¡Así es, cuatro!

Recurrir a un artículo que “Gobernanza de TI” publicaba el 28 de marzo de 2009 puede ser una agradable, y acertada, forma de conmemorar este cuarto aniversario. La reflexión recogida aquel día bajo el epígrafe “¿ITG 2.0?” llevaba a afirmar lo siguiente:

… puede decirse que en nuestro mercado se ha empezado a hablar  – respectivamente, a oir –  de Gobierno de TI hace apenas un par de años.

Efectivamente, fue en 2007 cuando comenzó a verse una difusión a mayor escala del concepto de Gobierno de TI desde diferentes frentes. Esa corriente, iniciada, tal vez a finales de 2006, tuvo su origen, en gran medida, en foros de gestión de TI  – gestión de servicios de TI -;  no en foros de gobierno corporativo, propiamente dichos, lo que ha llevado a crear una cierta confusión“.

Los anteriores párrafos encerraban dos realidades que, aún hoy  -como entonces-,  conservan una plena vigencia:

  • de un lado, 2007 había marcado, en cierto sentido, la explosión de la fiebre “gubernamental” en nuestro mercado. [Poco, o nada, tuvo que ver en ello la aparición de esta bitácora en el mes de febrero  -el miércoles, 7-].  Fue el año del inicio de la “masificación” (popularización) del término “gobierno/gobernanza” y, con ello, de un uso y un abuso que, cuatro años y unas cuantas decenas de artículos después, persiste  -si cabe, de manera más acentuada-;
  • de otro, la confusión a la que hace referencia la cita anterior tampoco se ha visto aclarada: se sigue hablando de amor (gobierno), cuando se quiere decir sexo (gestión). Los intereses en el lado del colectivo TIC  -al menos, en una parte del mismo-,  también, en este caso, se mantienen; y el alejamiento de las TI, por parte de los “líderes del negocio” (disculpen el anglicismo), no se ha visto recortado.

La situación descrita no constituye sino un reforzado argumento en favor del compromiso que, desde estas páginas, siempre se ha tenido con la información, formación y opinión sobre el Buen Gobierno Corporativo de la Información y sus Tecnologías afines. Compromiso que ahora se renueva.

Permítanme invitarles a participar de dicho compromiso y agradecerles la que, hasta ahora, ha sido su cálida compañía.

¡Gracias a todos! (Y manténganse al otro lado, ;-)).

 

Artículos relacionados

  1. Gobernanza de TI, 3er. aniversario
  2. ¡2º aniversario!
  3. ¡Bienvenido!
  4. ¿ITG 2.0?

Manolo Palao muestra, una vez más, su generosidad para con Gobernanza de TI a través de esta nueva contribución. A diferencia de sus habituales ‘texticulillos‘, se trata, en este caso, de un extenso artículo, que junto a los de Rui Borges y Mark Toomey  -que, hace ya meses, le precidieron-,  pasa a engrosar los contenidos de la sección ‘Firma invitada‘.

El autor, sin mencionarlo de forma explícita, ofrece, a lo largo del texto, una reiterada referencia al sexto principio general del buen gobierno corporativo de las TIC, tal y como recoge la norma ISO/IEC 38500:2008. Corporate governance of information technology: el factor humano. Recuerda cómo dicho factor subyace, de manera omnipresente, a los innumerables errores que el mundo de la Informática ha conocido.

Tras ofrecer un repaso por algunos de los más sonados fiascos tecnológicos y presentar una taxonomía de la naturaleza de tales errores, finaliza su exposición alzando una lanza en defensa de los propios sistemas informáticos e, incluso, de sus creadores.

Paralelamente, recuerda también el papel que, como responsables últimos de rendir cuentas, han de jugar aquellos individuos dotados de la pertinente capacidad y autoridad para dirigir y controlar  -gobernar-  el uso que, de tales sistemas, se hace en el seno de las organizaciones.

¡Disfrútenlo como si de un elongado texticulillo se tratase!

 

Presunción de inocencia (1)(2)

Hace unos treinta y nueve siglos se esculpió el ‘Código de Hammurabi‘  -conservado en el Louvre-,  que es considerado como la primera codificación conocida de derechos y obligaciones humanos.

Como referencia, quizá más familiar, Moisés bajó del Sinaí con las ‘Tablas de la Ley‘ cinco o seis siglos después.

Hace unos 75 años, Isaac Asimov acuñó las ‘Tres Leyes de la Robótica’  –luego evolucionadas a la Roboética–  codificando derechos y obligaciones de robots, demonios y otro software de Inteligencia Artificial.

En 2002 Rodney Brooks, director del MIT Artificial Intelligence Laboratory, pronosticaba que, igual que históricamente se habían ido reconociendo ciertos derechos  -por ejemplo, a un trato digno-  a muchos animales y, sobre todo, a las mascotas, era plausible que surgiesen corrientes de reconocimiento de derechos a algunas de esas máquinas, especialmente a las más antropomorfas y a las que ‘conviviesen’ en nuestros hogares  -robots domésticos; ¡las nuevas aspiradoras no sindicadas, para entendernos!-.

Si bien los profesionales de los SI (Sistemas de Información) y de las TIC (Tecnologías de la Información y las Comunicaciones) estamos sujetos  -por convicción y/o adhesión a un código ético profesional-  a ciertos compromisos respecto a los SITIC, ello no obliga, en general, a otras personas; lo cual favorece un pernicioso, generalizado y continuado linchamiento impune de los SITIC e, indirectamente, de sus profesionales. Pernicioso, porque nos impone un sambenito; pero, sobre todo, porque puede desembocar en un fallo sistémico.

Me explicaré; pero, antes, descendamos a lo concreto.

Botones de muestra

Creo que las siguientes referencias son autoexplicativas y se aceptarán como meros botones de muestra de algo mucho más generalizado.

«La juez sustituye la fianza de un millón de euros al alcalde de Seseña por otra de 10.000 / Emite un auto de rectificación para aclarar un error informático debido a “introducir más dígitos de los que procedían“» (3)(4)

«La patronal fotovoltaica ASIF pidió un análisis a una empresa, que concluyó que podía tratarse de que el contador considerara que las 12 de la mañana eran las 12 de la noche o fallos informáticos» (5)

«La lista de premiados  -premios Max de la SGAE entregados el 3 de mayo de 2010-  publicada en la página web de la SGAE “por un error informático“» (6)

«EE UU busca el ordenador fantasma / Los reguladores bursátiles descartan el factor humano como causa del pánico que sacudió a Wall Street» (7)

«Las máquinas se apoderan de Wall Street y provocan el pánico en el mercado / El Dow Jones llegó a caer más del 9,16% por el temor a la crisis griega y un conjunto de operaciones descontroladas / […] Un senador aprovechó ayer para reclamar que se ponga coto a las máquinas en las operaciones bursátiles. El demócrata Ted Kaufman denunció que se había puesto de manifiesto una vez más “el potencial de los ordenadores gigantes de alta capacidad para alterar el mercado y crear el caos” en lo que denominó “la batalla de los algoritmos”. Kaufman presentará una enmienda a la ley de reforma financiera para que se endurezca la regulación.» (8)

«“No podemos permitir que un error tecnológico espante a los mercados y provoque pánico” [desplome bursátil], señaló el congresista demócrata Paul Kanjorski. El propio presidente, Barack Obama, pidió aclarar el desplome para “evitar que algo así vuelva a suceder”.» (9)

Como no parece probable que ni Hammurabi ni Moisés vayan, a estas alturas, a ocuparse de este tema, nos incumbe a los profesionales  -sobre todo a través de nuestras asociaciones-  intentar reencauzarlo.

