Independencia y Auditoría de Sistemas (por Manolo Palao)

La norma ISO/IEC 38500:2008. Corporate governance of intormation technology recoge entre sus principios generales de Buen Gobierno dos que, de forma clara, inciden en atributos como la imputabilidad, la profesionalidad, la integridad, la honestidad, la ética, … (la enumeración podría continuar), de aquellos individuos involucrados, en algún sentido, en los sistemas de gobernanza de las TIC. Se trata, como ya habrán adivinado, del principio de responsabilidad y, particularmente, del principio de conducta humana.

El «texticulillo» de Manolo Palao que hoy les acerca ‘Gobernanza de TI‘ detiene su atención, precisamente, en esos principios, al recordar la transcendencia y el valor fundamental de la independencia y el comportamiento personal de los auditores de sistemas, en el ámbito particular de las actividades de Control de las TI y, por extensión, en el de un marco general de  Buen Gobierno Corporativo de TI.

Como ya se advirtiera en la presentación de esta serie, no deberán extrañar las referencias del autor a la actualidad y contexto particulares del momento en que fueron escritos  -aproximadamente, el bienio comprendido entre el otoño de 2002 y el inverno de 2004-  y a la audiencia a la que fueron, originalmente, dirigidos:  la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA).

Este cuarto «texticulillo» es, más que ninguno de los reeditados hasta ahora, un claro exponente de lo anterior.

 

Texticulillo nº 4: Independencia y Auditoría de Sistemas (1)(2)

El sentido común organizativo y diversas normas exigen la independencia  -y apariencia de independencia-  del Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC).

Hago aquí unas reflexiones sobre este tema de la independencia del ASITIC, aplicables en sus aspectos generales a todas las auditorías, más allá de las de los sistemas de información.

El auditor ejerce una función de control: compara la realidad con un documento normativo, público o privado, que expone cómo se desea que sea esa realidad. Como resultado de esa comparación, objetiva y substanciada con pruebas,  emite una opinión  –»limpia», o «con salvedades»—  y, eventualmente, unas recomendaciones.

El auditor no puede ser «juez y parte», por lo que debe ser independiente  -y parecerlo-  del objeto auditado.

Ello implica, por ejemplo, que el ASITIC no puede auditar un sistema de información en cuyo desarrollo haya trabajado  -salvo por su posible contribución a la especificación de los controles y funciones de auditoría incorporados a ese sistema; y otros casos tasados-.  En situaciones de previsible conflicto, el tema debe aclararse por adelantado. La Directriz 020.010.010 de ISACA cubre esto en detalle (3).

Pero además, el ASITIC ha de ser suficientemente independiente de su cliente. La palabra clave aquí es «suficientemente«, dado que es obvio que la total independencia resulta imposible, debido a la necesaria “relación” con el citado cliente.

Esa «relación con el cliente» puede ser laboral  (Auditoría Interna) o profesional (Auditoría Externa). En el primer caso, se formaliza mediante el Estatuto de Auditoría; y, en el segundo, por la Carta de Encargo (o instrumentos equivalentes).

El Estatuto de Auditoría o la Carta de Encargo explicitan el mandato que el auditor recibe y las circunstancias de ese mandato. Detallan el encuadre orgánico del auditor interno y el representante del cliente, para el externo. Deben establecer claramente la responsabilidad, autoridad e imputabilidad de la función ASITIC, así como los objetivos, ámbito, recursos y restricciones del mandato de auditoría.

El encuadre orgánico o el representante del cliente, según sea el caso, cualifican la independencia. En ambos casos, el criterio de oro es que haya una razonable distancia, y superioridad, entre aquellos y el objeto auditado.

Eso supone que el encuadre orgánico  -respectivamente, el representante del cliente-  debe (casi sin excepción) estar en una rama del organigrama distinta de la de la Función Informática, y en un nivel igual o superior a ella.

Además, si como es frecuente, el objeto de la auditoría son sistemas integrados (multi-departamentales), o estratégicos a nivel corporativo, la misma exigencia de distancia y superioridad eleva al encuadre orgánico/representante del cliente a la cima de la estructura empresarial.

