Pontificia Universidad Javeriana Facultad de Ciencias Económicas y Administrativas Carrera de Contaduría Pública Auditoría de Sistemas de Información Resumen Descriptivo COSO – COBIT Paola Andrea Pabón Cupitra Para nadie es un secreto que más allá del concepto de auditoría es su práctica y su alcance los que han evolucionado a lo largo del tiempo para alcanzar diferentes objetivos organizacionales desde diversas perspectivas, haciendo que los profesionales en este tema se enfoquen en desarrollar aún más esa competencia profesional con el fin de estar a la vanguardia de un mundo de negocios amplio y competitivo. Actualmente las actividades ordinarias están guiadas por los denominados Sistemas y Tecnologías de Información para apoyar y complementar estratégicamente cada uno de los procesos, políticas y parámetros usados dentro de la organización, como mecanismos de protección de la información y prevención de intrusos o riesgos que se pueden convertir en efectos materiales, afectando el proceso de toma de decisiones. Por ello es muy importante resaltar la naturaleza y el alcance de la Auditoría Interna dentro de una organización, pues ésta se basa en ser una actividad que busca agregar valor y mejorar las operaciones de la organización, mediante el cumplimiento de sus objetivos de negocios, como velar por la eficiencia y eficacia operacional de los procesos, brindar confiabilidad de los sistemas de información y la calidad de la información producida, proteger los activos de perdidas ya sea por fraude o malversación de activos, y el cumplimiento de políticas organizacionales y regulaciones legales vigentes. Todo esto se alcanza mediante la evaluación y el mejoramiento de la efectividad de los procesos del gobierno corporativo, manejo de riesgos y controles; pues es muy importante tener claro que la función de la Auditoría compete a todo el personal de la organización, pues el éxito del control interno depende de la colaboración de sus miembros. Así con el control interno se logra que las políticas implementadas dentro de la entidad sean prácticas uniformes, con el fin de conseguir la eficacia de las operaciones, eficiencia de las operaciones, fiabilidad de la información financiera, operativa y de gestión, salvaguardar activos y cumplir las leyes y normas aplicables. Pero aún así debemos entender que el control interno no está exento de tener limitaciones, ya que su objetivo es velar por que las actividades de la empresa sean adecuadas y correctas, lo que podría estancar el crecimiento empresarial, tampoco se puede asegurar la efectividad de las operaciones definidas de forma. Con la anterior concepción sobre Auditoría Interna y control interno, nos encaminamos a hablar sobre lo que es COSO por sus siglas en inglés “Committee of Sponsoring Organization of the Treadway Commission”, fue en 1992 cuando publicó un informe denominado Internal Control – Integrated Framework (IC-IF), o COSO I, donde sus principales objetivos son: • Promover operaciones que sean metódicas, económicas, eficientes y eficaces. • Promover productos y servicios de la calidad esperada. • Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades. • Respetar las leyes y reglamentaciones, y estimular adhesión de los integrantes de la organización a las políticas y objetivos de la misma. • Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos. Tiene 5 componentes 1. Ambiente de Control: Busca establecer un entorno que estimule e influencie las actividades del personal, con respecto al control. Se encuentra la integridad y valores éticos, competencia del personal, consejo de administración y comité de auditoría, filosofía administrativa, cultura organizacional y estilo de operación. 2. Evaluación de Riesgos: Se identifican y analizan los riesgos más relevantes que hacen vulnerable a la empresa al logro de sus objetivos y representa la base para determinar la forma en que los riesgos deben ser manejados. 3. Actividades de Control: Las realiza la gerencia y otros miembros de la organización, para cumplir con las diferentes funciones. 4. Información y Comunicación: Se refiere a información relevante que se produzca, debe ser identificada, capturada, procesada y comunicada oportunamente a todo el personal de la organización. 5. Monitoreo: Permanente revisión y evaluación de todos los componentes y elementos que forman parte del sistema, para evitar posibles fallas en los procesos. No sólo hablamos de COSO I, también hay otra posibilidad más amplia para implementar dentro de una organización, que es COSO II o COSO ERM, que se trata de un enfoque y un proceso eficaz diseñado para ayudar a las empresas a identificar, evaluar y gestionar los riesgos potenciales y así proporcionar una seguridad razonable. Como es un enfoque más amplio de COSO I, los 5 componentes del anterior también se incluyen en este marco integrado de control interno, pero se agregan 3 más que son relevantes para cualquier compañía y que lo hace considerar más completo y profundo, por lo tanto sus otros componentes son: • Definición de Objetivos: A nivel estratégico, establece una base para las operaciones, la elaboración de informes y los objetivos de cumplimiento. • Identificación de eventos: Reconocer incidentes negativos que si suceden, afectan la entidad, pero también se oportunidades. • Respuesta al riesgo: La dirección determina como responderá ante los riesgos o incidentes encontrados. Después de haber dado una breve noción de lo que es COSO y sus enfoques, es hora de hablar sobre un marco que se dirige hacia el control de las Tecnologías de Información, se trata de COBIT, que significa Objetivos de Control para Tecnología de Información por sus siglas en inglés, éste proporciona un modelo estructurado, lógico, donde pretende enfocarse en las mejores prácticas de T.I. Esto es necesario porque la dirección espera entender la manera en que la TI es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva, comprendiendo los riesgos y aprovechando los beneficios de TI, mediante la aplicación de un marco de referencia de gobierno y control, con procesos que definan el alcance y el grado de cobertura. COBIT, busca alinear las metas y actividades de negocio con las T.I, para integrar las mejores prácticas con el fin de establecer un nivel apropiado de control y así proporcionar calidad y seguridad de la información para aprovecharla al máximo y guiar a la entidad hacia el logro de sus objetivos organizacionales, además se integra con COSO porque su flexibilidad permite integrar beneficios de éste y hacerlo más amplio. Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a la gerencia para un control efectivo de cada proceso de TI. Por ello se basa en 5 principios: • Cumplir las necesidades de las partes interesadas. • Cubrir toda la empresa de principio a fin. • Aplicar un mismo y sencillo marco de referencia. • Permitir un enfoque holístico (como un todo). • Separación entre el gobierno y la gerencia. Pero para alcanzar sus objetivos y centrarse a la vez en los anteriores principios, COBIT tiene 7 categorías: • Principios, Políticas y Marco de Referencia: Es el punto de partida para interpretar el comportamiento deseado en una guía práctica para la gestión del día a día. • Procesos: Conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir una serie de productos de apoyo a la consecución de metas relacionadas con las TI. • Estructuras organizativas: Principales entidades de toma de decisiones en una empresa. • Cultura, Ética y Comportamiento de los individuos y de la empresa: Se deben considerar como factor de éxito en las actividades de gobierno y de gestión. • Información: Necesaria para mantener la organización funcionando operativamente bien, porque es la clave del producto de la propia empresa. • Servicios, infraestructuras y aplicaciones: Para el procesamiento de tecnología y servicios. • Habilidades personales y Competencias: Necesarias para alcanzar con éxito todas las actividades, para tomar las medidas correctivas a tiempo y para el proceso de toma de decisiones. Así COBIT es una forma de ayudar a la gerencia a tener una visión sobre las TI, también ayuda a gestores, auditores y usuarios a entender los Sistemas de Información, dando lineamientos avanzados en áreas de gran interés tales como la arquitectura empresarial, gestión de activos y servicios y el gerenciamiento de la innovación en TI. COBIT está conformado por: • Marco Conceptual: Explica como COBIT organiza los objetivos de gobierno y las buenas prácticas de TI con base en dominios y procesos de TI y vincula los requerimientos del negocio. • Control de objetivos: Relaciona los requerimientos de control de alto nivel que deben ser considerados por la dirección de TI. • Guía de implementación: Provee un plan de trabajo genérico en cuanto a TI para ser seguido por el gobierno corporativo. • Guía de aseguramiento de COBIT: como puede ser usado COBIT para soportar las operaciones de la empresa. Lo anterior está orientado al negocio, buscando atender múltiples necesidades de los usuarios de la información. Así que COBIT orienta la inversión en recursos de T.I que son usados por los procesos de TI para entregar información de la empresa que ayude a responder Requerimientos del negocio. Así que a continuación se desglosará cada uno. Recursos de T.I • Aplicaciones: Son sistemas de usuario final y procedimientos manuales que procesan información. • Información: Son datos que entran, se procesan y se generan por los SI. • Infraestructura: Es la tecnología e instalaciones (hardware, sistemas operativos, redes, bases de datos, etc) que permiten el procesamiento de las aplicaciones. • Personas: Es el Personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y servicios de información Procesos de TI (Dominios, Procesos y Actividades) Dominios COBIT define las actividades de TI en un modelo de 4 dominios interrelacionadas entre sí para realizar tareas para las cuales fue diseñado. Dentro de estos dominios incluiremos los procesos y las actividades necesarias para desarrollarlo. 