Reflexiones, actitudes y actuaciones

Para reencauzarlo parecen obligadas ciertas reflexiones, actitudes y actuaciones.

  • En primer lugar, reconocer que todo error es humano.

Lucius Annaeus Seneca  -cordobés, coetáneo de Jesucristo, tutor y consejero de Nerón-  ya afirmó que «errare humanum est, perseverare diabolicum» [errar es humano, perseverar diabólico].

Lo que fue parafraseado  -y convertido en eslogan-  por Alexander Pope (1688-1744) [más papista que el papa], en su famoso verso:  «To err is human, to forgive divine» [errar es humano, perdonar divino]. (10)

El famoso HAL (11) 9000 (12)  no era tan perverso como parecía. Simplemente, fue programado así (‘heurístico-algorítmico’ [¡signifique esto lo que signifique!]). Pero eso era ciencia ficción: ¡intentemos mantenernos en la realidad!

  • En segundo lugar, aceptar que “…. sin duda es un abuso del lenguaje … y si … [el] error lo hubiesen tenido hace 20 años, sería un error “mecano-gráfico“;  o hace 100 años, un error “plumo-gráfico“; …   la cuestión es tipificar el error sobre el instrumento y no sobre la persona que lo comete …pues al final, como todos los errores, es humano(-gráfico)“. (13)
  • En tercer lugar, asumir que, pese a todo, hay/ha habido muchos [¡demasiados!] “errores informáticos/tecnológicos”; esto es, errores humanos en materias informáticas/tecnológicas. En algunos de los cuales he/(¿quizá?) hemos incurrido por omisión o acción.

La tabla siguiente (14) extracta alguno de los más señalados, e indica su coste:

El excelente reciente «artículo de Darren Dalcher (15), … cita algunos importantes errores informáticos que efectivamente fueron tales. Como caso más relevante, al final de la sección 2 se dice que el fracaso en la introducción de un sistema informático en la Oficina de Recaudación del Reino Unido causó que no se enviasen recordatorios a los asalariados sobre que tenían que actualizar sus contribuciones al sistema nacional de seguros. ¡Y que, ahora, 10 millones de personas sufren recortes en sus pensiones debido a eso!». (16)

Otro proyecto valorado por Darren por el impacto del proyecto en la fase de producción es “un sistema de envío de ambulancias que fue entregado a los usuarios  -al tercer intento –  y falló, posteriormente, en producción, dando lugar a potenciales pérdidas de vidas humanas”.

Dice Darren: “La práctica contemporánea de desarrollo de software se caracteriza sistemáticamente por proyectos descontrolados, entregas retrasadas, presupuestos excedidos, funcionalidad recortada, y una calidad cuestionable, lo que a menudo se traduce en cancelaciones, reducción del alcance, y un ciclo significativo de revisiones”. 

Y continúa: “El resultado neto es una acumulación de desperdicios, medidos tradicionalmente en términos financieros. Por ejemplo, en 1995, los proyectos fallidos en EEUU costaron … un total de 140 000 M USD; … en 1996, 100 000 M USD; … en 1998 75 000 M USD”.

A mí, en este artículo, me interesa resaltar un aspecto que el texto de Darren  -y toda la excelente Monografía de la que forma parte-  tratan, pero sólo de forma secundaria: el de las pérdidas y molestias ocasionadas por el uso de sistemas una vez que fueron dados de alta para su explotación.

Incluso, cuando no hay evidencia de defectos o fallos en el proyecto, pueden, evidentemente, darse fallos en la explotación.

La tabla presentada más arriba reseña unos cuantos fiascos, pero los presenta desde la óptica del promotor del proyecto  -las pérdidas o costes incurridos por el fracaso-,  no desde la óptica de los costes/perjuicios ocasionados a los usuarios por la operación de sistemas defectuosos o por la operación defectuosa de los sistemas.

En 2007 el Ayuntamiento de Torrelodones (Madrid) (17)  -por lo que parecía tratarse de un simple error administrativo-  emitió dos veces recibos, distintos, pro-forma, para el cobro de la ‘tasa de recogida de basura’.

La empleada/funcionaria encargada del tema contesta al teléfono  -a la tercera llamada, en las anteriores ‘estaba desayunando’-  y reconoce que sí, que lo que me acontece es un error, “parte de un error masivo”,  y que “… nada, que arreglado“. Cuando entonces le pido confirmación fehaciente de que lo mío  -ya que no lo de todos-  ha sido corregido, como error masivo del Ayuntamiento, que es de su responsabilidad,  me dice imperturbable que ¡para eso, que presente un recurso!, y que, entonces, se revisará mi duplicado.

O sea, que unos miles de recibos erróneos se corrigen con unos miles de recursos administrativos.

Mientras, yo sigo teniendo dos recibos pro-forma enviados por el Ayuntamiento: el correcto y el erróneo. ¿O serán los dos erróneos? ¿Y los demás masivos?  Afortunadamente, pagado que fue uno de los  recibos, el silencio administrativo condonó  -espero-  el otro.

¡Séneca tenía razón: perseverar en el error es diabólico!

  • En cuarto lugar, está la cuestión del huevo o la gallina (o más académicamente, de la recursividad).

Me parece evidente, a estas alturas de este breve e informal artículo, que todos debemos aceptar que en la raíz de todo error ‘informático’ hay un error ‘humano’.

La cuestión ahora es de trazabilidad y, sobre todo, de imputabilidad (chargeability).

¿En qué estrato(s) organizativo(s) radica la responsabilidad por el error?

  • En quinto lugar, está la cuestión del temido y temible ‘fallo sistémico’.

Parece mentira que los denunciantes de ‘fallos informáticos’  -políticos o periodistas, muchos de ellos, por lo que no es tan sorprendente; profesionales, en otras ocasiones, lo cual resulta más difícil de comprender-  no entiendan, o ignoren, el principio básico de que NUNCA se debe culpar al sistema. (¡Aunque fuese verdad!).

Culpar al sistema es concitar un ‘fallo sistémico’: la profecía que se autocumple.

Los protocolos de actuación de los portavoces de células de emergencia, de entidades en crisis y  -a mucha menor escala-  aquellos propios de los ‘chaquetas rojas’ (o ‘verdes’, o ‘azules’) en aeropuertos u otros servicios públicos coinciden. Siempre hay que decir: 1) que las causas se desconocen y se están investigando; y 2) que se ha debido, probablemente, a un fallo humano: NUNCA a un FALLO DEL SISTEMA.

Reconocer la causa humana es atenerse a la verdad, pero además es políticamente interesante: si falla el sistema, ¿qué nos queda?

De hecho, ciertos manuales de gestión de incidentes recomiendan acusar en público  -incluso en falso, o sin suficiente información-  a algún empleado y, luego, disculparse ante los vejados y compensarles de algún modo.

  • En sexto lugar, reconocer que «un sistema informático  -por el hecho de estar construido por humanos y, ¡ojo!, especificado o solicitado por humanos-  es imposible que sea infalible». (18)
  • En séptimo lugar, recordar que, por una parte, los errores (humanos) pueden no ser indeseables, sino tolerados, e incluso, buscados  -como en ciertas fases del proceso científico o técnico: prueba y error-;  y, por otra, que (como se sabe en gestión de la calidad) no todo error acarrea necesariamente una disfunción o un defecto.

Los defectos o fallos son discrepancias entre producto/proceso y especificaciones/normas (o características deseables, incluso no especificadas).

