lunes, 1-noviembre-2010

Perfiles y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , , , , , , |
1 comentario 

Nuevo encuentro de Gobernanza de TI con Manolo Palao, su sana ironía y su buen humor (particularmente presentes en el Texticulillo™ de hoy). ¡Están Uds., tan sólo, a unas lineas de comprobarlo!

Fiel a su compromiso con los objetivos de esta bitácora, Manolo desarrolla su análisis, un vez más, en torno a uno de los principios generales del Buen Gobierno Corporativo de las Tecnologías de la Información: la conformidad.

El mundo de la regulación resulta prolífico. Sirva, como ejemplo, el caso de España: aquí, el número de reglamentaciones que pretenden guiar  -las más de las veces, limitar-  las actividades de ciudadanos y organizaciones se cifra, según los expertos, en miles, decenas de miles  -hay quien eleva ese número por encima del centenar (de miles)-.

Esa miríada de normas es un claro reflejo de la aparente «alegría» con que el regulador de turno ejerce su función. Otra prueba de tal «alegría» puede encontrarse en la existencia de no poca reglamentación ambigua, sujeta a interpretación, y, por tanto, de dudoso, cuando no difícil, cumplimiento. A ello se refiere Palao en su exposición.

Como apuntara, en relación al relevante papel de la conducta humana en el Gobierno Corporativo de TI, el destacado académico e investigador del MIT, Peter Weill, «de poco sirve definir sistemas de gobernanza formales, si no se siguen«. Cabría, con toda humildad, parafrasearle diciendo «de poco sirve definir [complejas] reglamentaciones, si no se pueden seguir«.

 

Texticulillo™ nº 13: Perfiles y Auditoría de Sistemas (1)(2)

Un día de estos me tengo que pasar por el centro de salud a que me hagan una analítica porque debo tener la perplejidad muy baja de densidad. Tan baja, que me sumo en ella sin poder salir a flote; y, si consigo seguir respirando, es gracias a lo largo que tengo el snorkel.

Una de las inmersiones más profundas que he hecho en mi perplejidad  -y en esa fosa abisal continúo-  fue la primera vez que leí el punto 4 del Artículo 4 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad [RMS, en breve] de los ficheros automatizados que contengan datos de carácter personal de la LORTAD (3), que reza:

[…] 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20”.

RMS que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantiene en vigor (4), en virtud de su Disposición transitoria tercera.

Y yo me pregunto ¿qué es «un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo«? 

Y como no me doy respuesta, me sumo unas brazas más en mi perplejidad  -¡y estiro el snorkel!-.

Quizás el legislador podría haberlo aclarado, o aclararlo, pero  -ya se sabe-  su densidad de perplejidad es inferior a la de la madera de pino oregón  (0,50 Kg./litro); o sea, que flotar le resulta chupao.

Creo firmemente que, para opinar sobre  la «evaluación de la personalidad«, habría que convocar  -y desde aquí, con mi limitado oxígeno, lo hago-  a los psicólogos, psiquiatras, psicoanalistas  -incluso lacanianos-  y evaluadores de aura  -sin pretender ofender a nadie con una lista tan heterogénea-.

Entretanto, los expertos en CRM (Gestión de Relaciones con Clientes), terminales de punto de venta, minería de datos, cookies y e-commerce van obteniendo,  archivando, actualizando y gestionando cientos de millones de “perfiles” de usuarios.

Lo del perfil tampoco me gusta mucho: ¡salgo mejor de frente!; y, además, siempre me recuerda la pareja de fotos, con las cotas de estatura al fondo, y un cartel con un número en el pecho, que la tele y el cine nos han mostrado reiteradamente. ¡Esperemos que pronto lo hagan con todos los que se lo merecen!

El perfil es una «evaluación pragmática» del comportamiento histórico de un individuo. (Suficiente para los intereses de quien lo elabora, y sin llegar, con mucho, a una «evaluación de la personalidad»).

El uso generalizado del perfil debería disminuir el spam (e-mails intrusivos)  -por aquello de aumentar la focalización (segmentación)-;  pero eso requiere lograr perfiles adecuados, si no excelentes. No es mi caso, ya que sigo recibiendo e-mails que dicen: “Manuel: Consiga, en quince días,  unos pechos más grandes y firmes”. Alternados con otros que me ofrecen un alargamiento del 25% del … snorkel. Está claro que no sólo es un problema de perfil, sino de frente. O de opción.

La empresa finesa Davisor ha publicado, no hace mucho, unos documentos interesantes sobre perfiles.

Hoy hay tecnología disponible para ocultar el perfil, pero es todavía engorrosa para el gran público. La otra alternativa es vestir de burka. Bajo la burka tod@s seríamos iguales, sin perfil  -pero se liga menos, o con menos ilusión-.

Los ASITIC (5) tienen la formación, experiencia y sensibilidad para tratar seriamente estos temas. Plantéese sentar uno a su mesa (antes de Semana Santa).

Hay también, a lo que parece, una movida que  -por intereses espurios-  defiende que cualquiera, mayor de edad, con una cierta titulación  -mínimo carné de conducir-,  puede realizar una ASITIC (haciéndose acompañar, si fuera  -a su juicio-  necesario, de un experto, bajo burka). No se fíe Ud. y, en este caso, si lo sienta a su mesa, asegúrese de no ser Ud. quien prueba el primer bocado.

 

Artículos relacionados

  1. Continuidad del Negocio y Auditoría de Sistemas (por Manolo Palao)
  2. DC y Auditoría de Sistemas (por Manolo Palao)
  3. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  4. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  5. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  6. Fraude y Auditoría de Sistemas (por Manolo Palao)
  7. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  8. Competencia y Auditoría de Sistemas (por Manolo Palao)
  9. Independencia y Auditoría de Sistemas (por Manolo Palao)
  10. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  11. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  12. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  13. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) En la legislación española, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal que mantuvo su vigencia hasta el 14 de enero de 2000, tras su derogación por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(4) El autor hace referencia a la coyuntura legal existente en el año 2002. La circunstancia mencionada en el texto cambia tras la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que deroga el anterior RMS.

