Archivo del sitio

Auditando el Cumplimiento Regulatorio

El cumplimiento de las regulaciones impuestas por organismos controladores es una tarea que resulta difícil de implementar en las organizaciones salvadoreñas y centroamericanas. Independientemente de las buenas intenciones que tenga la Gerencia de TI en implementar todas las normas, el acompañamiento del Auditor de Sistemas ayuda a verificar el total cumplimiento, así como la mejora en términos de eficiencia y efectividad.

Siempre he pensado que las organizaciones no deberían de esperar que existan regulaciones para trabajar en la mejora de la gestión de TI, debería de ser la forma de operar “de facto” para todos. El no hacerlo implica ser altamente ineficientes en la búsqueda de soluciones a problemas que son ya conocidos y tienen una solución definida. Pensado así, la implementación de una norma debería de estar regida por la pregunta ¿Qué problema necesito resolver? A partir de esta pregunta, se debería de seguir un proceso de selección del estándar o metodología más conveniente, definir el nivel de implementación necesaria y proceder con la implementación. Pasado un tiempo prudencial, dos semanas, un mes, dos meses, realizar una evaluación del funcionamiento de la implementación y luego hacer ajustes. Luego, la Gestión de TI será la realización continua de evaluaciones de mecanismos de control para buscar su mejora.

Cuando una organización está normada, es decir, tiene regulaciones de estricto cumplimiento, lo que ha pasado es que alguien más hizo el análisis de qué normas tenían que implementarse y ha definido la lista necesaria para cumplir con un reglamento. Por supuesto, cuando hay regulaciones, habrá también multas y sanciones, dependiendo del tipo de industria. Lo cual hace que la verificación del auditor sea necesaria para la Alta Dirección, para evitar el impacto de que una revisión de la entidad reguladora encuentre que nuestra empresa no cumple con una regulación. En nuestro medio, este tipo de comportamiento se aplica principalmente a el sector Financiero, por razones obvias. Un segundo sector, corresponde a las empresas que han sido adquiridas por corporativos internacionales, que utilizan las normas como marcos de referencia exigibles a sus subsidiarias.

En todo caso, al involucrar a un Auditor de Sistemas en la revisión del soporte que las Tecnologías de la Información proporcionan al cumplimiento de objetivos institucionales, este tomará en cuenta el cumplimiento regulatorio, así como todas aquellas normas y metodologías que proporcionen una respuesta a la mitigación de riesgos. El objetivo será, en primer lugar, verificar que se cumple con las regulaciones, para evitar impactos provenientes de multas y sanciones impuestas por un organismo regulador. Como objetivo secundario, se verificará que la Gestión de TI haya implementado las normas y metodologías en sus procesos de gestión que sean más relevantes al soporte que dan al negocio. Por ejemplo, si una organización se dedica a las ventas al detalle y depende de sus puntos de venta para mantener el flujo de ingresos, es necesario verificar que los niveles de servicio para los sistemas y equipos que apoyan el proceso de ventas estén correctamente definidos y sean ajustados de acuerdo con las necesidades. Es sorprendente, pero a veces la Gestión de TI olvida crear los procesos de gestión que permitan administrar los niveles de servicios en operaciones que son críticas para el negocio. Por eso, el trabajo del Auditor de Sistemas resulta provechoso para las organizaciones. De esta manera se promueve la mejora continua de los procesos de gestión de TI y se asegura un soporte efectivo y eficiente de las Tecnologías de la Información a los objetivos de negocio.

A %d blogueros les gusta esto: