1. auditoría
opinión
De la auditoría como dimensión de
Gobierno TI a la "metáfora de la balanza"
Miguel García
Menéndez
Miembro de la Junta Directiva de
ISACA Capítulo de Madrid y gerente
de Gobierno y Procesos de TI de Atos
Consulting
Finalizadas las conmemoraciones de a encontrar las respuestas a todos más amplio sentido del término, de
su cuadragésimo aniversario, ISACA, estos interrogantes. tales tecnologías.
la antigua Information Systems Audit Es perfectamente conocido, a Tal vez sea el momento de recordar
and Control Association, se ha pre- estas alturas, el hecho de que son -mejor aún, de volver a reivindicar- el
sentado ante el nuevo año con un múltiples las interpretaciones que margen de juego que esa disciplina
cambio en su imagen corporativa. se han dado, y aún se dan, de la tiene a este respecto, ampliando la
El cambio va más allá de la obli- disciplina del Gobierno Corporativo mira más allá del ámbito de la pro-
gada eliminación del número "40" de TI. tección de los activos de información
que ha acompañado durante 2009 Sin embargo, si se revisan algunas y las auditorías de seguridad, en sus
al logotipo de la asociación, y se de las principales fuentes de referen- más que numerosas variantes.
extiende a su lema, que ha pasa- cia en la materia -la norma ISO/IEC Pero es hora de volver a ese
do de ser "Serving IT Governance 38500:2008, Corporate governance supuesto "abandono" que ISACA
Professionals", al nuevo "Trust in, and of IT, o el propio IT Governance ha hecho de su comunidad de aso-
value from, information systems". Institute de ISACA, son buenos ciados dedicados a la Gobernanza
De este modo, ISACA se convierte exponentes de ellas-, comienzan a de las TI, que, como se apuntaba al
en organización promotora de "la observarse no pocas similitudes y principio, la nueva leyenda sugiere.
confianza en, y del valor aportado empiezan a dibujarse los dominios
por, los sistemas de información", al (dimensiones) por los que se extien- La metáfora de la balanza
tiempo que deja de servir a los profe- de la Gobernanza de TI. Una de tales Al contrario de lo que pueda pare-
sionales dedicados al buen gobierno dimensiones es aquella vinculada a cer, el lema escogido resume la
corporativo de las tecnologías de la las actividades de evaluación y medi- esencia del principio de "equilibrio
información y las comunicaciones. ción del rendimiento de esas TI. del valor" de las TI -subyacente
Pero, ¿es cierta esta última afirma- Más de uno verá en dicha dimen- al concepto mismo de Gobierno
ción? ¿Acaso lo sería, si se hubiese sión elementos vinculados a la ges- Corporativo de TI-, en el que con-
formulado en sentido inverso?; esto tión cuantitativa de las TI, como la curren los dos componentes clave
es, ¿acaso supuso un abandono de identificación y el establecimiento de de tal equilibrio: el propio valor, y el
su tradicional “clientela” -los audito- indicadores, la definición de niveles riesgo, o mejor dicho, la mitigación
res- la adopción, hace más de cuatro de servicio o la construcción de de dicho riesgo, entendida como
años, del ahora retirado lema? cuadros de mando integral. El que garantía de confianza.
piense así, estará en lo cierto; pero El principio de "equilibrio del valor"
Dimensiones del Gobierno TI no deberá olvidar el merecido hueco podría quedar enunciado así: "a par-
Un breve repaso a las dimensiones que, en dicha dimensión, tiene reser- tir de una determinada estrategia
del Gobierno Corporativo de TI y un vada la Auditoría de los Sistemas de para las TI -que necesariamente ha
sosegado análisis del principio de Información, en tanto que permite de venir fijada por la estrategia previa
“equilibrio del valor” pueden ayudar evaluar la eficacia y eficiencia, en el del negocio, al que las TI sirven- [sin-
36 red seguridad marzo 2010 especial

2. auditoría opinión
Un buen gobierno corporativo de las TIC habrá de
garantizar el paralelismo entre los objetivos a establecer
para las áreas de TI dentro de la organización y los del
negocio al que esas tecnologías dan sustento
cronización estratégica TI-Negocio], no corporativo de las TIC habrá de ca esta visión global, completa, de
han de ponerse en marcha dos fuer- garantizar el paralelismo entre los conjunto. Bajo el paraguas de CobiT
zas: una, en el sentido de crear valor objetivos a establecer para las áreas 5 se ubicarán los actuales modelos
para el negocio [aportación de valor]; de TI dentro de la organización y los CobIT, Val IT y Risk IT, así como
y otra, en el sentido de preservar el del negocio al que aquellas dan sus- algún otro marco de referencia de los
valor creado [mitigación del riesgo de tento, al tiempo que tratará de bus- actualmente puestos a disposición
destrucción de valor]". car el necesario equilibrio entre las por parte de la asociación, en con-
Como se ha desgranado en la ventajas y desventajas -valor aporta- creto, Business Model for Information
propia definición, el principio recoge do y riesgo- derivadas del uso de las Security (BMIS) y el marco de referen-
los tres elementos fundamentales tecnologías. cia para el aseguramiento de TI (ITAF,
(dominios) del Gobierno Corporativo en siglas inglesas).