1. Planear y organizar Cubre la estrategia y tácticas de TI, forma en que la TI contribuye al logro de los objetivos del negocio. Procesos: •Definir el plan estratégico de TI y la arquitectura de la información. Por un lado el plan estratégico mejora la comprensión de los interesados clave de oportunidades y limitaciones de TI, éste plan permite evaluar el desempeño actual e identificar la capacidad y los requerimientos de Recursos Humanos y el nivel de investigación que se requiere. Este plan abarca aspectos como: La arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias, por ello es importante actualizarlo regularmente. Por otro lado la arquitectura de la información desarrolla un diccionario corporativo de datos que contiene reglas de sintaxis de los datos y los niveles de seguridad, esto hace que se incremente la integridad y seguridad de los datos, mejora la efectividad y control de la información compartida a lo largo de las aplicaciones y las entidades. Además mejora la calidad de la toma de decisiones gerenciales porque antes se asegura de que suministra información confiable y segura y permite racionalizar los recursos. • Determinar la dirección tecnológica. Se refiere a la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca lo que la tecnología puede ofrecer en productos, servicios y mecanismos de aplicación. Es importante porque da soporte al negocio. • Manejar la inversión en TI. Se establece y mantiene un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y su administración. El proceso fomenta la asociación entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materialización de los beneficios del negocio y el retorno sobre las inversiones de TI. • Comunicar las aspiraciones y la dirección de la gerencia. Se trata de una comunicación continua que se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc., aprobados por la dirección. • Administrar recursos humanos, la calidad, proyectos y evaluar y administrar los riegos de TI. También se definen los procesos, la organización y las relaciones de TI, porque una organización de TI se debe definir teniendo en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. Para ello existen procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos y etc. Dentro de la Administración del Recurso Humano se debe contar con una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio, mantenerlo y motivarlo, siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, evaluación del desempeño, la promoción y la terminación. Para administrar la calidad se crea una planeación, implementación y mantenimiento del sistema de administración de calidad, que suministra requerimientos de calidad (se deben manifestar y documentar con indicadores cuantificables y alcanzables), procedimientos y políticas claras de calidad. Igualmente es necesario un monitoreo constante para corregir desviaciones y comunicar los resultados a los interesados. En cuanto a la administración de proyectos, nos referimos al desarrollo de un Plan Maestro (marco de trabajo) para garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. Donde se tenga en cuenta la asignación de recursos, la aprobación de los usuarios, un enfoque de entrega por fases y un plan formal de pruebas, revisión de pruebas y post-implantación. Por último para evaluar y administrar los riesgos de TI se crea y mantiene un marco de trabajo de administración de riesgos, estrategias de mitigación y riesgos residuales para que cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se identifique, analice y evalúe. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. Los resultados de la evaluación deben ser comprensibles para los interesados (stakeholders) y se deben expresar en términos financieros, para permitir alinear los riesgos a un nivel aceptable de tolerancia. 2. Adquirir e implementar Identifica, desarrolla o adquiere las soluciones de TI que deben ser implementadas e integradas dentro de los procesos para llevar a cabo la estrategia de TI. Cubre los cambios y el mantenimiento de sistemas existentes. Procesos • Identificar soluciones Necesidad de una nueva aplicación o función que requiere de análisis antes de comprar o desarrollar la TI con el fin de garantizar que los requisitos de negocio se satisfacen con un enfoque efectivo y eficiente. Se hace análisis de riesgos y de costo-beneficio. • Adquirir y mantener software de aplicación e infraestructura tecnológica. Las aplicaciones deben estar de acuerdo con lo que requiere la empresa, deben estar correctamente diseñadas, configuradas y controladas. Debe haber la posibilidad de auditar tales aplicaciones con el fin de actualizarlas y mantenerlas. Las organizaciones deben contar con procesos para adquirir, implementar, proteger, actualizar y mantener la infraestructura tecnológica de acuerdo con las