Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

Anuncios

Gobernanza de TI se complace en presentarles un nuevo producto de la factoría Palao. Octava entrega de la serie “Texticulillos™”, correspondiente a 2002, mantiene plenamente su vigencia, a pesar del tiempo transcurrido. Las variadas situaciones que definen la coyuntura en la que hoy toca vivir  -crisis económica, de valores, desastres naturales y de otra índole, etc.-  son garantía suficiente de la máxima actualidad de un tema escogido hace casi una década: el riesgo.

Visto, como viene siendo habitual en los textos de aquella primera época, desde la perspectiva de la Aditoría de los Sistemas de Información, Manolo hace un repaso de los peligros que pueden amenazar la labor de los auditores y, por ende, la toma de decisiones de los receptores de las opiniones  -juicio profesional-  de aquellos: los miembros de los órganos de gobierno de las organizaciones, destinatarios últimos del resultado de la labor auditora.

La identificación, gestión y mitigación de tales riesgos, y de otros muchos asociados al uso de las Tecnologías de la Información, constituyen, por definición, un pilar fundamental  -aunque no exclusivo-  de cualquier aproximación, generalmente aceptada, a la Gobernanza de TI.

 

Texticulillo™ nº 8: Riesgo y Auditoría de Sistemas (1)(2)

El ASITIC (3) profesional sujeta su trabajo a normas profesionales.

Internacionalmente, la más reputada entidad normalizadora en este campo es ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

La Directriz 030.010.010, de ISACA, de 1 de septiembre de 2000 (5), “Uso de la Evaluación de Riesgos en la Planificación de la Auditoría“, trata de la “orientación al riesgo” en la auditoría profesional.

Las líneas que siguen proponen una reflexión sobre diversos aspectos de este tema.

En la vida, en las empresas, y en las auditorías, hay muchos riesgos. Prevenirlos, detectarlos, compensarlos o evitarlos está en el interés de todo quien va por derecho.

En nuestro caso, probablemente el riesgo más importante es el que corre el cliente generalizado  -la propia empresa auditada, terceros interesados (accionistas, clientes, proveedores) o la Sociedad en general-  del ASITIC, de tomar por bueno un informe malo. Ese es el denominado riesgo de la auditoría: el de dar una opinión incorrecta, induciendo, así, a error, a otros.

Dicho riesgo, en la práctica, no se puede medir (aunque en algunos casos, sí se puede estimar). A la postre, está acotado por la solvencia que el ASITIC nos merezca  -de ahí la importancia de que esté certificado-.

El ASITIC ejerce en la planificación de la auditoría su juicio discrecional, su criterio educado y basado en prácticas generalmente aceptadas. Es, probablemente, en esta fase inicial, donde hay más riesgo  -de exclusión de un área significativa, por ejemplo, o de inclusión de una irrelevante-.

El principio, generalmente usado, para planificar el ‘mapa’ de la auditoría es el de materialidad o importancia relativa  -volumen económico, respecto de todo el negocio, de esa área o de los riesgos que sobre ella gravitan-.

Los riesgos se suelen calcular como la esperanza matemática (producto de la probabilidad del siniestro por sus consecuencias económicas).

La métrica de la ‘materialidad’ es burda, pues ignora dimensiones  -no exclusiva ni directamente económicas-  de los siniestros, como pérdidas de vidas humanas o medioambientales, por citar casos extremos.

El estimador de la ‘esperanza matemática’ es también rudimentario. Es fácil de calcular en problemas de examen de bachillerato (“Mi tejado cuesta 30.000 €; he de reponerlo cada 10 años; ¿cuál es mi coste anual en tejados? [ignorar intereses e inflación]”); pero es mucho más difícil aplicarlo a un sistema (conjunto de elementos). La mera adición, elemento a elemento, es quizás abordable; pero, entonces, se ignoran los posibles antagonismos o sinergias de los controles.

Hay un sinnúmero de metodologías y paquetes informáticos para evaluación de riesgos. Muchos tienen aspectos apreciables; pero todos adolecen de la necesidad de intervenciones cruciales subjetivas y, los más sofisticados y caros, del inevitable alto ruido en los datos de entrada.

Estamos aún en una situación de alquimia, pero eso es lo que tenemos. Mi recomendación personal es mantenerse  en los niveles más sencillos y, en todo caso, antes de seguir, traspasar al decisor último  -¿el Consejo de Administración?-  la ratificación de las valoraciones realizadas.

Realizada por el ASITIC la planificación de la auditoría, con criterios de riesgo, éste procede a la auditoría de las diferentes áreas. Al efectuarla, debe tener presentes otros riesgos posibles.

El riesgo inherente a un área es la susceptibilidad de la misma a un error material  -por sí mismo, o en combinación con otros-  suponiendo que no hubiera los correspondientes controles internos.
 
El riesgo de control en un área es el de que pudiera tener lugar un error material que  -por sí mismo, o en combinación con otros-  no fuera prevenido/detectado/corregido, oportunamente, por el sistema de Control Interno.
 
El riesgo de detección es el de que las pruebas substantivas del ASITIC no detecten un error que pudiera ser material  -por sí mismo, o en combinación con otros-.

Parece claro que es un viaje proceloso. Al menos, se vislumbran algunos faros en el horizonte. Pero no es un viaje para aficionados.

 

Artículos relacionados

  1. Fraude y Auditoría de Sistemas (por Manolo Palao)
  2. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  3. Competencia y Auditoría de Sistemas (por Manolo Palao)
  4. Independencia y Auditoría de Sistemas (por Manolo Palao)
  5. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  6. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  7. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  8. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la directriz G13. Use of Risk Assessment in Audit Planning de ISACA.