Un «defecto» [/fallo] es una instanciación individual de alguna no conformidad con algún requisito, mientras que un producto/proceso/servicio defectuoso [deffective], contiene uno o más «defectos».” (19)

Los defectos se clasifican, generalmente, en tres grandes grupos. Estos grupos son (20): 1) defectos inherentes (resultantes de la fabricación o de las materias primas); 2) defectos fabricados (resultantes de la transformación de las materias primas en una pieza, producto o servicio terminado); y 3) defectos inducidos por el servicio (generados durante el funcionamiento de algún componente)”.

Los defectos pueden deberse a una materia prima/componente defectuoso, o a una pieza/componente defectuoso (procedente de un proceso previo), a una puesta a punto (‘setup’)/ensamblaje  o mantenimiento defectuoso de la maquinaria/material, a métodos erróneos, o a errores humanos“. (21)

A la postre, todos los defectos se deben a errores humanos. Esta es la razón por la que la lucha contra los defectos es fundamentalmente una cuestión de formación y motivación del personal.

Los errores pueden clasificarse según 10 grandes criterios (22): 1) omisiones; 2) errores debidos a falta de comprensión; 3) errores de identificación; 4) errores debidos a falta de experiencia; 5) errores voluntarios (consentidos); 6) errores inadvertidos; 7) errores debidos a lentitud; 8 ) errores debidos a falta de normas; 9) errores por sorpresa; y 10) errores intencionales.

No todos los errores causan defectos/‘defectuosos’ [deffective]/fallos. Sí los suelen causar los: 1) olvidos; 2) errores debidos a desconocimiento; 3) errores de identificación; 4) errores por inexperiencia; 5) errores voluntarios; 6) errores por inadvertencia; 7) errores debidos a lentitud; 8 ) errores debidos a falta de estándares o normas; 9) errores por sorpresa; y 10) errores intencionales.

Se han estudiado y publicado correlaciones fuertes entre errores y defectos (23). Por ello se conocen diversas grandes estrategias de prevención de defectos. Una de tales estrategias la constituyen las técnicas de poka-yoke (24); si bien éstas pueden resultar más fáciles en el mundo ‘real’ (industria manufacturera, por ejemplo), que en el ‘virtual’ (aplicaciones web, por ejemplo).

Frente a errores, defectos y fallos sólo hay una panacea: calidad. Pero calidad integral.

  • En octavo lugar, aceptar que «[L]os usuarios (y sobre todo los responsables últimos del trabajo de los usuarios) deben saber que un sistema informático … es imposible que sea infalible. Y, por ello, son tanto  -yo diría que aún más-  responsables de las consecuencias de no verificar que el sistema funciona, como lo son los propios informáticos. 

Una vez, en cierta empresa donde trabajé [Llorenç Pagés] hace ya muchos años, nos asignaron un supervisor del trabajo informático, entre cuyas frases favoritas se encontraba: “Me gusta la Informática porque es una ciencia exacta. Es como las Matemáticas o el ajedrez, exacta”. Claro, con esta mentalidad, ¡cualquier error en un sistema informático es culpa del informático!». (25)

Para concluir

Los sistemas informáticos son, frecuentemente, imputados por haber causado errores, en ocasiones graves. Ello es falso  -por cuanto el origen de todo error es humano-  e imprudente  -por cuanto culpar al sistema degrada su credibilidad-.

La presunción de inocencia es ciertamente un derecho  -también de los sistemas y de quienes los desarrollan-;  pero la historia demuestra que los derechos se conquistan y que hasta que son ampliamente reconocidos y respetados  -y luego, de vez en cuando-  hay que invertir mucho activismo y tiempo.

 

Artículos relacionados

  1. Estar encima (por Mark Toomey)
  2. Gobernanza de TI: La Dirección de Orquesta de los Sistemas de Información (por Rui Borges)
  3. Vea, también, la sección “Texticulillos” para leer más artículos del mismo autor

 

(1) Copyright 2010-2011, Manolo Palao. Socio de ATI nº 1103. Socio senior.

(2) Publicado, en una primera versión, en el nº 206 de Novática, la revista de la Asociación española de Técnicos de Informática, ATI. Verano de 2010.

(3) Fuente: Diario “El País“. Madrid, 14 de enero de 2010. URL:  http://www.elpais.com/articulo/espana/juez/sustituye/fianza/millon/euros/alcalde/Sesena/10000/elpepuesp/20100114elpepunac_13/Tes.

(4) Nota de Manolo Palao: Las negritas, en las citas, son mías.

(5) Fuente: Diario “El País“. Rafael Méndez. Madrid, 5 de mayo de 2010. URL: http://www.elpais.com/articulo/sociedad/Francia/ofrece/Espana/intercambio/residuos/nucleares/elpepusoc/20100505elpepisoc_3/Tes. Véase cuadro “Las eléctricas desmienten el timo de los huertos solares nocturnos“, a pie de artículo.

(6) Fuente: Televisión Española, TVE1, “Telediario 1“, 4 de mayo de 2010.

(7) Fuente: Diario “El País“. Sandro Pozzi. Nueva York,  7 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/EE/UU/busca/ordenador/fantasma/elpepueco/20100507elpepueco_13/Tes.

(8) Fuente: Diario “El País“. Sandro Pozzi. Nueva York, 7 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/maquinas/apoderan/Wall/Street/provocan/panico/mercado/elpepueco/20100506elpepueco_20/Tes.

(9) Fuente: Diario “El País“. Sandro Pozzi. Nueva York, 8 de mayo de 2010. URL: http://www.elpais.com/articulo/economia/EE/UU/replantea/negociacion/electronica/derrumbe/bursatil/elpepueco/20100508elpepieco_7/Tes.

(10) Fuente: AnswerBag.com. URL: http://www.answerbag.com/q_view/666955.

(11) HAL = IBM desplazando cada carácter al precedente [según algunos].

(12) Fuente: Wikipedia.com. URL: http://en.wikipedia.org/wiki/HAL_9000.

(13) Nota de Manolo Palao: El autor de la feliz frase  – que reproduzco con permiso-  es Dídac López, en correo cruzado con motivo de la preparación de este artículo.

(14) Fuente: Palao, Eduardo. “Del Caos al Buen Gobierno: Paradigmas y Tendencias en las Tecnologías de la Información y las Comunicaciones y su relación con el Buen Gobierno“. Universidad de Deusto. Máster en Buen Gobierno de las TIC, II Edición (MaGTIC2). Trabajo Fin de Máster. Usado con autorización.

(15) Fuente: Dalcher, Darren. “El éxito de los proyectos de software: yendo más allá del fracaso”. Revista Novática, nº 200. Julio-agosto de 2009, p. 45.

(16) Nota de Manolo Palao: Contribución de Llorenç Pagés Casas, con motivo de la preparación de este artículo.

(17) Nota de Manolo Palao: Donde resido y tengo mi despacho. Naturalmente, por si alguien manifestara más interés, tengo un expediente completo y detallado. Naturalmente, sin que el incidente se haya resuelto satisfactoriamente aún (junio de 2010).

(18) Véase nota 16.

(19) y (20) Fuente: Juran, J. M. “Juran Quality Handbook”, 1979, p. 19-23.

(21) Fuente: Hayward, G. P. “Introduction to Nondestructive Testing“. ASQC. Wisconsin, 1978, p. 2.

(22) Fuente: Hiroyuki Hirano. “Kaizen“, 1988.

(23) Fuente: Juran, J. M. “Juran Quality Handbook”, 1979, p. 18-22.

(24) Fuente: Hiroyuki Hirano & Nikkan Kogyo Shimbun. “Poka-yoke“. Ernst & Young, 1991. Véase también Wikipedia. URL: http://es.wikipedia.org/wiki/Poka-yoke.

(25) Véase nota 16.

