Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

Anuncios

Cuando Manolo Palao autorizó la reedición de sus “texticulillos” a través de las páginas de Gobernanza de TI acompañó ese generoso gesto de una adicional propuesta: actualizarlos, en el sentido de “evolucionar” las referencias explícitas a la disciplina de la Auditoría de Sistemas, sustituyéndolas por otras nuevas que apuntasen hacia el verdadero objeto de esta bitácora: el Gobierno Corporativo de TI.

Su oferta fue rechazada. Y, ello, por dos motivos:

  • por un lado, por tratarse de una propuesta no libre de esfuezos que iba a requerir, no sólo un cambio en los títulos, sino una revisión y adaptación de los numerosos textos  -¡Uds. no han conocido, hasta ahora, más que una mínima parte!-.  A juicio de Gobernanza de TI el mero hecho de la cesión del material ya constituía suficiente motivo de agradecimiento, sin falta de exigir de su autor original peajes extra; y,
  • en segundo lugar, porque existía la confianza en que el lector  -de nuevo, Uds.-,  aún no siendo un auditor, entendería sin dificultad la labor de éstos en un marco general de Gobierno Corporativo de TI, como instrumento integrante del sistema de garantía sobre el buen uso de las TIC, en el seno de las organizaciones. Esto es, porque tenía pleno sentido hablar de la Auditoría de Sistemas dentro de un discurso general de Buen Gobierno Corporativo de TI.

Estas justificaciones, válidas para los “texticulillos” de la primera época (2002-04)  -casi todos-,  se complementan, en el caso del texto de 2002 presentado hoy, con una tercera motivación: ¿para qué cambiar nada, si, en realidad, estamos hablando de lo mismo? En palabras del propio Palao: “… donde ayer la coyuntura nos llevó a hablar de ‘Auditoría de Sistemas’ (era el tema de moda), hoy hablaríamos de ‘Buen Gobierno’ (constituye la moda actual)“.

No puede ser más cierto. La referencia explícita de “Fraude y Auditoría de Sistemas” a la necesidad de establecer mecanismos de control interno conduce al origen mismo del concepto de Buen Gobierno Corporativo,en general, y “de TI”, en particular; tal y como recuerda la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology, al mencionar el Informe Cadbury  -y, por extensión, a todos cuantos le siguieron-  como génesis de los principios de Buen Gobierno que la propia norma recoge.

Sin mencionarlos  -la norma no existía en 2002; los principios, aunque no se apliquen, han existido siempre-  el autor hace un detallado repaso del papel de los principios generales de responsabilidad y de conducta humana en la aparición de fraudes en torno al [mal]  uso de las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo nº 7: Fraude y Auditoría de Sistemas (1)(2)

El  fraude y otros actos ilícitos, o irregulares, en los sistemas de información de empresas y organismos son motivo de alarma social, por su volumen conocido  -y eso es sólo la punta del iceberg-,  por su aparente simplicidad y por su vertiginoso crecimiento.

En estas líneas voy a soslayar datos cuantitativos detallados, que los hay  -una de las mejores fuentes es el FBI-.  Cerca de 2/3 de los fraudes y otros actos ilícitos, o irregulares, en informática, los comete el propio personal de las empresas y organismos. Por eso me concentraré en el fraude interno, dejando para otra ocasión los ‘ataques externos’.

Podría esperarse que el Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) fuera un eficaz preventor-detector de esos casos.

Sobre la prevención no dispongo, ni es fácil disponer, de información, aunque cualquiera familiarizado con el tema convendrá en la elevada contribución potencial del ASITIC.

Por lo que respecta a las detecciones, la mayoría de los fraudes se detectan por casualidad.

Ciertamente, un buen control interno  -el entramado de políticas y procedimientos que hacen que la empresa funcione como desean quienes pueden legítimamente decidirlo (3)-,  ‘vigilado’ por un ASITIC, prevendrá muchos fraudes internos y facilitará la detección de los que se comentan.

Entre las medidas de control interno recomendables, destacan dos de gestión del personal: la segregación de funciones y la sustitución temporal planificada de puestos de trabajo.

La segregación de funciones impide que una misma persona pueda simultanear dos funciones incompatibles  -su co-ejercicio implicaría una debilidad de control o un riesgo-.  El ejemplo clásico es el de cajero y contable. Tampoco se puede ser programador y operador. Una buena segregación de funciones previene el fraude, pues para realizarlo hace falta colusión (que varios se pongan de acuerdo), lo que lo hace más difícil.

La sustitución temporal planificada de puestos de trabajo supone, según ciertas estadísticas, la causa singular más frecuente de detección de fraudes internos  -¡por encima de los hallazgos de los auditores !-.

En su modalidad más sencilla  -tantas veces descuidada en España-  se materializa en vacaciones planificadas. Otra modalidad (que puede debilitar la segregación de funciones) es el fomento de la polivalencia y la rotación planificada de puestos.

Una buena gestión de personal (selección, evaluación, promoción, retribución, motivación) constituye parte de los ‘controles generales’ necesarios. Un clima de confianza es muy positivo; ¡pero no es un control!.

