mayo 2010


Presentada durante la Asamblea General de socios celabrada en la primavera de 2009, la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (CoBGCTIC), del Capítulo de Madrid (183) de ISACA, quedaba formalmente constituida hace ahora, exactamente, un año.

El balance de estos primeros doce meses de rodaje no puede ser más positivo. Desde el punto de vista del interés profesional que ha suscitado, cabe recordar, en primer lugar, el gran éxito que tuvo la convocatoria de adhesión lanzada  -dirigida, específicamente, a los miembros del Capítulo-,  en el período previo a su constitución. A ello siguió la numerosa afluencia de vocales, presentes en la reunión constituyente; y, finalmente, la dedicación y el compromiso que todos ellos han demostrado a lo largo de su participación en el desarrollo de las tareas encomendadas.

En segundo lugar y, tal vez, de mayor relevancia, merece, también, una especial mención el logro de los objetivos fijados para la Comisión. Los trabajos definidos para el período 2009-10 han seguido, en todo momento, el plan establecido; habiendo sido, el pasado 6 de mayo, testigo de la presentación de los primeros resultados. La celebración, ese día, de la XXVII Charla Técnica del capítulo madrileño permitió hacer públicos los “entregables” elaborados por el Sub-Comité 1 de la CoBGCTIC: el documento Gobierno Corporativo de TI. Guía breve de Autoevaluación y su herramienta de apoyo. A la Guía seguirán otros trabajos, relacionados con la extensa bibliografía existente sobre la disciplina de la Gobernanza TIC, con el grado de adopción de mecanismos de Gobierno Corporativo de TI por parte de las organizaciones, con la Arquitectura de Empresa como parte de tales mecanismos o con las herramientas de soporte a las iniciativas de Gobierno TIC. Las Jornadas 2010 de ISACA Madrid, próximas a celebrarse (1), serán un excelente marco para la puesta de largo de todas estas iniciativas.

A partir de hoy, y siempre con el respaldo de la Junta Directiva del Capítulo, la CoBGTIC avanza hacia su siguiente etapa. Con algunas caras renovadas en el seno de la Comisión, también nuevas propuestas verán la luz. La primera, orientada estudiar el modo de hacer llegar, verdaderamente, el mensaje del Gobierno Coporativo de TI a las organizaciones del panorama empresarial español.

 

Artículos relacionados

 

(1) Las Jornadas 2010 de ISACA, Capítulo de Madrid (183) se celebrarán los próximos días 28 y 29 de septiembre, bajo el lema “Contribución y Riesgos de TI: Equilibrio inteligente para afrontar el futuro“.

Anuncios

Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del “III Congreso Interacadémico” de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue “¿Quién gobierna a los ‘gobernadores’?“. Precisamente, con la versión original de esa misma pregunta  -“¿Quién guardará a los guardianes?“-  comienza el “texticulillo” de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su “Sátira” VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

  1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html

El pasado jueves, día 6, el Hotel Holiday Inn Madrid  -habitual lugar de celebración de los últimos encuentros profesionales del capítulo local de ISACA-,  fue testigo de la que hacía el número veintisiete en la cuenta particular de Charlas Técnicas de la Asociación madrileña. El lema escogido en esta ocasión, “Presentación del Cuaderno de ISACA Madrid, Nº 1: ‘Guía Breve de Autoevaluación del Gobierno Corporativo de TI’“, anunciaba con toda claridad la orientación de la Charla y el contenido de la misma.

De ese modo, coincidiendo con el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (CoBGCTIC) del Capítulo de Madrid de ISACA, tanto su responsable, D. Miguel García Menéndez, como la coordinadora del subcomité (SC1) de la citada Comisión, Dña. Mª José Carmona Carmona, ofrecieron una detallada descripción de las labores realizadas por este grupo de trabajo dentro de la CoBGCTIC.

Para empezar, el primer ponente trató de justificar y contextualizar la disciplina del Gobierno Corporativo de TI en el ámbito de ISACA, recordando los pasos dados en los últimos años, desde la Organización, a nivel internacional, y citando los datos ofrecidos durante la presentación de la estrategia 2009-2011, en abril del pasado año, por la, entonces, Presidente Internacional de la Asociación, la Srta. Dña. Lynn Lawton. Como parte de aquella presentación, la Srta. Lawton apuntaba a la necesidad de orientar más esfuerzos a los nada desdeñables casi nueve millones de profesionales generalistas de las TIC existentes en el panorama global e informaba sobre el hecho de que dicho colectivo constituía el segmento de mayor crecimiento dentro de la Asociación. Tras este recordatorio, el Sr. García continuó haciendo un breve repaso a las principales iniciativas impulsadas por la actual Junta Directiva de ISACA Madrid en el ámbito de la Gobernanza TIC, desde noviembre de 2008, una de las cuales ha sido la puesta en marcha de la mencionada CoBGCTIC. En este punto dió paso a la Sra. Carmona.