Corresponde a cada uno valorar la contribución que 2010 ha hecho a la consecución de sus particulares expectativas  -públicas/profesionales, y especialmente, privadas/familiares-.  Confío, no obstante, que, pese a la coyuntura, la  mayoría de vosostros, sino todos, lo recordéis como el próspero año que, con la mejor voluntad  -expresada doce meses atrás-,  os deseaba en mi última felicitación navideña.

La de hoy llega con un pequeño retraso. Retraso que me obliga a suprimir el siempre amable “¡Felices Pascuas!” y a restringir mis renovados buenos deseos a esta próxima, y ya Vieja, velada; y a todo lo que queda por venir.

Personalmente, una lectura optimista del año transcurrido  -ha habido de todo-  me lleva a confesaros la satisfacción que ahora me produce el hecho de poder extender mi agradecimiento a un mayor número de seguidores y visitantes  -todos amigos-  de Gobernanza de TI. Esto os incluye a vosotros, César, Natalia y Christian, que acabáis de uniros a nuestra comunidad-e en LinkedIn. Vuestra participación, con total seguridad, atraerá nuevas informaciones, formaciones y opiniones, tal y como reza el principio fundacional de la bitácora.

Mantengo la confianza  -no puede ser de otro modo-  en la consolidación de nuestra disciplina y en la aceptación de los mensajes que encierra. ¡Sabemos que no es más que cuestión de tiempo! Ese tiempo que aún juega a nuestro favor y que, mucho me temo, seguirá justificando nuestros argumentos en los próximos años.

¡Feliz noche y los mejores deseos para la Nueva Década 2011-2020!

 

Artículos relacionados

  1. Feliz Navidad y Próspero Año Nuevo 2010

Nuevo encuentro de Gobernanza de TI con Manolo Palao, su sana ironía y su buen humor (particularmente presentes en el Texticulillo™ de hoy). ¡Están Uds., tan sólo, a unas lineas de comprobarlo!

Fiel a su compromiso con los objetivos de esta bitácora, Manolo desarrolla su análisis, un vez más, en torno a uno de los principios generales del Buen Gobierno Corporativo de las Tecnologías de la Información: la conformidad.

El mundo de la regulación resulta prolífico. Sirva, como ejemplo, el caso de España: aquí, el número de reglamentaciones que pretenden guiar  -las más de las veces, limitar-  las actividades de ciudadanos y organizaciones se cifra, según los expertos, en miles, decenas de miles  -hay quien eleva ese número por encima del centenar (de miles)-.

Esa miríada de normas es un claro reflejo de la aparente “alegría” con que el regulador de turno ejerce su función. Otra prueba de tal “alegría” puede encontrarse en la existencia de no poca reglamentación ambigua, sujeta a interpretación, y, por tanto, de dudoso, cuando no difícil, cumplimiento. A ello se refiere Palao en su exposición.

Como apuntara, en relación al relevante papel de la conducta humana en el Gobierno Corporativo de TI, el destacado académico e investigador del MIT, Peter Weill, “de poco sirve definir sistemas de gobernanza formales, si no se siguen“. Cabría, con toda humildad, parafrasearle diciendo “de poco sirve definir [complejas] reglamentaciones, si no se pueden seguir“.

 

Texticulillo™ nº 13: Perfiles y Auditoría de Sistemas (1)(2)

Un día de estos me tengo que pasar por el centro de salud a que me hagan una analítica porque debo tener la perplejidad muy baja de densidad. Tan baja, que me sumo en ella sin poder salir a flote; y, si consigo seguir respirando, es gracias a lo largo que tengo el snorkel.

Una de las inmersiones más profundas que he hecho en mi perplejidad  -y en esa fosa abisal continúo-  fue la primera vez que leí el punto 4 del Artículo 4 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad [RMS, en breve] de los ficheros automatizados que contengan datos de carácter personal de la LORTAD (3), que reza:

[…] 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20”.

RMS que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantiene en vigor (4), en virtud de su Disposición transitoria tercera.

Y yo me pregunto ¿qué es “un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo“? 

Y como no me doy respuesta, me sumo unas brazas más en mi perplejidad  -¡y estiro el snorkel!-.

Quizás el legislador podría haberlo aclarado, o aclararlo, pero  -ya se sabe-  su densidad de perplejidad es inferior a la de la madera de pino oregón  (0,50 Kg./litro); o sea, que flotar le resulta chupao.

Creo firmemente que, para opinar sobre  la “evaluación de la personalidad“, habría que convocar  -y desde aquí, con mi limitado oxígeno, lo hago-  a los psicólogos, psiquiatras, psicoanalistas  -incluso lacanianos-  y evaluadores de aura  -sin pretender ofender a nadie con una lista tan heterogénea-.

Entretanto, los expertos en CRM (Gestión de Relaciones con Clientes), terminales de punto de venta, minería de datos, cookies y e-commerce van obteniendo,  archivando, actualizando y gestionando cientos de millones de “perfiles” de usuarios.

Lo del perfil tampoco me gusta mucho: ¡salgo mejor de frente!; y, además, siempre me recuerda la pareja de fotos, con las cotas de estatura al fondo, y un cartel con un número en el pecho, que la tele y el cine nos han mostrado reiteradamente. ¡Esperemos que pronto lo hagan con todos los que se lo merecen!

El perfil es una “evaluación pragmática” del comportamiento histórico de un individuo. (Suficiente para los intereses de quien lo elabora, y sin llegar, con mucho, a una “evaluación de la personalidad”).

El uso generalizado del perfil debería disminuir el spam (e-mails intrusivos)  -por aquello de aumentar la focalización (segmentación)-;  pero eso requiere lograr perfiles adecuados, si no excelentes. No es mi caso, ya que sigo recibiendo e-mails que dicen: “Manuel: Consiga, en quince días,  unos pechos más grandes y firmes”. Alternados con otros que me ofrecen un alargamiento del 25% del … snorkel. Está claro que no sólo es un problema de perfil, sino de frente. O de opción.

La empresa finesa Davisor ha publicado, no hace mucho, unos documentos interesantes sobre perfiles.

Hoy hay tecnología disponible para ocultar el perfil, pero es todavía engorrosa para el gran público. La otra alternativa es vestir de burka. Bajo la burka tod@s seríamos iguales, sin perfil  -pero se liga menos, o con menos ilusión-.

Los ASITIC (5) tienen la formación, experiencia y sensibilidad para tratar seriamente estos temas. Plantéese sentar uno a su mesa (antes de Semana Santa).

Hay también, a lo que parece, una movida que  -por intereses espurios-  defiende que cualquiera, mayor de edad, con una cierta titulación  -mínimo carné de conducir-,  puede realizar una ASITIC (haciéndose acompañar, si fuera  -a su juicio-  necesario, de un experto, bajo burka). No se fíe Ud. y, en este caso, si lo sienta a su mesa, asegúrese de no ser Ud. quien prueba el primer bocado.

 

Artículos relacionados

  1. Continuidad del Negocio y Auditoría de Sistemas (por Manolo Palao)
  2. DC y Auditoría de Sistemas (por Manolo Palao)
  3. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  4. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  5. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  6. Fraude y Auditoría de Sistemas (por Manolo Palao)
  7. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  8. Competencia y Auditoría de Sistemas (por Manolo Palao)
  9. Independencia y Auditoría de Sistemas (por Manolo Palao)
  10. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  11. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  12. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  13. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) En la legislación española, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal que mantuvo su vigencia hasta el 14 de enero de 2000, tras su derogación por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(4) El autor hace referencia a la coyuntura legal existente en el año 2002. La circunstancia mencionada en el texto cambia tras la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que deroga el anterior RMS.

