julio 2010


Gobernanza de TI les acerca, de nuevo, las reflexiones del veterano maestro Manolo Palao que ya disfrutaran, en la postrimerías del año 2002, los entonces miembros de la madrileña Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

El autor centra su discurso en los aspectos más operativos de la profesión de Auditor de los Sistemas de Información, de la que la toma de evidencias forma parte inexcusable.

Igualmente inexcusable debería resultar, para quienes están a cargo de dirigir y controlar   -gobernar-  el uso que de tales sistemas se hace dentro de las organizaciones, el hecho de dotarse de mecanismos de medición que les permitieran evidenciar su rendimiento, sustanciando con ello, el verdadero grado en que las Tecnologías de la Información contribuyen a la generación de valor para sus respectivas entidades.

¡Evidencien Uds. mismos la sustancia de este sexto “texticulillo”!

 

Texticulillo nº 6: Evidencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de presentar evidencias.

Según la Norma 060.020 (3) de ISACA (Information Systems Audit and Control Association): “Durante la auditoría, el auditor ha de obtener evidencia suficiente, fiable, pertinente y útil para cumplir con eficacia los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría tienen que basarse en análisis e interpretaciones adecuados de esa evidencia”.

El ASITIC, durante su auditoría, debe, pues, recoger información o generar  pruebas  -demostraciones-  objetivas y, preferiblemente, reproducibles.

Las pruebas disponibles para el ASITIC pertenecen generalmente a dos categorías: pruebas de cumplimiento y pruebas substantivas.

Las pruebas de cumplimiento tienden a evaluar si un control formalmente existente (por ejemplo, “Los programas en pruebas y en explotación se mantendrán en entornos físicos, o lógicos, claramente separados”) se cumple. Obtener evidencia en casos como éste puede hacerse mediante entrevistas, muestreos, análisis de directorios, etc.

Las pruebas substantivas suelen requerirse cuando en las pruebas de cumplimiento se han detectado incumplimientos, o cuando los controles formales se consideran insuficientes, y la materialidad  -importancia relativa-  del tema lo aconseja. En estas pruebas  -más costosas-  se intenta evaluar el impacto real en la organización del incumplimiento o debilidad detectados.

Para realizar las pruebas substantivas, el auditor dispone de una combinación de técnicas o herramientas de muestreo y análisis estadístico; de CAATT (Técnicas y Herramientas de Auditoría Asistida por Ordenador) que pueden permitir, por ejemplo, reproducir independientemente los cálculos de un programa o reclasificar los contenidos de una base de datos; de “circularizaciones” (confirmaciones externas de saldos); etc.

Es el juicio discrecional del ASITIC el que debe definir el plan de auditoría  -basado en el conocimiento de la empresa y en un estudio preliminar de riesgos-;  el que debe seleccionar, o diseñar, y efectuar las pruebas  -de cumplimiento y, en su caso, substantivas-;  y el que debe reflejarlo en las conclusiones de la auditoría  -y, en todo caso, en los ‘papeles de trabajo’-.

 

Artículos relacionados

  1. Competencia y Auditoría de Sistemas (por Manolo Palao)
  2. Independencia y Auditoría de Sistemas (por Manolo Palao)
  3. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  4. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  5. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S14. Audit Evidence de ISACA.

Anuncios

La Gobernanza de TI es el proceso de toma de decisiones en torno al USO de las TIC.

 

Artículos relacionados

Como ya ocurriera con la entrega anterior, dedicada a la independencia, este nuevo “texticulillo” de Manolo Palao  -el quinto-  vuelve a poner el foco en uno de los atributos que deberían acompañar a todo auditor de sistemas de información: la competencia profesional.

En relación a este asunto, Gobernanza de TI reproducía, hace unos meses, en estas mismas páginas, el deseo expresado por D. Juan Ramón Quintás Seoane de tecnificar los consejos de administración de las organizaciones; esto es, de poblarlos con individuos dotados de las oportunas competencias. Como recordarán, el Sr. Quintás se refería a competencias vinculadas a la Economia y el Derecho.

Manolo Palao lleva esa misma necesidad, con sus peculiaridades, al terreno de los auditores, en tanto que pieza clave de todo sistema de Gobierno Corporativo de TI.

Disfruten de sus nuevas reflexiones; pero no olviden la audiencia particular para la que fueron originalmente escritas: la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA). En este sentido, les ruego, una vez más, que sepan disculpar las referencias del autor a la actualidad y contexto particulares de aquellos momentos.

