-
La Misin de COBIT: Investigar, desarrollar, publicar y promover
un conjunto de objetivos de con-trol en tecnologa de informacin con
autoridad, actualizados, de carcter in-ternacional y aceptados
generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT DIRECTRICES DE AUDITORIA
Julio de 2000
3a Edicin
Emitido por el Comit Directivo de COBIT y El IT Governance
Institute TM
-
ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH
BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE
CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA
DINAMARCA REPBLICA DOMI-NICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE
FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS
HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA
IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA
LEBANON
LIECHTENSTEIN LITUANIA
LUXEMBURGO MALASIA
MALTA MALAWI MXICO
PASES BAJOS NUEVA GUINEA
NUEVA ZELANDA NIGERIA
NORUEGA OMN
PAKISTN PANAM
PER FILIPINAS POLONIA
PORTUGAL QATAR RUSIA
SAIPAN ARABIA SAUDITA
ESCOCIA SEYCHELLES
SINGAPUR REP. ESLOVACA
ESLOVENIA SUDFRICA
ESPAA SRI LANKA ST. KITTS ST. LUCIA
SUECIA SUIZA SIRIA
TAIWAN TANZANIA TASMANIA TAILANDIA
TRINIDAD & TO-BAGO
TURQUA UGANDA
EMIRATOS ARAB UNIDOS
REINO UNIDO ESTADOS UNI-
DOS URUGUAY
VENEZUELA VIETNAM
GALES YEMEN ZAMBIA
ZIMBABWE
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles de la Tecnologa
de Informacin
Information Systems Audit and Control
Association es una organizacin global
lder de profesionales que representa a
individuos en ms de 100 pases y compren-
de todos los niveles de la tecnologa de
informacin Direccin ejecutiva, geren-cia media y practicantes.
La Asociacin
est nicamente posesionada para cubrir el
papel de generador central que armoniza
los estndares de las prcticas de control
de TI a nivel mundial. Sus alianzas estrat-
gicas con otros grupos dentro del mbito
profesional financiero, contable, de audito-
ra y de TI aseguran a los dueos del proce-
so del negocio un nivel sin paralelo de inte-
gracin y compromiso.
Programas y Servicios de la Asociacin Los Programas y Servicios
de la Asociacin
han ganado prestigio al establecer los nive-
les ms altos de excelencia en certificacin,
estndares, educacin profesional y publici-
dad tcnica.
su programa de certificacin (el Audi-tor de Sistemas de
Informacin Certi-
ficado) es la nica designacin global
en toda la comunidad de control y
auditora de la TI.
sus actividades estndar establecen la base de calidad mediante
la cual otras
actividades de control y auditora de TI
se miden.
su programa de educacin profesional ofrece conferencias tcnicas
y adminis-
trativas en cinco continentes, as como
seminarios en todo el mundo para
ayudar a los profesionistas de todas
partes a recibir educacin contina de
alta calidad.
su rea de publicidad tcnica propor-ciona materiales de
desarrollo profe-
sional y referencias con el fin de au-
mentar su distinguida seleccin de
programas y servicios.
La Information Systems Audit and Control
Association se cre en 1969 para cubrir las
necesidades nicas, diversas y de alta tecno-
loga en el naciente campo de la TI. En una
industria donde el progreso se mide en na-
nosegundos, ISACA se ha movido gil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internaciona-
les y de la profesin de controles de la TI.
Para ms Informacin Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un e-
mail a ([email protected]) o visitar los
siguientes sitios web:
www.itgovernance.org
www.isaca.org
-
Reconocimientos 4-5 Resumen Ejecutivo 7-8 Antecedentes 9-10 El
Marco Referencial de COBIT
Estableciendo la
escena.........................................11-13 Los Principios
del Marco Referencial...................14-18 Gua para la
utilizacin del Marco Referencial y Objetivos de
Control.......................19-20
Tabla Resumen 21 Introduccin a los Lineamientos
de Auditoria 23-27, 29-31 Lineamiento General de Auditoria 28
Lineamientos de Auditora 33
Planeacin y Organizacin....................................35-86
Adquisicin e Implementacin............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204
Apndice I Lista de Dominios, Procesos y Objetivos de
Control..........................................205-209
Apndice II Material de Referencia
Primaria........................210-211
Apndice III Glosario de
Trminos................................................212
Apndice IV Proceso de
Auditora..........................................213-216
Apndice V Cumplimiento del Ao
2000..............................217-219
ndice 220-222
IT GOVERNANCE INSTITUTE 3
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation, el IT
Governance Institute y los patrocinadores de COBIT: Objetivos de
Control para la Informa-cin y Tecnologas Relacionadas, han diseado
y creado las publicaciones tituladas Resumen Ejecutivo, Marco
Referencial, Objetivos de Control, Direc-trices Gerenciales,
Directrices de Auditora, y el Conjunto de Herramientas de
Implementacin (llamado colectivamente el Producto) principalmente
como una fuente de instruccin para los profesionales dedicados a
las actividades de control. La Information Systems Audit and
Control Foundation, el IT Gover-nance Institute y los
patrocinadores no garantizan que el uso de este producto asegurar
un resultado exitoso. No deber considerarse que este producto
incluye todos los procedimientos o pruebas apropiados o que excluye
otros procedimientos y pruebas que estn razonablemente dirigidos
hacia la obten-cin de los mismos resultados. Para determinar la
conveniencia de cualquier prueba o procedimiento especfico, los
expertos en control debern aplicar su propio juicio profesional a
las circunstancias de control especiales presentadas por cada
entorno de sistemas en particular.
Acuerdo de Licencia de uso (disclosure)
Copyright 1996, 1998, 2000, de la Information Systems Audit and
Control Foundation (ISACF). La reproduccin para fines comerciales
no est permitida sin el previo consentimiento por escrito de la
ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el
Marco Referencial, los Objetivos de Con-trol, las Directrices
Gerenciales y el Conjunto de Herramientas de Implemen-tacin para
uso interno no comercial, incluyendo almacenamiento en medios de
recuperacin de datos y transmisin en cualquier medio, incluyendo
electr-nico, mecnico, grabado u otro medio. Todas las copias del
Resumen Ejecuti-vo, el Marco Referencial, los Objetivos de Control,
las Directrices Gerenciales y el Conjunto de Herramientas de
Implementacin deben incluir el siguiente reconocimiento y leyenda
de derechos de autor: Copyright 1996, 1998, 2000 Information
Systems Audit and Control Foundation. Reimpreso con la autori-zacin
de la Information Systems Audit and Control Foundation, y el IT
Go-vernance Institute.
Las Guas/Directrices de Auditora no pueden ser usadas, copiadas,
reproduci-das, almacenadas, modificadas en un sistema de
recuperacin de datos o trans-mitido en ninguna forma ni por ningn
medio (electrnico, mecnico, fotoco-piado, grabado u otro medio) sin
la previa autorizacin por escrito de la ISACF. Sin embargo, las
Directrices de Auditora pueden ser usadas con fines no comerciales
internos nicamente. Excepto por lo indicado, no se otorga ningn
otro derecho o permiso relacionado con esta obra. Todos los
derechos de esta obra son reservados.
Information Systems Audit and Control Foundation IT Governance
Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois
60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail:
[email protected] Web sites: www.isaca.org www.Itgovernance.org
ISBN 1-893209-18-0 (Audit Guidelines, English) ISBN 1-893209-13-X
(Paquete completo de los 6 libros y CD) Impreso en los Estados
Unidos de Amrica
CONTENIDO
-
CCOBIOBITT
IT GOVERNANCE INSTITUTE 4
Especiales Agradecimientos a los miembros de la Mesa Directiva
de la Information Systems Audit and Control Association y a los
Fideicomisarios de la Information Systems Audit and Control
Foundation, enca-bezados por el Presidente Internacional Paul
Williams, por su contnuo y firme apoyo al Cobit
COMIT DIRECTIVO DE COBIT
ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA
JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND
INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
RECONOCIMIENTOS
-
IT GOVERNANCE INSTITUTE 5
RRESUMENESUMEN E EJECUTIVOJECUTIVO Un elemento crtico para el
xito y la supervivencia de las organizaciones, es la administracin
efectiva de la informa-cin y de la Tecnologa de Informacin (TI)
Relacionada. En esta sociedad global (donde la informacin viaja a
travs del ciberespacio sin las restricciones de tiempo, distancia y
ve-locidad) esta criticidad emerge de: z La creciente dependencia
en informacin y en los siste-
mas que proporcionan dicha informacin z La creciente
vulnerabilidad y un amplio espectro de ame-
nazas, tales como las ciber amenazas y la guerra de
informacin1
z La escala y el costo de las inversiones actuales y futuras en
informacin y en tecnologa de informacin; y
z El potencial que tienen las tecnologas para cambiar
radi-calmente las organizaciones y las prcticas de negocio, crear
nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la
soporta, representan los activos mas valiosos de la em-presa. Es
ms, en nuestro competitivo y rpidamente cambian-te ambiente actual,
la Gerencia ha incrementado sus expectati-vas relacionadas con la
entrega de servicios de TI. Por lo tan-to, la Administracin
requiere niveles de servicio que presen-ten incrementos en calidad,
en funcionalidad y en facilidad de uso, as como un mejoramiento
continuo y una disminucin de los tiempos de entrega; al tiempo que
demanda que esto se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potencia-les que
la tecnologa puede proporcionar. Las organizacio-nes exitosas, sin
embargo, tambin comprenden y adminis-tran los riesgos asociados con
la implementacin de nuevas tecnologas.