(5) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

 

viernes, 1-octubre-2010

DC y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , |
[2] Comments 

Gobernanza de TI les acerca esta nueva prueba de la fecundidad literaria de Manolo Palao, en la que  -en el habitual formato de sus  «Texticulillos™«-  el autor vuelve a hacer gala de una aguda ironía al exponer sus reflexiones sobre ciertos aspectos del Control Interno; específicamente, sobre determinados mecanismos de control dirigidos, de forma inequívoca, a salvaguardar  -de su corrupción, o uso indebido-  la información y sus sistemas y tecnologías asociados.

Concluirá recordando cómo un uso descuidado  -negligente-  de tales artilugios de control será garantía, más que suficiente, de su fulminante pérdida de eficacia.

 

Texticulillo™ nº 11: DC y Auditoría de Sistemas (1)(2)

DC, para cualquier globalizado o globalizable  -o sea, la mayoría-,  es el apellido de Washington. No George Washington, sino Washington, DC.

DC, District of Columbia, es el único distrito federal de los EEUU. Aprobado por el Artículo 1 de su Constitución de 1787, éste autorizaba a constituir un reducido espacio federal para la capitalidad del estado. El 1 de diciembre de 1800 la capital se movió de Filadelfia, a su actual y maravilloso enclave, a orillas del Potomac.

Sin perjuicio de todo lo que «DC» ha dicho, y haya de decir, acerca de la ASITIC (3), lo que hasta ahora, histórica y prácticamente, importa es lo que viene diciendo ISACA (4)  -internacionalmente, la más reputada  entidad normalizadora en este campo-  desde su sede en Rolling Meadows, Illinois.

Pero el motivo de estas líneas es otro DC  -u otros , como se verá-.

Entre nosotros, DC significa, más generalmente, «dígito de control».

Los  «caracteres de control»  -uno o varios; dígitos o no-  se suelen añadir, en posición predeterminada, a números o textos, que aquí llamaremos «códigos», para comprobar que no ha habido error en su transcripción, transmisión o tratamiento. Suelen ser breves y fijos, en número de caracteres (5). Se computan con un algoritmo barato, pues su cálculo va a ser frecuente. Una vez que se tiene un código ampliado con sus caracteres de control, para validar el código se vuelven a calcular los caracteres de control que le corresponden y se comparan con los que llevaba el código ampliado. Si hay coincidencia, se entiende que el código no ha sido alterado. El algoritmo empleado debe satisfacer diversas características para impedir, o dificultar, que un código que sí ha sido alterado arroje los mismos caracteres de control que el original. Hay diversos algoritmos muy adecuados, entre ellos los que se usan para la «firma digital».

Los ASITIC creemos que los DC son una técnica excelente y recomendable para validar datos de entrada en un sistema de información. Esto es particularmente importante cuando esos datos, como el DNI (6), pretenden ser datos clave  -identificadores únicos-  en una base de datos.

La redundancia  -los dígitos añadidos-  supone un coste extra en transcripción, tratamiento, transmisión y almacenamiento; pero está justificada por las ventajas que aporta.

Un número dígito es, en la numeración decimal, cualquiera de los caracteres comprendidos desde el ‘0’ al ‘9’, como confirma el Diccionario de la RAE. Ello prueba el encomiable trabajo de revisión de los académicos. La edición del Diccionario que yo tengo en mi estantería es del siglo pasado  -¡1970!-  y dice que número dígito es “el que puede expresarse con un solo guarismo; en la numeración decimal lo son los comprendidos desde el uno al nueve, ambos inclusive”, escamoteando así, no sólo un 10% de los dígitos, sino el esencial para una aritmética posicional.

[Aprovecho para prevenir al lector, que estuviera tentado, de que se limite a entrar en el diccionario por «número«, porque si se le ocurriese hacerlo por «dígito» se encontraría con la académica definición: “Cada una de las doce partes iguales en que se divide el diámetro aparente del Sol y el de la Luna en los cómputos de los eclipses.” …

… No es seguro, pero sí muy probable, que defender en público semejante definición de «dígito» pudiera acarrear a tal defensor tener que cambiar su modelo preferido de camisa por una con correas y las mangas atadas.]

Todo el que tenga y use una cuenta corriente bancaria, y ordene o reciba transferencias de otras, sabe probablemente que los dígitos  -de izquierda a derecha-  9º y 10º del «número de cuenta»  -o, más modernamente, los 13º y 14º del IBAN, el identificador internacional bancario-  son los dos DCs (aunque se les llama «el DC»).

Quienquiera que dé los datos de su DNI/CIF (7),  probablemente sabe que el último/primer carácter  -de nuevo, de izquierda a derecha, como buenos cristianos-  es el de control: una letra.

Lástima que, en el caso del DNI, esa fácil identificación única la haya desvirtuado la propia Administración al reasignar números de DNI a otras personas.

¿Es que no sabemos, o que no queremos? Porque los tratamientos son distintos.

 

Artículos relacionados

  1. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  2. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  3. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  4. Fraude y Auditoría de Sistemas (por Manolo Palao)
  5. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  6. Competencia y Auditoría de Sistemas (por Manolo Palao)
  7. Independencia y Auditoría de Sistemas (por Manolo Palao)
  8. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  9. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  10. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  11. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) Constituyen un hash (literalmente, triturado/picado, como la carne picada). En Informática, código resumen, resultado de la aplicación de una función homónima sobre un dato  -«código» en palabras del autor-  (documento, registro, archivo, …) original.

