MDB301 Foro 1

Definición de la Gobernanza de la Información

Como suele suceder en el mundo dónde se cruza las límites técnicos y científicos, para adentrarse en el universo de la ciencia / arte de la administración general, la gobernanza de la información puede verse primero a la luz de los diferentes enfoques que grupos promotores de ella han sostienen. Para esto, voy a presentar utilizar el método de Berson and Dubov (Alex Berson, 2007), que presentan definiciones contrastadas:

1. Para los autores, es el proceso enfocado en administrar la calidad, la consistencia, la seguridad y la disponibilidad de la información.
2. De acuerdo al MDM Institute, es la concertación formal de las personas, los procesos y la tecnología para permite a la organización utilizar la información como un activo empresarial.
3. Jill Duche and Evan Lyche por su objetivo, establecer y mantener una agenda respecto a la información, a lo amplio de la organización, que permitan el proceso conjunto de toma de decisiones y la colaboración para el bien de la corporación más allá que el de individuos o departamentos, así como la necesidad de hacer balance entre la innovación y la flexibilidad de los negocios con las necesidades de TI respecto a estándares y eficiencias.
4. De acuerdo al IBM Data Governance Council, es una disciplina de control de calidad para el acceso, administración, monitoreo, mantenimiento y protección de la información organizacional.
5. El Data Governance Institute, es el ejercicio de la toma de decisiones y la autoridad en el tratamiento de asuntos relacionados con la información. La definición es luego expandida en la misma fuente como el sistema de derechos y responsabilidades en la toma de decisiones respecto a los procesos relaciones con la información, ejecutado de acuerdo con modelos acordados de previo que describen quién puede tomar cuáles acciones con cual información, cuando, bajo cuáles circunstancias y utilizando cuáles métodos.
6. Sarsfield la define (Sarsfield, 2009) cómo el conjunto de procesos que aseguran que los activos importantes de información sean administrados formalmente a través de toda la empresa. La gobernanza de la información garantiza que puedan confiarse en los datos y que pueda hacerse responsable a las personas sobre cualquier efecto adverso que ocurra producto de una pobre calidad de la información.

Componentes de la gobernanza de la información

De esta manera, puede identificarse varios componentes relevantes de la gobernanza de la información:

• El supuesto básico de que la información no se auto regula, ni por sí misma ni por el uso de sistemas tecnológicos específicos. Por el contrario, dejada a su curso natura, el principio entrópico domina. Por lo tanto, es un trabajo humano, que debe definir las pautas, los métodos formales, las personas en posición de tomar decisiones respecto a su uso, así como los responsables de mantenerla y custodiarlas.
• Que es un proceso que surge de dos direcciones; primero de la alta gerencia de la empresa, que quiera garantizar que las personas en los puntos de toma de decisión, cuentan con información correcta, pertinente y a tiempo para la toma de decisiones; segundo, de los usuarios de negocio que conocen la información que necesitan para llevar exitosamente sus negocios y quienes por lo tanto son sus principales custodios.
• Que requiere del establecimiento de una estructura formal que la administre y la custodie, que considere a la información al menos y preferiblemente a un mayor nivel al que se consideran los otros activos tangibles de la empresa: el dinero, los inventarios, la maquinaria y edificios. Si estos requieren de ser custodiados, debidamente catalogados y entendidos para mitigar los posibles perjuicios económicos que se puedan percibir, por su mala disposición, más aún el caso de la información, cuyos impactos afectan a toda la organización y a la capacidad de las personas de tomar decisiones.
• Que es esencialmente, un proceso humano: las personas deciden qué información es relevante, deciden los criterios de calidad de dicha información, establecen las políticas y procedimientos para garantizar su seguridad, su disponibilidad, su precisión y en general su calidad. De la misma manera, son personas quiénes son responsables de la información ante la organización, en sus unidades departamentales y en las más altas gerencias.
• Que la integración de la información es un bien deseable, pero que dicha integración tiene efectos limitados si la calidad no se encuentra en la fuente, a través de procesos maduro, que busquen en primer lugar el beneficio colectivo de la organización, frente a los intereses locales de las unidades de negocio.