(5) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

El próximo martes, día 5 de octubre de 2010, la Asociación Española para la Calidad (AEC), a través de su Comité de la Calidad en los Sistemas y Tecnologías de la Información y las Comunicaciones, organiza una nueva edición  -la octava-  de su Congreso anual dedicado a las TIC: CSTIC 2010.

El encuentro  -gratuito-  se celebrará, en esta ocasión, en las instalaciones de la Universidad Pontificia de Comillas, ubicada en el número 23 de la calle Alberto Aguilera, de Madrid.

Bajo el lema “Gestión de las TIC: Calidad y Sostenibilidad“, CSTIC 2010 pretende servir de foro para el intercambio de ideas y experiencias entre los profesionales del sector con intereses en aspectos de las TI relativos a la Calidad del Software, a la Gestión de los Servicios de TI, a la Seguridad de la Información y a la Gobernanza de las TIC.

Con ese objetivo se ha diseñado un programa en el que, bajo la batuta de D. Domingo Gaitero Gordillo, Vicepresidente del AEC/CSTIC, que actuará de presentador/moderador, participarán los siguientes ponentes invitados: Dña. Jenis Chirino (CAELUM), Dña. Maite Atienza (INDRA), D. Antonio Folgueras Marcos (itSMF España), D. Boris Delgado Riss (AENOR), D. Luís Miguel Hidalgo Gutiérrez (INTECO), D. Félix González Durán (Tecnocom) y D. Miguel García Menéndez (ISACA, Capítulo de Madrid), que ofrecerán una serie de conferencias, respectivamente, sobre:

  • “Evaluación de organizaciones software mediante el modelo CMMI” (Chirino);
  • “Sistema de gestión para entornos TIC deslocalizados” (Atienza);
  • “La teoría de la evolución según Gestión del Servicio TI” (Folgueras Marcos);
  • “Certificación ISO 20000” (Delgado Riss);
  • “Seguridad en el uso de las TIC: conductas delictivas e ilícitas” (Hidalgo Gutiérrez);
  • “Experiencia de integración en un sistema de gestión TI” (González Durán); y,
  • “Un lugar para el Gobierno Corporativo de TI: errores, ortodoxia y expectativas” (García Menéndez).

¡No lo deje pasar!

 

Artículos relacionados

  1. Calidad en los Sistemas y Tecnologías de la Información y las Comunicaciones

Presumiblemente, con este texto de 2002, Manolo Palao introducía, por vez primera, en la bibliografía en español sobre TI, el término ‘gobernanza‘. Algunas traducciones de documentos en inglés de la época habían optado, hasta entonces, por variantes como ‘gobernabilidad‘, o, directamente, ‘gobierno‘.

El citado hecho convierte en perfectamente prescindible, al menos por hoy, la breve introducción  -justificación, casi-  con que Gobernanza de TI acompaña la publicación de cada nuevo ”Texticulillo™”.

 

Texticulillo™ nº 9: El Burro Flautista y la Auditoría de Sistemas (1)(2)

Si hay un antes y un después en la Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC), ese momento lo marca la publicación, en 1996, de CobiT.

CobiT es un instrumento de gobernanza (3) de los SITIC puesto a disposición de directivos y auditores para facilitar el buen gobierno y el control de los sistemas de que se ocupan.

Es promovido y gestionado por el IT Governance Institute (Instituto para la Gobernanza de los SITIC), a su vez, parte de ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

Actualmente en su tercera edición (5) y con una dinámica de crecimiento y mejora continuados, una gran parte de CobiT se ha constituido en “norma abierta”  –open standard-,  que cualquier interesado puede descargar (http://www.isaca.org/cobit) y adaptar a su circunstancia.

No cabe, en este espacio, una descripción pormenorizada de CobiT y sus ventajas.  Cualquier lector interesado puede encontrar más detalles en el sitio web indicado. Quiero limitarme a señalar algunos aspectos que me parecen de particular relevancia.

El giro copernicano que CobiT ha supuesto es que ha planteado la gestión de la totalidad de los SITIC al servicio de la empresa  -u organismo-  dando realidad así, en esta área más modesta, a la famosa exclamación de ‘le Tigre’ Clemençeau (1841-1929): “¡La guerra es demasiado importante para dejarla en manos de los militares!”.

CobiT, con ese enfoque al servicio de la empresa se orienta a “objetivos y procesos de negocio”  -como, por ejemplo, la custodia de los activos-.

Contempla siete criterios básicos acerca de la información: eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de la normativa y fiabilidad.  Considera cinco grandes recursos SITIC: personal, aplicaciones,  tecnología, instalaciones y datos (6).

Se estructura en cuatro grandes áreas  -Planificación y Organización, Adquisición e Implantación, Prestación del Servicio y de la Asistencia, Monitorización-  que contienen treinta y cuatro procesos  -“objetivos de control de alto nivel”-,  que se desglosan en trescientos dieciocho “objetivos de control específicos” (7), por debajo de los cuales el ASITIC puede establecer sus propios “objetivos de detalle” (incluyendo las checklists  -listas de comprobación-  y pruebas que considere adecuadas).

CobiT es general, sin acepción de plataforma o de sector industrial.

Pero CobiT no está fundamentalmente destinado al ASITIC. CobiT es un Marco de Referencia para la buena gestión  -gobernanza-  de los SITIC. Contiene los citados Objetivos de Control, unas Directrices para Gestores y otras para Auditores.

CobiT podría leerse como las clásicas ‘cantigas de amigo paralelísticas’  en que los mismos versos están destinados alternativamente a él y a ella. Una lectura contiene las recomendaciones  -y esto es, en nuestra opinión, lo más importante-  de gobernanza para los directivos de la empresa y de los SITIC; otra lectura, las correspondientes a los ASITIC.

CobiT ha consultado  -y reitera el compromiso de seguir manteniendo actualizada la correspondencia con-  nada menos que cuarenta y una normas  –de facto y de iure–  internacionales sobre la materia; entre ellas, COSO, Cadbury, COCO o King.

Animo a todos  -directivos, técnicos y auditores-  a que se familiaricen más con el contenido, la estructura y las posibilidades de CobiT. No sorprende la aceptación internacional, ‘en bola de nieve’, que CobiT ha tenido; ni su adopción por empresas y organismos destacados. Se ha predicho  -en un estudio del META Group, de 2001-  que “para 2002-03, más del 30-40 % de las empresas del Global 2000 que desplieguen nuevas tecnologías y entren en nuevos mercados […] habrán adoptado un modelo similar a CobiT […]”.

Como dice ISACA: “La gobernanza de los SITIC es un buen negocio”.

Para terminar, como advertencia a quienes, por casualidad, puedan pretender realizar una ‘auditoría informática’, simplemente armados de una mera checklist, vaya el último verso de la fábula ‘El Burro Flautista’ de Tomás de Iriarte (1750-1791), publicada en 1782:

Sin regla del arte,
borriquitos hay
que una vez aciertan
por casualidad”.

 

Artículos relacionados

  1. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  2. Fraude y Auditoría de Sistemas (por Manolo Palao)
  3. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  4. Competencia y Auditoría de Sistemas (por Manolo Palao)
  5. Independencia y Auditoría de Sistemas (por Manolo Palao)
  6. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  7. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  8. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  9. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Nota de Manolo Palao: Voz recogida en el Diccionario de la Real Academia Española de la Lengua (DRAE). En su segunda acepción, sustantivo femenino anticuado, acción y efecto de gobernar o gobernarse.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El modelo CobiT vio la luz en su 3ª Edición en julio de 2000, para ser sustituido, en noviembre de 2005, por CobiT 4.0. Actualmente, y desde abril de 2007,  la versión en vigor es la 4.1, a la espera del, ya próximo, CobiT 5.

