Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del “III Congreso Interacadémico” de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue “¿Quién gobierna a los ‘gobernadores’?“. Precisamente, con la versión original de esa misma pregunta  -“¿Quién guardará a los guardianes?“-  comienza el “texticulillo” de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su “Sátira” VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

  1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html