(6) En España, Documento Nacional de Identidad de las personas físicas, en referencia a su código de identificación  -el número de DNI-  que acaba con un carácter alfabético (una letra).

(7) En España, Código de Identificación Fiscal de las personas jurídicas, en referencia a su código de identificación  -el número de CIF-  que comienza con un carácter alfabético (una letra).

 

miércoles, 15-septiembre-2010

San Agustín y la Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , , |
[4] Comments 

Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus «Confesiones«-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

 

domingo, 15-agosto-2010

Riesgo y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , |
[5] Comments 

Gobernanza de TI se complace en presentarles un nuevo producto de la factoría Palao. Octava entrega de la serie «Texticulillos™», correspondiente a 2002, mantiene plenamente su vigencia, a pesar del tiempo transcurrido. Las variadas situaciones que definen la coyuntura en la que hoy toca vivir  -crisis económica, de valores, desastres naturales y de otra índole, etc.-  son garantía suficiente de la máxima actualidad de un tema escogido hace casi una década: el riesgo.

Visto, como viene siendo habitual en los textos de aquella primera época, desde la perspectiva de la Aditoría de los Sistemas de Información, Manolo hace un repaso de los peligros que pueden amenazar la labor de los auditores y, por ende, la toma de decisiones de los receptores de las opiniones  -juicio profesional-  de aquellos: los miembros de los órganos de gobierno de las organizaciones, destinatarios últimos del resultado de la labor auditora.

La identificación, gestión y mitigación de tales riesgos, y de otros muchos asociados al uso de las Tecnologías de la Información, constituyen, por definición, un pilar fundamental  -aunque no exclusivo-  de cualquier aproximación, generalmente aceptada, a la Gobernanza de TI.

 

Texticulillo™ nº 8: Riesgo y Auditoría de Sistemas (1)(2)

El ASITIC (3) profesional sujeta su trabajo a normas profesionales.

Internacionalmente, la más reputada entidad normalizadora en este campo es ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

La Directriz 030.010.010, de ISACA, de 1 de septiembre de 2000 (5), «Uso de la Evaluación de Riesgos en la Planificación de la Auditoría«, trata de la “orientación al riesgo” en la auditoría profesional.

Las líneas que siguen proponen una reflexión sobre diversos aspectos de este tema.

En la vida, en las empresas, y en las auditorías, hay muchos riesgos. Prevenirlos, detectarlos, compensarlos o evitarlos está en el interés de todo quien va por derecho.

En nuestro caso, probablemente el riesgo más importante es el que corre el cliente generalizado  -la propia empresa auditada, terceros interesados (accionistas, clientes, proveedores) o la Sociedad en general-  del ASITIC, de tomar por bueno un informe malo. Ese es el denominado riesgo de la auditoría: el de dar una opinión incorrecta, induciendo, así, a error, a otros.

Dicho riesgo, en la práctica, no se puede medir (aunque en algunos casos, sí se puede estimar). A la postre, está acotado por la solvencia que el ASITIC nos merezca  -de ahí la importancia de que esté certificado-.

El ASITIC ejerce en la planificación de la auditoría su juicio discrecional, su criterio educado y basado en prácticas generalmente aceptadas. Es, probablemente, en esta fase inicial, donde hay más riesgo  -de exclusión de un área significativa, por ejemplo, o de inclusión de una irrelevante-.

El principio, generalmente usado, para planificar el ‘mapa’ de la auditoría es el de materialidad o importancia relativa  -volumen económico, respecto de todo el negocio, de esa área o de los riesgos que sobre ella gravitan-.

Los riesgos se suelen calcular como la esperanza matemática (producto de la probabilidad del siniestro por sus consecuencias económicas).

La métrica de la ‘materialidad’ es burda, pues ignora dimensiones  -no exclusiva ni directamente económicas-  de los siniestros, como pérdidas de vidas humanas o medioambientales, por citar casos extremos.

El estimador de la ‘esperanza matemática’ es también rudimentario. Es fácil de calcular en problemas de examen de bachillerato (“Mi tejado cuesta 30.000 €; he de reponerlo cada 10 años; ¿cuál es mi coste anual en tejados? [ignorar intereses e inflación]”); pero es mucho más difícil aplicarlo a un sistema (conjunto de elementos). La mera adición, elemento a elemento, es quizás abordable; pero, entonces, se ignoran los posibles antagonismos o sinergias de los controles.

Hay un sinnúmero de metodologías y paquetes informáticos para evaluación de riesgos. Muchos tienen aspectos apreciables; pero todos adolecen de la necesidad de intervenciones cruciales subjetivas y, los más sofisticados y caros, del inevitable alto ruido en los datos de entrada.

Estamos aún en una situación de alquimia, pero eso es lo que tenemos. Mi recomendación personal es mantenerse  en los niveles más sencillos y, en todo caso, antes de seguir, traspasar al decisor último  -¿el Consejo de Administración?-  la ratificación de las valoraciones realizadas.

Realizada por el ASITIC la planificación de la auditoría, con criterios de riesgo, éste procede a la auditoría de las diferentes áreas. Al efectuarla, debe tener presentes otros riesgos posibles.

El riesgo inherente a un área es la susceptibilidad de la misma a un error material  -por sí mismo, o en combinación con otros-  suponiendo que no hubiera los correspondientes controles internos.
 
El riesgo de control en un área es el de que pudiera tener lugar un error material que  -por sí mismo, o en combinación con otros-  no fuera prevenido/detectado/corregido, oportunamente, por el sistema de Control Interno.
 
El riesgo de detección es el de que las pruebas substantivas del ASITIC no detecten un error que pudiera ser material  -por sí mismo, o en combinación con otros-.

Parece claro que es un viaje proceloso. Al menos, se vislumbran algunos faros en el horizonte. Pero no es un viaje para aficionados.

