RESUMEN_DESCRIPTIVO

Anuncio
Pontificia Universidad Javeriana
Facultad de Ciencias Económicas y Administrativas
Carrera de Contaduría Pública
Auditoría de Sistemas de Información
Resumen Descriptivo COSO – COBIT
Paola Andrea Pabón Cupitra
Para nadie es un secreto que más allá del concepto de auditoría es su práctica y su alcance los que han
evolucionado a lo largo del tiempo para alcanzar diferentes objetivos organizacionales desde diversas
perspectivas, haciendo que los profesionales en este tema se enfoquen en desarrollar aún más esa
competencia profesional con el fin de estar a la vanguardia de un mundo de negocios amplio y competitivo.
Actualmente las actividades ordinarias están guiadas por los denominados Sistemas y Tecnologías de
Información para apoyar y complementar estratégicamente cada uno de los procesos, políticas y
parámetros usados dentro de la organización, como mecanismos de protección de la información y
prevención de intrusos o riesgos que se pueden convertir en efectos materiales, afectando el proceso de
toma de decisiones.
Por ello es muy importante resaltar la naturaleza y el alcance de la Auditoría Interna dentro de una
organización, pues ésta se basa en ser una actividad que busca agregar valor y mejorar las operaciones de la
organización, mediante el cumplimiento de sus objetivos de negocios, como velar por la eficiencia y eficacia
operacional de los procesos, brindar confiabilidad de los sistemas de información y la calidad de la
información producida, proteger los activos de perdidas ya sea por fraude o malversación de activos, y el
cumplimiento de políticas organizacionales y regulaciones legales vigentes. Todo esto se alcanza mediante la
evaluación y el mejoramiento de la efectividad de los procesos del gobierno corporativo, manejo de riesgos
y controles; pues es muy importante tener claro que la función de la Auditoría compete a todo el personal
de la organización, pues el éxito del control interno depende de la colaboración de sus miembros.
Así con el control interno se logra que las políticas implementadas dentro de la entidad sean prácticas
uniformes, con el fin de conseguir la eficacia de las operaciones, eficiencia de las operaciones, fiabilidad de
la información financiera, operativa y de gestión, salvaguardar activos y cumplir las leyes y normas
aplicables.
Pero aún así debemos entender que el control interno no está exento de tener limitaciones, ya que su
objetivo es velar por que las actividades de la empresa sean adecuadas y correctas, lo que podría estancar el
crecimiento empresarial, tampoco se puede asegurar la efectividad de las operaciones definidas de forma.
Con la anterior concepción sobre Auditoría Interna y control interno, nos encaminamos a hablar sobre lo
que es COSO por sus siglas en inglés “Committee of Sponsoring Organization of the Treadway
Commission”, fue en 1992 cuando publicó un informe denominado Internal Control – Integrated Framework
(IC-IF), o COSO I, donde sus principales objetivos son:
• Promover operaciones que sean metódicas, económicas, eficientes y eficaces.
• Promover productos y servicios de la calidad esperada.
• Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o
irregularidades.
• Respetar las leyes y reglamentaciones, y estimular adhesión de los integrantes de la organización a las
políticas y objetivos de la misma.
• Obtener datos financieros y de gestión completos y confiables y presentados a través de informes
oportunos.
Tiene 5 componentes
1. Ambiente de Control:
Busca establecer un entorno que estimule e influencie las actividades del personal, con respecto al control.
Se encuentra la integridad y valores éticos, competencia del personal, consejo de administración y comité de
auditoría, filosofía administrativa, cultura organizacional y estilo de operación.
2. Evaluación de Riesgos:
Se identifican y analizan los riesgos más relevantes que hacen vulnerable a la empresa al logro de sus
objetivos y representa la base para determinar la forma en que los riesgos deben ser manejados.
3. Actividades de Control:
Las realiza la gerencia y otros miembros de la organización, para cumplir con las diferentes funciones.
4. Información y Comunicación:
Se refiere a información relevante que se produzca, debe ser identificada, capturada, procesada y
comunicada oportunamente a todo el personal de la organización.
5. Monitoreo:
Permanente revisión y evaluación de todos los componentes y elementos que forman parte del sistema,
para evitar posibles fallas en los procesos.
No sólo hablamos de COSO I, también hay otra posibilidad más amplia para implementar dentro de una
organización, que es COSO II o COSO ERM, que se trata de un enfoque y un proceso eficaz diseñado para
ayudar a las empresas a identificar, evaluar y gestionar los riesgos potenciales y así proporcionar una
seguridad razonable.
Como es un enfoque más amplio de COSO I, los 5 componentes del anterior también se incluyen en este
marco integrado de control interno, pero se agregan 3 más que son relevantes para cualquier compañía y
que lo hace considerar más completo y profundo, por lo tanto sus otros componentes son:
• Definición de Objetivos:
A nivel estratégico, establece una base para las operaciones, la elaboración de informes y los objetivos de
cumplimiento.
• Identificación de eventos:
Reconocer incidentes negativos que si suceden, afectan la entidad, pero también se oportunidades.
• Respuesta al riesgo:
La dirección determina como responderá ante los riesgos o incidentes encontrados.
Después de haber dado una breve noción de lo que es COSO y sus enfoques, es hora de hablar sobre un
marco que se dirige hacia el control de las Tecnologías de Información, se trata de COBIT, que significa
Objetivos de Control para Tecnología de Información por sus siglas en inglés, éste proporciona un modelo
estructurado, lógico, donde pretende enfocarse en las mejores prácticas de T.I.
Esto es necesario porque la dirección espera entender la manera en que la TI es operada y de la posibilidad
de que sea aprovechada con éxito para tener una ventaja competitiva, comprendiendo los riesgos y
aprovechando los beneficios de TI, mediante la aplicación de un marco de referencia de gobierno y control,
con procesos que definan el alcance y el grado de cobertura.
COBIT, busca alinear las metas y actividades de negocio con las T.I, para integrar las mejores prácticas con el
fin de establecer un nivel apropiado de control y así proporcionar calidad y seguridad de la información para
aprovecharla al máximo y guiar a la entidad hacia el logro de sus objetivos organizacionales, además se
integra con COSO porque su flexibilidad permite integrar beneficios de éste y hacerlo más amplio.
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a la
gerencia para un control efectivo de cada proceso de TI.
Por ello se basa en 5 principios:
• Cumplir las necesidades de las partes interesadas.
• Cubrir toda la empresa de principio a fin.
• Aplicar un mismo y sencillo marco de referencia.
• Permitir un enfoque holístico (como un todo).
• Separación entre el gobierno y la gerencia.
Pero para alcanzar sus objetivos y centrarse a la vez en los anteriores principios, COBIT tiene 7 categorías:
• Principios, Políticas y Marco de Referencia:
Es el punto de partida para interpretar el comportamiento deseado en una guía práctica para la gestión del
día a día.
• Procesos:
Conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir una serie de
productos de apoyo a la consecución de metas relacionadas con las TI.
• Estructuras organizativas:
Principales entidades de toma de decisiones en una empresa.
• Cultura, Ética y Comportamiento de los individuos y de la empresa:
Se deben considerar como factor de éxito en las actividades de gobierno y de gestión.
• Información:
Necesaria para mantener la organización funcionando operativamente bien, porque es la clave del producto
de la propia empresa.
• Servicios, infraestructuras y aplicaciones:
Para el procesamiento de tecnología y servicios.
• Habilidades personales y Competencias:
Necesarias para alcanzar con éxito todas las actividades, para tomar las medidas correctivas a tiempo y para
el proceso de toma de decisiones.
Así COBIT es una forma de ayudar a la gerencia a tener una visión sobre las TI, también ayuda a gestores,
auditores y usuarios a entender los Sistemas de Información, dando lineamientos avanzados en áreas de
gran interés tales como la arquitectura empresarial, gestión de activos y servicios y el gerenciamiento de la
innovación en TI.
COBIT está conformado por:
• Marco Conceptual: Explica como COBIT organiza los objetivos de gobierno y las buenas prácticas de TI con
base en dominios y procesos de TI y vincula los requerimientos del negocio.
• Control de objetivos: Relaciona los requerimientos de control de alto nivel que deben ser considerados
por la dirección de TI.
• Guía de implementación: Provee un plan de trabajo genérico en cuanto a TI para ser seguido por el
gobierno corporativo.
• Guía de aseguramiento de COBIT: como puede ser usado COBIT para soportar las operaciones de la
empresa.
Lo anterior está orientado al negocio, buscando atender múltiples necesidades de los usuarios de la
información. Así que COBIT orienta la inversión en recursos de T.I que son usados por los procesos de TI para
entregar información de la empresa que ayude a responder Requerimientos del negocio. Así que a
continuación se desglosará cada uno.
Recursos de T.I
• Aplicaciones: Son sistemas de usuario final y procedimientos manuales que procesan información.
• Información: Son datos que entran, se procesan y se generan por los SI.
• Infraestructura: Es la tecnología e instalaciones (hardware, sistemas operativos, redes, bases de datos,
etc) que permiten el procesamiento de las aplicaciones.
• Personas: Es el Personal requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y servicios de información
Procesos de TI (Dominios, Procesos y Actividades)
Dominios
COBIT define las actividades de TI en un modelo de 4 dominios interrelacionadas entre sí para realizar tareas
para las cuales fue diseñado. Dentro de estos dominios incluiremos los procesos y las actividades necesarias
para desarrollarlo.