(6) CobiT 4 redujo los recursos de TI a cuatro grupos: personas, aplicaciones, información e infraestructuras.

(7) De nuevo, el autor ofrece una descripción de la versión de CobiT vigente en aquella época (2002). Las ediciones posteriores redujeron levemente el número total de “objetivos de control específicos”, colocándolo en torno a los dos centenares.

Gobernanza de TI se complace en presentarles un nuevo producto de la factoría Palao. Octava entrega de la serie “Texticulillos™”, correspondiente a 2002, mantiene plenamente su vigencia, a pesar del tiempo transcurrido. Las variadas situaciones que definen la coyuntura en la que hoy toca vivir  -crisis económica, de valores, desastres naturales y de otra índole, etc.-  son garantía suficiente de la máxima actualidad de un tema escogido hace casi una década: el riesgo.

Visto, como viene siendo habitual en los textos de aquella primera época, desde la perspectiva de la Aditoría de los Sistemas de Información, Manolo hace un repaso de los peligros que pueden amenazar la labor de los auditores y, por ende, la toma de decisiones de los receptores de las opiniones  -juicio profesional-  de aquellos: los miembros de los órganos de gobierno de las organizaciones, destinatarios últimos del resultado de la labor auditora.

La identificación, gestión y mitigación de tales riesgos, y de otros muchos asociados al uso de las Tecnologías de la Información, constituyen, por definición, un pilar fundamental  -aunque no exclusivo-  de cualquier aproximación, generalmente aceptada, a la Gobernanza de TI.

 

Texticulillo™ nº 8: Riesgo y Auditoría de Sistemas (1)(2)

El ASITIC (3) profesional sujeta su trabajo a normas profesionales.

Internacionalmente, la más reputada entidad normalizadora en este campo es ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

La Directriz 030.010.010, de ISACA, de 1 de septiembre de 2000 (5), “Uso de la Evaluación de Riesgos en la Planificación de la Auditoría“, trata de la “orientación al riesgo” en la auditoría profesional.

Las líneas que siguen proponen una reflexión sobre diversos aspectos de este tema.

En la vida, en las empresas, y en las auditorías, hay muchos riesgos. Prevenirlos, detectarlos, compensarlos o evitarlos está en el interés de todo quien va por derecho.

En nuestro caso, probablemente el riesgo más importante es el que corre el cliente generalizado  -la propia empresa auditada, terceros interesados (accionistas, clientes, proveedores) o la Sociedad en general-  del ASITIC, de tomar por bueno un informe malo. Ese es el denominado riesgo de la auditoría: el de dar una opinión incorrecta, induciendo, así, a error, a otros.

Dicho riesgo, en la práctica, no se puede medir (aunque en algunos casos, sí se puede estimar). A la postre, está acotado por la solvencia que el ASITIC nos merezca  -de ahí la importancia de que esté certificado-.

El ASITIC ejerce en la planificación de la auditoría su juicio discrecional, su criterio educado y basado en prácticas generalmente aceptadas. Es, probablemente, en esta fase inicial, donde hay más riesgo  -de exclusión de un área significativa, por ejemplo, o de inclusión de una irrelevante-.

El principio, generalmente usado, para planificar el ‘mapa’ de la auditoría es el de materialidad o importancia relativa  -volumen económico, respecto de todo el negocio, de esa área o de los riesgos que sobre ella gravitan-.

Los riesgos se suelen calcular como la esperanza matemática (producto de la probabilidad del siniestro por sus consecuencias económicas).

La métrica de la ‘materialidad’ es burda, pues ignora dimensiones  -no exclusiva ni directamente económicas-  de los siniestros, como pérdidas de vidas humanas o medioambientales, por citar casos extremos.

El estimador de la ‘esperanza matemática’ es también rudimentario. Es fácil de calcular en problemas de examen de bachillerato (“Mi tejado cuesta 30.000 €; he de reponerlo cada 10 años; ¿cuál es mi coste anual en tejados? [ignorar intereses e inflación]”); pero es mucho más difícil aplicarlo a un sistema (conjunto de elementos). La mera adición, elemento a elemento, es quizás abordable; pero, entonces, se ignoran los posibles antagonismos o sinergias de los controles.

Hay un sinnúmero de metodologías y paquetes informáticos para evaluación de riesgos. Muchos tienen aspectos apreciables; pero todos adolecen de la necesidad de intervenciones cruciales subjetivas y, los más sofisticados y caros, del inevitable alto ruido en los datos de entrada.

Estamos aún en una situación de alquimia, pero eso es lo que tenemos. Mi recomendación personal es mantenerse  en los niveles más sencillos y, en todo caso, antes de seguir, traspasar al decisor último  -¿el Consejo de Administración?-  la ratificación de las valoraciones realizadas.

Realizada por el ASITIC la planificación de la auditoría, con criterios de riesgo, éste procede a la auditoría de las diferentes áreas. Al efectuarla, debe tener presentes otros riesgos posibles.

El riesgo inherente a un área es la susceptibilidad de la misma a un error material  -por sí mismo, o en combinación con otros-  suponiendo que no hubiera los correspondientes controles internos.
 
El riesgo de control en un área es el de que pudiera tener lugar un error material que  -por sí mismo, o en combinación con otros-  no fuera prevenido/detectado/corregido, oportunamente, por el sistema de Control Interno.
 
El riesgo de detección es el de que las pruebas substantivas del ASITIC no detecten un error que pudiera ser material  -por sí mismo, o en combinación con otros-.

Parece claro que es un viaje proceloso. Al menos, se vislumbran algunos faros en el horizonte. Pero no es un viaje para aficionados.

 

Artículos relacionados

  1. Fraude y Auditoría de Sistemas (por Manolo Palao)
  2. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  3. Competencia y Auditoría de Sistemas (por Manolo Palao)
  4. Independencia y Auditoría de Sistemas (por Manolo Palao)
  5. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  6. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  7. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  8. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la directriz G13. Use of Risk Assessment in Audit Planning de ISACA.

Cuando Manolo Palao autorizó la reedición de sus “texticulillos” a través de las páginas de Gobernanza de TI acompañó ese generoso gesto de una adicional propuesta: actualizarlos, en el sentido de “evolucionar” las referencias explícitas a la disciplina de la Auditoría de Sistemas, sustituyéndolas por otras nuevas que apuntasen hacia el verdadero objeto de esta bitácora: el Gobierno Corporativo de TI.

Su oferta fue rechazada. Y, ello, por dos motivos:

  • por un lado, por tratarse de una propuesta no libre de esfuezos que iba a requerir, no sólo un cambio en los títulos, sino una revisión y adaptación de los numerosos textos  -¡Uds. no han conocido, hasta ahora, más que una mínima parte!-.  A juicio de Gobernanza de TI el mero hecho de la cesión del material ya constituía suficiente motivo de agradecimiento, sin falta de exigir de su autor original peajes extra; y,
  • en segundo lugar, porque existía la confianza en que el lector  -de nuevo, Uds.-,  aún no siendo un auditor, entendería sin dificultad la labor de éstos en un marco general de Gobierno Corporativo de TI, como instrumento integrante del sistema de garantía sobre el buen uso de las TIC, en el seno de las organizaciones. Esto es, porque tenía pleno sentido hablar de la Auditoría de Sistemas dentro de un discurso general de Buen Gobierno Corporativo de TI.