Hay numerosos cambios en TI y en su ambiente de operacin que
enfatiza la necesidad de un mejor manejo relacionado con los
riesgos de TI. La dependencia en la informacin electrni-ca y en los
sistemas de TI son esenciales para soportar los pro-cesos crticos
del negocio. Adicionalmente, el ambiente regu-latorio demanda
control estricto sobre la informacin. Esto a su vez conduce a un
incremento de los desastres en los siste-mas de informacin y al
incremento del fraude electrnico. La Administracin de los riesgos
relacionados con TI est siendo entendido como un aspecto clave en
el gobierno o direccin empresarial.
Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-dad
de TI2 se est volviendo mas y mas importante y est defi-nido como
una estructura de relaciones y procesos para dirigir y controlar a
la empresa con el fin que sta pueda cumplir sus metas dando valor
agregado mientras balancea sus riesgos versus el retorno sobre TI y
sus procesos. El Gobierno de TI es parte integral del xito de la
Gerencia de la Empresa al ase-gurar mejoras medibles, eficientes y
efectivas de los procesos
relacionados de la empresa. El Gobierno de TI provee las
es-tructuras que unen los procesos de TI, los recursos de TI y la
informacin con las estrategias y los objetivos de la empresa.
Adems, el Gobierno de TI integra e institucionaliza buenas (o
mejores) prcticas de planeacin y organizacin, adquisicin e
implementacin, entrega de servicios y soporte y monitorea el
desempeo de TI para asegurar que la informacin de la em-presa y las
tecnologas relacionadas soportan sus objetivos del negocio. El
Gobierno de TI conduce a la empresa a tomar total ventaja de su
informacin logrando con esto maximizar sus beneficios, capitalizar
sus oportunidades y obtener ventaja competitiva
GOBIERNO/ GOBERNABILIDAD DE TI
Una estructura de relaciones y procesos para dirigir y
con-trolar la empresa con el objeto de alcanzar los objetivos de la
empresa y aadir valor mientras se balancean los ries-gos versus el
retorno sobre TI y sus procesos.
Las organizaciones deben cumplir con requerimientos de cali-dad,
fiduciarios y de seguridad, tanto para su informacin, como para sus
activos. La Administracin deber adems optimizar el empleo de sus
recursos disponibles, los cuales incluyen: personal, instalaciones,
tecnologa, sistemas de apli-cacin y datos. Para cumplir con esta
responsabilidad, as como para alcanzar sus objetivos, la
Administracin debe en-tender el estado de sus propios sistemas de
TI y decidir el ni-vel de seguridad y control que deben proveer
estos sistemas. Los Objetivos de Control para la Informacin y las
Tecnolog-as Relacionadas (COBIT), ahora en esta tercera edicin,
ayuda a satisfacer las mltiples necesidades de la Administracin
estableciendo un puente entre los riesgos del negocio, los
con-troles necesarios y los aspectos tcnicos. Provee buenas
prcti-cas a travs de un dominio y el marco referencial de los
proce-sos y presenta actividades en una estructura manejable y
lgi-ca. Las Buenas prcticas de COBIT rene el consenso de expertos -
quienes ayudarn a optimizar la inversin de la in-formacin y
proporcionarn un mecanismo de medicin que permitir juzgar cuando
las actividades van por el camino equivocado.
1 Guerra de informacin (information warfare) 2 Gobierno de TI
(IT Governance) Governance es un trmino
que representa el sistema que establece la alta gerencia para
asegurar el logro de los objetivos de una Organizacin.
-
IT GOVERNANCE INSTITUTE 6
RRESUMENESUMEN E EJECUTIVOJECUTIVO
La Administracin debe asegurar que los sistemas de control
interno o el marco referencial estn funcionando y soportan los
procesos del negocio y debe tener claridad sobre la forma como cada
actividad individual de control satisface los reque-rimientos de
informacin e impacta los recursos de TI. El im-pacto sobre los
recursos de TI son resaltados en el Marco Re-ferencial de COBIT
junto con los requerimientos del negocio que deben ser alcanzados:
eficiencia, efectividad, confidencia-lidad, integridad,
disponibilidad, cumplimiento y confiabilidad de la informacin. El
control, que incluye polticas, estructu-ras, prcticas y
procedimientos organizacionales, es responsa-bilidad de la
administracin.
La administracin, mediante este gobierno corporativo, debe
asegurar que todos los individuos involucrados en la
adminis-tracin, uso, diseo, desarrollo, mantenimiento u operacin de
sistemas de informacin acten con la debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o
propsito que se desea alcanzar implementando procedimien-tos de
control especficos dentro de una actividad de TI.
La orientacin al negocio es el tema principal de COBIT. Est
diseado no solo para ser utilizado por usuarios y auditores, sino
que, lo ms importante, esta diseado para ser utilizado por los
propietarios de los procesos de negocio como una gua clara y
entendible. A medida que ascendemos, las prcticas de negocio
requieren de una mayor delegacin y empoderamien-to3 de los dueos de
los procesos para que estos tengan total responsabilidad de todos
los aspectos relacionados con dichos procesos de negocio. En
particular, esto incluye el proporcio-nar controles adecuados.. El
Marco Referencial de COBIT proporciona, al propietario de procesos
de negocio, herramien-tas que facilitan el cumplimiento de esta
responsabilidad. El Marco Referencial comienza con una premisa
simple y prcti-ca:
Con el fin de proporcionar la informacin que la empresa necesita
para alcanzar sus objetivos, los recursos de TI deben ser
administrados por un conjunto de procesos de TI agrupados en forma
natural.
El Marco Referencial contina con un conjunto de 34 Objeti-vos de
Control de alto nivel, uno para cada uno de los Proce-sos de TI,
agrupados en cuatro dominios: Planeacin y Orga-nizacin, Adquisicin
e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta
estructura cubre todos los aspec-tos de informacin y de tecnologa
que la soporta. Adminis-trando adecuadamente estos 34 Objetivos de
Control de alto nivel, el propietario de procesos de negocio podr
asegurar que se proporciona un sistema de control adecuado para el
ambiente de tecnologa de informacin.
El Marco Referencial de COBIT provee adems una gua o
lista de verificacin para el Gobierno de TI. El Gobierno de TI
proporciona las estructuras que encadenan los procesos de TI, los
recursos de TI y la informacin con los objetivos y las es-trategias
de la empresa. El Gobierno de TI integra de una for-ma ptima el
desempeo de la Planeacin y Organizacin, la Adquisicin e
Implementacin, la Entrega de Servicios y So-porte y el Monitoreo.
El Gobierno de TI facilita que la empre-sa obtenga total ventaja de
su informacin y as mismo maxi-miza sus beneficios, capitalizando
sus oportunidades y obte-niendo ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objeti-vos
de control de alto nivel, existe una Gua o directriz de Auditora o
de aseguramiento que permite la revisin de los procesos de TI
contra los 318 objetivos detallados de control recomendados por
COBIT para proporcionar a la Gerencia la certeza de su cumplimiento
y/o sugerencias para su mejora-miento.
Las Guas o Directrices Gerenciales de COBIT, desarrolladas
recientemente, ayudan a la Gerencia a cumplir de una forma mas
efectiva con las necesidades y requerimientos del Gobier-no de TI.
Las Directrices son acciones genricas orientadas a proveer a la
Administracin la direccin para mantener bajo control la informacin
de la empresa y sus procesos relaciona-dos, para monitorear el
logro de las metas organizacionales, para monitorear el desempeo de
cada proceso de TI y para llevar a cabo un benchmarking de los
logros organizacionales.
Especficamente COBIT provee Modelos de Madurez para el control
sobre los procesos de TI de tal forma que la Adminis-tracin puede
ubicarse en el punto donde la organizacin est hoy, donde est en
relacin con los mejores de su clase en su industria y con los
estndares internacionales y as mismo determinar a donde quiere
llegar; Factores Crticos de xito (Critical Success Factors), que
definen o determina cuales son las mas importantes directrices que
deben ser consideradas por la Administracin para lograr control
sobre y dentro de los procesos de TI. Indicadores Claves del logro
de Objetivos o de Resultados (Key Goal Indicators) los cuales
definen los mecanismos de medicin que indicarn a la Gerenciadespus
del hecho si un proceso de TI ha satisfecho los re-querimientos del
negocio; y los Indicadores Clave de desem-peo (Key Performance
Indicators) los cuales son indicado-res primarios que definen la
medida para conocer qu tan bien se est ejecutando el proceso de TI
frente o comparado contra el objetivo que se busca.