La fórmula más recomendable, y la que se está adoptando por las grandes empresas, consiste en que el encuadre orgánico/representante del cliente sea un Comité de Auditoría nombrado en el seno del Consejo de Administración. ¡Esta fórmula maximiza distancia, superioridad y especialización!

Los recientes cambios en los consejos de administración de la Banca española, y las recomendaciones de la SEC en EEUU, siendo mucho más amplios que el tema que aquí nos ocupa, van en la línea de propiciar la independencia.

¡Además de ser independiente, el ASITIC debe parecerlo, por su actitud y circunstancias! Tiene que ser y sentirse independiente como individuo. Ello se logra con profesionalidad; y se potencia y refuerza por el asociacionismo profesional y por las certificaciones profesionales.

ISACA (Information Systems Audit and Control Association) es probablemente la mayor y más prestigiada asociación profesional de ASITIC. Publica un Código de Ética Profesional y unas Normas (en particular, la citada serie 020, relativa a la independencia); y administra la certificación CISA (Certified Information Systems Auditor), que acredita de modo continuado la idoneidad del ASITIC.

Hasta que no se disponga de una certificación más idónea, mejor adaptada a nuestro contexto  –proyecto prioritario para ASIA (4)-,  CISA es la mejor opción disponible.

 

Artículos relacionados

1. Teseo y la Auditoría de Sistemas (por Manolo Palao)
2. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
3. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigentes en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S2. Independence y por las directrices G12. Organisational Relationship and Independence y G17. Effect of Nonaudit Role on the IS auditor’s Independence de ISACA.

(4) ASIA, Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones, actual Capítulo de Madrid (183) de ISACA. Esta, tan directa, referencia a la Asociación contextualiza de forma nítida el objetivo y la audiencia a la que iba dirigido el «texticulillo» en su edición original.

 

Juvenal y la Auditoría de Sistemas (por Manolo Palao)

Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del «III Congreso Interacadémico» de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue «¿Quién gobierna a los ‘gobernadores’?«. Precisamente, con la versión original de esa misma pregunta  -«¿Quién guardará a los guardianes?«-  comienza el «texticulillo» de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

”Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su «Sátira» VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html

 

Abierto el período de «veteranía» para optar a la certificación CRISC

Hace escasamente una hora, Kristen Kessinger, Directora Adjunta de Relaciones con los Medios de ISACA, lo anunciaba a través de una de la múltiples comunidades que la Asociación  -de manera oficial u oficiosa-  tiene abiertas en la red social LinkedIn: sobre las 15:55, hora local española, quedaba habilitado, por espacio de un año, el programa de «veteranía» mediante el cual aquellos profesionales que acrediten la debida experiencia podrán optar, de modo preferente, a la nueva certificación CRISC (Certified in Risk and Information Systems Control).

El flamante certificado, cuya aparición ya había anunciado  -no sin cierta preocupación, dada la creciente proliferación de certificaciones en el mercado-  ‘Gobernanza de TI‘ el pasado 4 de enero, viene a sumarse a una oferta de acreditaciones profesionales en la que se encuentran las generalistas CISA (desde 1978), CISM (desde 2002) y CGEIT (desde 2007); y a las que habría que sumar el CobiT Foundation Certificate, alumbrado en 2006 y centrado de manera exclusiva, como su propio nombre indica, en el conocimiento básico del modelo CobiT.

La pretendida orientación práctica de CRISC ubicará a este nuevo certificado a la par que CISA(1), en tanto que su «clientela» natural, según sugiere la propia ISACA, habrá de buscarse entre los profesionales (del inglés, practitioners) que desarrollan su labor en torno a la identificación y gestión de los riesgos vinculados al uso de los Sistemas de Información y al establecimiento de marcos de control que ayuden a mitigarlos; aspectos que ya venían siendo tratados, en mayor o menor medida, por el resto de programas de certificación mencionados y que, ahora, adoptan un enfoque integrado y específico.