1. Planear y organizar
Cubre la estrategia y tácticas de TI, forma en que la TI contribuye al logro de los objetivos del negocio.
Procesos:
•Definir el plan estratégico de TI y la arquitectura de la información.
Por un lado el plan estratégico mejora la comprensión de los interesados clave de oportunidades y
limitaciones de TI, éste plan permite evaluar el desempeño actual e identificar la capacidad y los
requerimientos de Recursos Humanos y el nivel de investigación que se requiere.
Este plan abarca aspectos como: La arquitectura de sistemas, dirección tecnológica, planes de adquisición,
estándares, estrategias de migración y contingencias, por ello es importante actualizarlo regularmente.
Por otro lado la arquitectura de la información desarrolla un diccionario corporativo de datos que contiene
reglas de sintaxis de los datos y los niveles de seguridad, esto hace que se incremente la integridad y
seguridad de los datos, mejora la efectividad y control de la información compartida a lo largo de las
aplicaciones y las entidades. Además mejora la calidad de la toma de decisiones gerenciales porque antes se
asegura de que suministra información confiable y segura y permite racionalizar los recursos.
• Determinar la dirección tecnológica.
Se refiere a la creación de un plan de infraestructura tecnológica y de un comité de arquitectura que
establezca lo que la tecnología puede ofrecer en productos, servicios y mecanismos de aplicación. Es
importante porque da soporte al negocio.
• Manejar la inversión en TI.
Se establece y mantiene un marco de trabajo para administrar los programas de inversión en TI que
abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y su
administración.
El proceso fomenta la asociación entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de
recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la
materialización de los beneficios del negocio y el retorno sobre las inversiones de TI.
• Comunicar las aspiraciones y la dirección de la gerencia.
Se trata de una comunicación continua que se debe implementar para articular la misión, los objetivos de
servicio, las políticas y procedimientos, etc., aprobados por la dirección.
• Administrar recursos humanos, la calidad, proyectos y evaluar y administrar los riegos de TI.
También se definen los procesos, la organización y las relaciones de TI, porque una organización de TI se
debe definir teniendo en cuenta los requerimientos de personal, funciones, rendición de cuentas, autoridad,
roles, responsabilidades y supervisión. Para ello existen procesos, políticas de administración y
procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la
calidad, la administración de riesgos y etc.
Dentro de la Administración del Recurso Humano se debe contar con una fuerza de trabajo para la creación
y entrega de servicios de TI para el negocio, mantenerlo y motivarlo, siguiendo prácticas definidas y
aprobadas que apoyan el reclutamiento, entrenamiento, evaluación del desempeño, la promoción y la
terminación.
Para administrar la calidad se crea una planeación, implementación y mantenimiento del sistema de
administración de calidad, que suministra requerimientos de calidad (se deben manifestar y documentar
con indicadores cuantificables y alcanzables), procedimientos y políticas claras de calidad. Igualmente es
necesario un monitoreo constante para corregir desviaciones y comunicar los resultados a los interesados.
En cuanto a la administración de proyectos, nos referimos al desarrollo de un Plan Maestro (marco de
trabajo) para garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos.
Donde se tenga en cuenta la asignación de recursos, la aprobación de los usuarios, un enfoque de entrega
por fases y un plan formal de pruebas, revisión de pruebas y post-implantación.
Por último para evaluar y administrar los riesgos de TI se crea y mantiene un marco de trabajo de
administración de riesgos, estrategias de mitigación y riesgos residuales para que cualquier impacto
potencial sobre las metas de la organización, causado por algún evento no planeado se identifique, analice y
evalúe. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un
nivel aceptable. Los resultados de la evaluación deben ser comprensibles para los interesados (stakeholders)
y se deben expresar en términos financieros, para permitir alinear los riesgos a un nivel aceptable de
tolerancia.
2. Adquirir e implementar
Identifica, desarrolla o adquiere las soluciones de TI que deben ser implementadas e integradas dentro de
los procesos para llevar a cabo la estrategia de TI. Cubre los cambios y el mantenimiento de sistemas
existentes.
Procesos
• Identificar soluciones
Necesidad de una nueva aplicación o función que requiere de análisis antes de comprar o desarrollar la TI
con el fin de garantizar que los requisitos de negocio se satisfacen con un enfoque efectivo y eficiente. Se
hace análisis de riesgos y de costo-beneficio.
• Adquirir y mantener software de aplicación e infraestructura tecnológica.
Las aplicaciones deben estar de acuerdo con lo que requiere la empresa, deben estar correctamente
diseñadas, configuradas y controladas. Debe haber la posibilidad de auditar tales aplicaciones con el fin de
actualizarlas y mantenerlas.
