Auditando el Cumplimiento Regulatorio

El cumplimiento de las regulaciones impuestas por organismos controladores es una tarea que resulta difícil de implementar en las organizaciones salvadoreñas y centroamericanas. Independientemente de las buenas intenciones que tenga la Gerencia de TI en implementar todas las normas, el acompañamiento del Auditor de Sistemas ayuda a verificar el total cumplimiento, así como la mejora en términos de eficiencia y efectividad.

Siempre he pensado que las organizaciones no deberían de esperar que existan regulaciones para trabajar en la mejora de la gestión de TI, debería de ser la forma de operar “de facto” para todos. El no hacerlo implica ser altamente ineficientes en la búsqueda de soluciones a problemas que son ya conocidos y tienen una solución definida. Pensado así, la implementación de una norma debería de estar regida por la pregunta ¿Qué problema necesito resolver? A partir de esta pregunta, se debería de seguir un proceso de selección del estándar o metodología más conveniente, definir el nivel de implementación necesaria y proceder con la implementación. Pasado un tiempo prudencial, dos semanas, un mes, dos meses, realizar una evaluación del funcionamiento de la implementación y luego hacer ajustes. Luego, la Gestión de TI será la realización continua de evaluaciones de mecanismos de control para buscar su mejora.

Cuando una organización está normada, es decir, tiene regulaciones de estricto cumplimiento, lo que ha pasado es que alguien más hizo el análisis de qué normas tenían que implementarse y ha definido la lista necesaria para cumplir con un reglamento. Por supuesto, cuando hay regulaciones, habrá también multas y sanciones, dependiendo del tipo de industria. Lo cual hace que la verificación del auditor sea necesaria para la Alta Dirección, para evitar el impacto de que una revisión de la entidad reguladora encuentre que nuestra empresa no cumple con una regulación. En nuestro medio, este tipo de comportamiento se aplica principalmente a el sector Financiero, por razones obvias. Un segundo sector, corresponde a las empresas que han sido adquiridas por corporativos internacionales, que utilizan las normas como marcos de referencia exigibles a sus subsidiarias.

En todo caso, al involucrar a un Auditor de Sistemas en la revisión del soporte que las Tecnologías de la Información proporcionan al cumplimiento de objetivos institucionales, este tomará en cuenta el cumplimiento regulatorio, así como todas aquellas normas y metodologías que proporcionen una respuesta a la mitigación de riesgos. El objetivo será, en primer lugar, verificar que se cumple con las regulaciones, para evitar impactos provenientes de multas y sanciones impuestas por un organismo regulador. Como objetivo secundario, se verificará que la Gestión de TI haya implementado las normas y metodologías en sus procesos de gestión que sean más relevantes al soporte que dan al negocio. Por ejemplo, si una organización se dedica a las ventas al detalle y depende de sus puntos de venta para mantener el flujo de ingresos, es necesario verificar que los niveles de servicio para los sistemas y equipos que apoyan el proceso de ventas estén correctamente definidos y sean ajustados de acuerdo con las necesidades. Es sorprendente, pero a veces la Gestión de TI olvida crear los procesos de gestión que permitan administrar los niveles de servicios en operaciones que son críticas para el negocio. Por eso, el trabajo del Auditor de Sistemas resulta provechoso para las organizaciones. De esta manera se promueve la mejora continua de los procesos de gestión de TI y se asegura un soporte efectivo y eficiente de las Tecnologías de la Información a los objetivos de negocio.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 2 de octubre de 2012 en Auditoría de TI y etiquetado en , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: