Cualquiera que afirme que el principal objetivo de un empresa privada  -frente a la pretendida, a priori, finalidad social de las empresas públicas-  es el excesivamente simplista “¡ganar dinero!“, estará incurriendo en un grave error. Por encima de cualquier otra consideración, la principal meta de toda compañía privada es   -desde una perspectiva de Buen Gobierno Corporativo, habrá de ser-  garantizar su perdurabilidad, la permanencia y continuidad de su actividad, en el tiempo. Sólo de ese modo tendrá sentido plantearse otros objetivos. [Presumiblemente, el más importante  -pero en segundo lugar-,  el referido más arriba].

La obviedad del anterior razonamiento es evidente, por simple: la inexistencia, la desaparición, de la empresa invalidará automaticamente cualquier otra pretensión de rentabilidad y beneficio  -por ejemplo, para los que hasta ese momento hayan sido sus propietarios o accionistas-.  ¡Sencillamente, ya no aplicará!

El cortoplacismo que, en gran medida, rige, hoy, la vida corporativa  -lamentablemente, no es la única que rige-  es uno de los principales inhibidores de la continuidad de los negocios. El caso ENRON, por lo muy documentado y divulgado  -véase “ENRON. Los tipos que estafaron a América“-,  resulta uno de los más paradigmáticos. En él  -y en el propio documental-  queda ampliamente reflejada la incompatibilidad entre la meta de “ganar dinero”, planteada como meta prioritaria, y la de mantenerse en el mercado. ¡Pregúntenles, si no, a los accionistas de la compañia! Eso, por no hablar de sus empleados y, por tanto, futuros jubilados, destinatarios últimos de sus fondos de pensiones.

El tema, ampliamente discutido en los foros profesionales sobre Buen Gobierno Corporativo, se materializa en la “contaminación”  -desde la perspectiva del conflicto de intereses-  que muestran los consejos de administración, cuando en ellos participan miembros de los propios equipos directivos de las compañías. Estos consejeros ejecutivos, particularmente, cuando haya suculentas primas por resultados sobre la mesa, deberán equilibrar dos fuerzas contrapuestas: a) de un lado, su particular interés por alcanzar un rápido crecimiento, garantizándose, con ello, su gratificación personal; b) y, de otro, el de sus representados en el Consejo, esto es, la Junta de Accionistas  -y, por extensión, el de toda la propiedad-,  quienes, presumiblemente, querrán ver el beneficio mantenido en el tiempo y no sólo en un momento puntual. ¡Ni Lay, ni Skilling alcanzaron dicho equilibrio!

Al hilo de esta necesidad de garantizar una larga vida a los negocios, como premisa de otros éxitos empresariales, Manolo Palao acerca a Gobernanza de TI este nuevo Texticulillo™ en el que expone el papel que, en este asunto,  juegan las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo™ nº 12: Continuidad del Negocio y Auditoría de Sistemas (1)(2)

En otro artículo de esta serie, he descrito la revolución que, para la ASITIC (3), supuso la publicación, en 1996, de CobiT, por el Instituto para la Gobernanza de los SITIC, a su vez, parte de ISACA (4).

CobiT es un instrumento para la gobernanza de los SITIC, puesto a disposición de directivos y auditores, para facilitar el buen gobierno y el control de los sistemas de que aquellos se ocupan.

La revolución que CobiT supuso fue la de plantear la gestión de la totalidad de los SITIC al servicio de la empresa (u organismo).

Y uno de los objetivos primordiales de toda empresa es la continuidad de sus operaciones; al menos, las vitales.

El enfoque hacia la Gestión de la Continuidad del Negocio ha ido evolucionando con el tiempo, adoptando en los últimos años formas más estratégicas e integradas.

Comenzó hablándose de Recuperación ante Desastres, después se habló de Reanudación de la Operativa del Negocio y, sólo posteriormente, se ha tratado la Continuidad del Negocio (5). Yo me atreví, hace unos años, a pronosticar que ese planteamiento evolucionaría hacia el de la Continuidad de la Cadena Logística.

A toda empresa le interesa sobrevivir, con costes controlados, a una alteración o interrupción de sus operaciones.

Los atentados del 11-S, y sus consecuencias, han aumentado la concienciación por estos temas. Los accidentes también acarrean, en ocasiones, graves consecuencias.

Cuando escribo estas líneas la prensa dice que “La compañía Iberia logró ayer por la mañana, tras 21 horas de caos absoluto, resolver la avería que le ha obligado a cancelar 48 vuelos y provocó retrasos en otros 970” (6).

Convencionalmente, podemos clasificar las perturbaciones a la buena marcha de la empresa como incidencias, siniestros y catástrofes.

Las incidencias son disfunciones menores  -en ocasiones usuales-  que el sistema productivo absorbe (y, a veces, corrige automáticamente). Ejemplos de ellas pueden ser las averías locales, las interrupciones breves, los errores corregibles con un esfuerzo limitado.