Las organizaciones deben contar con procesos para adquirir, implementar, proteger, actualizar y mantener
la infraestructura tecnológica de acuerdo con las estrategias tecnológicas convenidas.
• Facilitar la operación y uso de la TI
Debe haber entendimiento y conocimiento sobre los nuevos sistemas, donde se cuenta con documentación
y manuales para transferencia de conocimientos a la gerencia, usuarios finales y al personal de operación y
soporte.
• Adquisición de recursos de TI
Se deben suministrar recursos como la TI, recurso humano, hardware, software y servicios. Esto requiere
ejecutar procedimientos de adquisición, selección de proveedores y ajuste de arreglos contractuales.
• Administrar cambios
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y
controlarlos mediante estándares y procedimientos para cambios, evaluación de impacto y seguimiento del
cambio.
• Administrar y acreditar soluciones y cambios
Los nuevos sistemas deben funcionar una vez que su desarrollo se completa. Esto requiere pruebas
adecuadas en un ambiente dedicado con datos de prueba relevantes y revisar la post-implantación.
Es importante un entrenamiento, un plan de prueba y de implantación y una revisión posterior a la
implementación para garantizar su operatividad y funcionalidad.
3. Entregar y dar soporte
Entrega de servicios de TI requeridos por la organización, abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad.
Procesos
• Definir y administrar niveles de servicios
Para que sea posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de
los servicios requeridos se debe contar con una definición documentada y un acuerdo de servicios de TI y de
niveles de servicio. Esto hace que se tenga una definición clara en los servicios para controlar, monitorear y
cumplir los niveles de servicio.
• Administrar servicios prestados por terceros
Necesaria para asegurar que los servicios provistos por terceros cumplan con los requerimientos de negocio.
Aquí se identifican y gestionan todas las relaciones con proveedores para administrar posibles riesgos.
• Asegurar servicio continuo
Es necesario brindar continuidad en los servicios de TI, para ello se desarrolla, mantiene y prueba planes de
continuidad de TI, se almacena respaldos fuera de las instalaciones y se entrena de forma periódica sobre
los planes de continuidad. Así mismo se revisan y actualizan.
• Identificar y asignar costos
Se requiere de una medición precisa y acordada con los usuarios del negocio sobre una asignación justa y
equitativa a la hora de asignar costos de TI al negocio. Estos costos se reportan a la dirección del área de
sistemas y a la dirección de la empresa, de tal forma que se puedan tomar las decisiones pertinentes
respecto al uso de las TI.
• Educar y entrenar a los usuarios
Primero se identifican las necesidades de entrenamiento y educación de cada grupo de usuarios, luego se
imparte el entrenamiento y por último se realiza una evaluación, esto brinda una educación efectiva de
todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI.
• Administrar la configuración, los problemas, datos y las operaciones
Para administrar la configuración se debe garantizar la integridad de las configuraciones de hardware y
software para mayor facilidad la disponibilidad del sistema y los datos, así se reducen los problemas en la
producción de información.
Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis
de las causas raíz y la resolución de problemas.
Una efectiva administración de datos requiere la identificación de requerimientos de datos. Incluye
establecer procedimientos efectivos para administrar la librería de medios, el respaldo y la recuperación de
datos y la eliminación apropiada de medios.
Por último para administrar las operaciones se requiere de un procesamiento de información completo y
apropiado para mantener la integridad de los datos, reduciendo los problemas como los retrasos en los
trabajos, también es importante el mantenimiento del hardware.
4. Monitorear y evaluar
Evaluación regular de los procesos de TI para verificar la calidad y suficiencia.
Procesos
Monitorear y evaluar del desempeño de las TI, del Control Interno.
Asegurar el cumplimiento regulatorio.
Proveer gobierno de TI.
Requerimientos de Negocio
• Efectividad: Información relevante y pertinente para los procesos de negocio.
• Eficiencia: Necesaria para optimizar los procesos.
• Confidencialidad: Información protegida contra la divulgación indebida.
• Integridad: Información precisa, completa y válida.
• Disponibilidad: Información disponible cuando sea requerida.
• Cumplimiento: Información oportuna y desarrollada según requerimientos de presentación y contenido
para la toma de decisiones.
• Confiabilidad: Información que capte la realidad del negocio tal como es.
Después de esto la organización debe medir dónde se encuentra y dónde se requieren mejoras, para
implementar un juego de herramientas gerenciales y poder monitorear esta mejora. Estas herramientas son:
• Modelos de madurez: Facilitan la evaluación por medio de benchmarking y la identificación de las mejoras
necesarias en la capacidad.
• Metas y mediciones de desempeño para los procesos de TI: Demuestran cómo los procesos satisfacen las
necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados
en los principios de un marcador de puntuación balanceado como el Balanced Scorecard.
• Metas de actividades: Facilita el desempeño efectivo de los procesos.
Descargar