Gobernanza de TI‘ se complace en presentarles una nueva sección. La ocasión  -celebración internacional del ‘Día del Trabajo‘-  se hace particularmente propicia para comenzar a disfrutar, desde estas páginas, del saber hacer y la fina ironía de un infatigable trabajador, que ha dedicado a las TI la práctica totalidad de su carrera profesional. Durante las últimas cinco décadas ha desempeñando las más diversas funciones dentro de lo que hoy se denominarían dimensiones del Gobierno Corporativo de las TIC: director, auditor, consultor, formador, divulgador,… Se trata del amigo y maestro Manolo Palao, quien ha tenido a bien compartir y mostrar aquí  -disculpen Uds. la expresión-  “sus texticulillos“.

Durante los años 2002 a 2004, y bajo ese título genérico de “Texticulillos“,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  publicó la mayor parte de los artículos de la serie.

Tras un parón de casi cinco años, los “Texticulillos” volvían a ver la luz, tímidamente, a finales de 2008. En esta segunda época la audiencia destinataria de los artículos quedó circunscrita, prácticamente en exclusiva, al claustro de profesores y a los alumnos del MaGTIC, el Máster en Buen Gobierno de las TIC de la Universidad de Deusto.

Gobernanza de TI‘ recupera, ahora, de la mano de su autor original, todo este material, cuya extensión y particularidad han hecho que, aún tratándose de una firma invitada de esta bitácora, haya resultado merecedor de una categoría específica. Consecuentemente, la nueva sección “Texticulillos irá recogiendo, con carácter periódico, los artículos de las épocas primera y segunda; e irá combinándolos con otros inéditos que puedan ir apareciendo en el futuro.

Finalmente y dada la fecha en que fueron escritos, cabe apuntar que, si bien algunos de los textos pudieran presentar ciertos anacronismos derivados de referencias directas a la actualidad de aquellos momentos, no es menos verdad que el acierto del autor en relación a la selección y aguda exposición de los temas escogidos, hacen que estos mantengan su más absoluta vigencia. En ese mismo sentido, los artículos de la primera época recogen una clara referencia a la Auditoría de Sistemas. A partir de 2008, como ocurriera con la tendencia general del mercado, el foco pasa a iluminar el Buen Gobierno [de TI].

¡Disfrute, ya, del primero de ellos!

 

Texticulillo nº 1: Arquímedes y la Auditoría de Sistemas (1)(2)

Muchos recuerdan a Arquímedes por principio: una comprensión, incluso somera, del “Principio de Arquímedes” era necesaria para aprobar la Física del bachillerato.

Los más empollones, o cultos, quizá recuerdan la anécdota  -probablemente falsa-  que Vitrubio le atribuye (3), según la cual su famoso ‘¡Eureka!‘  -que gritaba sin cesar cuando corría desnudo por las calles de Siracusa, desde las termas, hacia su casa-  se debió a que había resuelto, durante el baño, el problema que el rey Hiero II le había planteado relativo a comprobar la pureza en oro de su nueva diadema.

El Rey sospechaba que su orfebre había sustituido, fraudulentamente, por plata, parte del oro recibido para confeccionar la diadema. Arquímedes, según la leyenda, ideó unas pruebas sustantivas (sumergiendo en agua la corona y comparando el volumen de agua desplazado, con el que, igualmente, desplazaba un bloque de oro equivalente al original). Arquímedes actuó como auditor en su faceta de tasador.

La Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que  -aparte de esos precedentes remotos-  se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva, e independientemente, el grado de confianza que se puede depositar en los SITIC, y recomendando medidas de mejora.

Ese grado de confianza reposa, entre otras cosas, esencialmente en el ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas, en la empresa,  suceden normal y razonablemente como desean todos quienes tienen derecho a determinarlo.

Así, de un buen CI debe esperarse que los SITIC de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar también que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

Al igual que no todo cuerpo o artefacto flota en el agua, sino que su boyancia depende de su densidad, forma, estanqueidad, etc., no todo sistema de CI está en condiciones de mantener a flote los objetivos y operaciones de la organización correspondiente.

Según el “Principio de Arquímedes“, el peso del agua desplazada por la parte sumergida de la embarcación  -la ‘obra viva’, en términos náuticos-  es igual, dinámicamente,  al peso de la obra que está en seco  -‘obra muerta’-.  Cuanto mayor sea este último  -cuanto mayor sea el volumen, importancia, complejidad y competitividad de las estructuras y operaciones de una empresa u organismo-,  mayor y mejor habrá de ser la infraestructura sumergida  -el control interno-.

El ASITIC es un profesional con formación especializada en el diseño y evaluación de infraestructuras de control interno, eficaces y eficientes.

Un empresario no puede sorprenderse si se va a pique por pretender navegar en una almadía de troncos o en un buque con vías de agua.

 

Artículos relacionados

  1. Confianza en, y valor de, los sistemas de información
  2. Estar encima (por Mark Toomey)
  3. Gobernanza de TI: La Dirección de Orquesta de los Sistemas de Información (por Rui Borges)

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 9 de noviembre de 2002.

(3) http://www.mcs.drexel.edu/~crorres/Archimedes/Crown/CrownIntro.html