Los siniestros son perturbaciones mayores que pueden causar interrupciones de horas o días y conllevar costes  -de prevención, de detección y/o de corrección-  significativos.

Las catástrofes son siniestros mayores que pueden suponer una larga interrupción de las operaciones y llevar al cierre definitivo de la empresa. Según un estudio de la Universidad de Tejas (7), relativo a fábricas, “tras una catástrofe, un 43% nunca reabre, un 51% sobrevive, pero está fuera del mercado en 2 años y sólo el 6% logra sobrevivir a largo plazo“.

Incidencias, siniestros y catástrofes pueden ser directos o indirectos  -a través de los SITIC, que es lo que aquí nos concierne; o por otros servicios (el eléctrico, por ejemplo)-.  Un fuego en la fábrica sería un siniestro directo; una inundación en el centro de cálculo lo sería indirecto para la empresa entera, con la concepción de la informática al servicio de la empresa antes expuesta. Muchas empresas tienen una alta y creciente dependencia de sus SITIC, lo que desdibuja esa distinción entre directo e indirecto.

La empresa debe partir de una clasificación de sus SITIC. Una clasificación usual permite hablar de sistemas críticos  -no pueden ser reemplazados por métodos manuales; el coste de la interrupción es muy alto-,  vitales  -durante un período breve pueden ser ejecutados a mano-,  sensibles  -pueden realizarse manualmente durante períodos largos, a costes razonables-  y no críticos  -pueden interrumpirse durante plazos largos, a coste bajo-.

Un estudio de la Universidad de Minesota (8) citado por el Prof. Dr. Jorge Ramió Aguirre (9) del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la UPM indica “períodos críticos de recuperación”  -para no poner en peligro su supervivencia-  de los sistemas de información: inferiores a los siete días (con carácter general, en todos los sectores), e inferiores a los dos días (en el sector financiero).

Para los distintos sistemas  -y según su criticidad en el tiempo-  hay que tener previstas medidas, que deben estar recogidas en un Plan integrado de Continuidad del Negocio, debidamente actualizado, difundido  -Kodak, por ejemplo, lo hace por su intranet-  y probado.

Entre las medidas preventivas figuran el tener copias actualizadas de programas y datos en un almacén remoto, disponer de líneas de comunicaciones redundantes y tener probado un centro de cálculo alternativo, también, remoto. Esto último admite diversas variantes  -de distinto coste y eficacia-,  desde un acuerdo de reciprocidad de ayuda con otra empresa, a tener centros de cálculo redundantes, con una instalación más o menos básica, o con una completa.

Los ASITIC tienen formación y experiencia especializadas para ayudar a establecer dichos planes y para comprobar la idoneidad de su gestión.

CobiT contiene excelentes recomendaciones para Directivos y Auditores de SITIC en relación con la Continuidad del Negocio.

El portal Contingency Planning (10)  -lamentablemente sólo en inglés-  reúne una variedad de informaciones y servicios relacionados con la continuidad del negocio. Nadie interesado en este tema debería dejar de registrarse y estudiarlo.

En su sección dedicada a “Defensas ante Interrupciones” (del inglés, “Disruption Defenses“) (11), trata los diversos riesgos con un amigable formato de ficha técnica, con los siguientes apartados: “Causa y Efecto“; “Dónde y Cuándo“; “Medidas Mitigadoras“; “Tras el Siniestro“; “Consejo del Experto” y “Un Caso Real“.

No me resisto  -por si alguien cree que ya tiene su plan de continuidad bastante completito–  a ofrecer la lista de los riesgos cubiertos en esas fichas:

Accesos no Autorizados; Adicciones en el Puesto de Trabajo; Apagones; Ataques con Virus [biológicos]; Ataques de Denegación de Servicio; Clima Invernal; Conflictos Laborales; Crimen de Cuello Blanco; Disfunciones en Entregas; Emergencias Médicas; Espionaje; Factor Humano; Falta de Mano de Obra; Falta de Registros; Fallos de Ordenador; Fallos de Energía; Fuego; Fusiones y Adquisiciones; Piratas Informáticos; Huracanes; Instalaciones con Varias Empresas Usuarias; Interrupciones de Transporte; Inundaciones; Moral de los Empleados; Planificación de Sucesiones; Problemas Legales; Publicidad Negativa; Reubicación del Negocio; Riesgos Biológicos; Riesgos Medioambientales; Síndrome del Edificio Enfermo; Temas relacionados con la Plantilla; Terremotos; Tormentas Invernales; Tormentas de Nieve; Tormentas Eléctricas; Tornados; Tumultos; Violencia en el Puesto de Trabajo; Virus de Ordenador.