 

Artículos relacionados

  1. Fraude y Auditoría de Sistemas (por Manolo Palao)
  2. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  3. Competencia y Auditoría de Sistemas (por Manolo Palao)
  4. Independencia y Auditoría de Sistemas (por Manolo Palao)
  5. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  6. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  7. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  8. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la directriz G13. Use of Risk Assessment in Audit Planning de ISACA.

 

domingo, 1-agosto-2010

Fraude y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , |
[6] Comments 

Cuando Manolo Palao autorizó la reedición de sus «texticulillos» a través de las páginas de Gobernanza de TI acompañó ese generoso gesto de una adicional propuesta: actualizarlos, en el sentido de «evolucionar» las referencias explícitas a la disciplina de la Auditoría de Sistemas, sustituyéndolas por otras nuevas que apuntasen hacia el verdadero objeto de esta bitácora: el Gobierno Corporativo de TI.

Su oferta fue rechazada. Y, ello, por dos motivos:

  • por un lado, por tratarse de una propuesta no libre de esfuezos que iba a requerir, no sólo un cambio en los títulos, sino una revisión y adaptación de los numerosos textos  -¡Uds. no han conocido, hasta ahora, más que una mínima parte!-.  A juicio de Gobernanza de TI el mero hecho de la cesión del material ya constituía suficiente motivo de agradecimiento, sin falta de exigir de su autor original peajes extra; y,
  • en segundo lugar, porque existía la confianza en que el lector  -de nuevo, Uds.-,  aún no siendo un auditor, entendería sin dificultad la labor de éstos en un marco general de Gobierno Corporativo de TI, como instrumento integrante del sistema de garantía sobre el buen uso de las TIC, en el seno de las organizaciones. Esto es, porque tenía pleno sentido hablar de la Auditoría de Sistemas dentro de un discurso general de Buen Gobierno Corporativo de TI.

Estas justificaciones, válidas para los «texticulillos» de la primera época (2002-04)  -casi todos-,  se complementan, en el caso del texto de 2002 presentado hoy, con una tercera motivación: ¿para qué cambiar nada, si, en realidad, estamos hablando de lo mismo? En palabras del propio Palao: «… donde ayer la coyuntura nos llevó a hablar de ‘Auditoría de Sistemas’ (era el tema de moda), hoy hablaríamos de ‘Buen Gobierno’ (constituye la moda actual)«.

No puede ser más cierto. La referencia explícita de «Fraude y Auditoría de Sistemas» a la necesidad de establecer mecanismos de control interno conduce al origen mismo del concepto de Buen Gobierno Corporativo,en general, y «de TI», en particular; tal y como recuerda la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology, al mencionar el Informe Cadbury  -y, por extensión, a todos cuantos le siguieron-  como génesis de los principios de Buen Gobierno que la propia norma recoge.

Sin mencionarlos  -la norma no existía en 2002; los principios, aunque no se apliquen, han existido siempre-  el autor hace un detallado repaso del papel de los principios generales de responsabilidad y de conducta humana en la aparición de fraudes en torno al [mal]  uso de las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo nº 7: Fraude y Auditoría de Sistemas (1)(2)

El  fraude y otros actos ilícitos, o irregulares, en los sistemas de información de empresas y organismos son motivo de alarma social, por su volumen conocido  -y eso es sólo la punta del iceberg-,  por su aparente simplicidad y por su vertiginoso crecimiento.

En estas líneas voy a soslayar datos cuantitativos detallados, que los hay  -una de las mejores fuentes es el FBI-.  Cerca de 2/3 de los fraudes y otros actos ilícitos, o irregulares, en informática, los comete el propio personal de las empresas y organismos. Por eso me concentraré en el fraude interno, dejando para otra ocasión los ‘ataques externos’.

Podría esperarse que el Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) fuera un eficaz preventor-detector de esos casos.

Sobre la prevención no dispongo, ni es fácil disponer, de información, aunque cualquiera familiarizado con el tema convendrá en la elevada contribución potencial del ASITIC.

Por lo que respecta a las detecciones, la mayoría de los fraudes se detectan por casualidad.

Ciertamente, un buen control interno  -el entramado de políticas y procedimientos que hacen que la empresa funcione como desean quienes pueden legítimamente decidirlo (3)-,  ‘vigilado’ por un ASITIC, prevendrá muchos fraudes internos y facilitará la detección de los que se comentan.

Entre las medidas de control interno recomendables, destacan dos de gestión del personal: la segregación de funciones y la sustitución temporal planificada de puestos de trabajo.

La segregación de funciones impide que una misma persona pueda simultanear dos funciones incompatibles  -su co-ejercicio implicaría una debilidad de control o un riesgo-.  El ejemplo clásico es el de cajero y contable. Tampoco se puede ser programador y operador. Una buena segregación de funciones previene el fraude, pues para realizarlo hace falta colusión (que varios se pongan de acuerdo), lo que lo hace más difícil.

La sustitución temporal planificada de puestos de trabajo supone, según ciertas estadísticas, la causa singular más frecuente de detección de fraudes internos  -¡por encima de los hallazgos de los auditores !-.

En su modalidad más sencilla  -tantas veces descuidada en España-  se materializa en vacaciones planificadas. Otra modalidad (que puede debilitar la segregación de funciones) es el fomento de la polivalencia y la rotación planificada de puestos.

Una buena gestión de personal (selección, evaluación, promoción, retribución, motivación) constituye parte de los ‘controles generales’ necesarios. Un clima de confianza es muy positivo; ¡pero no es un control!.

Los anteriores ejemplos de medidas de control interno pueden resultar muy difíciles de implantar en las PYMEs: no hay cabezas físicas para tantos sombreros. En estos casos hay que diseñar ‘controles compensatorios’ a las debilidades inevitables. Ejemplo de esos ‘controles compensatorios’ pueden ser arqueos, cuadres manuales, inventarios, pistas de auditoría, etc.

