septiembre 2010


Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

Anuncios

Presumiblemente, con este texto de 2002, Manolo Palao introducía, por vez primera, en la bibliografía en español sobre TI, el término ‘gobernanza‘. Algunas traducciones de documentos en inglés de la época habían optado, hasta entonces, por variantes como ‘gobernabilidad‘, o, directamente, ‘gobierno‘.

El citado hecho convierte en perfectamente prescindible, al menos por hoy, la breve introducción  -justificación, casi-  con que Gobernanza de TI acompaña la publicación de cada nuevo ”Texticulillo™”.

 

Texticulillo™ nº 9: El Burro Flautista y la Auditoría de Sistemas (1)(2)

Si hay un antes y un después en la Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC), ese momento lo marca la publicación, en 1996, de CobiT.

CobiT es un instrumento de gobernanza (3) de los SITIC puesto a disposición de directivos y auditores para facilitar el buen gobierno y el control de los sistemas de que se ocupan.

Es promovido y gestionado por el IT Governance Institute (Instituto para la Gobernanza de los SITIC), a su vez, parte de ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

Actualmente en su tercera edición (5) y con una dinámica de crecimiento y mejora continuados, una gran parte de CobiT se ha constituido en “norma abierta”  –open standard-,  que cualquier interesado puede descargar (http://www.isaca.org/cobit) y adaptar a su circunstancia.

No cabe, en este espacio, una descripción pormenorizada de CobiT y sus ventajas.  Cualquier lector interesado puede encontrar más detalles en el sitio web indicado. Quiero limitarme a señalar algunos aspectos que me parecen de particular relevancia.

El giro copernicano que CobiT ha supuesto es que ha planteado la gestión de la totalidad de los SITIC al servicio de la empresa  -u organismo-  dando realidad así, en esta área más modesta, a la famosa exclamación de ‘le Tigre’ Clemençeau (1841-1929): “¡La guerra es demasiado importante para dejarla en manos de los militares!”.

CobiT, con ese enfoque al servicio de la empresa se orienta a “objetivos y procesos de negocio”  -como, por ejemplo, la custodia de los activos-.

Contempla siete criterios básicos acerca de la información: eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de la normativa y fiabilidad.  Considera cinco grandes recursos SITIC: personal, aplicaciones,  tecnología, instalaciones y datos (6).

Se estructura en cuatro grandes áreas  -Planificación y Organización, Adquisición e Implantación, Prestación del Servicio y de la Asistencia, Monitorización-  que contienen treinta y cuatro procesos  -“objetivos de control de alto nivel”-,  que se desglosan en trescientos dieciocho “objetivos de control específicos” (7), por debajo de los cuales el ASITIC puede establecer sus propios “objetivos de detalle” (incluyendo las checklists  -listas de comprobación-  y pruebas que considere adecuadas).

CobiT es general, sin acepción de plataforma o de sector industrial.

Pero CobiT no está fundamentalmente destinado al ASITIC. CobiT es un Marco de Referencia para la buena gestión  -gobernanza-  de los SITIC. Contiene los citados Objetivos de Control, unas Directrices para Gestores y otras para Auditores.

CobiT podría leerse como las clásicas ‘cantigas de amigo paralelísticas’  en que los mismos versos están destinados alternativamente a él y a ella. Una lectura contiene las recomendaciones  -y esto es, en nuestra opinión, lo más importante-  de gobernanza para los directivos de la empresa y de los SITIC; otra lectura, las correspondientes a los ASITIC.

CobiT ha consultado  -y reitera el compromiso de seguir manteniendo actualizada la correspondencia con-  nada menos que cuarenta y una normas  –de facto y de iure–  internacionales sobre la materia; entre ellas, COSO, Cadbury, COCO o King.

Animo a todos  -directivos, técnicos y auditores-  a que se familiaricen más con el contenido, la estructura y las posibilidades de CobiT. No sorprende la aceptación internacional, ‘en bola de nieve’, que CobiT ha tenido; ni su adopción por empresas y organismos destacados. Se ha predicho  -en un estudio del META Group, de 2001-  que “para 2002-03, más del 30-40 % de las empresas del Global 2000 que desplieguen nuevas tecnologías y entren en nuevos mercados […] habrán adoptado un modelo similar a CobiT […]”.

Como dice ISACA: “La gobernanza de los SITIC es un buen negocio”.

Para terminar, como advertencia a quienes, por casualidad, puedan pretender realizar una ‘auditoría informática’, simplemente armados de una mera checklist, vaya el último verso de la fábula ‘El Burro Flautista’ de Tomás de Iriarte (1750-1791), publicada en 1782:

Sin regla del arte,
borriquitos hay
que una vez aciertan
por casualidad”.

 

Artículos relacionados

  1. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  2. Fraude y Auditoría de Sistemas (por Manolo Palao)
  3. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  4. Competencia y Auditoría de Sistemas (por Manolo Palao)
  5. Independencia y Auditoría de Sistemas (por Manolo Palao)
  6. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  7. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  8. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  9. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Nota de Manolo Palao: Voz recogida en el Diccionario de la Real Academia Española de la Lengua (DRAE). En su segunda acepción, sustantivo femenino anticuado, acción y efecto de gobernar o gobernarse.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El modelo CobiT vio la luz en su 3ª Edición en julio de 2000, para ser sustituido, en noviembre de 2005, por CobiT 4.0. Actualmente, y desde abril de 2007,  la versión en vigor es la 4.1, a la espera del, ya próximo, CobiT 5.

(6) CobiT 4 redujo los recursos de TI a cuatro grupos: personas, aplicaciones, información e infraestructuras.

(7) De nuevo, el autor ofrece una descripción de la versión de CobiT vigente en aquella época (2002). Las ediciones posteriores redujeron levemente el número total de “objetivos de control específicos”, colocándolo en torno a los dos centenares.