Si es Ud. un profesional de los riesgos corporativos derivados de TI y está interesado en certificarse, tome nota de las siguientes direcciones-e de referencia:

• www.isaca.org/criscgfapp, donde encontrará el formulario de solicitud de certificación bajo las condiciones marcadas por el programa de «veteranía»;
• www.isaca.org/criscpay, donde podrá hacer efectivo el pago de las tasas requeridas por ISACA (recuerde que podrá beneficiarse de su condición de socio y, asimismo, de una rebaja si emite su solicitud antes del 1 de noviembre de 2010); y,
• CRISCapplication@isaca.org, dirección-e a la que podrá remitir su solicitud.

 

Artículos relacionados

1. CRISC: ¿es, realmente, necesaria?
2. La certificación CGEIT, de ISACA, cumple dos años. Balance
La figura del “Instructor de CobiT Acreditado”

 

(1) Recuérdese que CISA también está orientado a un segmento de profesionales técnicos (en este caso, del ámbito de la Auditoría de los Sistemas de Información); CISM busca su audiencia entre aquellos individuos con responsabilidades sobre las áreas de Seguridad de la Información;y, finalmente, CGEIT, teóricamente, se dirige a una segmento de dirección, o alta dirección, tanto de negocio, como de TI.

 

Manual de Revisión para la certificación CGEIT

¡Por fin!

Se ha hecho esperar; pero ya está aquí (o, lo estará en breve).

Conviene recordar, no obstante, que, hasta el momento actual, los candidatos a la certificación profesional CGEIT (Certified in the Governance of Enterprise IT) otorgada por ISACA, no disponían de un manual específico para la preparación del preceptivo examen. Ello ha ocurrido, desde la fecha de lanzamiento de la citada certificación, el 1 de noviembre de 2007, en tres ocasiones; las tres ocasiones en las que ha habido posibilidad de presentarse al examen: 13 de diciembre de 2008, 13 de junio de 2009 y, más recientemente, 12 de diciembre de 2009.

Ello, igualmente, empuja a la sospecha sobre la posible improvisación y las prisas con las que el programa de certificación pudo ser lanzado: no parece estar dándose esa circunstancia con otras certificaciones ofrecidas por el mercado, y desde luego, no es un hecho que se produzca en el caso del resto de procesos de certificación de ISACA  –CISA y CISM, básicamente-  lo que estaba suponiendo, en cierto sentido, un agravio comparativo para los candidatos a CGEIT. A pesar de esta circunstancia, desde ‘Gobernanza de TI‘ se tiene la convicción de que 2007 fue un buen momento para lanzar la nueva acreditación (incluso, quizás, pudo haberse lanzado antes); pero, al mismo tiempo, tampoco parece caber duda sobre la falta de sincronización entre ese alumbramiento y la agenda del grupo de trabajo encargado de desarrollar el cuerpo de conocimiento del nuevo certificado, el cual se verá formalizado, ahora, con la publicación de la guía-manual.

En favor de ISACA ha de indicarse que, para suplir la mencionada carencia, durante todo ese tiempo la Asociación ha venido poniendo a disposición de los candidatos una relación de referencias bibliográficas con la que se han tratado de cubrir los diferentes dominios y prácticas profesionales de interés para los futuros CGEIT.

Con el «CGEIT Review Manual 2010» («Manual de Revisión para la preparación de los exámenes de certificación CGEIT. Convocatorias de 2010«) la deuda quedará saldada. El nuevo libro se pondrá a la venta desde la librería virtual de ISACA, el próximo día 28 de febrero.

El Manual proporcionará, como viene siendo habitual con el resto de ‘CRMs’ de ISACA  -«CISA Review Manual» y «CISM Review Manual«-,  información y directrices orientadas a ayudar a los candidatos a superar las pruebas de certificación, previstas para este año en las siguientes fechas: sábado, 12 de junio, y sábado, 11 de diciembre.

El texto se presentará, de momento, sólo en inglés, y, a lo largo de sus seis capítulos, ofrecerá un repaso a los principales aspectos subyacentes a cada una de las prácticas profesionales que constituyen el cuerpo de conocimiento de CGEIT:

• marco de referencia para el Gobierno Corporativo de TI;
• alineamiento estratégico;
• aporte de valor;
• gestión del riesgo;
• gestión de los recursos; y,
• medida del rendimiento.

Sin embargo, más allá de ser visto como un mero libro de texto, su esperado enfoque didáctico puede convertirlo en un documento de lectura obligada para cualquier individuo interesado en introducirse en la disciplina del Gobierno Corporativo de TI y en conocer sus conceptos básicos.

Es deseo de ‘Gobernanza de TI‘ que entre tales individuos puedan contarse, no sólo profesionales «convencidos» y fieles seguidores de la citada disciplina, mayoritariamente procedentes del ámbito TI en sus diferentes facetas; sino, también, personas procedentes de las áreas de negocio y, en última instancia, de los órganos de dirección y control al más alto nivel. Ello, con toda seguridad, ayudaría a hacerles comprender la responsabilidad que tienen sobre el uso que se hace de las TI en el seno de sus propias organizaciones; y a ponderar el papel clave de la tecnología en la generación de valor e innovación para aquellas.

 

Artículos relacionados

1. La certificación CGEIT, de ISACA, cumple dos años. Balance
2. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

CRISC: ¿es, realmente, necesaria?

Hace exactamente dos meses, el pasado 4 de noviembre de 2009, quedaba registrada en la Oficina de Patentes y Marcas de los EEUU (USPTO, US Patent and Trademark Office) la nueva marca CRISC. Una sencilla pesquisa realizada con el Sistema de Búsqueda Electrónica de Marcas Comerciales (TESS, Trademark Electronic Search System) de la citada agencia permite descubrir el tipo de bienes y servicios que se esconden tras esas siglas:

• soportes pregrabados y contenidos descargables en línea, de carácter educativo;
• boletines, revistas y otro material impreso; y,
• servicios formativos, entre los que se incluyen la impartición de seminarios, la coordinación de conferencias y la administración de pruebas de examen; …

… todo ello en el campo de la certificación profesional en torno a la evaluación de los riesgos asociados a los sistemas de información, a la toma de decisiones de negocio que tienen en cuenta dichos riesgos, a la respuesta y priorización de riesgos, al diseño, implantación y gestión de marcos de control y a la conformidad normativa.

Por si toda esta detallada descripción no ofreciese suficientes pistas de por dónde podrían venir los tiros, una rápida mirada al campo «propietario» en el registro de resultados que ofrece el TESS, corrobora, finalmente, lo que ya se sospechaba: la solicitante de la nueva marca comercial no es otra que ISACA.

Pero, ¿qué puede prentender la Asociación con este nuevo movimiento?

Si se huye de lo políticamente correcto, parece claro que la intención de la afamada organización sin ánimo de lucro pasa por abrir una nueva espita a la entrada de ingresos adicionales en los diferentes conceptos recogidos en la propia descripción de la marca CRISC: materiales de estudio, derechos de examen y, en último término, tasas de mantenimiento de la certificación; esquema que ya se viene siguiendo, con sumo éxito, desde hace más de treinta años con otras certificaciones profesionales de la casa como CISA, CISM y, más recientemente, CGEIT, a las que, irremediablemente, parece que se unirá, en breve, la citada CRISC.

El atractivo de un mercado potencial que puede rondar, al menos, los cien mil (100.000) «clientes»  -sus actuales cien mil asociados-,  desde luego, no resulta desdeñable. A la vista de estos hechos, no es de extrañar que desde Gobernanza de TI se haya escuchado, recientemente, cómo un reputado experto del sector (se cita el pecado; pero no al pecador) comparaba a ISACA con el Ministerio de Hacienda.

Desde un plano menos irónico, la confirmación oficial  -o, cuando menos, formal-  de la próxima aparición de un nuevo programa de certificación para los profesionales de los riesgos y el control de los sistemas de información (CRISC, Certified in Risk and Information Systems Control) venía, hace una semana, de la mano de Mecki Oker, Gerente de Investigación de ISACA, quien afirmaba cómo la Asociación se complacía en anunciar el advenimiento de esta certificación relativa al riesgo corporativo asociado a las TI.

Como parte de su anuncio, la Sra. Oker adelantó, asimismo, el que será cuerpo de conocimiento de CRISC, que estará conformado, previsiblemente, por los siguientes dominios:

• Identificación, análisis y evaluación del riesgo;
• Respuesta al riesgo;
• Supervisión del riesgo;
• Diseño y puesta en marcha de marcos de control de los sistemas de información; y,
• Supervisión y mantenimiento de marcos de control de los sistemas de información.