En las PYMEs  -como en los pueblos, comparados con las ciudades-  puede operar mejor el ‘control social’. Éste se manifiesta de muchas formas: identificación de actividades extrañas de una persona que trabaja en nuestro mismo recinto de trabajo; identificación de cambios en actitudes y comportamientos; identificación de un tren de vida sospechoso, etc.

Los ASITIC tienen formación y experiencia profesional idóneas para la recomendación y evaluación de esos tipos de controles. Sin embargo, la detección de fraudes no está entre sus principales misiones.

En EEUU, las Normas de Auditoría Generalmente Aceptadas (del inglés, GAAS, Generally Accepted Audit Standards) no están diseñadas para detectar el fraude, y de hecho, fue sólo hace unos pocos años cuando el Instituto Americano de Contadores Públicos Certificados (AICPA, The American Institute of Certified Public Accountants) en su Declaración sobre Normas de Auditoría (SAS, Statement on Auditing Standards) nº 82 introdujo por primera vez la palabra “fraude” en la regulación de la auditoría de cuentas.

Según la Directiva 030.010.010 (4), de 1 de julio de 2002, de la Asociación para la Auditoría y el Control de los Sistemas de Información (ISACA, Information Systems Audit and Control Association) el ASITIC que detecta un presunto fraude o acto ilícito  -sólo el juez determina qué es fraude o qué es ilícito-  debe ponerlo, inmediatamente, en conocimiento de su jefe o cliente (que, se supone, son miembros de la Alta Dirección), o de una persona u órgano interno superiores a ellos, si se sospecha que puedan estar implicados.

Deberá abstenerse, salvo que la ley local u otras normas o acuerdos le obliguen a ello, de denunciarlo ante las autoridades. Será la Alta Dirección quien lo haga, procurando minimizar el impacto negativo sobre la entidad. En todo caso, la Directiva aconseja al ASITIC prudencia y el recurso precoz a asesoría jurídica.

Es de prever que la normativa sobre investigación de fraudes e información sobre los hallazgos sea revisada pronto.

 

Artículos relacionados

  1. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  2. Competencia y Auditoría de Sistemas (por Manolo Palao)
  3. Independencia y Auditoría de Sistemas (por Manolo Palao)
  4. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  5. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  6. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  7. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) La definición ofrecida en este punto del concepto de ‘Control Interno‘ dista poco, a juicio de «Gobernanza de TI«, de la que podría hacerse de la expresión ‘Gobierno Corporativo de TI‘, en tanto que sistema de dirección  -establecimiento de directrices-  y control  -supervisión-  del que deberían valerse las personas a cargo de las organizaciones (las personas con potestad para la toma de decisiones).

(4) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S9. Irregularities and Illegal Acts y por la directriz G9. Audit Considerations for Irregularities and Illegal Acts de ISACA.

 

jueves, 15-julio-2010

Evidencia y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , |
[7] Comments 

Gobernanza de TI les acerca, de nuevo, las reflexiones del veterano maestro Manolo Palao que ya disfrutaran, en la postrimerías del año 2002, los entonces miembros de la madrileña Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

El autor centra su discurso en los aspectos más operativos de la profesión de Auditor de los Sistemas de Información, de la que la toma de evidencias forma parte inexcusable.

Igualmente inexcusable debería resultar, para quienes están a cargo de dirigir y controlar   -gobernar-  el uso que de tales sistemas se hace dentro de las organizaciones, el hecho de dotarse de mecanismos de medición que les permitieran evidenciar su rendimiento, sustanciando con ello, el verdadero grado en que las Tecnologías de la Información contribuyen a la generación de valor para sus respectivas entidades.

¡Evidencien Uds. mismos la sustancia de este sexto «texticulillo»!

 

Texticulillo nº 6: Evidencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de presentar evidencias.

Según la Norma 060.020 (3) de ISACA (Information Systems Audit and Control Association): “Durante la auditoría, el auditor ha de obtener evidencia suficiente, fiable, pertinente y útil para cumplir con eficacia los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría tienen que basarse en análisis e interpretaciones adecuados de esa evidencia”.

El ASITIC, durante su auditoría, debe, pues, recoger información o generar  pruebas  -demostraciones-  objetivas y, preferiblemente, reproducibles.

Las pruebas disponibles para el ASITIC pertenecen generalmente a dos categorías: pruebas de cumplimiento y pruebas substantivas.

Las pruebas de cumplimiento tienden a evaluar si un control formalmente existente (por ejemplo, “Los programas en pruebas y en explotación se mantendrán en entornos físicos, o lógicos, claramente separados”) se cumple. Obtener evidencia en casos como éste puede hacerse mediante entrevistas, muestreos, análisis de directorios, etc.

Las pruebas substantivas suelen requerirse cuando en las pruebas de cumplimiento se han detectado incumplimientos, o cuando los controles formales se consideran insuficientes, y la materialidad  -importancia relativa-  del tema lo aconseja. En estas pruebas  -más costosas-  se intenta evaluar el impacto real en la organización del incumplimiento o debilidad detectados.

Para realizar las pruebas substantivas, el auditor dispone de una combinación de técnicas o herramientas de muestreo y análisis estadístico; de CAATT (Técnicas y Herramientas de Auditoría Asistida por Ordenador) que pueden permitir, por ejemplo, reproducir independientemente los cálculos de un programa o reclasificar los contenidos de una base de datos; de “circularizaciones” (confirmaciones externas de saldos); etc.

Es el juicio discrecional del ASITIC el que debe definir el plan de auditoría  -basado en el conocimiento de la empresa y en un estudio preliminar de riesgos-;  el que debe seleccionar, o diseñar, y efectuar las pruebas  -de cumplimiento y, en su caso, substantivas-;  y el que debe reflejarlo en las conclusiones de la auditoría  -y, en todo caso, en los ‘papeles de trabajo’-.