 

Artículos relacionados

  1. DC y Auditoría de Sistemas (por Manolo Palao)
  2. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  3. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  4. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  5. Fraude y Auditoría de Sistemas (por Manolo Palao)
  6. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  7. Competencia y Auditoría de Sistemas (por Manolo Palao)
  8. Independencia y Auditoría de Sistemas (por Manolo Palao)
  9. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  10. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  11. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  12. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El término de moda, hoy, es, sin duda, ‘resilience‘ -la ‘resiliencia‘ como, con toda probabilidad, diría Palao-,  la elasticidad de que deberían estar dotadas las organizaciones a fin de ser capaces de resistir ante adversidades importantes que afecten a sus sistemas de información y de recuperar su “forma” original, su operativa previa al impacto. Piense en el comportamiento de los modernos edificios japoneses tras recibir el envite de un terremoto.

(6) Fuente: Diario “El País“. Verónica Martín/Carlos E. Cué. Madrid, 9 de noviembre de 2002. URL: http://www.elpais.com/articulo/espana/Iberia/repara/averia/despues/21/horas/caos/48/vuelos/cancelados/elpepiesp/20021109elpepinac_4/Tes.

(7) El tiempo transcurrido desde la publicación inicial de este Texticulillo™ ha hecho imposible recuperar la referencia original. No obstante, documentos posteriores, más recientes, apuntan al Emergency Management Forum americano como fuente de la cita.

 (8) Como en (7), la referencia al documento original se ha perdido.

(9) Véase (8).

(10) El autor hace referencia, en este punto, al antiguo portal de Internet “Contingency Planning” localizado a finales de 2002 en la URL http://www.contingencyplanning.com. Hoy día, la misma remite a la dirección-e http://contingencyplanning.com que alberga la sede web de la conferencia y exposición “Contingency Planning & Management“.

(11) Véase (10).

Anuncios

Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

Cuando Manolo Palao autorizó la reedición de sus “texticulillos” a través de las páginas de Gobernanza de TI acompañó ese generoso gesto de una adicional propuesta: actualizarlos, en el sentido de “evolucionar” las referencias explícitas a la disciplina de la Auditoría de Sistemas, sustituyéndolas por otras nuevas que apuntasen hacia el verdadero objeto de esta bitácora: el Gobierno Corporativo de TI.

Su oferta fue rechazada. Y, ello, por dos motivos:

  • por un lado, por tratarse de una propuesta no libre de esfuezos que iba a requerir, no sólo un cambio en los títulos, sino una revisión y adaptación de los numerosos textos  -¡Uds. no han conocido, hasta ahora, más que una mínima parte!-.  A juicio de Gobernanza de TI el mero hecho de la cesión del material ya constituía suficiente motivo de agradecimiento, sin falta de exigir de su autor original peajes extra; y,
  • en segundo lugar, porque existía la confianza en que el lector  -de nuevo, Uds.-,  aún no siendo un auditor, entendería sin dificultad la labor de éstos en un marco general de Gobierno Corporativo de TI, como instrumento integrante del sistema de garantía sobre el buen uso de las TIC, en el seno de las organizaciones. Esto es, porque tenía pleno sentido hablar de la Auditoría de Sistemas dentro de un discurso general de Buen Gobierno Corporativo de TI.

Estas justificaciones, válidas para los “texticulillos” de la primera época (2002-04)  -casi todos-,  se complementan, en el caso del texto de 2002 presentado hoy, con una tercera motivación: ¿para qué cambiar nada, si, en realidad, estamos hablando de lo mismo? En palabras del propio Palao: “… donde ayer la coyuntura nos llevó a hablar de ‘Auditoría de Sistemas’ (era el tema de moda), hoy hablaríamos de ‘Buen Gobierno’ (constituye la moda actual)“.

No puede ser más cierto. La referencia explícita de “Fraude y Auditoría de Sistemas” a la necesidad de establecer mecanismos de control interno conduce al origen mismo del concepto de Buen Gobierno Corporativo,en general, y “de TI”, en particular; tal y como recuerda la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology, al mencionar el Informe Cadbury  -y, por extensión, a todos cuantos le siguieron-  como génesis de los principios de Buen Gobierno que la propia norma recoge.

Sin mencionarlos  -la norma no existía en 2002; los principios, aunque no se apliquen, han existido siempre-  el autor hace un detallado repaso del papel de los principios generales de responsabilidad y de conducta humana en la aparición de fraudes en torno al [mal]  uso de las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo nº 7: Fraude y Auditoría de Sistemas (1)(2)

El  fraude y otros actos ilícitos, o irregulares, en los sistemas de información de empresas y organismos son motivo de alarma social, por su volumen conocido  -y eso es sólo la punta del iceberg-,  por su aparente simplicidad y por su vertiginoso crecimiento.

En estas líneas voy a soslayar datos cuantitativos detallados, que los hay  -una de las mejores fuentes es el FBI-.  Cerca de 2/3 de los fraudes y otros actos ilícitos, o irregulares, en informática, los comete el propio personal de las empresas y organismos. Por eso me concentraré en el fraude interno, dejando para otra ocasión los ‘ataques externos’.

Podría esperarse que el Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) fuera un eficaz preventor-detector de esos casos.

Sobre la prevención no dispongo, ni es fácil disponer, de información, aunque cualquiera familiarizado con el tema convendrá en la elevada contribución potencial del ASITIC.

Por lo que respecta a las detecciones, la mayoría de los fraudes se detectan por casualidad.

Ciertamente, un buen control interno  -el entramado de políticas y procedimientos que hacen que la empresa funcione como desean quienes pueden legítimamente decidirlo (3)-,  ‘vigilado’ por un ASITIC, prevendrá muchos fraudes internos y facilitará la detección de los que se comentan.

Entre las medidas de control interno recomendables, destacan dos de gestión del personal: la segregación de funciones y la sustitución temporal planificada de puestos de trabajo.

La segregación de funciones impide que una misma persona pueda simultanear dos funciones incompatibles  -su co-ejercicio implicaría una debilidad de control o un riesgo-.  El ejemplo clásico es el de cajero y contable. Tampoco se puede ser programador y operador. Una buena segregación de funciones previene el fraude, pues para realizarlo hace falta colusión (que varios se pongan de acuerdo), lo que lo hace más difícil.

La sustitución temporal planificada de puestos de trabajo supone, según ciertas estadísticas, la causa singular más frecuente de detección de fraudes internos  -¡por encima de los hallazgos de los auditores !-.

En su modalidad más sencilla  -tantas veces descuidada en España-  se materializa en vacaciones planificadas. Otra modalidad (que puede debilitar la segregación de funciones) es el fomento de la polivalencia y la rotación planificada de puestos.

Una buena gestión de personal (selección, evaluación, promoción, retribución, motivación) constituye parte de los ‘controles generales’ necesarios. Un clima de confianza es muy positivo; ¡pero no es un control!.

Los anteriores ejemplos de medidas de control interno pueden resultar muy difíciles de implantar en las PYMEs: no hay cabezas físicas para tantos sombreros. En estos casos hay que diseñar ‘controles compensatorios’ a las debilidades inevitables. Ejemplo de esos ‘controles compensatorios’ pueden ser arqueos, cuadres manuales, inventarios, pistas de auditoría, etc.

En las PYMEs  -como en los pueblos, comparados con las ciudades-  puede operar mejor el ‘control social’. Éste se manifiesta de muchas formas: identificación de actividades extrañas de una persona que trabaja en nuestro mismo recinto de trabajo; identificación de cambios en actitudes y comportamientos; identificación de un tren de vida sospechoso, etc.

Los ASITIC tienen formación y experiencia profesional idóneas para la recomendación y evaluación de esos tipos de controles. Sin embargo, la detección de fraudes no está entre sus principales misiones.

En EEUU, las Normas de Auditoría Generalmente Aceptadas (del inglés, GAAS, Generally Accepted Audit Standards) no están diseñadas para detectar el fraude, y de hecho, fue sólo hace unos pocos años cuando el Instituto Americano de Contadores Públicos Certificados (AICPA, The American Institute of Certified Public Accountants) en su Declaración sobre Normas de Auditoría (SAS, Statement on Auditing Standards) nº 82 introdujo por primera vez la palabra “fraude” en la regulación de la auditoría de cuentas.

Según la Directiva 030.010.010 (4), de 1 de julio de 2002, de la Asociación para la Auditoría y el Control de los Sistemas de Información (ISACA, Information Systems Audit and Control Association) el ASITIC que detecta un presunto fraude o acto ilícito  -sólo el juez determina qué es fraude o qué es ilícito-  debe ponerlo, inmediatamente, en conocimiento de su jefe o cliente (que, se supone, son miembros de la Alta Dirección), o de una persona u órgano interno superiores a ellos, si se sospecha que puedan estar implicados.

Deberá abstenerse, salvo que la ley local u otras normas o acuerdos le obliguen a ello, de denunciarlo ante las autoridades. Será la Alta Dirección quien lo haga, procurando minimizar el impacto negativo sobre la entidad. En todo caso, la Directiva aconseja al ASITIC prudencia y el recurso precoz a asesoría jurídica.

Es de prever que la normativa sobre investigación de fraudes e información sobre los hallazgos sea revisada pronto.

 

Artículos relacionados

  1. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  2. Competencia y Auditoría de Sistemas (por Manolo Palao)
  3. Independencia y Auditoría de Sistemas (por Manolo Palao)
  4. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  5. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  6. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  7. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) La definición ofrecida en este punto del concepto de ‘Control Interno‘ dista poco, a juicio de “Gobernanza de TI“, de la que podría hacerse de la expresión ‘Gobierno Corporativo de TI‘, en tanto que sistema de dirección  -establecimiento de directrices-  y control  -supervisión-  del que deberían valerse las personas a cargo de las organizaciones (las personas con potestad para la toma de decisiones).

(4) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S9. Irregularities and Illegal Acts y por la directriz G9. Audit Considerations for Irregularities and Illegal Acts de ISACA.

La norma ISO/IEC 38500:2008. Corporate governance of intormation technology recoge entre sus principios generales de Buen Gobierno dos que, de forma clara, inciden en atributos como la imputabilidad, la profesionalidad, la integridad, la honestidad, la ética, … (la enumeración podría continuar), de aquellos individuos involucrados, en algún sentido, en los sistemas de gobernanza de las TIC. Se trata, como ya habrán adivinado, del principio de responsabilidad y, particularmente, del principio de conducta humana.

El “texticulillo” de Manolo Palao que hoy les acerca ‘Gobernanza de TI‘ detiene su atención, precisamente, en esos principios, al recordar la transcendencia y el valor fundamental de la independencia y el comportamiento personal de los auditores de sistemas, en el ámbito particular de las actividades de Control de las TI y, por extensión, en el de un marco general de  Buen Gobierno Corporativo de TI.

Como ya se advirtiera en la presentación de esta serie, no deberán extrañar las referencias del autor a la actualidad y contexto particulares del momento en que fueron escritos  -aproximadamente, el bienio comprendido entre el otoño de 2002 y el inverno de 2004-  y a la audiencia a la que fueron, originalmente, dirigidos:  la comunidad de miembros de la entonces llamada Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA).

Este cuarto “texticulillo” es, más que ninguno de los reeditados hasta ahora, un claro exponente de lo anterior.

 

Texticulillo nº 4: Independencia y Auditoría de Sistemas (1)(2)

El sentido común organizativo y diversas normas exigen la independencia  -y apariencia de independencia-  del Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC).

Hago aquí unas reflexiones sobre este tema de la independencia del ASITIC, aplicables en sus aspectos generales a todas las auditorías, más allá de las de los sistemas de información.

El auditor ejerce una función de control: compara la realidad con un documento normativo, público o privado, que expone cómo se desea que sea esa realidad. Como resultado de esa comparación, objetiva y substanciada con pruebas,  emite una opinión  –”limpia”, o “con salvedades”—  y, eventualmente, unas recomendaciones.

El auditor no puede ser “juez y parte”, por lo que debe ser independiente  -y parecerlo-  del objeto auditado.

Ello implica, por ejemplo, que el ASITIC no puede auditar un sistema de información en cuyo desarrollo haya trabajado  -salvo por su posible contribución a la especificación de los controles y funciones de auditoría incorporados a ese sistema; y otros casos tasados-.  En situaciones de previsible conflicto, el tema debe aclararse por adelantado. La Directriz 020.010.010 de ISACA cubre esto en detalle (3).

Pero además, el ASITIC ha de ser suficientemente independiente de su cliente. La palabra clave aquí es “suficientemente“, dado que es obvio que la total independencia resulta imposible, debido a la necesaria “relación” con el citado cliente.

Esa “relación con el cliente” puede ser laboral  (Auditoría Interna) o profesional (Auditoría Externa). En el primer caso, se formaliza mediante el Estatuto de Auditoría; y, en el segundo, por la Carta de Encargo (o instrumentos equivalentes).

El Estatuto de Auditoría o la Carta de Encargo explicitan el mandato que el auditor recibe y las circunstancias de ese mandato. Detallan el encuadre orgánico del auditor interno y el representante del cliente, para el externo. Deben establecer claramente la responsabilidad, autoridad e imputabilidad de la función ASITIC, así como los objetivos, ámbito, recursos y restricciones del mandato de auditoría.

El encuadre orgánico o el representante del cliente, según sea el caso, cualifican la independencia. En ambos casos, el criterio de oro es que haya una razonable distancia, y superioridad, entre aquellos y el objeto auditado.

Eso supone que el encuadre orgánico  -respectivamente, el representante del cliente-  debe (casi sin excepción) estar en una rama del organigrama distinta de la de la Función Informática, y en un nivel igual o superior a ella.

Además, si como es frecuente, el objeto de la auditoría son sistemas integrados (multi-departamentales), o estratégicos a nivel corporativo, la misma exigencia de distancia y superioridad eleva al encuadre orgánico/representante del cliente a la cima de la estructura empresarial.

La fórmula más recomendable, y la que se está adoptando por las grandes empresas, consiste en que el encuadre orgánico/representante del cliente sea un Comité de Auditoría nombrado en el seno del Consejo de Administración. ¡Esta fórmula maximiza distancia, superioridad y especialización!

Los recientes cambios en los consejos de administración de la Banca española, y las recomendaciones de la SEC en EEUU, siendo mucho más amplios que el tema que aquí nos ocupa, van en la línea de propiciar la independencia.

¡Además de ser independiente, el ASITIC debe parecerlo, por su actitud y circunstancias! Tiene que ser y sentirse independiente como individuo. Ello se logra con profesionalidad; y se potencia y refuerza por el asociacionismo profesional y por las certificaciones profesionales.

ISACA (Information Systems Audit and Control Association) es probablemente la mayor y más prestigiada asociación profesional de ASITIC. Publica un Código de Ética Profesional y unas Normas (en particular, la citada serie 020, relativa a la independencia); y administra la certificación CISA (Certified Information Systems Auditor), que acredita de modo continuado la idoneidad del ASITIC.

Hasta que no se disponga de una certificación más idónea, mejor adaptada a nuestro contexto  –proyecto prioritario para ASIA (4)-,  CISA es la mejor opción disponible.

 

Artículos relacionados

  1. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  2. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  3. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigentes en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S2. Independence y por las directrices G12. Organisational Relationship and Independence y G17. Effect of Nonaudit Role on the IS auditor’s Independence de ISACA.

(4) ASIA, Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones, actual Capítulo de Madrid (183) de ISACA. Esta, tan directa, referencia a la Asociación contextualiza de forma nítida el objetivo y la audiencia a la que iba dirigido el “texticulillo” en su edición original.

Presentada durante la Asamblea General de socios celabrada en la primavera de 2009, la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (CoBGCTIC), del Capítulo de Madrid (183) de ISACA, quedaba formalmente constituida hace ahora, exactamente, un año.

El balance de estos primeros doce meses de rodaje no puede ser más positivo. Desde el punto de vista del interés profesional que ha suscitado, cabe recordar, en primer lugar, el gran éxito que tuvo la convocatoria de adhesión lanzada  -dirigida, específicamente, a los miembros del Capítulo-,  en el período previo a su constitución. A ello siguió la numerosa afluencia de vocales, presentes en la reunión constituyente; y, finalmente, la dedicación y el compromiso que todos ellos han demostrado a lo largo de su participación en el desarrollo de las tareas encomendadas.

En segundo lugar y, tal vez, de mayor relevancia, merece, también, una especial mención el logro de los objetivos fijados para la Comisión. Los trabajos definidos para el período 2009-10 han seguido, en todo momento, el plan establecido; habiendo sido, el pasado 6 de mayo, testigo de la presentación de los primeros resultados. La celebración, ese día, de la XXVII Charla Técnica del capítulo madrileño permitió hacer públicos los “entregables” elaborados por el Sub-Comité 1 de la CoBGCTIC: el documento Gobierno Corporativo de TI. Guía breve de Autoevaluación y su herramienta de apoyo. A la Guía seguirán otros trabajos, relacionados con la extensa bibliografía existente sobre la disciplina de la Gobernanza TIC, con el grado de adopción de mecanismos de Gobierno Corporativo de TI por parte de las organizaciones, con la Arquitectura de Empresa como parte de tales mecanismos o con las herramientas de soporte a las iniciativas de Gobierno TIC. Las Jornadas 2010 de ISACA Madrid, próximas a celebrarse (1), serán un excelente marco para la puesta de largo de todas estas iniciativas.

A partir de hoy, y siempre con el respaldo de la Junta Directiva del Capítulo, la CoBGTIC avanza hacia su siguiente etapa. Con algunas caras renovadas en el seno de la Comisión, también nuevas propuestas verán la luz. La primera, orientada estudiar el modo de hacer llegar, verdaderamente, el mensaje del Gobierno Coporativo de TI a las organizaciones del panorama empresarial español.

 

Artículos relacionados

 

(1) Las Jornadas 2010 de ISACA, Capítulo de Madrid (183) se celebrarán los próximos días 28 y 29 de septiembre, bajo el lema “Contribución y Riesgos de TI: Equilibrio inteligente para afrontar el futuro“.

¡Habrá que confiar en que la FEF recoja el guante del gobierno de TI y lo refleje de manera explícita en su próxima entrega del que será, ya, Observatorio 2009!

Con esa frase finalizaba la breve crónica publicada por ‘Gobernanza de TI‘, hace apenas un año, sobre el acto de presentación de los resultados del ‘Observatorio de Gobierno Corporativo y Transparencia Informativa de las Sociedades Cotizadas en el Mercado Continuo Español. 2008‘ de la Fundación de Estudios Financieros (FEF).

En esta ocasión, y adelantándose notablemente a la fecha del ejercicio pasado, el Hotel Ritz de Madrid volvía a acoger, el pasado 9 de febrero, una nueva cita con la Fundación: la presentación del Observatorio de Gobierno Corporativo, en su edición 2009.

El numeroso público que ocupaba las sillas dispuestas para la ocasión en el salón Alfonso XIII  -un centenar largo de personas, sin contar los representantes de los medios de prensa acreditados-,  ofreció, ya, un primer balance muy positivo del interés, sin duda creciente, que en el mundo corporativo existe hacia esta disciplina.

A lo largo de la sesión, moderada por D. Xavier Adserà Gebellí, Presidente de la FEF, quien actuó de anfitrión, se ofrecieron sendas ponencias por parte de los miembros de la mesa: en primer lugar, intervino D. Rafel Crespí Cladera, Catedrático de Organización de Empresas del Departamento de Economía de la Empresa de la Universidad de las Islas Baleares; y, a continuación, lo hizo D. Juan Ramón Quintás Seoane, Presidente de la Confederación Española de Cajas de Ahorros (CECA), e invitado de honor de la jornada, quien ofreció una charla sobre el papel de las prácticas de Mal Gobierno Corporativo en el origen de la crisis actual, que sirvió de cierre de la sesión.