estrategias tecnológicas convenidas. • Facilitar la operación y uso de la TI Debe haber entendimiento y conocimiento sobre los nuevos sistemas, donde se cuenta con documentación y manuales para transferencia de conocimientos a la gerencia, usuarios finales y al personal de operación y soporte. • Adquisición de recursos de TI Se deben suministrar recursos como la TI, recurso humano, hardware, software y servicios. Esto requiere ejecutar procedimientos de adquisición, selección de proveedores y ajuste de arreglos contractuales. • Administrar cambios Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controlarlos mediante estándares y procedimientos para cambios, evaluación de impacto y seguimiento del cambio. • Administrar y acreditar soluciones y cambios Los nuevos sistemas deben funcionar una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes y revisar la post-implantación. Es importante un entrenamiento, un plan de prueba y de implantación y una revisión posterior a la implementación para garantizar su operatividad y funcionalidad. 3. Entregar y dar soporte Entrega de servicios de TI requeridos por la organización, abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Procesos • Definir y administrar niveles de servicios Para que sea posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos se debe contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio. Esto hace que se tenga una definición clara en los servicios para controlar, monitorear y cumplir los niveles de servicio. • Administrar servicios prestados por terceros Necesaria para asegurar que los servicios provistos por terceros cumplan con los requerimientos de negocio. Aquí se identifican y gestionan todas las relaciones con proveedores para administrar posibles riesgos. • Asegurar servicio continuo Es necesario brindar continuidad en los servicios de TI, para ello se desarrolla, mantiene y prueba planes de continuidad de TI, se almacena respaldos fuera de las instalaciones y se entrena de forma periódica sobre los planes de continuidad. Así mismo se revisan y actualizan. • Identificar y asignar costos Se requiere de una medición precisa y acordada con los usuarios del negocio sobre una asignación justa y equitativa a la hora de asignar costos de TI al negocio. Estos costos se reportan a la dirección del área de sistemas y a la dirección de la empresa, de tal forma que se puedan tomar las decisiones pertinentes respecto al uso de las TI. • Educar y entrenar a los usuarios Primero se identifican las necesidades de entrenamiento y educación de cada grupo de usuarios, luego se imparte el entrenamiento y por último se realiza una evaluación, esto brinda una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI. • Administrar la configuración, los problemas, datos y las operaciones Para administrar la configuración se debe garantizar la integridad de las configuraciones de hardware y software para mayor facilidad la disponibilidad del sistema y los datos, así se reducen los problemas en la producción de información. Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas raíz y la resolución de problemas. Una efectiva administración de datos requiere la identificación de requerimientos de datos. Incluye establecer procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de datos y la eliminación apropiada de medios. Por último para administrar las operaciones se requiere de un procesamiento de información completo y apropiado para mantener la integridad de los datos, reduciendo los problemas como los retrasos en los trabajos, también es importante el mantenimiento del hardware. 4. Monitorear y evaluar Evaluación regular de los procesos de TI para verificar la calidad y suficiencia. Procesos Monitorear y evaluar del desempeño de las TI, del Control Interno. Asegurar el cumplimiento regulatorio. Proveer gobierno de TI. Requerimientos de Negocio • Efectividad: Información relevante y pertinente para los procesos de negocio. • Eficiencia: Necesaria para optimizar los procesos. • Confidencialidad: Información protegida contra la divulgación indebida. • Integridad: Información precisa, completa y válida. • Disponibilidad: Información disponible cuando sea requerida. • Cumplimiento: Información oportuna y desarrollada según requerimientos de presentación y contenido para la toma de decisiones. • Confiabilidad: Información que capte la realidad del negocio tal como es. Después de esto la organización debe medir dónde se encuentra y dónde se requieren mejoras, para implementar un juego de herramientas gerenciales y poder monitorear esta mejora. Estas herramientas son: • Modelos de madurez: Facilitan la evaluación por medio de benchmarking y la identificación de las mejoras necesarias en la capacidad. • Metas y mediciones de desempeño para los procesos de TI: Demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado como el Balanced Scorecard. • Metas de actividades: Facilita el desempeño efectivo de los procesos.