 

Texticulillo nº 5: Competencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de ser profesionalmente competente, en su cometido.

Tratar sobre la competencia profesional es siempre una tarea ardua, dada la complejidad del tema y los muchos intereses que hay en juego. En el caso de los ASITIC, es aún más ardua, como me propongo razonar mas adelante.

El DRAE define ‘competencia’  -en la acepción que, aquí, interesa-  como ‘aptitud’, ‘idoneidad’.

Por ‘profesional’ quiero entender, aquí, a quien desempeña una actividad, basada en conocimientos y habilidades; en la cual, el juicio discrecional  -en línea con las “buenas prácticas generalmente aceptadas”-  prima sobre la mera, y rutinaria, aplicación de procedimientos.

Esa definición no concuerda plenamente con otras más canónicas al uso (ostentar ciertas titulaciones y pertenecer a ciertos colegios), pero  -en terminología de conjuntos-  la intersección de ambas no es vacía. Y cuadra perfectamente con los ASITIC, que son nuestro tema.

El problema de discutir la competencia-aptitud-idoneidad de los ASITIC supera al de una gran mayoría de otras profesiones, dado su muy marcado carácter transdisciplinar.

Lo transdisciplinar es propio de nuestras sociedades post-modernas  -sin olvidar figuras señeras como L. da Vinci, H. Simon, e incluso B. Russell-.  Así, no sorprenden híbridos como bio-físico, agro-alimentario, o psico-acústico. Pero se trata, en general, de espacios de intersección de dos  -o unas pocas-  disciplinas, o subespecializaciones de una sola.

Lo que caracteriza, en cambio, al ASITIC es que ha de ser una ‘sección transversal’  -ciertamente, selectiva y esquematizada-  de todas las disciplinas que intervienen en los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones, que son unas cuantas y con cambios acelerados.

La propia y prolija expresión completa que resume el acrónimo ASITIC es ya una indicación de esa extensión de disciplinas; aún no habiéndose explicitado otras obvias, como  -sin resultar exhaustivos-:  el derecho, la estrategia empresarial, la organización, la racionalización del trabajo, la gestión de proyectos o la criptografía.

Hay muchas formas complementarias de obtener reconocimiento personal en las profesiones:

  1. Inexplicable (azar, mafias, …).
  2. Autoproclamación (Buda, Colón, Pinochet, …).
  3. Creencia de la opinión pública (Madonna, Aznar, …).
  4. Reconocimiento privado (empresa, asociación) [“asimilado a Técnico de Grado Superior”, “No hay como Paco para reparar lavadoras”].
  5. Titulación de Formación Vocacional (fontanero, …).
  6. Titulación Gremial (Oficial de 2ª, …).
  7. Titulación Universitaria (Licenciado en Derecho, …).
  8. Regulaciones Oficiales (Abogado, Traductor Jurado, …).
  9. Certificación de Persona como Profesional, por Entidad de Certificación (Auditor Jefe de Calidad, …).
  10. Práctica con éxito (Bofill, …).
  11. Oposiciones y Concursos (Bombero, Campeón de Mus, …).

Dejamos al sagaz lector  -probablemente sobrado de referencias directas-  la comparación de las ventajas e inconvenientes de unos y otros métodos.

En el caso del ASITIC, el enfoque más recomendable, por su rapidez, objetividad, flexibilidad, pragmatismo y ratio coste/eficacia nos parece el de la Certificación de Personas como Profesionales, por una Entidad de Certificación.

El modelo indiscutible es el de ISACA (Information Systems Audit and Control Association)  -probablemente la mayor y más prestigiada asociación profesional de ASITIC-  que administra la certificación CISA, la cual acredita de modo continuado la idoneidad del ASITIC.

Naturalmente, puede ocurrir, incluso con frecuencia, que un ASITIC competente se enfrente a un tema o área en que no se considera competente. El Código de Ética Profesional de ISACA y su Norma 040.010 (3) le obligan a no entrar directamente en esa área. El enfoque recomendado es buscar un experto en la misma  -incluso no ASITIC-,  independiente, delegarle formalmente un mandato específico y reflejar la delegación y sus resultados en la documentación.

 

Artículos relacionados

  1. Independencia y Auditoría de Sistemas (por Manolo Palao)
  2. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  3. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  4. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  5. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S4. Competency de ISACA.