 

Artículos relacionados

  1. Competencia y Auditoría de Sistemas (por Manolo Palao)
  2. Independencia y Auditoría de Sistemas (por Manolo Palao)
  3. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  4. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  5. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S14. Audit Evidence de ISACA.

 

jueves, 1-julio-2010

Competencia y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , |
[7] Comments 

Como ya ocurriera con la entrega anterior, dedicada a la independencia, este nuevo «texticulillo» de Manolo Palao  -el quinto-  vuelve a poner el foco en uno de los atributos que deberían acompañar a todo auditor de sistemas de información: la competencia profesional.

En relación a este asunto, Gobernanza de TI reproducía, hace unos meses, en estas mismas páginas, el deseo expresado por D. Juan Ramón Quintás Seoane de tecnificar los consejos de administración de las organizaciones; esto es, de poblarlos con individuos dotados de las oportunas competencias. Como recordarán, el Sr. Quintás se refería a competencias vinculadas a la Economia y el Derecho.

Manolo Palao lleva esa misma necesidad, con sus peculiaridades, al terreno de los auditores, en tanto que pieza clave de todo sistema de Gobierno Corporativo de TI.

Disfruten de sus nuevas reflexiones; pero no olviden la audiencia particular para la que fueron originalmente escritas: la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA). En este sentido, les ruego, una vez más, que sepan disculpar las referencias del autor a la actualidad y contexto particulares de aquellos momentos.

 

Texticulillo nº 5: Competencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de ser profesionalmente competente, en su cometido.

Tratar sobre la competencia profesional es siempre una tarea ardua, dada la complejidad del tema y los muchos intereses que hay en juego. En el caso de los ASITIC, es aún más ardua, como me propongo razonar mas adelante.

El DRAE define ‘competencia’  -en la acepción que, aquí, interesa-  como ‘aptitud’, ‘idoneidad’.

Por ‘profesional’ quiero entender, aquí, a quien desempeña una actividad, basada en conocimientos y habilidades; en la cual, el juicio discrecional  -en línea con las “buenas prácticas generalmente aceptadas”-  prima sobre la mera, y rutinaria, aplicación de procedimientos.

Esa definición no concuerda plenamente con otras más canónicas al uso (ostentar ciertas titulaciones y pertenecer a ciertos colegios), pero  -en terminología de conjuntos-  la intersección de ambas no es vacía. Y cuadra perfectamente con los ASITIC, que son nuestro tema.

El problema de discutir la competencia-aptitud-idoneidad de los ASITIC supera al de una gran mayoría de otras profesiones, dado su muy marcado carácter transdisciplinar.

Lo transdisciplinar es propio de nuestras sociedades post-modernas  -sin olvidar figuras señeras como L. da Vinci, H. Simon, e incluso B. Russell-.  Así, no sorprenden híbridos como bio-físico, agro-alimentario, o psico-acústico. Pero se trata, en general, de espacios de intersección de dos  -o unas pocas-  disciplinas, o subespecializaciones de una sola.

Lo que caracteriza, en cambio, al ASITIC es que ha de ser una ‘sección transversal’  -ciertamente, selectiva y esquematizada-  de todas las disciplinas que intervienen en los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones, que son unas cuantas y con cambios acelerados.

La propia y prolija expresión completa que resume el acrónimo ASITIC es ya una indicación de esa extensión de disciplinas; aún no habiéndose explicitado otras obvias, como  -sin resultar exhaustivos-:  el derecho, la estrategia empresarial, la organización, la racionalización del trabajo, la gestión de proyectos o la criptografía.

Hay muchas formas complementarias de obtener reconocimiento personal en las profesiones:

  1. Inexplicable (azar, mafias, …).
  2. Autoproclamación (Buda, Colón, Pinochet, …).
  3. Creencia de la opinión pública (Madonna, Aznar, …).
  4. Reconocimiento privado (empresa, asociación) [“asimilado a Técnico de Grado Superior”, “No hay como Paco para reparar lavadoras”].
  5. Titulación de Formación Vocacional (fontanero, …).
  6. Titulación Gremial (Oficial de 2ª, …).
  7. Titulación Universitaria (Licenciado en Derecho, …).
  8. Regulaciones Oficiales (Abogado, Traductor Jurado, …).
  9. Certificación de Persona como Profesional, por Entidad de Certificación (Auditor Jefe de Calidad, …).
  10. Práctica con éxito (Bofill, …).
  11. Oposiciones y Concursos (Bombero, Campeón de Mus, …).

Dejamos al sagaz lector  -probablemente sobrado de referencias directas-  la comparación de las ventajas e inconvenientes de unos y otros métodos.

En el caso del ASITIC, el enfoque más recomendable, por su rapidez, objetividad, flexibilidad, pragmatismo y ratio coste/eficacia nos parece el de la Certificación de Personas como Profesionales, por una Entidad de Certificación.

El modelo indiscutible es el de ISACA (Information Systems Audit and Control Association)  -probablemente la mayor y más prestigiada asociación profesional de ASITIC-  que administra la certificación CISA, la cual acredita de modo continuado la idoneidad del ASITIC.

Naturalmente, puede ocurrir, incluso con frecuencia, que un ASITIC competente se enfrente a un tema o área en que no se considera competente. El Código de Ética Profesional de ISACA y su Norma 040.010 (3) le obligan a no entrar directamente en esa área. El enfoque recomendado es buscar un experto en la misma  -incluso no ASITIC-,  independiente, delegarle formalmente un mandato específico y reflejar la delegación y sus resultados en la documentación.

 

Artículos relacionados

  1. Independencia y Auditoría de Sistemas (por Manolo Palao)
  2. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  3. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  4. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  5. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S4. Competency de ISACA.

