GENERALIDADES...

Los diferentes escándalos financieros conocidos al día de hoy en el mundo, del tipo Enron en los Estados Unidos o Parmalat en Italia, tuvieron una incidencia marcada en la gestión actual de la informática. De hecho los poderes políticos muestran sin embargo un profundo deseo de controlar la fiabilidad de la información provista por las empresas y la claridad de los sistemas de información se convierte en prioritaria.

Esto no tiene nada de nuevo. Para los bancos por ejemplo, los estados de control (tales como la Bafi en Francia) son provistos frecuentemente a los organismos de tutela. La Ley de Finanzas 1990 implementó dichos organismos teniendo a cargo el control de la contabilidad informática y definió procedimientos de archivo y trazabilidad. De hecho, hasta el día de hoy, esta necesidad ha sido mas o menos administrada después de un análisis de la balanza entre el costo de implementación de los sistemas de control y las penalidades incurridas.

Lo que es nuevo el día de hoy, y de naturaleza a cambiar fundamentalmente la arquitectura de los sistemas de información, es que los responsables de la empresa pueden ser considerados como responsables penalmente, y ser perseguidos por la justicia (La ley SOX en los Estados Unidos prevé un encarcelamiento que puede ir hasta 20 años para los Presidentes y Directores Generales, así como Gerentes Generales, y la Comunidad Europea reflexiona ya a un sistema análogo).
La informática ya no se puede escapar a este fenómeno y debe de hacer frente con una organización rigurosa así como de una claridad evidente. La puesta en marcha de controles y riesgos encorridos obligan a su puesta en conformidad. SOX, BVCI, Riesgo operacional Basilea 2, etc., de hecho todo esto puede resumirse a una capacidad de respuesta a auditorias técnicas precisas. Si el principio de estos controles es simple sobre el papel, la implementación puede ser compleja si no es que uno no cuenta con las herramientas adecuadas. De hecho, estas auditorias van no solamente a aportar sobre las operaciones en curso sino igualmente sobre las operaciones pasadas.

TRAZABILIDAD...

Desde el punto de vista de la informática, hay que poder justificar cada una de las etapas que hayan llegado a un resultado y eventualmente poder volver a realizar este tratamiento. Esto significa que no es suficiente el solo guardar los datos sino que hay que igualmente guardar los tratamientos correspondientes (programas, CL, etc.)

De hecho es imposible de concebir el ejecutar los tratamientos actuales con datos de hace dos años e inversamente. Además, es indispensable de disponer de informaciones que permitan volver a realizar estos tratamientos. Por lo que conviene ya sea archivar una documentación en fase con los tratamientos, o de disponer de herramientas de retro-documentación que permitan de generar esta documentación a la demanda. ¡Imaginamos así fácilmente los volúmenes ocupados si estas documentaciones no se hicieran de forma electrónica!
 

EL METODO ARCAD...

ARCAD Software con sus suites ARCAD-Skipper y ARCAD-Observer responde perfectamente a estas necesidades. Todas las evoluciones están tratadas en un proceso organizado, seguro y a través de versiones claramente identificadas que permiten una trazabiliad a toda prueba. Además, una documentación generada en fase con las evoluciones, podrá ser integrada al lote modificado y permitir así de conservar el conocimiento de las versiones anteriores.

La parte grafica de ARCAD-Cliente estará al mismo tiempo respondiendo a las búsquedas de información en tiempo real, y su simplicidad de utilización la hace disponible  para los auditores no informáticos. La gestión de estas auditorias técnicas, las soluciones  ARCAD le permiten de implementar una arquitectura sólida y segura donde todas las evoluciones de software podrán ser archivadas, trazadas y responder así a las reglas mas elementales de un proceso de calidad. Más que un inconveniente, estas nuevas leyes son una oportunidad para las empresas para que puedan poner en marcha al fin una gestión estructurada y profesional de sus sistemas de información que representan frecuentemente una de sus primeras riquezas. Confiamos que estas “puestas en conformidad a las normas” permitirán de lograr un nivel de calidad que ya no se discute más en los procesos industriales.

SOX...