Dña. Mª José describió los objetivos que se había planteado el SC1 en el momento de su creación. Dichas metas habían quedado establecidas en torno a la elaboración de una guía que sirviese de punto de entrada a la disciplina del Gobierno Corporativo de TI. Ello se materializaría mediante la puesta a disposición de los profesionales del sector, y resto de individuos interesados, de una batería de cuestiones que permitiesen obtener una visión preliminar sobre el grado de adopción de los mecanismos de gobernanza TIC, en el seno de una organización. Asimismo, la Sra. Carmona comentó brevemente la estructura del nuevo texto “Gobierno Corporativo de TI. Guía de Autoevaluación”  -basada en la norma ISO/IEC 38500:2008. Corporate Gobernance of IT–  y la herramienta que la acompaña, pasando a ceder la palabra al resto de miembros del SC1, a quienes presentó: Dña. Mª Jesús Casado Robledo, D. Juan José Huerta Díaz y Dña. Mª Cristina Bausá Rosa; y cuyas intervenciones se produjeron a continuación.

La Sra. Casado, a través de una detallada descripción del fresco del S. XIV “Effetti del Buon Governo (Alegoría del Buen Gobierno)” del maestro Ambrogio Lorenzetti, que, aún hoy, adorna las paredes del Palacio Comunal de Siena (Italia), introdujo los conceptos básicos subyacentes al Gobierno Corporativo de TI. Como base de tales conceptos, destacó su naturaleza fronteriza  -una responsabilidad a medio camino entre la alta dirección de la organización y la dirección de TI-  lo que le sirvió para justificar los dos primeros bloques de la Guía relativos, respectivamente, al papel de los Consejos de Administración/Comités de Dirección en relación a las TI; y, asimismo, a la ubicación de la Función de TI en el marco del Gobierno Corporativo de la organización.

Seguidamente, D. Juan José repasó el tercer y último bloque del documento, mediante un rápido recorrido por los seis principios generales del Buen Gobierno Corporativo de las TIC recogidos en la norma ISO 38500  –responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana-. Durante su exposición, el Sr. Huerta explicó cómo la Guía desarrolla una batería de preguntas específicas para cada uno de tales principios, conformandose, así, el núcleo principal del cuestionario de autoevaluación.

Por último, Dña. Cristina desarrolló, en cierto detalle, la estructura y funcionamiento de la herramienta que acompaña al texto “Gobierno Corporativo de TI. Guía breve de Autoevaluación“. Basada en una hoja de cálculo, incorpora la posibilidad de cumplimentar los cuestionarios de la Guía en soporte electrónico, presentando automáticamente un informe con el resultado de la evaluación. Adicionalmente, como complemento al resultado obtenido, ofrece una serie de recomendaciones sobre los controles más pertinentes para contrarrestar las debilidades detectadas en el marco de Gobierno Corporativo de TI evaluado.

Tras este hito inicial con el que, además, se ha inaugurado la nueva serie bibliográfica del capítulo local  – “Cuadernos de ISACA Madrid“-  se emplazó a los asistentes a asistir a próximos anuncios de la Comisión. Los trabajos actualmente en ejecución por parte del resto de subcomités de la CoBGCTIC  -SC2, SC3 y SC4-  verán la luz, previsiblemente, tras el verano; y podrán ser presentados durante la celebración de las Jornadas 2010 de la Asociación, que tendrán lugar los próximos días 28 y 29 de septiembre.

Mientras tanto, disfruten de este “Cuaderno nº 1“. Ha quedado disponible en la zona de socios de la sede oficial del Capítulo.

¡Descárguenlo (o, pídanle a un amigo que lo comparta con Uds., :-))!

Si tienen alguna dificultad, o si desean hacerse, también, con la herramienta de autoevaluación, pónganse en contacto con la dirección-e administracion@isacamadrid.es.

 

Artículos relacionados

Gobernanza de TI‘ se complace en presentarles una nueva sección. La ocasión  -celebración internacional del ‘Día del Trabajo‘-  se hace particularmente propicia para comenzar a disfrutar, desde estas páginas, del saber hacer y la fina ironía de un infatigable trabajador, que ha dedicado a las TI la práctica totalidad de su carrera profesional. Durante las últimas cinco décadas ha desempeñando las más diversas funciones dentro de lo que hoy se denominarían dimensiones del Gobierno Corporativo de las TIC: director, auditor, consultor, formador, divulgador,… Se trata del amigo y maestro Manolo Palao, quien ha tenido a bien compartir y mostrar aquí  -disculpen Uds. la expresión-  “sus texticulillos“.

