetivos de negocio). deberá diseñarse una estrategia de el plan de métricas diseñado. fuese un proyecto de Lo que si pueden encontrarse son recomendaciones. los indicadores de los niveles más bajos Factores críticos de éxito Una práctica interesante. en este punto.

por ejemplo. Llegados a ese punto.tratar de devolver información a todos los participantes activos del proceso. proporciona información al sistema y este no le devuelve nada. tal y como recoge la norma UNE-EN “En un mundo no lineal. mayor impacto y menor coste de implantación. de forma que le ayuden de asígnarles una prioridad más alta. ¿Y después de la mejora? analizar y explotar la información. y. en particular. decía en el dichas acciones de mejora. si fuese pertinente. lamentablemente. a fin entre diferentes métricas. Recuérdese que el fin último de las obstante. sin más. como a de la era industrial y. La innovación »» la identificación y el establecimiento de relaciones radical es la única manera de escapar a la despiadada 31 . Hace mucho tiempo que la “acciones que se toman en una organización mayoría de las empresas llegaron al punto de los para aumentar la eficacia y el rendimiento de las rendimientos decrecientes en sus programas de actividades y los procesos. no hace que se produzcan cambios. incluyendo ayudas contextuales. Téngase en cuenta.garantizar que la información se muestra de forma que no presente ambigüedades. »» la definición de acciones de mejora a partir del análisis de las métricas y de los datos obtenidos. la realidad es que no hay herramientas de “enchufar y listo”. para facilitar su correcta interpretación por parte del usuario. considérese un caso en el que se estuviese aumentando el índice de productividad a costa de penalizar la satisfacción del usuario (incremento en el número de errores en producción. En este sentido. si bien es mejor que nada. puede llegar a provocar el efecto de que el decisiones. sólo se obtendrá más basura. La mejora continua es un concepto ventajas añadidas. podrá decirse que se ha alcanzado “la (contoles de acceso). con el fin de aportar mejoras graduales. Aunque la automatización pueda facilitar el trabajo con métricas. valor es marginal en esta nueva era. El hecho de medir. »» la debida precaución con el uso de herramientas. -. y. -. su los clientes”.controlar la información de entrada. y donde quede Sin lugar a dudas. -. uno de los especialistas en compromiso para el cumplimiento de cada una de estrategia más reconocidos mundialmente. se deberá: impacto de las nuevas mejoras introducidas sea tan -. ¡La perfección absoluta no existe! No exacta. finalmente. »» la creación de un entorno estable donde recoger. En un adecuado mecanismo de autorizaciones este supuesto. un incremento en la madurez de los métricas es proporcionar criterios para la toma de procesos. tanto a la organización. Si un grupo. madurez total”. debe pensarse que la adquisición de una herramienta. ¿acaso no se podrá hacer Deberán asignarse responsables y fechas de nada más? Gary Hamel. si se alimenta de basura. per año 2000: se. sólo las ideas no lineales ISO 8402:1995. a profundizar en el análisis o a aumentar el control sobre los procesos. incremento en los tiempos de espera en transacciones en línea por no optimizar los accesos a las bases de datos…). por muy bueno que sea el sistema.facilitar el acceso a la información mediante pequeño que no compense el esfuerzo dedicado. al final del tratamiento. que las acciones de mejora son crearán nueva riqueza. no va a evitar el esfuerzo previo de definición y gestión inicial de indicadores y métricas. por ejemplo. Además. posiblemente termine viéndose afectado su interés por seguir participando (aportando) en el proceso. cualquier proceso es susceptible garantizado que la información contenida es de mejora.

