Competencia y Auditoría de Sistemas (por Manolo Palao)

Como ya ocurriera con la entrega anterior, dedicada a la independencia, este nuevo «texticulillo» de Manolo Palao -el quinto- vuelve a poner el foco en uno de los atributos que deberían acompañar a todo auditor de sistemas de información: la competencia profesional.

En relación a este asunto, Gobernanza de TI reproducía, hace unos meses, en estas mismas páginas, el deseo expresado por D. Juan Ramón Quintás Seoane de tecnificar los consejos de administración de las organizaciones; esto es, de poblarlos con individuos dotados de las oportunas competencias. Como recordarán, el Sr. Quintás se refería a competencias vinculadas a la Economia y el Derecho.

Manolo Palao lleva esa misma necesidad, con sus peculiaridades, al terreno de los auditores, en tanto que pieza clave de todo sistema de Gobierno Corporativo de TI.

Disfruten de sus nuevas reflexiones; pero no olviden la audiencia particular para la que fueron originalmente escritas: la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA). En este sentido, les ruego, una vez más, que sepan disculpar las referencias del autor a la actualidad y contexto particulares de aquellos momentos.

Texticulillo nº 5: Competencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de ser profesionalmente competente, en su cometido.

Tratar sobre la competencia profesional es siempre una tarea ardua, dada la complejidad del tema y los muchos intereses que hay en juego. En el caso de los ASITIC, es aún más ardua, como me propongo razonar mas adelante.

El DRAE define ‘competencia’ -en la acepción que, aquí, interesa- como ‘aptitud’, ‘idoneidad’.

Por ‘profesional’ quiero entender, aquí, a quien desempeña una actividad, basada en conocimientos y habilidades; en la cual, el juicio discrecional -en línea con las “buenas prácticas generalmente aceptadas”- prima sobre la mera, y rutinaria, aplicación de procedimientos.

Esa definición no concuerda plenamente con otras más canónicas al uso (ostentar ciertas titulaciones y pertenecer a ciertos colegios), pero -en terminología de conjuntos- la intersección de ambas no es vacía. Y cuadra perfectamente con los ASITIC, que son nuestro tema.

El problema de discutir la competencia-aptitud-idoneidad de los ASITIC supera al de una gran mayoría de otras profesiones, dado su muy marcado carácter transdisciplinar.

Lo transdisciplinar es propio de nuestras sociedades post-modernas -sin olvidar figuras señeras como L. da Vinci, H. Simon, e incluso B. Russell-. Así, no sorprenden híbridos como bio-físico, agro-alimentario, o psico-acústico. Pero se trata, en general, de espacios de intersección de dos -o unas pocas- disciplinas, o subespecializaciones de una sola.

Lo que caracteriza, en cambio, al ASITIC es que ha de ser una ‘sección transversal’ -ciertamente, selectiva y esquematizada- de todas las disciplinas que intervienen en los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones, que son unas cuantas y con cambios acelerados.

La propia y prolija expresión completa que resume el acrónimo ASITIC es ya una indicación de esa extensión de disciplinas; aún no habiéndose explicitado otras obvias, como -sin resultar exhaustivos-: el derecho, la estrategia empresarial, la organización, la racionalización del trabajo, la gestión de proyectos o la criptografía.

Hay muchas formas complementarias de obtener reconocimiento personal en las profesiones:

Inexplicable (azar, mafias, …).
Autoproclamación (Buda, Colón, Pinochet, …).
Creencia de la opinión pública (Madonna, Aznar, …).
Reconocimiento privado (empresa, asociación) [“asimilado a Técnico de Grado Superior”, “No hay como Paco para reparar lavadoras”].
Titulación de Formación Vocacional (fontanero, …).
Titulación Gremial (Oficial de 2ª, …).
Titulación Universitaria (Licenciado en Derecho, …).
Regulaciones Oficiales (Abogado, Traductor Jurado, …).
Certificación de Persona como Profesional, por Entidad de Certificación (Auditor Jefe de Calidad, …).
Práctica con éxito (Bofill, …).
Oposiciones y Concursos (Bombero, Campeón de Mus, …).

Dejamos al sagaz lector -probablemente sobrado de referencias directas- la comparación de las ventajas e inconvenientes de unos y otros métodos.

En el caso del ASITIC, el enfoque más recomendable, por su rapidez, objetividad, flexibilidad, pragmatismo y ratio coste/eficacia nos parece el de la Certificación de Personas como Profesionales, por una Entidad de Certificación.

El modelo indiscutible es el de ISACA (Information Systems Audit and Control Association) -probablemente la mayor y más prestigiada asociación profesional de ASITIC- que administra la certificación CISA, la cual acredita de modo continuado la idoneidad del ASITIC.

Naturalmente, puede ocurrir, incluso con frecuencia, que un ASITIC competente se enfrente a un tema o área en que no se considera competente. El Código de Ética Profesional de ISACA y su Norma 040.010 (3) le obligan a no entrar directamente en esa área. El enfoque recomendado es buscar un experto en la misma -incluso no ASITIC-, independiente, delegarle formalmente un mandato específico y reflejar la delegación y sus resultados en la documentación.

Artículos relacionados

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S4. Competency de ISACA.

Gobernanza de TI