AUDITORIA DE SISTEMAS DE INFORMACIÓN (vídeo)

COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ( Objetivos de Control para la Información y la Tecnología relacionada)

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio.

COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.

EVOLUCIÓN DEL COBIT

COBIT fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fué publicada en 1996 y fue vendida en 98 países de todo el mundo. Fue desarrollado  como marco de gobierno para el control de TI. La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición. La tercera edición desarrollada en el año 2000, provee guías para resolver las necesidades de la administración de TI (brechas entre los riesgos del negocio, necesidades de control y aspectos técnicos). La cuarta edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una mayor variedad de audiencias. Incrementa madurez de las practicas y estándares de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en la definición de procesos de control. Su última actualización es el COBIT 5, desarrollado en el año 2012, que en pocas palabras, ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

BENEFICIOS DEL COBIT

• Mantener información de calidad para apoyar las decisiones del negocio.

• Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.

• Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.

• Mantener el riesgo relacionado con TI a niveles aceptables.

• Optimizar el costo de la tecnología y los servicios de TI.

• Mejor alineación, con base en su enfoque de negocio.

• Cumplimiento de los requerimientos COSO para el ambiente de control TI.

• Una visión, entendible para la gerencia, de lo que hace TI.  

• Propiedad y responsabilidades claras, con base en su orientación a procesos.

PRODUCTOS DEL COBIT

NIVEL ESTRATÉGICO: Resumen que explica las practicas, intereses y responsabilidades para la administración.

NIVEL TÁCTICO:  Herramientas que ayuda a medir el desempeño, definir las metas y  los modelos de madurez.

NIVEL OPERATIVO: Define, implementa y evalúa  el marco de control. 

·         La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

·      La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

·      La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

·      La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

·      La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

·      El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

·      La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.

RECURSOS DE TECNOLOGÍA DE INFORMACIÓN

PROCESOS ORIENTADOS

 La empresa debe suministrar los recursos necesarios para responder a los requerimientos que el negocio tiene hacia la función de tecnología de información. Los recursos necesarios son:

 a)           Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

b)              Información: datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

c)              Infraestructura: Recursos para alojar y dar soporte a los sistemas de información. Como el hardware, bases de datos

d)      Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información

 Para obtener información que requiere la empresa para obtener sus objetivos, esta necesita invertir en administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida. Los cuales se dividen en:

 ·                    Dominios de Cobit

a)     Planear y organizar: se refiere a identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

b)     Adquirir e implementar: Para llevar a cabo la estrategia de TI, se necesitan identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes.

c)     Entregar y soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

d)    Monitorear y evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

·        Procesos

Los procesos están agrupados en cuatro grandes dominios que se describen a continuación:

1)     Planeación 
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

Se tiene en cuenta una serie de puntos:

a)     Definir un plan estratégico de TI

b)     Definir la arquitectura de información

c)     Determinar la dirección tecnológica

d)    Definir la organización y relaciones de la Función TI

e)     Administrar la inversión en TI

f)      Comunicación de las directrices Gerenciales

g)     Administración del Recurso Humano

h)     Administración de Calidad

i)       Evaluación de Riesgos

2)     Adquisición y desarrollo

Cambios y mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Incluye:

a)     Identificación de soluciones Automatizadas

b)     Adquisición y mantenimiento de software aplicativo

c)     Adquisición y mantenimiento de arquitectura TI

d)    Facilitar la operación y el uso

e)     Adquirir recursos de TI

f)      Administrar cambios

g)     Instalar y acreditar soluciones y cambios

3)     Entrega y soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. Incluye:

a)     Definición del nivel de servicio

b)      Administración del servicio de terceros

c)     Administración de la capacidad y el desempeño

d)    Garantizar la seguridad del sistema

e)     Capacitación de usuarios

f)      Soporte a los clientes de TI

g)     Administración de la configuración

h)     Administración de problemas e incidentes

i)        Administración de datos:

4)     Monitoreo

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control

a)     Monitorear y Evaluar el desempeño de TI

b)     Monitorear y evaluar el control interno

c)     Garantizar el cumplimiento regulatorio

·        Controles

COBIT define objetivos de control, políticas, procedimientos, prácticas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales. Cada proceso tiene objetivo de control específicos, objetivo de control de alto nivel, objetivos de control genéricos aplicables a todos los procesos.

TI es responsable de:

– Automatizar e implementar los requisitos de las funciones de negocio y de control

 – Establecer controles para mantener la integridad de controles de aplicación.

 Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa.

 ·        Medición

Forma de medición a través del uso de un modelo de madurez. Permite comparación:

a.      Como estamos en relación a buenas prácticas aceptadas

b.      Como estamos frente a similares

c.      Se realiza lo necesario?

d.     Identificar que se necesita realizar para lograr el nivel de procesos

Representación gráfica de los modelos de madurez:

0.       No existente. No se aplican procesos administrativos en lo absoluto

1.       Inicial. Los procesos son desorganizados

2.       Repetible pero intuitivo. Los procesos siguen un patrón regular

3.       Proceso definido. Los procesos se documentan y se comunican

4.       Administrado y medible. Los procesos se monitorean y se miden

5.       Optimizado. Las buenas prácticas se siguen y se automatizan

MODELO DE MADUREZ

Fuentes:

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

INFORME COSO

En Estados Unidos hacia 1970 se atravesaba una crisis  sobre  diversos riesgos, como alteraciones, malos manejos, fraudes, es por ello que la Securities and Exchange Commission (SEC) junto con la Comisión de Valores y Bolsa de EE.UU. promueven la regularización  de estas irregularidades, surgiendo de allí la Comisión Treadway, con el fin de analizar, inspeccionar y recomendar. Esta comisión emite un informe de recomendaciones con sus conclusiones y el resultado de este es el Comité de Organizaciones Patrocinadoras (COSO), para estudiar los problemas en relación con un marco integrado de control interno y su respectivo reporte.