de las TIC: Los modelos de ISACA Como conclusión y retomando las
• La sincronización de las TI con el Ese mismo planteamiento es el que preguntas planteadas al principio,
negocio al que sirven. ha seguido ISACA durante los últimos parecerá bastante sensato responder,
• La aportación de valor al nego- 15 años, a través de la publicación de con total rotundidad, que, ni una cosa,
cio, por parte de las citadas TI. sus diferentes modelos: CobIT (1996), ni la otra: ni ISACA abandonó a los
• La mitigación de los riesgos que, Val IT (2006) y, ahora, Risk IT (2009), auditores de sistemas de información
del propio uso de dichas TI, se pue- dirigidos a una, cada vez más variada en 2005, sino que los incorporó a
den derivar. audiencia de profesionales del control su corriente de Gobierno Corporativo
En este punto aparece, también, interno de TI, de la auditoría de los sis- de TI; ni, mucho menos, ahora esa
la metáfora de la balanza que cons- temas y seguridad de la información y corriente se ha cerrado.
tituye, quizás, la forma más clara de del gobierno corporativo de TI. ¡Los profesionales ocupados en el
representar gráficamente, no sólo el Tomados de manera individual, nin- Gobierno Corporativo de TI -entre
principio de "equilibrio del valor" de guno de dichos modelos constituye ellos los auditores de Sistemas de
las TIC, sino también el concepto un verdadero marco de gobierno cor- Información- pueden estar tranquilos!:
mismo de su gobierno corporativo. porativo de TI, tal y como defienden, el compromiso de su asociación para
Piénsese en una simple balanza com- incluso, algunos de los más reputa- con todos ellos no ha hecho sino
puesta por un brazo del que penden dos difusores de la gobernanza TIC. reforzarse un poco más.
dos platos: el brazo representaría el Tomados de manera individual no son
alineamiento (sincronización) entre TI sino meros componentes de un marco
y el negocio; un primer platillo, ven- global. Este marco global, esta balan-
dría a simbolizar el valor aportado por za, ha podido completarse con la
el empleo de esas TI; y, finalmente, reciente publicación del modelo Risk
el otro platillo, contendría los riesgos IT, de modo que la balanza de ISACA
para la organización, nacidos de la para el Gobierno de TI dispone, ahora
adopción de tales tecnologías. sí, de sus tres elementos esenciales:
En suma, la imagen de la balanza • Un brazo para la sincronización
viene a recordar tres sencillas ideas: TI-Negocio, representado por el
en primer lugar, las TI han de estar al modelo CobIT (véanse Apéndices I y
servicio de, y en línea con, las nece- II del modelo).
sidades del negocio del que forman • Un platillo simbolizando la aporta-
parte; en segundo, existe un induda- ción de valor por parte de las TI, ámbi-
ble beneficio para las organizaciones to de desarrollo natural de Val IT.
en el uso de las TIC, materializado en • Otro platillo, que ha de equilibrarse
el valor añadido que les aportan; y, con el primero y que representa los
en tercer lugar, no todo son ventajas, riesgos nacidos del uso de las TI, para
sino que el mismo empleo de esas cuyo gobierno ha nacido Risk IT.
tecnologías puede suponer una serie Sin embargo, no será hasta la apa-
de perjuicios, nacidos de los riesgos rición de CobIT 5, prevista para no
asociados a su uso. Un buen gobier- antes de 2011/12, cuando se ofrez-
especial red seguridad marzo 2010 37