Los anteriores ejemplos de medidas de control interno pueden resultar muy difíciles de implantar en las PYMEs: no hay cabezas físicas para tantos sombreros. En estos casos hay que diseñar ‘controles compensatorios’ a las debilidades inevitables. Ejemplo de esos ‘controles compensatorios’ pueden ser arqueos, cuadres manuales, inventarios, pistas de auditoría, etc.

En las PYMEs  -como en los pueblos, comparados con las ciudades-  puede operar mejor el ‘control social’. Éste se manifiesta de muchas formas: identificación de actividades extrañas de una persona que trabaja en nuestro mismo recinto de trabajo; identificación de cambios en actitudes y comportamientos; identificación de un tren de vida sospechoso, etc.

Los ASITIC tienen formación y experiencia profesional idóneas para la recomendación y evaluación de esos tipos de controles. Sin embargo, la detección de fraudes no está entre sus principales misiones.

En EEUU, las Normas de Auditoría Generalmente Aceptadas (del inglés, GAAS, Generally Accepted Audit Standards) no están diseñadas para detectar el fraude, y de hecho, fue sólo hace unos pocos años cuando el Instituto Americano de Contadores Públicos Certificados (AICPA, The American Institute of Certified Public Accountants) en su Declaración sobre Normas de Auditoría (SAS, Statement on Auditing Standards) nº 82 introdujo por primera vez la palabra “fraude” en la regulación de la auditoría de cuentas.

Según la Directiva 030.010.010 (4), de 1 de julio de 2002, de la Asociación para la Auditoría y el Control de los Sistemas de Información (ISACA, Information Systems Audit and Control Association) el ASITIC que detecta un presunto fraude o acto ilícito  -sólo el juez determina qué es fraude o qué es ilícito-  debe ponerlo, inmediatamente, en conocimiento de su jefe o cliente (que, se supone, son miembros de la Alta Dirección), o de una persona u órgano interno superiores a ellos, si se sospecha que puedan estar implicados.

Deberá abstenerse, salvo que la ley local u otras normas o acuerdos le obliguen a ello, de denunciarlo ante las autoridades. Será la Alta Dirección quien lo haga, procurando minimizar el impacto negativo sobre la entidad. En todo caso, la Directiva aconseja al ASITIC prudencia y el recurso precoz a asesoría jurídica.

Es de prever que la normativa sobre investigación de fraudes e información sobre los hallazgos sea revisada pronto.

 

Artículos relacionados

  1. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  2. Competencia y Auditoría de Sistemas (por Manolo Palao)
  3. Independencia y Auditoría de Sistemas (por Manolo Palao)
  4. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  5. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  6. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  7. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) La definición ofrecida en este punto del concepto de ‘Control Interno‘ dista poco, a juicio de “Gobernanza de TI“, de la que podría hacerse de la expresión ‘Gobierno Corporativo de TI‘, en tanto que sistema de dirección  -establecimiento de directrices-  y control  -supervisión-  del que deberían valerse las personas a cargo de las organizaciones (las personas con potestad para la toma de decisiones).

(4) El autor hace referencia aquí a la codificación de Normas y Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S9. Irregularities and Illegal Acts y por la directriz G9. Audit Considerations for Irregularities and Illegal Acts de ISACA.

Desde el día de hoy, 28 de diciembre de 2009, celebración de los Santos Inocentes, queda a disposición de todos los seguidores y esporádicos visitantes de Gobernanza de TI una comunidad homónima, creada en la red social profesional LinkedIn.

El nuevo grupo de intercambio y debate, accesible desde aquí, viene a complementar la [i]nformación, [f]ormación y [o]pinión, bases del criterio I-F-O, que rige la actual oferta de esta bitácora, haciéndola más plural y ayudando, sin duda, al enriquecimiento de sus contenidos, tanto a través de la sección ‘Firma invitada‘, como mediante la aportación de argumentos adicionales de reflexión.

Sobre pros, contras y gobierno del uso de estas comunidades

Como apunta el amigo y experto en Arquitecturas de Empresa Serge Thorn, autor, entre otras, de la bitácora ‘Serge Thorn’s IT blog‘, habilitar una comunidad en una red social como LinkedIn abre grandes oportunidades de intercambio de ideas, percepciones y puntos de vista. Sin embargo, él mismo reconoce que esa misma naturaleza social (abierta), carente de control, puede favorecer un uso inapropiado del medio (introducción de correo basura, mensajes de carácter eminentemente publicitario, etc.) que pueden contaminar el espíritu “fundacional” de aquella, haciendo que se pierdan, o se difuminen, el contenido y las noticias de verdadero interés.

Gobernanza de TI ha ponderado esos contrapuestos aspectos y, tras ello, ha decidido crear la nueva comunidad virtual, otorgando un mayor crédito a los beneficios que pueden derivar del intercambio de ideas y experiencias. Haciendo suyo el primer principio general de buen gobierno de la norma ISO/IEC 38500:2008, Gobernanza de TI apela a la responsabilidad, propia y del resto de interesados, en relación al uso que se desea para este nuevo medio de difusión y discusión, habilitado, en esta ocasión, por las tecnologías de la llamada Web 2.0.