Durante los años 2002 a 2004, y bajo ese título genérico de “Texticulillos“,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  publicó la mayor parte de los artículos de la serie.

Tras un parón de casi cinco años, los “Texticulillos” volvían a ver la luz, tímidamente, a finales de 2008. En esta segunda época la audiencia destinataria de los artículos quedó circunscrita, prácticamente en exclusiva, al claustro de profesores y a los alumnos del MaGTIC, el Máster en Buen Gobierno de las TIC de la Universidad de Deusto.

Gobernanza de TI‘ recupera, ahora, de la mano de su autor original, todo este material, cuya extensión y particularidad han hecho que, aún tratándose de una firma invitada de esta bitácora, haya resultado merecedor de una categoría específica. Consecuentemente, la nueva sección “Texticulillos irá recogiendo, con carácter periódico, los artículos de las épocas primera y segunda; e irá combinándolos con otros inéditos que puedan ir apareciendo en el futuro.

Finalmente y dada la fecha en que fueron escritos, cabe apuntar que, si bien algunos de los textos pudieran presentar ciertos anacronismos derivados de referencias directas a la actualidad de aquellos momentos, no es menos verdad que el acierto del autor en relación a la selección y aguda exposición de los temas escogidos, hacen que estos mantengan su más absoluta vigencia. En ese mismo sentido, los artículos de la primera época recogen una clara referencia a la Auditoría de Sistemas. A partir de 2008, como ocurriera con la tendencia general del mercado, el foco pasa a iluminar el Buen Gobierno [de TI].

¡Disfrute, ya, del primero de ellos!

 

Texticulillo nº 1: Arquímedes y la Auditoría de Sistemas (1)(2)

Muchos recuerdan a Arquímedes por principio: una comprensión, incluso somera, del “Principio de Arquímedes” era necesaria para aprobar la Física del bachillerato.

Los más empollones, o cultos, quizá recuerdan la anécdota  -probablemente falsa-  que Vitrubio le atribuye (3), según la cual su famoso ‘¡Eureka!‘  -que gritaba sin cesar cuando corría desnudo por las calles de Siracusa, desde las termas, hacia su casa-  se debió a que había resuelto, durante el baño, el problema que el rey Hiero II le había planteado relativo a comprobar la pureza en oro de su nueva diadema.

El Rey sospechaba que su orfebre había sustituido, fraudulentamente, por plata, parte del oro recibido para confeccionar la diadema. Arquímedes, según la leyenda, ideó unas pruebas sustantivas (sumergiendo en agua la corona y comparando el volumen de agua desplazado, con el que, igualmente, desplazaba un bloque de oro equivalente al original). Arquímedes actuó como auditor en su faceta de tasador.

La Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que  -aparte de esos precedentes remotos-  se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva, e independientemente, el grado de confianza que se puede depositar en los SITIC, y recomendando medidas de mejora.

Ese grado de confianza reposa, entre otras cosas, esencialmente en el ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas, en la empresa,  suceden normal y razonablemente como desean todos quienes tienen derecho a determinarlo.

Así, de un buen CI debe esperarse que los SITIC de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar también que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

Al igual que no todo cuerpo o artefacto flota en el agua, sino que su boyancia depende de su densidad, forma, estanqueidad, etc., no todo sistema de CI está en condiciones de mantener a flote los objetivos y operaciones de la organización correspondiente.

Según el “Principio de Arquímedes“, el peso del agua desplazada por la parte sumergida de la embarcación  -la ‘obra viva’, en términos náuticos-  es igual, dinámicamente,  al peso de la obra que está en seco  -‘obra muerta’-.  Cuanto mayor sea este último  -cuanto mayor sea el volumen, importancia, complejidad y competitividad de las estructuras y operaciones de una empresa u organismo-,  mayor y mejor habrá de ser la infraestructura sumergida  -el control interno-.

El ASITIC es un profesional con formación especializada en el diseño y evaluación de infraestructuras de control interno, eficaces y eficientes.

Un empresario no puede sorprenderse si se va a pique por pretender navegar en una almadía de troncos o en un buque con vías de agua.

 

Artículos relacionados

  1. Confianza en, y valor de, los sistemas de información
  2. Estar encima (por Mark Toomey)
  3. Gobernanza de TI: La Dirección de Orquesta de los Sistemas de Información (por Rui Borges)

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 9 de noviembre de 2002.

(3) http://www.mcs.drexel.edu/~crorres/Archimedes/Crown/CrownIntro.html