Búsqueda


Mostrando entradas con la etiqueta Auditoría. Mostrar todas las entradas
Mostrando entradas con la etiqueta Auditoría. Mostrar todas las entradas

21 de febrero de 2007

Mas respuestas a preguntas

Otro lector del blog, esta vez identificado como Jrolivas72, plantea otra consulta:

Felicidades por tu blog Antonio, te mando un cordial saludo desde México (Baja California). Viendo tu experiencia te quería preguntar algo; actualmente estoy preparando el programa de auditoría para el area de TI, espero iniciarla en 30 días. Mis colegas de TI no tienen algún modelo implementado y con esta auditoría se pretende encaminarlos en el Gobierno de TI. Crees que sea conveniente auditar con COBIT 3 (Audit Guidelines 3)?. Veo que COBIT 4 ahora trae un tercio menos de objetivos! y es mas conciso... Saludos y te agradezco cualquier comentario.

¡Caramba! Esta no está mal... con tan poca información será difícil contestar y acertar, pero vamos a ver qué podemos hilvanar como respuesta.

El principal problema con el que nos encontramos en esta pregunta es que no sabemos para qué se está preparando el programa de auditoría, cuáles son los objetivos de este plan de auditoría. Yo no soy partidario de "auditar porque sí", sino que soy más partidario de auditar y recomendar.

Es decir, si el programa de auditoría está pensado con el fin de detectar anomalías o incumplimientos de un conjunto de políticas determinado (es decir, se plantea la necesidad de Gobierno de TI, se definen los procesos, controles, políticas, etc y se define un plan de auditoría que deba comprobar el cumplimiento, entonces se puede utilizar CobiT para definir este plan siempre y cuando se haya utilizado CobiT para la definición de las políticas, controles, etc.)

Ahora bien, si el programa de auditoría está pensado para establecer "cuán lejos estamos de los objetivos planteados por CobiT", entonces no estamos ante un plan de auditorías sino ante un plan de assessments o de evaluación de la madurez.

Una vez reflexionado sobre este punto, vamos a ver qué es más conveniente, la V.3 o la V.4: es una lástima que vayas a empezar en 30 días, porque, tal y como veiamos en el artículo sobre CobiT 4.1, la ISACA está a punto de publicar el equivalente a las guías de auditoría y las guías de implantación para cada uno de los controles en CobiT 4. Pero si no te puedes esperar, comienza el desarrollo con las guías de auditoría de COBIT 3 y posteriormente "haz madurar tu plan hacia Cobit 4"

De todas formas, lo último que te puedo recomendar es tragarte las guías de auditoría de CobiT 3 sin modificación, adaptación y "moldeado" a las políticas, prácticas y experiencias en tu propia organización. Es de recibo adaptar Cobit a las necesidades de tu compañia y adoptar únicamente las partes necesarias, pues si no estarás introduciendo una presión excesiva e innecesaria a tu área de IT.

Etiquetas: , , ,
7 comentarios

28 de octubre de 2006

Obesidad Cognitiva

Hoy volvía del trabajo en el coche e iba oyendo la radio. Normalmente oigo emisoras de música, pero hoy no se por qué razón me dió por jugar con el dial y llegué a una emisora en la que un señor hablaba de serpientes. Como era de esperar semejante temática captó mi atención de golpe, así que me quedé en esa emisora que luego resultó ser Radio 5.

El locutor estaba haciendo algo así como una crítica literaria y estaba hablando sobre un autor que había escrito un capítulo titulado Con respecto a las serpientes y resulta que en el capítulo este se acababa concluyendo que en la isla no había serpientes.

Luego vino la reflexión del locutor (que ha sido realmente lo que me ha llevado a escribir esta historia): ¿Porqué el autor no escribió otro artículo al respecto de los hipopótamos concluyendo que no existían hipopótamos en la isla? ¿o un "Acerca de los dinosaurios"? o incluso un "acerca de los rinocerontes"...