Esta primera aproximación resulta suficiente para reconocer, con total nitidez, un claro sabor a Risk IT, el modelo para el gobierno de los riesgos corporativos de las TI, publicado por ISACA el pasado mes de noviembre. Ello no es de extrañar, si, como también se explicó, el desarrollo de las prácticas detalladas del futuro cuerpo de conocimiento está siendo llevado a cabo por el grupo de trabajo CISREM, liderado por el suizo Urs Fischer, quien, de facto, se está convirtiendo en uno de los mayores divulgadores del modelo Risk IT.

Las páginas de voluntariado de ISACA permiten ver que el grupo de trabajo CISREM tiene el encargo de «desarrollar una certificación orientada, principalmente, a los profesionales de TI ocupados en la identificación y la gestión de riesgos mediante el desarrollo y la puesta en marcha de los adecuados marcos de control sobre las TI para ayudar a las organizaciones a alcanzar sus objetivos, protegiendo sus activos, garantizando la exactitud de su información financiera y la conformidad con los requisitos regulatorios y legislativos relevantes que les sean de aplicación«.

Finalmente, y a pesar de que los desarrollos del grupo de trabajo han de ser, también, validados por una serie de expertos externos, la información aportada la pasada semana habla de forma muy clara sobre lo avanzado del proceso. Según palabras de la propia Sra. Oker, en abril de este año se abrirá el habitual período de veteranía mediante el cual aquellos profesionales experimentados en la evaluación, respuesta y supervisión del riesgo de las TI, así como aquellos otros avezados en el diseño, puesta en marcha y mantenimiento de controles (marcos de control) sobre los sistemas de información, podrán solicitar la certificación sin presentarse al preceptivo examen, cuya primera convocatoria será celebrada, previsiblemente, en diciembre de 2011.

CRISC: una mirada crítica y, en cierta medida, preocupada 

Los entusiastas comentarios que, en torno a CRISC, se están comenzando a ver en ciertos foros de Internet, parecen ser el adelanto de la clara aceptación que, entre la comunidad de «convencidos», tendrá la nueva certificación. Un nuevo éxito comercial de ISACA, sin duda, dado que el resto se verán arrastrados por el mercado.

Sin embargo, estos mismos profesionales que declaran esperar, ansiadamente, la llegada de CRISC, ¿de veras la estaban necesitando, como confiesan?

¿Realmente, CRISC viene a cubrir una demanda existente?

¿No será, al contrario, la Asociación, con toda su maquinaria, la generadora de esa necesidad, de una falsa demanda?

¿Acaso nace CRISC con intención de convertirse en catalizador de la difusión y adopción del modelo Risk IT? En tal caso, ¿no habría merecido Val IT, hace tres años, el mismo trato?

Además, si lo anterior es cierto, ¿no se estaría desvirtuando la tradición certificadora de ISACA: CISA, CISM, CGEIT, como programas «generalistas» de certificación profesional, por un lado; y CobiT Foundation, como certificado ligado a un modelo concreto, por otro?

¿No terminará ISACA, con su delirio certificador, arrastrando a sus asociados-certificados a un desprestigio de sus certificaciones, derivado del desequilibrio entre «cantidad y calidad?

Por último  -y a ojos de ‘Gobernanza de TI‘, quizás, lo más preocupante-,  ¿no estará ISACA poniendo demasiado el acento en el término GRC de la ecuación del Gobierno Corporativo de TI (ITG=GVP+GRC), dejando el sumando GVP (Governance-Value-Performance) abandonado en exceso? Tal parece desde que se renovó la Junta Directiva a mediados del año pasado. Sería una lástima ver desvanecerse la idea de liderar la comunidad del Gobierno de TI, volcándose sólo en una parte de dicha comunidad. Además, ISACA se haría un flaco favor a sí misma, frente a la idea de desencasillarse de sus raices  -sin abandonarlas-,  ligadas al control interno y a los riesgos, y de tratar de ganar la visibilidad que en el resto de ámbitos TI tienen otras organizaciones del sector.