3 Empoderamiento (empowerment)
-
IT GOVERNANCE INSTITUTE 7
RRESUMENESUMEN E EJECUTIVOJECUTIVO
Las Directrices Gerenciales de COBIT son genricas y son acciones
orientadas al propsito de responder los siguien-tes tipos de
preguntas gerenciales: Qu tan lejos debemos ir y es el costo
justificado para el beneficio obtenido? Cu-les son los indicadores
de buen desempeo? Cules son los factores crticos de xito? Cules son
los riesgos de no lo-grar nuestros objetivos? Qu hacen otros? Cmo
nos po-demos medir y comparar?
COBIT contiene adicionalmente un Conjunto de Herramien-tas de
Implementacin que proporciona lecciones aprendidas por empresas que
rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
Incluye dos herramientas particular-mente tiles - Diagnstico de
Sensibilizacin Gerencial (Management Awareness Diagnostic) y
Diagnstico de Con-trol en TI (IT Control Diagnostic) - para
proporcionar asisten-cia en el anlisis del ambiente de control de
TI en una organi-zacin.
En los prximos aos las Directivas de las Organizaciones
necesitarn demostrar que estn logrando incrementar sus niveles de
seguridad y control. COBIT es una herramienta que ayuda a los
Directivos a colocar un puente entre los requeri-mientos de
control, los aspectos tcnicos y los riesgos del ne-gocio y
adicionalmente informa a los accionistas o dueos de la empresa el
nivel de control alcanzado. COBIT habilita el desarrollo de una
poltica clara y de buenas prcticas de con-trol de TI a travs de las
organizaciones, a nivel mundial.
Por lo tanto, COBIT est diseado para ser la herramien-ta de
gobierno de TI que ayude al entendimiento y a la administracin de
los riesgos as como de los beneficios asociados con la informacin y
sus tecnologas relaciona-das.
-
IT GOVERNANCE INSTITUTE 8
CCOBIOBITT
PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO
DOMINIOS
RECURSOS DE TI
datos sistemas de
aplicacin tecnologa instalaciones gente
PLANEACION Y ORGANIZACION
ADQUISICION EIMPLEMENTACIONENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico deTecnologa de Informacin
PO2 Definir la Arquitectura de InformacinPO3 Determinar la
direccin tecnolgicaPO4 Definir la Organizacin y de las
Relaciones de TIPO5 Manejar la Inversin en Tecnologa de
InformacinPO6 Comunicar la direccin y aspiraciones de
la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el
Cumplimiento de
Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar
proyectosPO11 Administrar Calidad
AI1 Identificar SolucionesAI2 Adquirir y Mantener Software
de
AplicacinAI3 Adquirir y Mantener Arquitectura de
TecnologaAI4 Desarrollar y Mantener Procedimientos
relacionados con TIAI5 Instalar y Acreditar SistemasAI6
Administrar Cambios
DS1 Definir Niveles de ServicioDS2 Administrar Servicios
prestados por TercerosDS3 Administrar Desempeo y CapacidadDS4
Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de
SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los
UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la
ConfiguracinDS10 Administrar Problemas e IncidentesDS11 Administrar
DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del control
InternoM3 Obtener aseguramiento
independienteM4 Proporcionar auditora independiente
INFORMACION
efectividad eficiencia confidencialidad integridad
disponibilidad cumplimiento confiabilidad
COBITCOBITOBJEIVOS DE NEGOCIOOBJETIVOS DE NEGOCIO
GOBIERNO DE TI
-
IT GOVERNANCE INSTITUTE 9
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION
En los ltimos aos , ha sido cada vez ms evidente la necesi-dad
de un Marco Referencial para la seguridad y el control de tecnologa
de informacin (TI). Las organizaciones exitosas requieren una
apreciacin y un entendimiento bsico de los riesgos y limitaciones
de TI a todos los niveles dentro de la empresa con el fin de
obtener un efectiva direccin y controles adecuados.
LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversin
razonable en seguridad y en control en TI y cmo lograr un balance
entre riesgos e inversiones en con-trol en un ambiente de TI
frecuentemente impredecible. Mientras la seguridad y los controles
en los sistemas de infor-macin ayudan a administrar los riesgos, no
los eliminan. Adi-cionalmente, el exacto nivel de riesgo nunca
puede ser conoci-do ya que siempre existe un grado de
incertidumbre.
Finalmente, la Administracin debe decidir el nivel de riesgo que
est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable,
particularmente cuando se tiene en cuenta contra el costo, puede
ser una decisin difcil para la Administracin. Por esta razn, la
Administracin necesita un marco de refe-rencia de las prcticas
generalmente aceptadas de control y seguridad de TI para
compararlos contra el ambiente de TI existente y planeado.
Existe una creciente necesidad entre los USUARIOS de los
servicios de TI, de estar protegidos a travs de la acreditacin y la
auditora de servicios de TI proporcionados internamente o por
terceras partes, que aseguren la existencia de controles y
seguridades adecuadas. Actualmente, sin embargo, es confusa la
implementacin de buenos controles de TI en sistemas de negocios por
parte de entidades comerciales, entidades sin fines de lucro o
entidades gubernamentales. Esta confusin proviene de los diferentes
mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000,
nuevas evaluaciones de control interno COSO, etc. Como resultado,
los usuarios necesitan que se establezca una base general como un
primer paso.
Frecuentemente, los AUDITORES han tomado el liderazgo en estos
esfuerzos internacionales de estandarizacin, debido a que ellos
enfrentan continuamente la necesidad de sustentar y apoyar su
opinin acerca de los controles internos frente a la Gerencia. Sin
contar con un marco referencial, sta se con-vierte en una tarea
demasiado complicada. Incluso, la admi-nistracin consulta cada vez
ms a los auditores para que la
asesoren en forma proactiva en lo referente a asuntos de
segu-ridad y control de TI.
EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al mismo
tiempo aprovechar los avances en TI para mejorar su posicin
competitiva. La reingeniera en los negocios, las reestructuraciones
o right-sizing, el outsourcing, el empodera-miento, las
organizaciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto los negocios
como las entidades gubernamenta-les. Estos cambios han tenido y
continuarn teniendo, profun-das implicaciones para la administracin
y las estructuras de control operacional dentro de las
organizaciones en todo el mundo.
La especial atencin prestada a la obtencin de ventajas
com-petitivas y a la eficiencia en costos implica una dependencia
creciente en la tecnologa como el componente ms importan-te en la
estrategia de la mayora de las organizaciones. La automatizacin de
las funciones organizacionales, por su natu-raleza, dicta la
incorporacin de mecanismos de control ms poderosos en las
computadoras y en las redes, tanto para las basadas en hardware
como las basadas en software. Adems, las caractersticas
estructurales fundamentales de estos contro-les estn evolucionando
al mismo paso que las tecnologas de computacin y las redes.
Dentro del marco referencial de cambios acelerados, si los
administradores, los especialistas en sistemas de in-formacin y los
auditores desean en realidad ser capa-ces de cumplir con sus tareas
en forma efectiva , debe-rn aumentar y mejorar sus habilidades tan
rpidamente como lo demandan la tecnologa y el ambiente. Debe-mos
comprender la tecnologa de controles involucrada y su naturaleza
cambiante si deseamos emitir y ejercer juicios razonables y
prudentes al evaluar las prcticas de control que se encuentran en
los negocios tpicos o en las organizaciones gubernamentales.
EL MARCO REFERENCIAL DE COBIT
-
IT GOVERNANCE INSTITUTE 10
CCOBIOBITT
APARICION DEL GOBIERNO4 DE LA EMPRESA Y DEL GOBIERNO DE TI
Para lograr el xito en esta economa de informacin, el Go-bierno
de la empresa y el Gobierno de TI no pueden ser con-sideradas
separadamente y en distintas disciplinas. El go-bierno efectivo de
la empresa enfoca el conocimiento y la experiencia en forma
individual y grupal, donde puede ser mas productivo, monitoreado y
medido el desempeo as como provisto el aseguramiento para aspectos
crticos. TI, por mucho tiempo considerada aislada dentro del logro
de los objetivos de la empresa debe ahora ser considerada como una
parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los procesos de
TI, los recursos de TI y las estrategias y objetivos de la empresa.