a la resolución de problemas La cartera de servicios profesionales de Atos vinculados a la información y al mantenimiento de Consulting en el ámbito de la evaluación y medida del los sistemas existentes. que cubran estadios o perfiles: las necesidades. relación.de tener un elevado componente reactivo. del negocio. Se crean los primeros servicios de TI cuantitativa de TI. Dirección de la organización para alcanzar las metas proceso de gestión del negocio. principalmente. considera las tendencias ser el de servir de palanca tecnológicas y el panorama competitivo para jugar en la propia evolución de un papel proactivo y dar forma a la estrategia del las tecnologías y el de negocio. actuar como motor de la innovación para el negocio. Service Level Agreement) Análisis comparativo de marcos de Gobierno Corporativo de TI: ▪▪Evaluación de la madurez de los marcos de Gobierno Corporativo de TI: --Adopción de modelos de madurez de la industria: CobiT 32 . IT Balance Scorecard ): BOQM® ▪▪Redacción de Acuerdos de Nivel de Servicio. Balance Scorecard ): --Implantación de cuadros de mando integral de TI (ITBSC. no exhaustiva: 6. y. debería ser el de servir 38500:2008 y cartera de servicios de de palanca en la propia evolución de las tecnologías Atos Consulting y el de actuar como motor de la innovación para el El principio de RENDIMIENTO establece que las TI negocio. No está en contacto con rendimiento de las TI queda reflejada en la siguiente las prioridades estratégicas del negocio. Evaluación y medida del rendimiento de las TI Auditoría del marco de Gobierno Corporativo de las TI: ▪▪Auditoría de los Sistemas de Información Medida del rendimiento de las TI: ▪▪Definición de métricas del negocio ▪▪Definición de métricas de TI ▪▪Identificación de KGI (Key Goal Indicator) ▪▪Identificación de KPI (Key Performance Indicator) ▪▪Implantación de cuadros de mando integral (BSC. niveles organizaciones. a proporcionar valor a la organización y a tomar parte en la formulación de las nuevas estrategias corporativas.competencia que ha derrumbado los márgenes de »» TI en sincronía con el negocio: TI colabora con la El objetivo final del ganancias. ANS (SLA. en tanto que componente de toda estrategia de gobierno de TI. »» TI como mero proveedor: el área de TI se orienta. la participación de TI ha pasado -y debe seguir haciéndolo. debería necesidades inmediatas. permite distinguir los siguientes de servicio y una calidad en los mismos. De esta manera. De hecho. industria tras industria”. en para potenciar la estructura organizativa existente. Así pues. tanto que componente »» TI como catalizador de la innovación (diferenciación de toda estrategia de competitiva): el área de TI ve más allá de las gobierno de TI. mediante la provisión de servicios. el proceso evolutivo que han han de ajustarse con el propósito de sustentar la padecido las áreas de tecnología en el seno de las organización. presentes y futuras. el objetivo final del proceso de gestión Principios de la norma ISO/IEC cuantitativa de TI.

La mejora en los abordar. tal y como algunos en toda iniciativa de cambio que se trate de individuos confiesan abiertamente. en su percepción involucrados. más gobierno de TI. ya que suelen ser estos perfiles con oposiciones nacidas de diferencias de intereses. de su compromiso. Ello influirá. no ha sido casual. Si se asume que durante todo ese carácter corporativo. que puede inspirar lo desconocido. La resistencia al cambio. los que más afectados pueden verse y los más o con dificultades que tienen su raíz en la falta susceptibles de sufrir el síndrome de “ya visto. sobre los nuevos cambios que se vayan a acometer. las organizaciones. Todo ello parece justificar. del concepto de gobernanza de TI y de la necesidad de adoptar estrategias en este terreno. en suma. en ocasiones. tanto los aspectos relativos a la aras de garantizar el éxito de cualquier iniciativa de organización. como aquellos otros que afectan. actuará como el catalizador que ayudará existentes. de manera sobrada. A ello se une la dificultad que comporta la difusión. camino surgirán distintas reacciones en las personas 33 . ya de competencias o capacitación de los actores oído”. tiene directas implicaciones en la forma en a los individuos a asumir que se va a producir un la que las organizaciones -y sus miembros. logrando de esta forma su involucración y la necesidad de una gestión del cambio cultural. el temor. o la desconfianza. como a nivel individual. en la mayor parte de los casos. Así queda recogido en la norma “ISO/ IEC 38500:2008. personas son reacias a los cambios. Corporate governance of IT” y así ha quedado. en gestionar. de manera cambio. en ocasiones. Todo ello parece justificar.se comportan en relación a las TI y a los beneficios y/o riesgos que de su uso se pueden derivar. y a prepararlos para el mismo. de toda iniciativa de reorganización de estructuras y procesos en las áreas de tecnología de las organizaciones. inevitablemente. necesidad de abordar iniciativas de sensibilización.GESTIÓN DEL CAMBIO CULTURAL El hecho de cerrar este monográfico dedicado al Preparando a la organización y a sus buen gobierno corporativo de las TI con un capítulo miembros para el cambio sobre la gestión del cambio cultural. lo que hará puede verse bloqueada. Más al contrario. como se puede Una organización no adopta un marco de gobierno intuir. la gestión del cambio cultural. por cierta inevitable encontrar un cierto nivel de resistencia inclinación hacia la opacidad. La búsqueda de la primera. camino. los mayores brotes de rendimientos de las áreas de TI -y de los servicios resistencia surgen entre los mandos intermedios de que desde ellas se ofrecen. puesto de manifiesto en las innumerables referencias nacidas de los servicios prestados por Atos Origin a sus clientes a lo largo de los años. Por regla general. particular e individual. del fracaso-. Recuérdense los dos motores que han venido impulsando. cambio de esta magnitud y naturaleza necesita a juicio de los especialistas de Atos Consulting. la La solución radica en gestionar el proceso de cambio. los esfuerzos en gobierno de TI: la transparencia y el rendimiento. u Establecer nuevos marcos de gobierno. permanecen. responde corporativo de sus TI de la noche a la mañana. formación y de movilización de todos y cada uno de acompañando a las personas durante todo el los implicados. reiteradamente. tradicionalmente. como elementos determinantes del éxito -o. una y otra vez. o mejorar los organizativo. Un a la especial trascendencia que tiene esta actividad. directamente. En ese escenario.chocan. de tanto a nivel organizativo. propiamente dicha. eje básico Ha de tenerse en cuenta que la mayoría de las de cualquier doctrina de gobierno corporativo. a las personas que la componen.