La intervención del Prof. Crespí giró en torno a la descripción de los trabajos realizados para la elaboración de este, ya, trigésimo segundo título de la colección “Papeles de la Fundación, en el que han sido analizadas un total de ciento treinta (130) empresas, cifra ligeramente inferior a la del año pasado. Cabe señalar, en este sentido, que han sido, precisamente, las empresas de servicios financieros las que más notablemente han visto reducido su número, pasando de las veintiuno (21) analizadas en la edición de 2008, a sólo diecisiete (17) en la actual.

Crespí realizó, asimismo, un repaso de los datos obtenidos en el estudio (relativos al ejercicio 2008) y los comparó con los del informe anterior (correspondientes a 2007), confirmando la tendencia, iniciada entonces, hacia un más que aceptable  -a su juicio-  cumplimiento, en términos generales, de las recomendaciones del “Código Unificado de Buen Gobierno” recogido en el “Informe del Grupo Especial de Trabajo sobre Buen Gobierno de las Sociedades Cotizadas“ (´Código Conthe‘).

Teniendo en cuenta que la labor encomendada al equipo de investigación no ha sido otra, como acaba de apuntarse, que la de revisar el grado de adhesión de las empresas analizadas al mencionado código; y, considerando las escasas referencias que en éste se recogen en relación a los Sistemas de Información  -más allá de lo establecido, principalmente, por su recomendación 47 sobre el papel del Comité y la función de Auditoría en torno a los mismos-,  no cabe, en principio, reproche alguno a la nula mención a las Tecnologías de la Información y las Comunicaciones (TIC) en la alocución ofrecida por el Prof. Crespí.

No obstante, se hace oportuno recordar la criticidad de dichas tecnologías en gran parte de las empresas analizadas  -muchas de ellas, si no la mayoría, con unos procesos de negocio altamente tecnificados-  y, por tanto, reinvidicar, o bien una evolución (ampliación) de las recomendaciones del “Código Unificado”  -sirva de ejemplo, una vez más, el ‘Informe King III‘-,  o bien la incorporación en el estudio de la FEF de un apartado específico sobre la dirección y control de las TI por parte de los órganos de gobierno de las empresas cotizadas.

El alejamiento de los hombres de empresa  -a quienes, de manera clara, iba dirigida la sesión-  respecto de sus responsabilidades en torno a uno de los activos clave que forman parte de sus organizaciones  -la información y sus tecnologías afines-  quedó patente, no sólo en la presentación del informe, sino, también, en la conferencia de clausura que corrió a cargo del Sr. Quintás.

D. Juan Ramón ofreció un resumen de su discurso pronunciado el pasado mes de octubre con motivo de la cena anual del Instituto de Consejeros-Administradores (IC-A), en el que dejó patente, una vez más, su interpretación de lo que denominó “la tecnificación de los consejos de administración“; esto es, su reforzamiento con profesionales de amplio bagaje en disciplinas como la Economía y el Derecho. No será ‘Gobernanza de TI‘ quien critique tal propuesta, siempre, claro está, que vaya acompañada de, si no conocimiento, al menos, sí, una razonable sensibilización de estos profesionales hacia el papel de juegan las tecnologías en la actividad de sus organizaciones.

 

Con un optimismo mantenido, permanezcan Uds. a la espera de los resultados 2010. Tal vez para entonces las TI acompañen a otros aspectos tratados por el Observatorio como la estructura de propiedad de las sociedades, la de sus consejos de administración o los derechos de los accionistas. Acaso, entre estos últimos, ¿no estaría el derecho a conocer el grado de eficacia, eficiencia, el valor aportado y los riesgos inherentes al uso de las tecnologías que, día a día, hacen posible la buena marcha de sus inversiones?

 

Artículos relacionados

  1. Observatorio de Gobierno Corporativo 2008 de la FEF
  2. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
  3. “King III” y el Gobierno Corporativo de las TIC
  4. Una “misiva” para la alta dirección

Promoviendo el Buen Gobierno Empresarial” fue el lema elegido por el Instituto de Consejeros-Administradores (IC-A) para la cena-coloquio sobre el “Buen Gobierno de las Sociedades y Entidades“, celebrada la tarde-noche del martes, 20 de octubre, en el marco de su Convención Anual 2009.

La entidad, cuya constitución fue impulsada por las firmas KPMG y Gómez-Acebo & Pombo, viene erigiéndose desde 2003 en referente nacional en materia de Buen Gobierno Corporativo y de profesionalización de la figura del consejero. Prueba de ello ha sido la puesta en marcha de un programa de formación específico para la certificación de los miembros, actuales y futuros, de los consejos de administración en la disciplina del Buen Gobierno y cuyos primeros participantes recibieron su graduación el pasado 1 de julio.

El evento, que coincidió con el sexto aniversario del Instituto, logró reunir a casi dos centenares de consejeros, administradores y otros individuos interesados en la promoción del Buen Gobierno Corporativo; y contó, como invitado especial, con la presencia de D. Juan Ramón Quintás Seoane, Presidente de la Confederación Española de Cajas de Ahorro (CECA).