En 1992 sale la primer versión de COSO, posicionándose como marco de referencia y en el 2004 COSO II, incorporando la  Ley Sarbanes Oxley a su modelo.

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) se define como un marco de referencia que permite que las organizaciones puedan y mejorar y evaluar sus sistemas de control.

El principal objetivo mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno, de igual manera unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

VENTAJAS DE COSO

•   Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.
•   Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.
•  Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.
• Permite dar soporte a las actividades de planificación estratégica y control interno. 
•  Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
• Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.

 LA LEY SARBANES- OXLEY

La Sarbanes-Oxley Act (SOA) del año 2002 ha sido redactada con la intención de recuperar la confianza de los inversores en los estados financieros después de los numerosos escándalos contables de los últimos años. La sección 404 de la SOA ha transformado en parte el proceso contable debido a que exige que las empresas cuenten con una serie de gestores que puedan en primer lugar evaluar y reportar el control interno del informe financiero y en segundo lugar enviar dicho informe a los auditores externos para su auditoría. Esos gestores deben además explicar el marco de trabajo usado para evaluar y reportar acerca del control interno. El marco de trabajo integrado de Control Interno (COSO) está específicamente citado por el SEC (Security and Exchange Comisión) como el apropiado, este marco de trabajo es una herramienta de auditoria diseñada para ayudar en la evaluación de los controles internos que pueden ser vista como si de un cubo tridimensional se tratara en la que una dimensión se refiere a los objetivos, la segunda se refiere al área de focalización y la tercera se refiere a los componentes del control interno.

COMPARATIVO COSO I COSO II

ELEMENTOS DEL INFORME COSO

Ambiente Interno: El ambiente interno de la compañía es la base sobre la que se sitúan el resto de elementos, e influye de manera significativa en el establecimiento de los objetivos y de la estrategia. En el entorno de ese ambiente interno, la dirección establece la filosofía que pretende establecer en materia de gestión de riesgos, en función de su cultura y de su apetito de riesgo.

Establecimiento de objetivos: Los objetivos deben establecerse con anterioridad a que la dirección identifique los posibles acontecimientos que impidan su consecución. Deben estar alineados con la estrategia de la compañía, dentro del contexto de la visión y misión establecidas.

Identificación de riesgos: La incertidumbre existe, y por tanto se debe  considerar aspectos externos (económicos, políticos y sociales) e internos(infraestructura, personal, procesos) que afecten la consecución de los objetivos del negocio, surgiendo la identificación de acontecimientos negativos que significan riesgo o positivos que significan oportunidades o mitigación del riesgo.

Evaluación del riesgo: Para poder establecer una evaluación sobre el riesgo se deben identificar los objetivos organizacionales y que los puede estar afectando. Los riesgos deben administrasen atendiendo la existencia de un medio interno y externo en continuo cambio. Deben ser avaluados por la auditoría interna y se debe Diferenciar los controles de T.I  para áreas versus funciones de alto riesgo. La evaluación del riesgo se centra inicialmente en el riego inherente (antes de establecer mecanismos para su mitigación) y posteriormente en el riesgo residual (riesgo que existe tras el establecimiento de medidas de control)

Respuesta al riesgo: La dirección debe evaluar la respuesta al riesgo de la compañía en función de cuatro categorías: Evitar, reducir, compartir y aceptar. Una vez establecida la respuesta al riesgo más adecuada para cada situación, se deberá efectuar una reevaluación del riesgo residual.

Actividades de control: Se trata de las políticas y procedimientos que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones.

Información y comunicación: La adecuada información es necesaria a todos los niveles de la organización, de cara a una adecuada identificación, evaluación y respuesta al riesgo que permita a la compañía la consecución de sus objetivos.  Para conseguir un ERM que funcione efectivamente es necesario un adecuado tratamiento de la información.

Supervisión: La metodología ERM debe ser monitoreada, para asegurar su correcto funcionamiento y la calidad de sus resultados a lo largo del tiempo. El modo en que esta supervisión se lleve a cabo dependerá fundamentalmente de la complejidad y el tamaño de la compañía.

LOS DIEZ RIESGOS DE LA TECNOLOGÍA MÁS COMUNES

1.           Cumplimiento de Regulaciones y Legislación.

2.           Gestión de amenazas / puntos vulnerables.

3.           Privacidad

4.           Supervisión / auditoría / aseguramiento continuos.

5.           Seguridad de las redes inalámbricas

6.           Protección contra intrusiones

7.           Tercerización de TI

8.           Mediciones de seguridad empresarial

9.           Gestión de identidad

10.         Adquisiciones y ventas, impacto en la gestión de sistemas

Fuentes:

Estrategia Financiera No 225. Febrero de 2006

Boletín de la comisión de normas y asuntos profesionales del Instituto de auditores

Internos de Argentina –No 9-Septiembre de 2003

Revista Estrategia Financiera, Nº 225, Sección Artículos, 01 de Febrero de 2006