Estas justificaciones, válidas para los “texticulillos” de la primera época (2002-04)  -casi todos-,  se complementan, en el caso del texto de 2002 presentado hoy, con una tercera motivación: ¿para qué cambiar nada, si, en realidad, estamos hablando de lo mismo? En palabras del propio Palao: “… donde ayer la coyuntura nos llevó a hablar de ‘Auditoría de Sistemas’ (era el tema de moda), hoy hablaríamos de ‘Buen Gobierno’ (constituye la moda actual)“.

No puede ser más cierto. La referencia explícita de “Fraude y Auditoría de Sistemas” a la necesidad de establecer mecanismos de control interno conduce al origen mismo del concepto de Buen Gobierno Corporativo,en general, y “de TI”, en particular; tal y como recuerda la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology, al mencionar el Informe Cadbury  -y, por extensión, a todos cuantos le siguieron-  como génesis de los principios de Buen Gobierno que la propia norma recoge.

Sin mencionarlos  -la norma no existía en 2002; los principios, aunque no se apliquen, han existido siempre-  el autor hace un detallado repaso del papel de los principios generales de responsabilidad y de conducta humana en la aparición de fraudes en torno al [mal]  uso de las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo nº 7: Fraude y Auditoría de Sistemas (1)(2)

El  fraude y otros actos ilícitos, o irregulares, en los sistemas de información de empresas y organismos son motivo de alarma social, por su volumen conocido  -y eso es sólo la punta del iceberg-,  por su aparente simplicidad y por su vertiginoso crecimiento.

En estas líneas voy a soslayar datos cuantitativos detallados, que los hay  -una de las mejores fuentes es el FBI-.  Cerca de 2/3 de los fraudes y otros actos ilícitos, o irregulares, en informática, los comete el propio personal de las empresas y organismos. Por eso me concentraré en el fraude interno, dejando para otra ocasión los ‘ataques externos’.

Podría esperarse que el Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) fuera un eficaz preventor-detector de esos casos.

Sobre la prevención no dispongo, ni es fácil disponer, de información, aunque cualquiera familiarizado con el tema convendrá en la elevada contribución potencial del ASITIC.

Por lo que respecta a las detecciones, la mayoría de los fraudes se detectan por casualidad.

Ciertamente, un buen control interno  -el entramado de políticas y procedimientos que hacen que la empresa funcione como desean quienes pueden legítimamente decidirlo (3)-,  ‘vigilado’ por un ASITIC, prevendrá muchos fraudes internos y facilitará la detección de los que se comentan.

Entre las medidas de control interno recomendables, destacan dos de gestión del personal: la segregación de funciones y la sustitución temporal planificada de puestos de trabajo.

La segregación de funciones impide que una misma persona pueda simultanear dos funciones incompatibles  -su co-ejercicio implicaría una debilidad de control o un riesgo-.  El ejemplo clásico es el de cajero y contable. Tampoco se puede ser programador y operador. Una buena segregación de funciones previene el fraude, pues para realizarlo hace falta colusión (que varios se pongan de acuerdo), lo que lo hace más difícil.

La sustitución temporal planificada de puestos de trabajo supone, según ciertas estadísticas, la causa singular más frecuente de detección de fraudes internos  -¡por encima de los hallazgos de los auditores !-.

En su modalidad más sencilla  -tantas veces descuidada en España-  se materializa en vacaciones planificadas. Otra modalidad (que puede debilitar la segregación de funciones) es el fomento de la polivalencia y la rotación planificada de puestos.

Una buena gestión de personal (selección, evaluación, promoción, retribución, motivación) constituye parte de los ‘controles generales’ necesarios. Un clima de confianza es muy positivo; ¡pero no es un control!.

Los anteriores ejemplos de medidas de control interno pueden resultar muy difíciles de implantar en las PYMEs: no hay cabezas físicas para tantos sombreros. En estos casos hay que diseñar ‘controles compensatorios’ a las debilidades inevitables. Ejemplo de esos ‘controles compensatorios’ pueden ser arqueos, cuadres manuales, inventarios, pistas de auditoría, etc.

En las PYMEs  -como en los pueblos, comparados con las ciudades-  puede operar mejor el ‘control social’. Éste se manifiesta de muchas formas: identificación de actividades extrañas de una persona que trabaja en nuestro mismo recinto de trabajo; identificación de cambios en actitudes y comportamientos; identificación de un tren de vida sospechoso, etc.

Los ASITIC tienen formación y experiencia profesional idóneas para la recomendación y evaluación de esos tipos de controles. Sin embargo, la detección de fraudes no está entre sus principales misiones.

En EEUU, las Normas de Auditoría Generalmente Aceptadas (del inglés, GAAS, Generally Accepted Audit Standards) no están diseñadas para detectar el fraude, y de hecho, fue sólo hace unos pocos años cuando el Instituto Americano de Contadores Públicos Certificados (AICPA, The American Institute of Certified Public Accountants) en su Declaración sobre Normas de Auditoría (SAS, Statement on Auditing Standards) nº 82 introdujo por primera vez la palabra “fraude” en la regulación de la auditoría de cuentas.

Según la Directiva 030.010.010 (4), de 1 de julio de 2002, de la Asociación para la Auditoría y el Control de los Sistemas de Información (ISACA, Information Systems Audit and Control Association) el ASITIC que detecta un presunto fraude o acto ilícito  -sólo el juez determina qué es fraude o qué es ilícito-  debe ponerlo, inmediatamente, en conocimiento de su jefe o cliente (que, se supone, son miembros de la Alta Dirección), o de una persona u órgano interno superiores a ellos, si se sospecha que puedan estar implicados.

Deberá abstenerse, salvo que la ley local u otras normas o acuerdos le obliguen a ello, de denunciarlo ante las autoridades. Será la Alta Dirección quien lo haga, procurando minimizar el impacto negativo sobre la entidad. En todo caso, la Directiva aconseja al ASITIC prudencia y el recurso precoz a asesoría jurídica.

Es de prever que la normativa sobre investigación de fraudes e información sobre los hallazgos sea revisada pronto.

 

Artículos relacionados

  1. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  2. Competencia y Auditoría de Sistemas (por Manolo Palao)
  3. Independencia y Auditoría de Sistemas (por Manolo Palao)
  4. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  5. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  6. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  7. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) La definición ofrecida en este punto del concepto de ‘Control Interno‘ dista poco, a juicio de “Gobernanza de TI“, de la que podría hacerse de la expresión ‘Gobierno Corporativo de TI‘, en tanto que sistema de dirección  -establecimiento de directrices-  y control  -supervisión-  del que deberían valerse las personas a cargo de las organizaciones (las personas con potestad para la toma de decisiones).

(4) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S9. Irregularities and Illegal Acts y por la directriz G9. Audit Considerations for Irregularities and Illegal Acts de ISACA.

Gobernanza de TI les acerca, de nuevo, las reflexiones del veterano maestro Manolo Palao que ya disfrutaran, en la postrimerías del año 2002, los entonces miembros de la madrileña Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

El autor centra su discurso en los aspectos más operativos de la profesión de Auditor de los Sistemas de Información, de la que la toma de evidencias forma parte inexcusable.

Igualmente inexcusable debería resultar, para quienes están a cargo de dirigir y controlar   -gobernar-  el uso que de tales sistemas se hace dentro de las organizaciones, el hecho de dotarse de mecanismos de medición que les permitieran evidenciar su rendimiento, sustanciando con ello, el verdadero grado en que las Tecnologías de la Información contribuyen a la generación de valor para sus respectivas entidades.

¡Evidencien Uds. mismos la sustancia de este sexto “texticulillo”!

 

Texticulillo nº 6: Evidencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de presentar evidencias.