Aspectos valiosos aportados por la investigación

Tres corpus conceptuales coetáneos: los depósitos de datos, la administración de información maestra y la gobernanza de la información. La importancia de tener a los 3 presentas, es que como podría esperarse, el lenguaje utilizado para describirlos, muchos de sus objetivos, así como los beneficios esperados, se entrecruzan, sin embargo, se pueden distinguir entre ellos a través de breves definiciones:

Depósito de datos: independientemente de si se utiliza las visiones de Kimbal, con su aproximación de los depósitos de datos departamentales hacia una visión global, o la visión unificada de Inmon, de un solo esquema relación to “rule’em all”, con sus datamarts hijos, el proceso de data warehouse, es principalmente la aplicación de una técnica para modelar la información distribuida en múltiples sistemas operaciones en una sola visión organización. Esta técnica, involucra, principalmente, el uso de recursos adicionales, nuevas bases de datos y procesos en ETL para movilizar la información hacia él data warehouse.

La administración de información maestra, o MDM, parte del concepto “que la empresa tiene información maestra, entendida como aquellas entidades, relaciones y atributos que son críticos para la organización y la fundación para procesos de negocios y sistemas de aplicación críticos” (Alex Berson, 2007). El supuesto básico, de que ciertas entidades de información son más importantes que otras, ya que ellas se encuentran distribuidas más ampliamente a lo largo de la organización, generalmente en un mayor número de aplicaciones o silos. En este sentido, el deseo de MDM de traer orden a esta información crítica, amplía la perspectiva de los depósitos de datos, que en cierta manera asumen las discrepancias entre las fuertes, y siempre se encuentran con problemas para retroalimentar su información a los sistemas origen.

De esta manera, es más fácil percibir que los objetivos de la gobernanza de la información, trascienden las técnicas y tecnologías (depósitos de datos) así como las estrategias de concéntrate en los aspectos más distribuidos y frecuentes, y solucionaras la mayoría de tus problemas. Los trascienden, al dar vida a una estructura organizacional que se encargue de manejar las decisiones sobre la custodia, la calidad, la responsabilidad, el acceso, de una forma holística, dónde independientemente de la multiplicidad de sistemas o los procesos de integración, se entiende la responsabilidad sobre la calidad y la protección de la información como un activo de la organización.

Distinción entre Gobernanza de la Información, marcos de referencia y legislación sobre prácticas en el manejo de la información

Creo importante qué al hablar de la Gobernanza de la Información, es necesario establecer la diferencia entre esta y la legislación y algunos marcos de referencia de mejores prácticas; cómo con el caso de COBIT y ITIL o incluso los estándares PCI.

La legislación como SOX, establece la responsabilidad de la junta directiva en dos grandes temas generales: el establecimiento de controles internos y la evaluación anual de dichos controles internos. Sin el afán de iniciar una discusión muy profunda sobre los origines y efectos prácticos de este tipo de legislación, la normativa parte de una petición muy genérica; establecer y verificar los controles internos. Esto luego conducen a preguntas de fondo; ¿cuáles son los controles internos debidamente aceptados?

Obsérvese como el tratamiento de que es información, como se verifica su exactitud, pertinencia, disponibilidad no parecen estar muy en el radar de esta legislación. Parece ser que principalmente es la esfera del acceso a la información, el punto focal de dicha legislación. Por lo tanto, me parece bastante insuficiente para considerarlo una manifestación de gobernanza de la información, en todo caso, solamente de una de las pequeñas parte de esta.

Respecto a los marcos de referencia, podemos observar brevemente el caso de COBIT (Francavilla). Este marco se origina para el desarrollo de procesos de autoría de tecnología de información (1996), expandiéndose rápidamente a tratar de establecer los controles aquello que están auditando. El binomio control y auditoría del control es el corazón del objetivo clásico de la auditoría, es decir, proteger los activos de la organización. Esta evaluación culmina en el mediante el dictamen de los procedimientos de control (1998) y su capacidad de revelar la realidad de la organización.