lo que es aún peor. de poder dar respuesta a la siguiente pregunta: visualizando los beneficios que se obtendrán (tanto “¿ha evaluado la organización si los nuevos cambios tangibles. es menos habitual es que expliquen cómo estas acciones van a afectar a las personas. ante. sobre todo. lo cual permitirá adoptar el Se hace difícil tener que explicar por qué. con la participación de la cambio. . que las corporativa organizaciones están habituadas a generar casos de En última instancia. resistencia. Parece algo el proceso?”… Para responder a estas y otras obvio. quizás. Consecuentemente. Motivar a las personas y hacerlas partícipes del objetivo ayudará a involucrarlas desde el principio y les permitirá participar y tomar las decisiones más adecuadas en cada momento. La existencia de un equipo de gestión del cambio no será suficiente.. el apoyo y compromiso del resto de la organización resultará imprescindible. a muchas personas les costaría preguntas.(negación. un ahorro de costes. actual cultura organizativa. la alternativa de poder perder el empleo. y el modo de Es fundamental que se invierta todo el tiempo involucrarlas durante el proceso. organización. todos ellos elementos básicos de una buena gestión y fundamentales para el logro del éxito. necesario con aquellos individuos que tengan influencia en el proceso de cambio. para todos los la sincronía con la estrategia involucrados. debe por qué la empresa debe entre las personas y la propia organización deberá poderse dar respuesta a los siguientes interrogantes: cambiar. Involucrar a las personas y buscar debe conocerse en profundidad el impacto que el cambio supondrá. una visión completa de la situación futura y del impacto que el cambio va a tener sobre la Por último.. habrá herramientas que. la clave del éxito se reduce a cuán negocio (estudios de viabilidad) donde se describen bien se entiende y. como intangibles) y permitiendo.. si se será averiguar cuán preparada se encuentra la hacer es comprender pretenden evitar desajustes posteriores al cambio organización para afrontar el cambio.. “¿será deseable Por ello.. y cómo deberán ser involucradas. más de 20 años.).. lo primero que se debe hacer es comprender mantener informadas a las personas durante todo por qué la empresa debe cambiar. enfado. Se deberá ofrecer a las personas la oportunidad de desarrollar nuevas habilidades. 34 . en el pasado?”. después de. cómo se verán afectadas personal. se deberá analizar en profundidad la encontrar una respuesta exacta para esa pregunta. cuán bien se comunica las razones para llevar a cabo una reducción de en qué consiste ese cambio. “¿cuáles han sido las principales dificultades que se han encontrado?”. involucrar al mayor número de personas en el proceso. enfoque adecuado al entorno específico. Recuérdese. a nivel individual. además. “mantener los compromisos adquiridos”. lo único que quedará Lo primero que se debe acciones que mitiguen sus efectos. como previsto?”. alejándose de soluciones parciales o temporales. se deben cambiar los hábitos de trabajo. Sin embargo. Desde la Dirección deberán tenerse presente principios tales como “predicar con el ejemplo”. haciéndoles ver la necesidad de un cambio en los comportamientos y actitudes para desarrollar un marco de gobierno estable. La definición de nuevos roles y responsabilidades constituye otro factor a considerar durante todo el proceso. Para ello. se dispone de un buen número de realicen un esfuerzo para cambiar sus hábitos. para “salir del paso”. tanto actual.. Para ello. lo que constituye la palanca fundamental de todo Debe elaborarse. Además. podrán preverse Una vez que la meta esté clara. pero lo que las personas. junto con las personas implicadas que garantizar plenamente que se está en disposición en el proyecto. tenerse presente el cambio operativo y cultural que el “¿cómo se han gestionado otros procesos de cambio proceso puede conllevar a nivel de compañía. permitirán describir la citada situación. antes de solicitar a las personas que misma.. estarán sincronizados con el entorno económico. a este respecto.