Las empresas que pertenecen a conglomerados norteamericanos y que poseen capitales públicos, están concernidas por la ley Sarbanes-Oxley, mas conocida con el nombre de “SOX”. Es más que probable que a partir del próximo año, aparezcan directivas europeas con el mismo espíritu de transparencia de cuentas en las empresas. La puesta en marcha de esta ley se traduce en el terreno con un número importante de trabajos que condujeron a definir reglas de buenas prácticas para la informática. Se habla más de “Gobernanza Informática”. En los Estados Unidos, el Instituto de Gobernabilidad de TI publica estas reglas en su “COBIT”.

BASILEA II...

Al final del 2006, entraron en vigor los acuerdos de Basilea II. El objetivo de estos acuerdos aplicables a los organismos financieros, es de cubrir tres tipos de riesgos:

• Riesgo de crédito,
• Riesgo del Mercado,
• Riesgo operacional.

En el marco de los sistemas de información, es evidente que hay que tomar en consideración la gestión del riesgo operacional. Este esta definido como “el riesgo de pérdida directa o indirecta resultante de procesos internos, personas y sistemas inadecuados o que hayan fallado, o de eventos exteriores”. Según los acuerdos de Basilea 2, la gestión de este riesgo operacional deberá de tomar en cuenta una cobertura de capital de estos riesgos. Sin embargo, la prueba de un mejor control interno de estos riesgos podrá permitir liberar una parte de este capital exigible por defecto. Este último punto hace aparecer de manera evidente que la demostración del control del sistema de información será uno de los factores mayores de la disminución de los capitales a inmovilizar.

La implementación de procedimientos y de herramientas de organización y de seguimiento de las evoluciones del S.I., de la cartografía de aplicaciones y de la documentación llegan a convertirse en aspectos estratégicos en la gestión de las empresas, y eso aun mas que su costo es frecuentemente omisible en comparación con los capitales que permiten liberar. Los términos reglamentarios Basilea II se aproximan y el programa de evolución de los S.I. se anuncia particularmente provisto. Además, la mayoría de los organismos financieros que hayan basado toda o una parte de sus S.I. sobre paquetes de software funcionales, deben de soportarse sobre informaciones frecuentemente difíciles de recuperar a partir de sus proveedores. Una vez mas, las soluciones ARCAD van aparecer como las herramientas que le permitan hacer frente a una organización de S.I. rigurosa y controlada al eliminar las dificultades ligadas a los proveedores y mejor dicho liberando un capital que será disponible para las líneas funcionales.
 

LSF...

Desde 2004, la Ley de Seguridad Financiera de Francia impone a los Directores Generales de rendir cuentas de los procedimientos de control interno puestos en marcha. La informática es evidentemente la llave maestra de respuestas a estas obligaciones. Si se refiere al COSO1, al nivel informático, el control interno comprende los “principios y procedimientos que contribuyen a asegurar un buen funcionamiento continuo de los sistemas de información”. Esto cubre la gestión técnica de los sistemas (red, seguridad, resguardo, gestión del parque…) pero igualmente al desarrollo/mantenimiento de los programas, los procedimientos de puesta en producción de aplicaciones y de sus evoluciones, así que la gestión de incidentes. Estas dificultades constituyen una oportunidad formidable para los equipos informáticos: se benefician de un argumento mayor frente a la Dirección General para justificar la adquisición de productos que van a responder a las demandas del legislador pero sobretodo facilitar el trabajo de los equipos informáticos y globalmente mejorar la calidad de los S.I. Las soluciones ARCAD responden de inicio a las expectativas de los equipos de desarrollo y de producción pero igualmente ofrecen las garantías de seguridad y trazabiliad exigidas por la ley o por los auditores.

Todas las fases del ciclo de vida de una aplicación están cubiertas:  

• Referencia de componentes de software,
• Gestión de incidentes y demandas de usuarios,
• Versionning de desarrollos y de entregas de paquetes de software de empresa;
• Automatización de pruebas,
• Transferencia multi-entornos y multi-maquinas,
• Puesta en producción.

Los responsables de Direcciones Informáticas sufren frecuentemente de hacer comprender la plusvalía de las soluciones de Gestión de Configuración de software a sus directores generales. La LSF da una buena razón a las empresas para equiparse…