Luego, hacia el año 2000, expanden su área para indicar cómo debe gestionarse la tecnología de información para ya en las versiones 4 y 5, empezar a hablar de él como modelo de Gobierno de TI con cierta distinción en el ámbito empresarial. En otras palabras, quiere ser el modelo de administración general de la tecnología de información.

Presentado de esta manera, mi punto es reforzar que a pesar de la tremenda expansión de los objetivos y actividades que COBIT quiere cubrir, o tal vez, incluso, precisamente producto de dicha expansión, todas sus actividades se quedan un poco corta a la hora de utilizarse para llevar a cabo la gobernanza de la información.

Si bien puede contestar a algunas preguntas claves como: ¿quién la custodia?, ¿quién toma decisiones sobre cómo debe conformarse y accederse?; no logra responder de forma clara a las preguntas: ¿cuál es la información crítica de la organización, ¿dónde se encuentra.

Personalmente encuentro al caso de COBIT muy similar a la historia de otro marco de referencia muy popular, el de la administración de proyectos, basta ver los diagramas de sus últimas publicaciones para ver el crecimiento casi cancerígeno de las etapas y documentos que piden como mejores prácticas para realizar la administración de proyectos.

Es mi opinión personal que la gobernanza de la información, nos lleva a buscar respuestas a unas preguntas mucho más elementales y cuyas respuestas deben responder a criterios mucho más científicos.

¿Cúales son los procesos de generación de valor de la compañía? ¿Cúal es la información fundamental requerida para ejecutar dichos procesos de generación de valor?

¿Dónde ésta ubicada dicha información? ¿Qué forma tiene dicha información? ¿Qué forma debería tener para que sea comprensible a través de toda la organización? ¿Cuál es el grado de precisión aceptable?

¿Quién crea ésta información? ¿Cómo la crea? ¿Cómo la protege? ¿Cómo la custodia?

¿Quién accede a esta información? ¿Qué está a autorizado a hacer con ella?

Las respuestas a estas preguntas, no son esquemas o metodología. ¡Es decir, información sobre la información! Meta información.

Esto nos puede formar, que una estructura formal de gobernanza de la información, debe tener, como objetivo, formular dichas respuestas en términos cuantificables y con nombres y apellidos. Se puede reconocer inmediatamente, que ciertas tecnologías pueden resultar útiles para desarrollar dichas respuestas.

La gobernanza de la información debe permitir a la organización poder responder cuales son los procesos críticos de generación de valor que aportan el 80% de los ingresos. Indicarnos la lista de 15 o 20 entidades de información son las críticas para responder al 80% de las preguntas que habilitan la toma de decisiones en estos proyectos.

Así mismo debe cuantificar el volumen de información que manejan. Esta es la cantidad de información ausente, esto son los problemas de calidad de datos que están presentes, con qué frecuencia, con que potencial impacto en el proceso de toma de decisiones.

El proceso de gobernanza de la información debe darnos la lista de las personas, en los departamentos, en los procesos que generan esta información. Estas y estás personas son las custodias y responsables últimos de dicha información. Estas personas son las que deciden sobre el acceso y utilización de la información.

Al establecerse esto, entonces se ve claramente el papel que los marcos de referencia pueden tener en lograr los objetivos de gobernanza de la información, pero sin este debido entendimiento, la puesta en práctica de dichos marcos de referencia será insuficiente para evaluar la capacidad de la organización de proteger los intereses de sus accionistas y de sus clientes.

Autor

• Alejandro Marin Badilla

Referencias bibliográficas

1. Alex Berson, L. D. (2007). Master data management and customer data integration for a global enterprise (2 ed.). United States: McGraw-Hill.
2. Francavilla, C. (s.f.). Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial. Recuperado el 1 de 10 de 2016, de www.isaca.org: http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014-COBIT%20y%20Gobernanza%20de%20TI.pdf
3. Hill, D. G. (2009). Data Protection - Governance, Risk Management and Compliance. Boca Raton, Florida, United States: Auerbach Publications.
4. Loshin, D. (2009). Master Data Management (1 ed.). Elsevier, Massachussets, United States: Morgan Kaufmann Publishers.
5. Sarsfield, S. (2009). The Data Governance Imperative : A business strategy for corporate data. Cambridgeshire: IT Governance Publishing.