El Gobierno de TI integra e institucionaliza de una manera ptima la
planeacin y organizacin, la adquisicin e implementacin, la entrega
de servicios y soporte y el moni-toreo del desempeo de TI. El
Gobierno de TI es integral para el xito del Gobierno de la Empresa
asegurando una eficiente y efectiva medicin para mejorar los
procesos de la empresa. El Gobierno de TI le permite a la empresa
tomar ventaja total de su informacin, al maximizar sus beneficios,
capitalizar sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos del
Gobierno de TI con mayor detalle, el gobierno de la empresa, el
sistema por el cual las entidades son dirigidas y controladas
direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera
proveer insumos crticos y constituirse en un componente importante
de los planes estratgicos. De hecho TI puede influenciar las
oportuni-dades estratgicas de la empresa.
Gobierno de la
Empresa
Direcciona y Prepara
Gobierno de Tecnologia de Informacion
Las actividades de la empresa requieren informa-cin de las
actividades de TI con el fin de satisfa-cer los objetivos del
negocio. Organizaciones exi-tosas aseguran la interdependencia
entre su plan estratgico y sus actividades de TI. TI debe estar
alineado y debe permitir a la empresa tomar ven-taja total de su
informacin para maximizar sus beneficios, capitalizar oportunidades
y ganar ven-taja competitiva.
Actividades de la empresa
Requiere informacion de
Actividades de Tecnologia de Informacion
Las empresas son gobernadas por buenas (o me-jores) prcticas
generalmente aceptadas para asegurar que la empresa cumpla sus
metas ase-gurando que lo anterior est garantizado por cier-tos
controles. Desde estos objetivos fluye la di-reccin de la
organizacin, la cual dicta ciertas actividades a la empresa usando
sus propios re-cursos. Los resultados de las actividades de la
empresa son medidos y reportados proporcionan-do insumos para el
mantenimiento y revisin constante de los controles, comenzando el
ciclo de nuevo.
4Gobierno (governance): sistema que establece la alta gerencia
para asegurar el logro de los objetivos de una Organiza-cin.
-
IT GOVERNANCE INSTITUTE 11
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Objetivos
Gobierno de la Empresa
CONTROL Actividades de la Empresa Recursos
Direcciona
Usando Reportando
Tambin TI es gobernado por buenas (o mejores) prcticas para
asegurar que la informacin de la empresa y sus tec-nologas
relacionadas apoyan sus objetivos del negocio, estos recursos son
utilizados responsablemente y sus ries-gos son manejados
apropiadamente. Estas prcticas con-forman una base para la direccin
de las actividades de TI las cuales pueden ser enmarcadas en la
Planeacin y Orga-nizacin, Adquisicin e Implementacin, Entrega de
Servi-cios y Soporte y Monitoreo para los propsitos duales co-mo
son el manejo de riesgo (para obtener seguridad, con-fiabilidad y
cumplimiento) y la obtencin de beneficios (incrementando la
efectividad y eficiencia). Los reportes son enfocados sobre los
resultados de las actividades de TI, los cuales son medidos contra
diferentes prcticas y con-troles y el ciclo comienza otra vez.
Gobierno de TI
POAIDSMO
Objetivos Actividades de TIPlaneaHace
RevisaCorrige
DIRIGIR
REPORTAR
TI est alineado con el negocio, habilita al negocio y maximiza
beneficios.
Los recursos de TI son utilizados responsablemente.
Los riesgos relacionados a TI son manejados apropiadamente.
Decrementar Costos ser eficiente
Incrementar Automatizacin ser efectivo
Seguridad Confiabilidad Conformidad-
cumplimiento
BeneficiosManejo de Riesgo
Decrementar Costos ser eficiente
Incrementar Automatizacin ser efectivo
Seguridad Confiabilidad Conformidad-
cumplimiento
BeneficiosManejo de Riesgo
CONTROL
Para asegurar que la Gerencia alcance los objetivos de negocios,
sta debe dirigir y administrar las actividades de TI para alcanzar
un balance efectivo entre el manejo de riesgos y los beneficios
encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas,
midiendo el progreso hacia el cumplimiento de las metas y
determinando que tan bien se estn desarrollando los procesos de TI.
Aun mas, necesita tener la habilidad de ava-luar el nivel de
madurez de la organizacin contra las mejores practicas industriales
y los modelos internacionales. Para soportar estas necesidades la
Gerencia necesita las Directrices Gerenciales de COBIT en las
cuales se han identificado Factores Crticos de Exito especficos,
Indicadores Claves de Logros e Indicadores Clave de Desempeo y un
Modelo de Madurez asociado al Gobierno de TI, como se puede
apreciar en el Apdice I.
-
IT GOVERNANCE INSTITUTE 12
CCOBIOBITT
a la Administracin Indicadores Clave de Logros (KGIs Key Goal
Indicators), Indicadores Claves de Desempeo (KPIs Key Performance
Indicators), Factores Crticos de xito (CSFsCritical Success
Factors) y un Modelo de Ma-durez con el cual puede analizar el
ambiente de TI y conside-rar opciones para la implementacin y
mejoramiento de los controles sobre la informacin de la organizacin
y sus tecno-logas relacionadas.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de polticas claras y buenas prcticas para la seguri-dad
y el control de Tecnologa de Informacin, con el fin de obtener la
aprobacin y el apoyo de las entidades comerciales, gubernamentales
y profesionales en todo el mundo. La meta del proyecto es
desarrollar estos objetivos de control principal-mente a partir de
la perspectiva de los objetivos y necesidades de la empresa. (Esto
concuerda con la perspectiva COSO, que constituye el primer y mejor
marco referencial para la admi-nistracin en cuanto a controles
internos.) Posteriormente, los objetivos de control fueron
desarrollados a partir de la pers-pectiva de los objetivos de
auditora (certificacin de informa-cin financiera, certificacin de
medidas de control interno, eficiencia y efectividad, etc.)
AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-DITORES
COBIT est diseado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION/ GERENCIA (Management):
Para ayudarlos a lograr un balance entre los riesgos y las
in-versiones en control en un ambiente de tecnologa de informa-cin
frecuentemente impredecible.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y controles de
los servicios de tecnologa de informacin proporcionados
internamente o por terceras partes.
AUDITORES:
Para soportar su opinin y/o proporcionar consejos a la
Admi-nistracin sobre los controles internos.
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este Marco
Referencial de objetivos de control para TI, conjunta-mente con una
investigacin continua aplicada a controles de TI basada en este
marco referencial, constituyen el funda-mento para el progreso
efectivo en el campo de los controles de sistemas de
informacin.
Por otro lado, hemos sido testigos del desarrollo y publica-cin
de modelos de control generales de negocios como CO-SO [Committee
of Sponsoring Organisations of the Tread-way Commisssion Internal
Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino
Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un
nme-ro importante de modelos de control ms enfocados al nivel de
tecnologa de informacin. Algunos buenos ejemplos de esta ltima
categora son el Security Code of Conduct del DTI (Departamento de
Industria y Comercio, Reino Unido) y el Security Handbook de NIST
(National Institute of Stan-dards and Technology, EUA). Sin
embargo, estos modelos de control con orientacin especfica no
proporcionan un modelo de control completo y utilizable sobre
tecnologa de informacin como soporte para los procesos del negocio.
El propsito de COBIT es cubrir este vaco proporcionando una base
que est estrechamente ligada a los objetivos de nego-cio, al mismo
tiempo que se enfoca a la tecnologa de infor-macin.
(El documento que ms se acerca al COBIT es una publica-cin
reciente de AICPA/CICA Systrust TM Principios y Crite-rios para la
Confiabilidad de los Sistemas. SysTrust es una autoridad que
realiza publicaciones para el Comit Ejecutivo de Servicios de
Aseguramiento de los Estados Unidos y para el Comit de Desarrollo
de Servicios de Calidad de Canad, basado en parte en los Objetivos
de Control de COBIT. Sys-Trust est diseado para incrementar el
confort de la Admi-nistracin, los clientes y los socios de negocios
con los siste-mas que soportan un negocio o una actividad en
particular. Los servicios de SysTrust incluyen al contador pblico
pro-porcionndole un servicio de aseguramiento en el cual l o ella
evala y prueba si el sistema es confiable cuando lo mi-de contra
cuatro principios esenciales: Disponibilidad, segu-ridad,
integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en cuanto a
controles para tecnologa de informacin y la aplicacin de modelos de
control emergentes y estndares internacionales relacionados
incluyen los Objetivos de Control originales de la Information
Systems Audit and Control Foundation como una herramienta usada por
el Auditor y la Administracin. Adicionalmente, el desarrollo de las
Directrices Gerenciales de TI ha llevado al COBIT al siguiente
nivel proporcionando
-
IT GOVERNANCE INSTITUTE 13
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
ORIENTACIN A OBJETIVOS DE NEGOCIO
El CobiT est alineado con los Objetivos del Negocio. Los
Ob-jetivos de Control muestran una relacin clara y distintiva con
los objetivos del negocio con el fin de apoyar su uso en forma
significativa fuera de las fronteras de la comunidad de auditora.