 

martes, 15-junio-2010

Independencia y Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , , , , |
[18] Comments 

La norma ISO/IEC 38500:2008. Corporate governance of intormation technology recoge entre sus principios generales de Buen Gobierno dos que, de forma clara, inciden en atributos como la imputabilidad, la profesionalidad, la integridad, la honestidad, la ética, … (la enumeración podría continuar), de aquellos individuos involucrados, en algún sentido, en los sistemas de gobernanza de las TIC. Se trata, como ya habrán adivinado, del principio de responsabilidad y, particularmente, del principio de conducta humana.

El «texticulillo» de Manolo Palao que hoy les acerca ‘Gobernanza de TI‘ detiene su atención, precisamente, en esos principios, al recordar la transcendencia y el valor fundamental de la independencia y el comportamiento personal de los auditores de sistemas, en el ámbito particular de las actividades de Control de las TI y, por extensión, en el de un marco general de  Buen Gobierno Corporativo de TI.

Como ya se advirtiera en la presentación de esta serie, no deberán extrañar las referencias del autor a la actualidad y contexto particulares del momento en que fueron escritos  -aproximadamente, el bienio comprendido entre el otoño de 2002 y el inverno de 2004-  y a la audiencia a la que fueron, originalmente, dirigidos:  la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA).

Este cuarto «texticulillo» es, más que ninguno de los reeditados hasta ahora, un claro exponente de lo anterior.

 

Texticulillo nº 4: Independencia y Auditoría de Sistemas (1)(2)

El sentido común organizativo y diversas normas exigen la independencia  -y apariencia de independencia-  del Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC).

Hago aquí unas reflexiones sobre este tema de la independencia del ASITIC, aplicables en sus aspectos generales a todas las auditorías, más allá de las de los sistemas de información.

El auditor ejerce una función de control: compara la realidad con un documento normativo, público o privado, que expone cómo se desea que sea esa realidad. Como resultado de esa comparación, objetiva y substanciada con pruebas,  emite una opinión  –»limpia», o «con salvedades»—  y, eventualmente, unas recomendaciones.

El auditor no puede ser «juez y parte», por lo que debe ser independiente  -y parecerlo-  del objeto auditado.

Ello implica, por ejemplo, que el ASITIC no puede auditar un sistema de información en cuyo desarrollo haya trabajado  -salvo por su posible contribución a la especificación de los controles y funciones de auditoría incorporados a ese sistema; y otros casos tasados-.  En situaciones de previsible conflicto, el tema debe aclararse por adelantado. La Directriz 020.010.010 de ISACA cubre esto en detalle (3).

Pero además, el ASITIC ha de ser suficientemente independiente de su cliente. La palabra clave aquí es «suficientemente«, dado que es obvio que la total independencia resulta imposible, debido a la necesaria “relación” con el citado cliente.

Esa «relación con el cliente» puede ser laboral  (Auditoría Interna) o profesional (Auditoría Externa). En el primer caso, se formaliza mediante el Estatuto de Auditoría; y, en el segundo, por la Carta de Encargo (o instrumentos equivalentes).

El Estatuto de Auditoría o la Carta de Encargo explicitan el mandato que el auditor recibe y las circunstancias de ese mandato. Detallan el encuadre orgánico del auditor interno y el representante del cliente, para el externo. Deben establecer claramente la responsabilidad, autoridad e imputabilidad de la función ASITIC, así como los objetivos, ámbito, recursos y restricciones del mandato de auditoría.

El encuadre orgánico o el representante del cliente, según sea el caso, cualifican la independencia. En ambos casos, el criterio de oro es que haya una razonable distancia, y superioridad, entre aquellos y el objeto auditado.

Eso supone que el encuadre orgánico  -respectivamente, el representante del cliente-  debe (casi sin excepción) estar en una rama del organigrama distinta de la de la Función Informática, y en un nivel igual o superior a ella.

Además, si como es frecuente, el objeto de la auditoría son sistemas integrados (multi-departamentales), o estratégicos a nivel corporativo, la misma exigencia de distancia y superioridad eleva al encuadre orgánico/representante del cliente a la cima de la estructura empresarial.

La fórmula más recomendable, y la que se está adoptando por las grandes empresas, consiste en que el encuadre orgánico/representante del cliente sea un Comité de Auditoría nombrado en el seno del Consejo de Administración. ¡Esta fórmula maximiza distancia, superioridad y especialización!

Los recientes cambios en los consejos de administración de la Banca española, y las recomendaciones de la SEC en EEUU, siendo mucho más amplios que el tema que aquí nos ocupa, van en la línea de propiciar la independencia.

¡Además de ser independiente, el ASITIC debe parecerlo, por su actitud y circunstancias! Tiene que ser y sentirse independiente como individuo. Ello se logra con profesionalidad; y se potencia y refuerza por el asociacionismo profesional y por las certificaciones profesionales.

ISACA (Information Systems Audit and Control Association) es probablemente la mayor y más prestigiada asociación profesional de ASITIC. Publica un Código de Ética Profesional y unas Normas (en particular, la citada serie 020, relativa a la independencia); y administra la certificación CISA (Certified Information Systems Auditor), que acredita de modo continuado la idoneidad del ASITIC.

Hasta que no se disponga de una certificación más idónea, mejor adaptada a nuestro contexto  –proyecto prioritario para ASIA (4)-,  CISA es la mejor opción disponible.

 

Artículos relacionados

  1. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  2. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  3. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigentes en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S2. Independence y por las directrices G12. Organisational Relationship and Independence y G17. Effect of Nonaudit Role on the IS auditor’s Independence de ISACA.

(4) ASIA, Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones, actual Capítulo de Madrid (183) de ISACA. Esta, tan directa, referencia a la Asociación contextualiza de forma nítida el objetivo y la audiencia a la que iba dirigido el «texticulillo» en su edición original.