presentes y futuras. Comunicación y gestión del cambio cultural Creación de imagen de marca para el CGO (“Chief [IT] Governance Officer”) / CIO (“Chief Information Officer”): ▪▪Marketing de TI Comunicación del rendimiento de las TI Gestión del cambio organizativo: ▪▪Planificación estratégica para el cambio: --Diseño del caso (justificación) para el cambio --Visualización del estado futuro --Evaluación del grado de preparación para el cambio ▪▪Movilización e involucración: --Identificación y designación de los líderes para el cambio --Gestión de la resistencia y de los interesados --Diseño del plan de comunicación: Web 2.Principios de la norma ISO/IEC La cartera de servicios profesionales de Atos 38500:2008 y cartera de servicios de Consulting en el ámbito de la comunicación y la gestión del cambio cultural queda reflejada en la Atos Consulting siguiente relación. no exhaustiva: El principio de CONDUCTA HUMANA establece que las políticas. incluyendo las necesidades.0 ▪▪Despliegue: --Formación y desarrollo de las personas --Sincronización operativa con el negocio --Supervisión de la efectividad de la iniciativa de cambio Vigilancia de tendencias de TI: ▪▪Observatorio tecnológico Formación del personal para el Gobierno Corporativo de TI: ▪▪Máster en Competencias para el Gobierno Corporativo de las TI en la Empresa ▪▪Cursos oficiales de introducción al Gobierno Corporativo de las TI ▪▪Cursos oficiales de introducción a modelos específicos de la industria ▪▪Asesoramiento sobre la certificación de profesionales Estrategia de RR HH de TI: ▪▪Planificación ▪▪Evaluaciones de rendimiento ▪▪Motivación y satisfacción 35 . 7. de todos los ‘implicados en el proceso’. prácticas y decisiones tomadas en torno a las TI han de respetar los comportamientos de la gente.

Isabel Rodríguez Ibáñez.com marcas registradas a nombre de Atos Origin SA. incluyendo el almacenamiento de la información. Ninguna parte de esta publicación puede ser reproducida de forma alguna. Ana Isabel González Fernández. Acerca de Atos Consulting Atos Consulting. Julio Blanco Rosa. Española.500 empleados en todo el mundo. Industria.com www. Atos Origin y el símbolo del pez. Unipersonal.com “EXTIENDA SUS RESPONSABILIDADES DE GOBIERNO CORPORATIVO HACIA LA INFORMACIÓN Y SUS TECNOLOGÍAS AFINES. Todos los derechos reservados. Servicios Financieros y Sector Público. Atos Worldline y Atos Consulting.Acerca de Atos Origin Atos Origin es una compañía internacional de servicios de tecnologías de la información.A. Su objetivo es transformar la visión estratégica de sus clientes en resultados mediante una mejor utilización de soluciones de Consultoría. La compañía emplea 50. Integración de Sistemas y Outsourcing. sin permiso previo por escrito del departamento de Marketing y Comunicación de Atos Origin S. y sus clientes son grandes compañías internacionales de todos los sectores de actividad.500 millones de euros. Atos.atosorigin. Atos y el símbolo del pez. Atos Consulting. ni electrónica ni mecánicamente. su actividad se centra en la entrega de soluciones probadas y pragmáticas para los mercados de Telecomunicaciones. Autores Domingo Gaitero Gordillo. Con más de 2. Contacto Atos Consulting C/ Albarracín.es. Atos Origin cotiza en el mercado Eurolist de París y ejerce sus actividades con los nombres Atos Origin. César Nistal Carbajo. Gonzalo Carrillo Aguilera. Junio 2009 . Fabien Mellano.000 profesionales en 40 países. procesos y tecnología. y su facturación anual es de 5. 27 28037 Madrid Tel: +34 91 214 95 00 Email: es-atosconsulting@atosorigin.atosconsulting. y el símbolo del pez solo son www. Jordi Safont Guillén. Atos Origin es partner tecnológico mundial para los Juegos Olímpicos. Eva Carro Solana. Fernando Baquero Úbeda. es un proveedor líder de servicios de consultoría de negocio. la práctica internacional de consultoría de Atos Origin. José Barato Arroyo. Miguel García Menéndez. Rosa Prat Farrero. Jose Mª Borregán Lavín.es. OTRAS ORGANIZACIONES YA HAN COMENZADO A RECORRER ESTE CAMINO”.