Simplemente porque había gente que pensaba que en la isla sí que había serpientes y lo importante era constatar el hecho de que no las había. Es decir, constatar lo que no existe es tanto o más importante que declarar lo que sí que existe.

En ese mismo instante a mí se me iluminaron dos bombillas en la cabeza:

  1. La gestión de cambios. El análisis de impacto. Hemos de pensar en el impacto que tendrá el cambio sobre servicios y usuarios si lo implementamos, y hemos de pensar en el impacto de la NO ejecución del cambio, para poder tomar correctamente la decisión de si ejecutarlo o no.
  2. Pero la gestón de cambios está poco relacionada con nuestro autor. La segunda bombilla fueron las auditorías: constatar lo que no existe (es decir, aquello que necesitamos que exista, pero no tendremos evidencia) es tanto o más importante que declarar lo que sí existe (aunque esto que sí existe esté mal).

Me dió que pensar el locutor de Radio 5. Me impactó con sus ideas y en el siguiente semáforo apunte en un papelote los conceptos que se me habían quedado en la cabeza (lamentablemente ni el nombre del locutor ni el del programa para poderlos citar aquí) y ese papel tiene las siguientes frases:

  • Radio 5
  • Horrebow
  • Ideas Basura
  • Comida Rápida
  • Obesidad cognitiva
  • Teoría Unificada
  • "Acerca de las Serpientes"

Seguramente a estas alturas del artículo te ha crecido la curiosidad y necesitas saber más cosas, como por ejemplo ¿de qué isla y de qué libro estaban hablando? o ¿Por qué el título de Obesidad Cognitiva?

La obra y el autor serían fáciles de encontrar para cualquiera, ya que tuve la suerte de apuntar bien el nombre del autor, que después según el Sr. Google resultó ser Niels Horrebow. Este señor fue un naturalista danés que en el siglo XVIII escribió una Historia Natural de Islandia en la que incluyó tan famoso capítulo e incluso hoy podemos encontrar múltiples referencias al hecho de que en Islandia no hay serpientes, pero supongo que ninguna al de que no hay leones ni marcianos.

¿Y el título?

En realidad el locutor comenzó a divagar un poco explicando que hoy en día el ser humano dispone de un volumen de información brutal. Los medios de comunicación, Internet, libros, revistas, etc. bombardean nuestras cabezas una y otra vez con toneladas de ideas que se podrían interpretar como ideas basura servidas por medios de comunicación que preparan la información como si de comida rápida se tratara.

Los consumidores de esta información basura, si son demasiado asiduos a este tipo de "alimento para el alma" y no son críticos ni selectivos acaban teniendo una sobre-información que no les conduce a nada bueno y a este concepto le llamó obesidad cognitiva. A mí me gustó el término, y por eso me quedé con él para titular este artículo.

No se, le veo tanta relación con el artículo sobre la sobrecarga informativa que es interesante ver como se van enlazando los conceptos a lo largo de la vida.

Bueno, les dejo con este bombardeo de ideas y, sobre todo, piensen en sus auditorías. ¿Se plantean lo que NO HAY?

Esto da para un buen rato de disertación, porque lo que "no hay" es "lo que falta". Si estamos auditando el cumplimiento de una norma estricta, está claro que los elementos de la norma deben estar todos y cada uno y si no existe alguno, documentamos una evidencia.

Pero... y si lo que "no hay" es en realidad "lo que debería haber", no según el criterio de una norma, sino según el criterio del auditor? Entonces se convierte en una auditoría / consultoría, que es lo que la mayoría de clientes con los que he trabajado este tipo de ámbitos quieren, desean y te piden.

Es un poco tarde (02:02)... ¿Dejamos la diseración sobre auditoría o auditoría/consultoría para otro día?

Etiquetas: , ,
4 comentarios
Suscribirse a: Entradas (Atom)