Presumiblemente, con este texto de 2002, Manolo Palao introducía, por vez primera, en la bibliografía en español sobre TI, el término ‘gobernanza‘. Algunas traducciones de documentos en inglés de la época habían optado, hasta entonces, por variantes como ‘gobernabilidad‘, o, directamente, ‘gobierno‘.

El citado hecho convierte en perfectamente prescindible, al menos por hoy, la breve introducción  -justificación, casi-  con que Gobernanza de TI acompaña la publicación de cada nuevo ”Texticulillo™”.

 

Texticulillo™ nº 9: El Burro Flautista y la Auditoría de Sistemas (1)(2)

Si hay un antes y un después en la Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC), ese momento lo marca la publicación, en 1996, de CobiT.

CobiT es un instrumento de gobernanza (3) de los SITIC puesto a disposición de directivos y auditores para facilitar el buen gobierno y el control de los sistemas de que se ocupan.

Es promovido y gestionado por el IT Governance Institute (Instituto para la Gobernanza de los SITIC), a su vez, parte de ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

Actualmente en su tercera edición (5) y con una dinámica de crecimiento y mejora continuados, una gran parte de CobiT se ha constituido en “norma abierta”  –open standard-,  que cualquier interesado puede descargar (http://www.isaca.org/cobit) y adaptar a su circunstancia.

No cabe, en este espacio, una descripción pormenorizada de CobiT y sus ventajas.  Cualquier lector interesado puede encontrar más detalles en el sitio web indicado. Quiero limitarme a señalar algunos aspectos que me parecen de particular relevancia.

El giro copernicano que CobiT ha supuesto es que ha planteado la gestión de la totalidad de los SITIC al servicio de la empresa  -u organismo-  dando realidad así, en esta área más modesta, a la famosa exclamación de ‘le Tigre’ Clemençeau (1841-1929): “¡La guerra es demasiado importante para dejarla en manos de los militares!”.

CobiT, con ese enfoque al servicio de la empresa se orienta a “objetivos y procesos de negocio”  -como, por ejemplo, la custodia de los activos-.

Contempla siete criterios básicos acerca de la información: eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de la normativa y fiabilidad.  Considera cinco grandes recursos SITIC: personal, aplicaciones,  tecnología, instalaciones y datos (6).

Se estructura en cuatro grandes áreas  -Planificación y Organización, Adquisición e Implantación, Prestación del Servicio y de la Asistencia, Monitorización-  que contienen treinta y cuatro procesos  -“objetivos de control de alto nivel”-,  que se desglosan en trescientos dieciocho “objetivos de control específicos” (7), por debajo de los cuales el ASITIC puede establecer sus propios “objetivos de detalle” (incluyendo las checklists  -listas de comprobación-  y pruebas que considere adecuadas).

CobiT es general, sin acepción de plataforma o de sector industrial.

Pero CobiT no está fundamentalmente destinado al ASITIC. CobiT es un Marco de Referencia para la buena gestión  -gobernanza-  de los SITIC. Contiene los citados Objetivos de Control, unas Directrices para Gestores y otras para Auditores.

CobiT podría leerse como las clásicas ‘cantigas de amigo paralelísticas’  en que los mismos versos están destinados alternativamente a él y a ella. Una lectura contiene las recomendaciones  -y esto es, en nuestra opinión, lo más importante-  de gobernanza para los directivos de la empresa y de los SITIC; otra lectura, las correspondientes a los ASITIC.

CobiT ha consultado  -y reitera el compromiso de seguir manteniendo actualizada la correspondencia con-  nada menos que cuarenta y una normas  –de facto y de iure–  internacionales sobre la materia; entre ellas, COSO, Cadbury, COCO o King.

Animo a todos  -directivos, técnicos y auditores-  a que se familiaricen más con el contenido, la estructura y las posibilidades de CobiT. No sorprende la aceptación internacional, ‘en bola de nieve’, que CobiT ha tenido; ni su adopción por empresas y organismos destacados. Se ha predicho  -en un estudio del META Group, de 2001-  que “para 2002-03, más del 30-40 % de las empresas del Global 2000 que desplieguen nuevas tecnologías y entren en nuevos mercados […] habrán adoptado un modelo similar a CobiT […]”.

Como dice ISACA: “La gobernanza de los SITIC es un buen negocio”.

Para terminar, como advertencia a quienes, por casualidad, puedan pretender realizar una ‘auditoría informática’, simplemente armados de una mera checklist, vaya el último verso de la fábula ‘El Burro Flautista’ de Tomás de Iriarte (1750-1791), publicada en 1782:

Sin regla del arte,
borriquitos hay
que una vez aciertan
por casualidad”.

 

Artículos relacionados

  1. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  2. Fraude y Auditoría de Sistemas (por Manolo Palao)
  3. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  4. Competencia y Auditoría de Sistemas (por Manolo Palao)
  5. Independencia y Auditoría de Sistemas (por Manolo Palao)
  6. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  7. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  8. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  9. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Nota de Manolo Palao: Voz recogida en el Diccionario de la Real Academia Española de la Lengua (DRAE). En su segunda acepción, sustantivo femenino anticuado, acción y efecto de gobernar o gobernarse.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El modelo CobiT vio la luz en su 3ª Edición en julio de 2000, para ser sustituido, en noviembre de 2005, por CobiT 4.0. Actualmente, y desde abril de 2007,  la versión en vigor es la 4.1, a la espera del, ya próximo, CobiT 5.

(6) CobiT 4 redujo los recursos de TI a cuatro grupos: personas, aplicaciones, información e infraestructuras.

(7) De nuevo, el autor ofrece una descripción de la versión de CobiT vigente en aquella época (2002). Las ediciones posteriores redujeron levemente el número total de “objetivos de control específicos”, colocándolo en torno a los dos centenares.