Según la Norma 060.020 (3) de ISACA (Information Systems Audit and Control Association): “Durante la auditoría, el auditor ha de obtener evidencia suficiente, fiable, pertinente y útil para cumplir con eficacia los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría tienen que basarse en análisis e interpretaciones adecuados de esa evidencia”.

El ASITIC, durante su auditoría, debe, pues, recoger información o generar  pruebas  -demostraciones-  objetivas y, preferiblemente, reproducibles.

Las pruebas disponibles para el ASITIC pertenecen generalmente a dos categorías: pruebas de cumplimiento y pruebas substantivas.

Las pruebas de cumplimiento tienden a evaluar si un control formalmente existente (por ejemplo, “Los programas en pruebas y en explotación se mantendrán en entornos físicos, o lógicos, claramente separados”) se cumple. Obtener evidencia en casos como éste puede hacerse mediante entrevistas, muestreos, análisis de directorios, etc.

Las pruebas substantivas suelen requerirse cuando en las pruebas de cumplimiento se han detectado incumplimientos, o cuando los controles formales se consideran insuficientes, y la materialidad  -importancia relativa-  del tema lo aconseja. En estas pruebas  -más costosas-  se intenta evaluar el impacto real en la organización del incumplimiento o debilidad detectados.

Para realizar las pruebas substantivas, el auditor dispone de una combinación de técnicas o herramientas de muestreo y análisis estadístico; de CAATT (Técnicas y Herramientas de Auditoría Asistida por Ordenador) que pueden permitir, por ejemplo, reproducir independientemente los cálculos de un programa o reclasificar los contenidos de una base de datos; de “circularizaciones” (confirmaciones externas de saldos); etc.

Es el juicio discrecional del ASITIC el que debe definir el plan de auditoría  -basado en el conocimiento de la empresa y en un estudio preliminar de riesgos-;  el que debe seleccionar, o diseñar, y efectuar las pruebas  -de cumplimiento y, en su caso, substantivas-;  y el que debe reflejarlo en las conclusiones de la auditoría  -y, en todo caso, en los ‘papeles de trabajo’-.

 

Artículos relacionados

  1. Competencia y Auditoría de Sistemas (por Manolo Palao)
  2. Independencia y Auditoría de Sistemas (por Manolo Palao)
  3. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  4. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  5. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S14. Audit Evidence de ISACA.

Como ya ocurriera con la entrega anterior, dedicada a la independencia, este nuevo “texticulillo” de Manolo Palao  -el quinto-  vuelve a poner el foco en uno de los atributos que deberían acompañar a todo auditor de sistemas de información: la competencia profesional.

En relación a este asunto, Gobernanza de TI reproducía, hace unos meses, en estas mismas páginas, el deseo expresado por D. Juan Ramón Quintás Seoane de tecnificar los consejos de administración de las organizaciones; esto es, de poblarlos con individuos dotados de las oportunas competencias. Como recordarán, el Sr. Quintás se refería a competencias vinculadas a la Economia y el Derecho.

Manolo Palao lleva esa misma necesidad, con sus peculiaridades, al terreno de los auditores, en tanto que pieza clave de todo sistema de Gobierno Corporativo de TI.

Disfruten de sus nuevas reflexiones; pero no olviden la audiencia particular para la que fueron originalmente escritas: la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA). En este sentido, les ruego, una vez más, que sepan disculpar las referencias del autor a la actualidad y contexto particulares de aquellos momentos.

 

Texticulillo nº 5: Competencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de ser profesionalmente competente, en su cometido.

Tratar sobre la competencia profesional es siempre una tarea ardua, dada la complejidad del tema y los muchos intereses que hay en juego. En el caso de los ASITIC, es aún más ardua, como me propongo razonar mas adelante.

El DRAE define ‘competencia’  -en la acepción que, aquí, interesa-  como ‘aptitud’, ‘idoneidad’.

Por ‘profesional’ quiero entender, aquí, a quien desempeña una actividad, basada en conocimientos y habilidades; en la cual, el juicio discrecional  -en línea con las “buenas prácticas generalmente aceptadas”-  prima sobre la mera, y rutinaria, aplicación de procedimientos.

Esa definición no concuerda plenamente con otras más canónicas al uso (ostentar ciertas titulaciones y pertenecer a ciertos colegios), pero  -en terminología de conjuntos-  la intersección de ambas no es vacía. Y cuadra perfectamente con los ASITIC, que son nuestro tema.

El problema de discutir la competencia-aptitud-idoneidad de los ASITIC supera al de una gran mayoría de otras profesiones, dado su muy marcado carácter transdisciplinar.

Lo transdisciplinar es propio de nuestras sociedades post-modernas  -sin olvidar figuras señeras como L. da Vinci, H. Simon, e incluso B. Russell-.  Así, no sorprenden híbridos como bio-físico, agro-alimentario, o psico-acústico. Pero se trata, en general, de espacios de intersección de dos  -o unas pocas-  disciplinas, o subespecializaciones de una sola.

Lo que caracteriza, en cambio, al ASITIC es que ha de ser una ‘sección transversal’  -ciertamente, selectiva y esquematizada-  de todas las disciplinas que intervienen en los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones, que son unas cuantas y con cambios acelerados.

La propia y prolija expresión completa que resume el acrónimo ASITIC es ya una indicación de esa extensión de disciplinas; aún no habiéndose explicitado otras obvias, como  -sin resultar exhaustivos-:  el derecho, la estrategia empresarial, la organización, la racionalización del trabajo, la gestión de proyectos o la criptografía.

Hay muchas formas complementarias de obtener reconocimiento personal en las profesiones:

  1. Inexplicable (azar, mafias, …).
  2. Autoproclamación (Buda, Colón, Pinochet, …).
  3. Creencia de la opinión pública (Madonna, Aznar, …).
  4. Reconocimiento privado (empresa, asociación) [“asimilado a Técnico de Grado Superior”, “No hay como Paco para reparar lavadoras”].
  5. Titulación de Formación Vocacional (fontanero, …).
  6. Titulación Gremial (Oficial de 2ª, …).
  7. Titulación Universitaria (Licenciado en Derecho, …).
  8. Regulaciones Oficiales (Abogado, Traductor Jurado, …).
  9. Certificación de Persona como Profesional, por Entidad de Certificación (Auditor Jefe de Calidad, …).
  10. Práctica con éxito (Bofill, …).
  11. Oposiciones y Concursos (Bombero, Campeón de Mus, …).

Dejamos al sagaz lector  -probablemente sobrado de referencias directas-  la comparación de las ventajas e inconvenientes de unos y otros métodos.

En el caso del ASITIC, el enfoque más recomendable, por su rapidez, objetividad, flexibilidad, pragmatismo y ratio coste/eficacia nos parece el de la Certificación de Personas como Profesionales, por una Entidad de Certificación.

El modelo indiscutible es el de ISACA (Information Systems Audit and Control Association)  -probablemente la mayor y más prestigiada asociación profesional de ASITIC-  que administra la certificación CISA, la cual acredita de modo continuado la idoneidad del ASITIC.

Naturalmente, puede ocurrir, incluso con frecuencia, que un ASITIC competente se enfrente a un tema o área en que no se considera competente. El Código de Ética Profesional de ISACA y su Norma 040.010 (3) le obligan a no entrar directamente en esa área. El enfoque recomendado es buscar un experto en la misma  -incluso no ASITIC-,  independiente, delegarle formalmente un mandato específico y reflejar la delegación y sus resultados en la documentación.

 

Artículos relacionados

  1. Independencia y Auditoría de Sistemas (por Manolo Palao)
  2. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  3. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  4. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  5. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S4. Competency de ISACA.