 

martes, 1-junio-2010

Teseo y la Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , |
[10] Comments 

Los sistemas de información (incluso, los no automatizados) son  -lo han sido siempre-  cruciales como apoyo a los procesos de toma de decisiones. En esta, ya tercera, entrega de la serie «Texticulillos», ‘Gobernanza de TI‘ recupera las palabras de Manolo Palao relativas a los desafortunados desenlaces a los que puede llevar una mala elección de tales sistemas.

Publicado originalmente por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA-,  «Teseo y la Auditoría de Sistemas» cuenta cómo el hecho de no disponer de un adecuado marco tecnológico (aunque se trate de «tecnología náutica») para la toma de decisiones convenientemente informadas  -base de un Buen Gobierno-  puede acarrear dramáticas consecuencias.

 

Texticulillo nº 3: Teseo y la Auditoría de Sistemas (1)(2)

Un error en el uso de un sistema de información pobremente diseñado motivó el suicidio del rey de Atenas, Egeo, quien se arrojó al mar al que, desde entonces, dio nombre.

Teseo, hijo de Egeo, había partido de Atenas para intentar liberarla del ‘impuesto revolucionario’ al que la ciudad era sometida por el feroz Minotauro, desde su residencia en el Laberinto de Creta. Éste exigía la entrega, cada nueve años, de siete jóvenes y siete doncellas vírgenes.

Teseo y Egeo habían convenido que si el primero tenía éxito, al volver, izaría en su barco una vela blanca, en lugar de la negra con que había partido. Este código permitiría a Egeo tener información precoz sobre el resultado de la misión.

Teseo mató al Minotauro y logró salir del Laberinto gracias al ovillo de hilo que le había entregado su enamorada Ariadna.

De vuelta hacia Atenas, llevando a Ariadna consigo, el ingrato la abandonó en la isla de Naxos. Los dioses, en castigo, le hicieron olvidar cambiar la vela.

Un Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) que hubiera sido consultado  –cosa imposible en aquellos tiempos, pues la profesión tiene sólo unos 30 años de existencia—  hubiera desaconsejado a Egeo y Teseo la adopción de un código tan frágil; salvando, quizá, así, la vida de Egeo, quien, de tal modo, podría salir en futuros episodios.

La actual difusión de los sistemas de información y la importancia de las decisiones  -aunque, en general,  no lleguen al suicidio-  adoptadas con su ayuda, hace esencial que se pueda disponer de opiniones competentes e independientes sobre la idoneidad de los sistemas.

Un ASITIC podría haber recomendado un código redundante o un protocolo con confirmación de los mensajes. (Claro que si los dioses se empeñan …).

El mismo ASITIC felicitaría a Ariadna por su brillante solución, basada en la “trazabilidad” de las “transacciones” de Teseo al deambular por el dédalo: la continuidad del hilo permitía desandar cada tramo de pasillo y volver a la entrada (3).

La trazabilidad en los modernos sistemas de información es una preocupación importante de los ASITIC. No sólo a efectos de ‘deshacer’ transacciones erróneas, sino a efectos de asociar a cada transacción toda la información pertinente: quién la ejecutó, a qué hora, desde qué terminal, quién la autorizó, a qué hora, etc.

Mucha de esa y análoga información no es realmente necesaria para el funcionamiento ordinario de la empresa (hacer las transacciones), por lo que podría considerarse un sobrecoste (que muchas empresas deciden  ahorrase).

Pero no es un sobrecoste, sino el coste de la calidad y el control exigibles, que puede ahorrar muchos disgustos y hasta tentaciones de suicidio.

 

Artículos relacionados

  1. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  2. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  3. Gobernanza de TI en una línea
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 27 de diciembre de 2002.

(3) Si el problema hubiese sido el de encontrar una salida (o todas las salidas), además de la entrada, el hilo no hubiera bastado y se habría requerido, también, una tiza, o un bote de pintura, o cualquier otro ‘marcador’ que permitiera señalar los caminos explorados en cualquier encrucijada, al hacer backtracking (desandar lo andado) desde el camino sin salida, hasta su encrucijada de partida.
Ese instrumental habría permitido a Teseo y Ariadna hacer un ‘parseo’ [del inglés, parsing = análisis sintáctico] simplificado a una ‘técnica de búsqueda’ “primero en profundidad”. La técnica “primero a lo ancho”, que tiene la ventaja de que la primera salida que encuentra es la más corta, no es aplicable  –con ese instrumental-  a un laberinto en el mundo arquitectónico, porque exige hacer copias físicas, o mediante planos, de todas las soluciones parciales exploradas.
Véase «PARSING TECHNIQUES. A Practical Guide«, de DICK GRUNE y CERIEL JACOBS, Department of Mathematics and Computer Science, Vrije Universiteit, Amsterdam, The Netherlands.
Impresión de los autores. Vrije Universiteit, Amsterdam, The Netherlands.
Edición inicial publicada en 1990 por ELLIS HORWOOD LIMITED, Market Cross House, Cooper Street, Chichester, West Sussex, PO19 1EB, England.
ISBN 0-13-651431-6.
(c) 1990-94, Ellis Horwood Limited.
(c) 1995, Dick Grune & Ceriel J. Jacobs.
Correcciones menores, septiembre 1997, septiembre 1998, p. 75-77.

 

sábado, 15-May-2010

Juvenal y la Auditoría de Sistemas (por Manolo Palao)

Posted by Miguel Garcia-Menendez under Texticulillos™ | Etiquetas: , , , , , , , |
[10] Comments 

Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del «III Congreso Interacadémico» de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue «¿Quién gobierna a los ‘gobernadores’?«. Precisamente, con la versión original de esa misma pregunta  -«¿Quién guardará a los guardianes?«-  comienza el «texticulillo» de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su «Sátira» VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

  1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
  3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html

 

Página siguiente »