La agradable velada, celebrada en el Salón Real del Casino de Madrid, transcurrió entre las dos intervenciones del Sr. Quintás Seoane: una inicial, a modo de bienvenida, en la que desarrolló, en cierto detalle, el tema “Nuevas Perspectivas en la Regulación Bancaria“; y otra posterior, a los postres, durante la cual dio respuesta a una serie de preguntas planteadas por los asistentes.

En la conferencia se echó en falta, quizás, un mayor foco en las Cajas de Ahorro  -la ocasión no podía ser más propicia-,  dada la coyuntura actual y la situaciones vividas en los últimos meses. En este sentido, se recordó la pérdida de atribuciones de la propia CECA en relación a su antiguo papel como órgano supervisor y de control sobre las Cajas, en favor del Banco de España (… lo cual, sea dicho de paso, parece bastante saludable si se tiene en consideración el principio de independencia).

Por lo demás, el Sr. Quintás prefirió centrar su discurso en las entidades bancarias, en relación a las cuales se mencionaron ciertas “verdades” perfectamente aprovechables y, en su mayoría, de aplicación general a otras organizaciones:

  • En primer lugar, se habló ampliamente del riesgo, como componente intríseco a la naturaleza de las entidades de crédito.
  • Posteriormente, se recordó la asimetría de los actuales modelos de retribución de los miembros de los consejos de administración y de los ejecutivos (“no cabe pensar que si hay ganancias, se gane; y que si hay pérdidas, también se gane, en perjuicio de otros grupos con intereses en las compañías“); identificándose, en buena medida, esta caracterísca de lo que podría denominarse Mal Gobierno Corporativo, con una de las causas de la crisis vigente, en tanto que favorecedora de una visión cortoplacista materializada en la búsqueda de la rentabilidad/retribución personal a corto plazo, al tiempo que se obvia la continuidad y la sostenibilidad a medio/largo plazo de la organización.
  • El desequilibrio en la composición de muchos consejos de administración también fue objeto de comentario en el transcurso de la conferencia. La proporción de consejeros ejecutivos frente a independientes o, más aún, la presencia misma de los primeros en el seno de los consejos, surge como un nuevo elemento de reflexión e indudable mejora en relación a la transparencia, independencia y, consecuentemente, al incremento del nivel de Buen Gobierno de las sociedades. En este punto, Quintás hizo mención de su conocida opinión sobre la presencia de representantes políticos en los consejos de las Cajas.
  • Finalmente, otro de los aspectos tratados fue la preparación técnica de los consejeros. El ponente dio muestras de un fino humor gallego al recordar cómo un creciente número de consejos de administración en las grandes corporaciones estadounidenses llevan años poblándose de individuos cuyo bagaje se antoja muy alejado de las disciplinas tradicionalmente aceptadas, adecuadas y adoptadas entre los miembros que componen dichos órganos en España: la Economía y el Derecho.

En relación a este último punto, y sin ánimo de tratar de imitar el humor del Sr. Quintás Seoane, podrían plantearse las siguientes preguntas:

  • Acaso, al referirse a la necesidad de incrementar el grado de profesionalización de los consejeros, por vía de una mayor competencia y preparación técnica, y a pesar de no mencionarlo explícitamente, ¿cabría pensar que D. Juan Ramón estaba considerando, también, aspectos ligados a la dirección y el control de las Tecnologías de la Información, como competencias necesarias para cualquier consejero  -no sólo en empresas tecnológicas-,  como valor adicional a las tradicionales de naturaleza fiscal y/o jurídica?
  • ¿Acaso el conferenciante tenía en mente las “nuevas” atribuciones que las tendencias internacionales (norma ISO/IEC 38.500:2008. Corporate Governance of IT, King Code of Governance Principles, …) asignan a los miembros de los consejos de administración?

En suma, aunque de forma más ingenua que irónica, ¿podría pensarse que el propio IC-A escogió su lema, “Promoviendo el Buen Gobierno Empresarial“, teniendo presente su extensión a aspectos relacionados con la información y sus tecnologías afines? Realmente no lo parece, a la vista de lo que mostró la sesión.

Probablemente el propio IC-A perdió una oportunidad de oro de hacer referencia, aunque fuese mínimamente, al nuevo Código de Buen Gobierno que su entidad hermana, y admirado espejo, el Instituto de Consejeros (The Institute of Directors, IoD), sección sudafricana, acaba de publicar el pasado 1 de septiembre: el código e informe King III.

Sería un acierto subsanar este desliz el año que viene y, más aún, hacer la corrección palpable mediante la incorporación de la nueva disciplina del Gobierno Corporativo de TI, tanto en sus futuros planes formativos, como en las agendas 2010 de todos y cada uno de sus asociados.

Ello favorecería, sin duda, el acercamiento Negocio-TI y, de ese modo, la comprensión mutua y la sincronización entre ambos colectivos; requisito clave para un definitivo cambio de perspectiva de las organizaciones, sobre sus TI.