ESAUD RAT 1 Componentes de Gobernanza de TI

El paper establece explícitamente que este componente "constituye el criterio de auditoría por excelencia", ya que define el "deber ser" que el auditor utiliza para compararlo con la realidad operativa ("el ser") e identificar brechas de cumplimiento. Las otras opciones se refieren a características de otros componentes (a y c se relacionan con Estructuras Organizativas, y d con Procesos).

El documento enfatiza que la rendición de cuentas se evalúa verificando el mandato formal de las estructuras (términos de referencia) y la clara asignación de responsabilidades, citando específicamente el uso del modelo RACI para identificar quién es "Responsable" y quién "Rinde Cuentas". Las otras opciones corresponden a los componentes de Personas (a), Información (c) y Servicios/Infraestructura (d).

Si bien todas las opciones son características de los procesos, el paper especifica que el modelo de niveles de capacidad "permite al auditor evaluar el grado de madurez y formalización de un proceso", proporcionando una base objetiva para calificarlo. Las otras opciones describen qué es un proceso o cómo se mide, pero no cómo se evalúa su madurez de forma estructurada.

La sección ajustada sobre "Información" aclara que este componente se enfoca en la información utilizada para gobernar y gestionar el área de I&T misma. Un informe de cumplimiento de SLAs es un ejemplo perfecto, ya que es información usada por la gestión de TI para tomar decisiones sobre su propia operación. Las otras opciones son ejemplos de información de negocio que TI gestiona, pero no son información de gobierno de TI.

El paper indica que la auditoría de este componente es cualitativa y sugiere, como elementos clave, "analizar las causas raíz de incidentes pasados" y realizar "entrevistas con personal de diferentes niveles para sondear su percepción", mencionando preguntas específicas como "¿Qué sucede aquí cuando alguien comete un error?".

Indagar sobre su familia, estudios o experiencia es un procedimiento previo a la contratación y las otras opciones son procedimientos técnicos para auditar otros componentes.

El paper define a este componente como el "sistema de herramientas de TI para TI", mencionando explícitamente herramientas de ITSM (tickets, CMDB) y de ciberseguridad (SIEM) como ejemplos paradigmáticos de tecnología usada por TI para autogobernarse. Las otras opciones son elementos tecnológicos para la gestión de las operaciones de negocio.

El paper afirma que "La falta de personal capacitado es un punto único de fallo que puede invalidar la eficacia de la tecnología o los procesos más sofisticados", destacando que los controles y tecnologías son operados por personas. Las otras opciones son aspectos secundarios o relacionados, pero no la razón fundamental desde la perspectiva del riesgo y el control.

El paper menciona explícitamente el "Tono en la Cima" como la primera característica principal del componente "Cultura, Ética y Comportamiento", explicando que el liderazgo establece el tono para el resto de la organización con su comportamiento y mensajes.

De acuerdo con la descripción del componente 7, una consola de gestión de EDR es una herramienta de ciberseguridad utilizada por el equipo de TI para asegurar las operaciones, encajando perfectamente en la definición de "tecnología para gestionar TI". Las otras opciones son aplicaciones que soportan directamente las operaciones de negocio (finanzas, ventas, construcción de oficinas).

El paper lista "Existencia y Mandato" y "Composición y Competencia" como los dos primeros elementos clave a investigar al auditar las "Estructuras Organizativas". Estos puntos verifican que los comités (las estructuras) estén formalmente establecidos y tengan los miembros correctos para ser efectivos.