Los Objetivos de Control estn definidos con una orientacin a los
procesos, siguiendo el principio de reingeniera de negocios. En
dominios y procesos identificados, se identifica tambin un objetivo
de control de alto nivel para documentar el enlace con los
objetivos del negocio. Adicionalmente, se establecen
consi-deraciones y guas para definir e implementar el Objetivo de
Control de TI.
La clasificacin de los dominios a los que se aplican los
objeti-vos de control de alto nivel (dominios y procesos); una
indica-cin de los requerimientos de negocio para la informacin en
ese dominio, as como los recursos de TI que reciben un impacto
primario por parte del objetivo del control, forman conjuntamen-te
el Marco de Referencia de COBIT. El Marco de Referencia toma como
base las actividades de investigacin que han identi-ficado 34
objetivos de alto nivel y 318 objetivos de control de-tallados. El
Marco de Referencia fue presentado a la industria de TI y a los
profesionales dedicados a la auditora para abrir la posibilidad a
revisiones, cambios y comentarios. Las ideas obte-nidas fueron
incorporadas en forma apropiada. DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las siguientes
definiciones. La definicin de Control est adaptada del repor-te
COSO [Committee of Sponsoring Organisations of the Tread-way
Commission. Internal Control-Integrated Framework, 1992 y la
definicin para Objetivo de Control de TI ha sido adapta-da del
reporte SAC (Systems Auditability and Control Report, The Institute
of Internal Auditors Research Foundation, 1991 y 1994).
Una sentencia del resultado o prop-sito que se desea alcanzar
implemen-tando procedimientos de control en una actividad de TI
particular. Una estructura de relaciones y pro-cesos para dirigir y
controlar la em-presa con el fin de lograr sus objeti-vos al aadir
valor mientras se equi-libran los riesgos contra el retorno sobre
TI y sus procesos.
Objetivo decontrol en TI
se definecomo
Objetivo decontrol en TI
se definecomo
Control sedefine comoControl se
define como
Las polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar razonablemente que los
objetivos del negocio sern alcanzados y que eventos no deseables
sern preveni-dos o detectados y corregidos
Gobierno de TI se define como
-
IT GOVERNANCE INSTITUTE 14
CCOBIOBITT
Existen dos clases distintas de modelos de control actual-mente
disponibles, aqullos de la clase del modelo de con-trol de negocios
(por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo,
DTI). COBIT intenta cubrir la brecha que existe entre los dos.
Debido a esto, COBIT se posiciona como una herramienta ms completa
para la Ad-ministracin y para operar a un nivel superior a los
estnda-res de tecnologa para la administracin de sistemas de
infor-macin.. Por lo tanto, COBIT es el modelo para el gobier-no de
TI! El concepto fundamental del Marco Referencial de COBIT se
refiere a que el enfoque del control en TI se lleva a cabo
visualizando la informacin necesaria para dar soporte a los
procesos de negocio y considerando a la informacin como el
resultado de la aplicacin combinada de recursos relacio-nados con
la Tecnologa de Informacin que deben ser admi-nistrados por
procesos de TI.
Para satisfacer los objetivos del negocio, la informacin
ne-cesita concordar con ciertos criterios a los que COBIT hace
referencia como requerimientos de negocio para la informa-cin. Al
establecer la lista de requerimientos, COBIT combi-na los
principios contenidos en los modelos referenciales existentes y
conocidos:
Calidad Costo Entrega o Distribucin (de servicio)
Efectividad y eficiencia de las operaciones Confiabilidad de la
informacin Cumplimiento de leyes y regulaciones Confidencialidad
Integridad Disponibilidad
La Calidad ha sido considerada principalmente por su aspec-to
negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin
se encuentra contenido en gran medida en los crite-rios de
Integridad. Los aspectos positivos, pero menos tan-gibles, de la
calidad (estilo, atractivo, ver y sentir, desem-peo ms all de las
expectativas, etc.) no fueron, por un tiempo, considerados desde un
punto de vista de Objetivos de Control de TI. La premisa se refiere
a que la primera prioridad deber estar dirigida al manejo apropiado
de los riesgos al compararlos contra las oportunidades. El aspecto
utilizable de la Calidad est cubierto por los criterios de
efectividad. Se consider que el aspecto de entrega o distri-bucin
del servicio, de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y
tambin en alguna medida, con la efectividad y la eficiencia.
Finalmente, el Costo tambin es considerado, siendo cubierto por la
Eficiencia. Para los requerimientos fiduciarios, COBIT no intent
reinven-tar la rueda se utilizaron las definiciones de COSO para la
efectividad y eficiencia de las operaciones, confiabilidad de
informacin y cumplimiento con leyes y regulaciones. Sin embargo,
confiabilidad de informacin fue ampliada para in-cluir toda la
informacin no slo informacin financiera. Con respecto a los
aspectos de seguridad, COBIT identific la confidencialidad,
integridad y disponibilidad como los ele-mentos clave se encontr
que estos mismos tres elementos son utilizados a nivel mundial para
describir los requerimien-tos de seguridad. Comenzando el anlisis a
partir de los requerimientos de Cali-dad, Fiduciarios y de
Seguridad ms amplios, se extrajeron siete categoras distintas,
ciertamente superpuestas. A conti-nuacin se muestran las
definiciones utilizadas por COBIT:
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Requerimientosde Negocio
Recursos de TI
Procesos de TI
Requerimientos Fiduciarios
(COSO)
Requerimientos de Seguridad
Requerimientos de Calidad
-
IT GOVERNANCE INSTITUTE 15
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Se refiere a que la informacin relevan-te sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable. Se refiere a la
provisin de informacin a travs de la utilizacin ptima (ms
productiva y econmica) de recursos. Se refiere a la proteccin de
informa-cin sensible contra divulgacin no autorizada. Se refiere a
la precisin y suficiencia de la informacin, as como a su vali-dez
de acuerdo con los valores y expec-tativas del negocio. Se refiere
a la disponibilidad de la in-formacin cuando sta es requerida por
el proceso de negocio ahora y en el futuro. Tambin se refiere a la
salva-guarda de los recursos necesarios y capacidades asociadas. Se
refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contrac-tuales a los que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos externamente. Se refiere a
la provisin de informacin apropiada para la administracin con el
fin de operar la entidad y para ejercer sus responsabilidades de
reportes finan-cieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden
explicarse/definirse como se muestra a continuacin:
Son objetos en su ms amplio sentido, (por ejemplo, externos e
internos), es-tructurados y no estructurados, grficos, sonido, etc.
Se entiende como sistemas de aplicacin la suma de procedimientos
manuales y programados.
La tecnologa cubre hardware, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc. Recursos
para alojar y dar soporte a los sistemas de informacin. Habilidades
del personal, conocimiento, sensibilizacin y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear
servicios y siste-mas de informacin.
El dinero o capital no fue considerado como un recurso de TI
para la clasificacin de los objetivos de control porque el dine-ro
puede ser considerado como una inversin dentro de cual-quiera de
los recursos presentados. Adems debe anotarse que el Marco
Referencial no se refiere especficamente a la docu-mentacin de
todos los materiales relacionados con un proce-so de TI en
particular. Como un aspecto de buenas prcticas, la documentacin es
considerada como un buen control, y por lo tanto la falta de
documentacin sera causa de una mayor revisin y anlisis de los
controles compensatorios en cual-quier rea bajo revisin. Otra forma
de ver la relacin de los recursos de TI con respec-to a la entrega
de servicios se describe a continuacin:
Con el fin de asegurar que los requerimientos del negocio para
la informacin se cumplan, es necesario definir, imple-mentar y
monitorear adecuadas medidas de control sobre esos recursos. Cmo
pueden entonces las empresas estar satisfe-chas respecto a que la
informacin obtenida presente las ca-ractersticas que necesitan? Es
aqu donde se requiere de un sano marco referencial de Objetivos de
Control para TI. El siguiente diagrama ilustra este concepto.
Disponibilidad
Cumplimiento
Confiabilidad de la
Informacin
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
mensajeentrada
serviciosalida
TECNOLOGIATECNOLOGIA
INSTALACIONESINSTALACIONES
GENTEGENTE
Sistemas de AplicacinSistemas de AplicacinDatosDatos
Eventos
Objetivos de negocioOportunidades de negocioRequerimientos
externosRegulacionesRiesgos
Informacin
EfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidad
Integridad
Confidencialidad
Eficiencia
Efectividad
-
El Marco Referencial consta de Objetivos de Control de alto
nivel y de una estructura general para su clasificacin y
pre-sentacin. La teora subyacente para esta clasificacin se
re-fiere a que existen, en esencia, tres niveles de actividades de
TI al considerar la administracin de sus recursos. Comenzan-do por
la base, encontramos las actividades y tareas necesa-rias para
alcanzar un resultado medible. Las actividades cuentan con un
concepto de ciclo de vida, mientras que las tareas son consideradas
ms discretas. El concepto de ciclo de vida cuenta tpicamente con
requerimientos de control diferentes a los de actividades
discretas. Los procesos se definen entonces en un nivel superior
como una serie de ac-tividades o tareas conjuntas con cortes
naturales (de con-trol). Al nivel ms alto, los procesos son
agrupados de mane-ra natural en dominios. Su agrupamiento natural
es confir-
mado frecuentemente como dominios de responsabilidad en una
estructura organizacional, y est en lnea con el ciclo
administrativo o ciclo de vida aplicable a los procesos de TI.
Por lo tanto, el marco referencial conceptual puede ser
enfo-cado desde tres puntos estratgicos: (1)criterios de
informa-cin; (2) recursos de TI, (3) procesos de TI. Estos tres
puntos de vista diferentes estn descritos en el Cubo CobiT que se
muestra a continuacin:
Dominios
Procesos
Actividades
IT GOVERNANCE INSTITUTE 16
CCOBIOBITT
PROCESOS PROCESOS DE NEGOCIODE NEGOCIO
INFORMACIONINFORMACION
RECURSOS DE TIRECURSOS DE TI
datosdatos sistemas de aplicacinsistemas de aplicacin
tecnologatecnologa instalacionesinstalaciones gentegente
efectividadefectividad eficienciaeficiencia
confidencialidadconfidencialidad integridadintegridad
disponibilidaddisponibilidad cumplimientocumplimiento
confiabilidadconfiabilidad
CriteriosCriterios
?? Concuerdan ?
Qu obtiene? Qu necesita?
Inst
alac
ione
s D
atos
Gen
te
Sist
emas
de
Aplic
aci
n Te
cnol
oga
Actividades
Dominios
Procesos
Calida
d
Fiduci
arios
Segu
ridad
Recu
rsos d
e TI
Criterios de informacin
Proc
esos
de
TI
-
Con lo anterior cono marco de referencia, los dominios son
identificados utilizando las palabras que la gerencia utilizara en
las actividades cotidianas de la organizacin y no la jerga5 del
auditor -. Por lo tanto, cuatro grandes dominios son identificados:
planeacin y organizacin, adquisicin e implementacin, entrega y
soporte y monitoreo. Las definiciones para los dominios mencionados
son las si-guientes:
Este dominio cubre la estrategia y las tcticas y se refiere a la
identificacin de la forma en que la tecnologa de informacin puede
contribuir de la me-jor manera al logro de los objetivos del
negocio. Adems, la consecucin de la visin estratgica necesita ser
planeada, comunicada y administrada desde dife-rentes perspectivas.
Finalmente, debe-rn establecerse una organizacin y una
infraestructura tecnolgica apropiadas. Para llevar a cabo la
estrategia de TI, las soluciones de TI deben ser identifi-cadas,
desarrolladas o adquiridas, as como implementadas e integradas
de-ntro del proceso del negocio. Adems, este dominio cubre los
cambios y el mantenimiento realizados a sistemas existentes. En
este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicio-nales hasta
el entrenamiento, pasando por seguridad y aspectos de continui-dad.
Con el fin de proveer servicios, debern establecerse los procesos
de soporte necesarios. Este dominio inclu-ye el procesamiento de
los datos por sistemas de aplicacin, frecuentemente clasificados
como controles de aplica-cin. Todos los procesos necesitan ser
evaluados regularmente a travs del tiempo para verifi-car su
calidad y suficiencia en cuanto a los requerimientos de control.
Este dominio tambin advierte a la Administracin sobre la necesidad
de asegurar procesos de control independientes, los cuales
son provistos por auditoras internas y externas u obtenidas de
fuentes alterna-tivas.
Debe tomarse en cuenta que estos procesos pueden ser aplica-dos
a diferentes niveles dentro de una organizacin. Por ejem-plo,
algunos de estos procesos sern aplicados al nivel corpo-rativo,
otros al nivel de la funcin de servicios de informacin, otros al
nivel del propietario de los procesos de negocio. Tambin debe ser
tomado en cuenta que el criterio de efectivi-dad de los procesos
que planean o entregan soluciones a los requerimientos de negocio,
cubrirn algunas veces los criterios de disponibilidad, integridad y
confidencialidad. en la prcti-ca, se han convertido en
requerimientos del negocio. Por ejemplo, el proceso de identificar
soluciones automatizadas deber ser efectivo en el cumplimiento de
requerimientos de disponibilidad, integridad y confidencialidad. En
resumen, los Recursos de TI necesitan ser administrados por un
conjunto de procesos agrupados en forma natural, con el fin de
proporcionar la informacin que la empresa necesi-ta para alcanzar
sus objetivos. Resulta claro que las medidas de control no
satisfarn necesa-riamente los diferentes requerimientos de
informacin del negocio en la misma medida. Primario es el grado al
cual el objetivo de con-
trol definido impacta directamente el requerimiento de
informacin de inte-rs.
Secundario es el grado al cual el objetivo de con-
trol definido satisface nicamente de forma indirecta o en menor
medida el requerimiento de informacin de inte-rs.
Blanco (vaco) podra aplicarse; sin embargo, los re-
querimientos son satisfechos ms apro-piadamente por otro
criterio en este proceso y/o por otro proceso.
IT GOVERNANCE INSTITUTE 17
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Planeacin y organizacin
Adquisicin e implementacin
Monitoreo
Entrega ysoporte
Entrega ysoporte
5 Jerga (jargon)
-
Similarmente, todas las medidas de control no necesariamente
tendrn impacto en los diferentes recursos de TI a un mismo nivel.
Por lo tanto, el Marco Referencial de COBIT indica es-pecficamente
la aplicabilidad de los recursos de TI que son administrados en
forma especfica por el proceso bajo consi-deracin (no por aquellos
que simplemente toman parte en el proceso). Esta clasificacin es
hecha dentro el Marco Referen-cial de COBIT basado en el mismo
proceso riguroso de infor-macin proporcionada por los
investigadores, expertos y revi-sores, utilizando las definiciones
estrictas indicadas previa-mente.
En resumen, con el fin de proveer la informacin que la
or-ganizacin necesita para lograr sus objetivos, el Gobierno de TI
debe ser entrenado por la organizacin para asegurar que los
recursos de TI sern administrados por una coleccin de procesos de
TI agrupados naturalmente. El siguiente dia-grama ilustra este
concepto.
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
IT GOVERNANCE INSTITUTE 18
CCOBIOBITT
RECURSOS DE TI
datos sistemas de
aplicacin tecnologa instalaciones gente
PLANEACION Y ORGANIZACION
ADQUISICION EIMPLEMENTACIONENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico deTecnologa de Informacin
PO2 Definir la Arquitectura de InformacinPO3 Determinar la
direccin tecnolgicaPO4 Definir la Organizacin y de las
Relaciones de TIPO5 Manejar la Inversin en Tecnologa de
InformacinPO6 Comunicar la direccin y aspiraciones de
la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el
Cumplimiento de
Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar
proyectosPO11 Administrar Calidad
AI1 Identificar SolucionesAI2 Adquirir y Mantener Software
de
AplicacinAI3 Adquirir y Mantener Arquitectura de
TecnologaAI4 Desarrollar y Mantener Procedimientos
relacionados con TIAI5 Instalar y Acreditar SistemasAI6
Administrar Cambios
DS1 Definir Niveles de ServicioDS2 Administrar Servicios
prestados por TercerosDS3 Administrar Desempeo y CapacidadDS4
Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de
SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los
UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la
ConfiguracinDS10 Administrar Problemas e IncidentesDS11 Administrar
DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del control
InternoM3 Obtener aseguramiento
independienteM4 Proporcionar auditora independiente
INFORMACION
efectividad eficiencia confidencialidad integridad
disponibilidad cumplimiento confiabilidad
COBITCOBITOBJEIVOS DE NEGOCIOOBJETIVOS DE NEGOCIO
Gobierno de TI
-
IT GOVERNANCE INSTITUTE 19
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
HISTORIA Y ANTECEDENTES DE COBIT La tercera edicin de COBIT es
la mas reciente versin de los Objetivos de Control para la
informacin y sus tecnologas relacionadas, que fue liberado primero
por la Information Systems Audit and Control Foundation (ISACF) en
1996. La 2da edicin que refleja un incremento en el nmero de
docu-mentos fuente, una revisin en el alto nivel y objetivos de
control detallados y la adicin del Conjunto de herramientas de
Implementacin fue publicado en 1998. La 3a edicin marca el ingreso
de un nuevo editor para COBIT: El Institu-to de Gobierno de TI (IT
Governance Institute).
El Instituto de Gobierno de TI fue formado por la Informa-tion
Systems Audit and Control Association (ISACA) y su Fundacin
asociada en 1998 para avanzar en el entendimien-to y la adopcin de
principios de gobierno de TI. Con la adi-cin de las Directrices
Gerenciales en la 3a edicin de CO-BIT y su expansin y mayor
cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI
adquiri un rol de lide-razgo en el desarrollo de la publicacin.
COBIT se bas originalmente en los Objetivos de Control de la
ISACF y ha sido mejorado con las actuales y emergen-tes estndares
internacionales a nivel tcnico, profesional, regulatorio y
especficos de la industria. Los Objetivos de Control resultantes
han sido desarrollados para su aplicacin en sistemas de informacin
de toda la empresa. El trmi-no generalmente aplicables y aceptados
es utilizado explcitamente en el mismo sentido que los Principios
de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas
en ingls).
Este estndar es relativamente pequeo en tamao, con el fin de ser
prctico y responder, en la medida de lo posible, a las necesidades
del negocio, manteniendo al mismo tiempo una independencia con
respecto a las plataformas tcnicas de TI adoptadas en una
organizacin.
Sin excluir ningn otro estndar aceptado en el campo del control
de sistemas de informacin que pudiera emitirse du-rante la
investigacin, las fuentes han sido identificadas ini-cialmente
como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta
emitidos por el Council of Europe, OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de TI: ITSEC,
ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares
Profesionales para control interno y auditora: reporte COSO, IFAC,
IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos
de la Industria de foros indus-triales (ESF, 14) y plataformas
patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos
requerimientos especficos de la industria de la banca, Comercio
Electrnico y manufactura de TI.
(Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III
Material de Referencia Primaria de COBIT y Apndice IV, Glosario de
Trminos )
-
IT GOVERNANCE INSTITUTE 20
CCOBIOBITT
EVOLUCIN DEL PRODUCTO COBIT COBIT evolucionar a travs de los aos
y ser el fundamento de investigaciones futuras. Por lo tanto, se
generar una fami-lia de productos COBIT y al ocurrir esto, las
tareas y activida-des que sirven como estructura para organizar los
Objetivos de Control de TI, sern refinadas posteriormente. Tambin
ser revisado el balance entre los dominios y los procesos a la luz
de los cambios en la industria.
La investigacin y las publicaciones han sido posibles gracias al
fundamental apoyo de PricewaterhouseCoopers y las dona-ciones de
los captulos de ISACA y de miembros de todo el mundo. La European
Security Forum (ESF) amablemente llev a cabo la recoleccin de
material disponible para el pro-yecto. La Gartner Group adems
particip en el desarrollo y realiz la revisin de aseguramiento de
calidad de las Directri-ces Gerenciales.
HISTORIA Y ANTECEDENTES DE COBIT
RESUMEN EJECUTIVO
MARCO REFERENCIAL objetivos de control de alto nivel
DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-DOS
DIRECTRICES DE AUDITORIA
Factores Crticos de xito Indicadores Clave por Objetivos
Indicadores Clave de Desempeo
Resumen Ejecutivo Casos de Estudio FAQs Presentaciones en
PowerPoint Guas de Implementacin
Diagnstico de la conciencia de la Administracin Diagnostico de
Control de TI
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN
Familia de Productos COBIT
PRODUCTOS DE LA FAMILIA COBIT
Modelo de Madurez
-
COBIT Y LAS DIRECTRICES DE AUDITORA Las Directrices de Auditora
ofrecen una herramienta complementaria para la fcil aplicacin del
Marco Refe-rencial y los Objetivos de Control COBIT dentro de las
actividades de auditora y evaluacin. El propsito de las Directrices
de Auditora es contar con una estructura sencilla para auditar y
evaluar controles, con base en prcticas de auditora generalmente
aceptadas y compa-tibles con el esquema global COBIT. Los objetivos
y prcticas individuales varan considera-blemente de organizacin a
organizacin y existen mu-chos tipos de practicantes dedicados a
actividades rela-cionadas con la auditora; por ejemplo auditores
exter-nos, auditores internos, evaluadores, revisores de cali-dad,
y asesores tcnicos. Por estas razones, las Directri-ces de Auditora
tienen una estructura genrica y de alto nivel. Los auditores deben
cumplir con algunos requerimientos generales para proporcionar a
los directivos y a los pro-pietarios o dueos de los procesos de
negocios, seguri-dad y asesora respecto a los controles en una
organiza-cin: ofrecer una seguridad razonable de que se est
cumpliendo con los objetivos de control correspondien-tes;
identificar dnde se encuentran las debilidades signi-ficativas en
dichos controles; justificar los riesgos que pueden estar asociados
con tales debilidades, y final-mente, aconsejar a estos ejecutivos
sobre las medidas correctivas que deben adoptarse. COBIT ofrece
polti-cas claras y prcticas eficaces en materia de seguridad y para
los controles de informacin y la tecnologa asocia-da. Por tanto,
las Directrices de Auditora firmemente basados en los Objetivos de
Control, toman la opinin del auditor a partir de la conclusin de
auditora, rempla-zndola con criterios normativos (41 estndares y
mejo-res prcticas tomadas de normas privadas y pblicas aceptadas a
nivel mundial). Estas Directrices de Auditora proporcionan guas
para preparar planes de auditora que se integran al Marco
Referencial de COBIT y a los Objetivos de Control deta-llados.
Deben ser usados conjuntamente con estos dos ltimos, y a partir de
ah pueden desarrollarse programas especficos de auditora. Sin
embargo, las Directrices no son exhaustivas ni definitivas. No
pueden incluir todo ni ser aplicables a todo, as que debern
ajustarse a condi-ciones especficas.
No obstante, hay cuatro cosas que las Directrices no son: 1. Las
Directrices de Auditora no pretenden ser una herra-
mienta para crear el plan global de auditora que considera una
amplia gama de factores, incluyendo debilidades ante-riores, riesgo
de la organizacin, incidentes conocidos, nue-vos acontecimientos, y
seleccin de estrategias. Aun cuan-do el Marco Referencial y los
Objetivos de Control ofrecen algunas orientaciones, los alcances de
las Directrices no incluyen una gua precisa para actividades
especficas.
2. Las Directrices de Auditora no estn diseados como ins-
trumento para ensear las bases de la auditora, aun cuando
incorporen los elementos normalmente aceptados de la au-ditora
general y de TI.
3. Las Directrices de Auditora no pretenden explicar en
deta-
lle la forma en que pueden utilizarse las herramientas
com-putarizadas para apoyar y automatizar los procesos de audi-tora
a TI, en materia de planeacin, evaluacin, anlisis y documentacin
(que estn incluidas, pero no se limitan a ellas, en las Tcnicas de
Auditora Asistidas por Computa-dor). Existe un enorme potencial
para usar la tecnologa de informacin dirigida a aumentar la
eficiencia y efectividad de las auditoras, pero una orientacin en
este sentido, tam-poco est dentro de los alcances de las
Directrices.
4. Las Directrices de Auditora no son exhaustivas ni
definiti-
vas, pero se desarrollarn conjuntamente con COBIT y sus
Objetivos de Control detallados.
Las Directrices de Auditora de COBIT permiten al auditor
com-parar los procesos especficos de TI con los Objetivos de
Control de COBIT recomendados para ayudar a los directivos a
identifi-car en qu casos los controles son suficientes, o para
asesorarlos respecto a los procesos que requieren ser mejorados.
Desde el punto de vista de los directivos, los propietarios de los
procesos harn las preguntas: Estoy haciendo lo correcto?, y si no
es as: Qu puedo hacer para corregirlo? El Marco Referen-cial y las
Directrices de Auditora COBIT ayudarn a responder a estas
preguntas. El enfoque ofrece una perspectiva reactiva, mientras que
los auditores necesitan tambin apoyar a la directiva de una manera
proactiva. El Marco Referencial y las Directri-ces de Auditora
pueden aplicarse igualmente en forma proactiva en las primeras
etapas de los procesos y el desarrollo de proyec-tos, al responder
a la pregunta: Qu es lo que necesito hacer ahora para no tener que
ajustarlo o corregirlo despus?
IT GOVERNANCE INSTITUTE 21
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
INTRODUCCIN A LAS DIRECTRICES DE AUDITORA
-
IT GOVERNANCE INSTITUTE 22
CCOBIOBITT
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORA El modelo ms
comn para evaluar el control es el modelo de auditora. Otro enfoque
que se est adoptando cada vez ms es el modelo de anlisis de
riesgos, que se cubrir hacia el final de esta introduccin. Todos
aquellos involucrados en la evaluacin del control pueden inclinarse
por cualquiera de los dos modelos. Los objetivos de la auditora son
para:
Proporcionar administracin con aseguramiento razonable de que se
estn cubriendo los objetivos de control,
En donde existan debilidades de control significa-tivas,
justificar los riesgos resultantes, y
Aconsejar a la administracin sobre acciones co-rrectivas
La estructura generalmente aceptada del proceso de auditora
es:
Identificacin y documentacin Evaluacin Pruebas de cumplimiento
Pruebas sustantivas
El proceso de TI, por lo tanto, se audita mediante: La obtencin
de un entendimiento de los riesgos rela-
cionados con los requerimientos del negocio y de las medidas
relevantes de control La evaluacin de la conveniencia de los
controles
establecidos La valoracin del cumplimiento probando si
los controles establecidos estn funcionando como se espera, de
manera consistente y con-tinua La comprobacin6 que existe el
riesgo
de que los objetivos de control no se estn cumpliendo mediante
el uso de tcnicas analticas y/o consultando fuen-tes
alternativas.
Con el objetivo de brindar asistencia a la administracin en la
forma de asesora de aseguramiento, hemos desarrollado esta
estructura dentro de un marco referencial fundamentado en los
requerimientos del COBIT:
Presentacin en un enfoque de niveles Orientacin hacia los
objetivos del negocio
Orientado en funcin del proceso Enfocado sobre
Los recursos que necesitan administrarse Los criterios de
informacin que se requieren
En el nivel ms alto, este enfoque general de auditora est
apoyado por:
El Marco Referencial de COBIT, particularmente el resumen con la
clasificacin de los procesos de TI, los criterios de informacin
aplicables y los recursos de TI (vea la pgina 30)
Los requerimientos para el proceso de auditora mismo (vea la
seccin Requerimientos del Proceso de Auditora en la pgina 23)
Los requerimientos genricos para la auditora de procesos de TI
(vea la seccin Directrices de Au-ditora Genricos de TI, pgina
24)
Los principios generales de control (vea la seccin Observaciones
del Proceso de Control, pginas 24-25)
El segundo nivel est compuesto por las Directrices detalla-das
de auditora para cada uno de los procesos de TI como se muestra en
la seccin principal de esta publicacin. Las Directrices han sido
presentadas en una plantilla estn-dar que sigue la estructura
general de Obtencin, Evalua-cin, Valoracin y Comprobacin. Esta
plantilla ha sido aplicada a las Directrices de Auditora Genricas
de TI, as como tambin a las Directrices de Auditora Detalladas. En
el tercer y ltimo nivel, el auditor puede complementar las
Directrices de Auditora para cubrir las condiciones loca-les,
conduciendo la fase de planeacin de auditora con pun-tos de atencin
de auditora que influyen sobre los objetivos detallados de control
mediante:
Criterios especficos del sector Estndares de la industria
Elementos especficos de la plataforma Tcnicas detalladas de control
empleadas
Importante para este nivel es el hecho de que los objetivos de
control no son necesariamente aplicables en todos los casos y en
cualquier lugar. Por lo tanto se sugiere que se realice una
evaluacin de riesgos de alto nivel para determi-nar sobre qu
objetivos se necesita enfocarse especficamen-te y cules pueden
ignorarse.
6 Comprobacin (substantiating)
-
Todos estos elementos se ofrecen para apoyar la planeacin y la
realizacin de las auditoras de TI, y para una mejor aplicacin
integrada de las directrices / lineamientos detalla-dos de
auditora. Las directrices no son exhaustivas y no son aplicables
universalmente. El nivel de informacin de apoyo
(guas genricas, requerimientos del proceso de auditora y
observaciones de control) ayudar a los auditores a desarro-llar el
programa de auditora que necesitan.
IT GOVERNANCE INSTITUTE 23
D DIRECTRICESIRECTRICES DEDE A AUDITORAUDITORA
Nivel 1 Enfoque general de auditora de TI
Marco Referencial de COBIT Requerimientos del Proceso de
Auditora Observaciones de Control Directriz General de Auditora
Nivel 2 Directrices del proceso de auditora
Directrices de Auditora detalladas
Nivel 3 Puntos de atencin de auditora para complementar los
objetivos detallados de control
Condiciones Locales
Criterios especficos del sector Estndares de la industria
Elementos especficos de la plataforma Tcnicas detalladas de control
utilizadas
ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE
AUDITORA
REQUERIMIENTOS DEL PROCESO DE AUDITORA Una vez definido qu vamos
a auditar y sobre qu vamos a proporcionar aseguramiento, tenemos
que determinar el enfo-que o estrategia ms apropiada para llevar a
cabo el trabajo de auditora. Primero tenemos que determinar el
alcance correcto de nuestra auditora. Para lograrlo, necesitamos
investigar, analizar y definir:
Los procesos del negocio involucrados; Las plataformas y los
sistemas de informacin que
estn apoyando el proceso del negocio, as como la
interconectividad con otras plataformas o sistemas;
Los roles y responsabilidades de TI definidas, inclu-yendo las
correspondientes al outsourcing interno y/o externo; y
Los riesgos del negocio y las decisiones estratgicas
asociadas.
El siguiente paso es identificar los requerimientos de
informa-cin que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los riesgos
inherentes de TI, as como el nivel general de control que puede
asociarse con el proceso del negocio. Para lograrlo,
identificamos:
Los cambios recientes en el ambiente del negocio que tienen
impacto sobre TI;
Los cambios recientes al ambiente de TI, nuevos desarrollos,
etc.;
Los incidentes recientes relevantes para los controles y el
ambiente del negocio;
Los controles de monitoreo de TI aplicados por la
administracin;
Los reportes recientes de auditora y/o certificacin; y
Los resultados recientes de auto evaluaciones.
-
Basndonos en la informacin obtenida, ahora podemos se-leccionar
los procesos relevantes de COBIT, as como tam-bin los recursos que
aplican a los mismos. Esto pudiera requerir que ciertos procesos de
COBIT necesiten auditarse varias veces, cada vez para una
plataforma o sistema distin-to. El auditor deber determinar una
estrategia de auditora ba-sndose en el plan detallado de auditora
que deber elabo-
rarse con ms profundidad, por ejemplo, si uno busca un enfoque
basado en controles o un enfoque sustantivo. Finalmente, necesitan
considerarse todos los pasos, tareas y puntos de decisin para
llevar a cabo la auditora. Un ejem-plo de un proceso genrico de
auditora (con pasos, tareas y puntos de decisin), que sigue la
plantilla estndar, se pro-porciona en el Apndice IV.
IT GOVERNANCE INSTITUTE 24
CCOBIOBITT
DIRECTRIZ GENERAL DE AUDITORA DE TI La plantilla en la pgina 26
(que adems se presenta como un anexo el final de este documento)
presenta los requeri-mientos genricos para auditar procesos de TI
para brindar el primer nivel de las directrices de auditora,
generalmente aplicables a todos los procesos. Est primordialmente
orien-tado hacia la comprensin del proceso y la determinacin de la
propiedad y deber ser el fundamento y el marco referen-cial para
todos las directrices detalladas de auditora. Esta misma plantilla
se aplica luego a los 34 procesos que se identifican en el Marco
Referencial de COBIT.
OBSERVACIONES DEL PROCESO DE CONTROL Los principios generales de
control tambin pueden propor-cionar una gua adicional sobre cmo
complementar las Di-rectrices de Auditora. Estos principios estn
primordial-mente enfocados sobre el proceso y las responsabilidades
del control, los estndares de control y los flujos de la
informa-cin de control. El control, desde el punto de vista de la
administracin, se define como el determinar qu se est logrando;
esto es, eva-luar el desempeo y si es necesario aplicar medidas
correcti-vas para que el desempeo est de acuerdo con lo
planeado.
Definir el alcance de la auditora procesos del negocio
involucrados plataformas, sistemas y su interconectividad, que
apoyan el procesos roles, responsabilidades y estructura
organizacional
Identificar los requerimientos de informacin rele-vantes para el
proceso del negocio
importancia para el proceso del negocio
Identificar los riesgos inherentes de TI y el nivel general de
control
cambios recientes e incidentes en el ambiente del nego-cio y de
la tecnologa
resultados de auditoras, autoevaluaciones, y certificacin
controles de monitoreo aplicados por la administracin
Selccionar procesos y plataformas a auditar procesos
recursos
REQUERIMIENTOS DEL PROCESO DE AUDITORA
Fijar una estrategia de auditora Controles versus riesgos Pasos
y tareas Puntos de decisin
-
El proceso de control consiste de cuatro pasos. Primero, se
especifica un estndar de desempeo deseado para un proce-so.
Segundo, existe un medio de saber qu esta sucediendo en el proceso,
por ejemplo, el proceso proporciona informa-cin de control a una
unidad de control. Tercero, la unidad de control compara la
informacin con el estndar. Cuarto, si lo que realmente est
sucediendo no cumple con el estn-dar, la unidad de control dirige
aquella accin correctiva a tomar, en forma de informacin para el
proceso. A partir de este modelo, las siguientes observaciones de
control pueden resultar relevantes para la auditora: 1. Para que
este modelo funcione, la responsabilidad por
el proceso del negocio (o en este caso, de TI) debe ser claro y
la responsabilidad no debe ser ambigua. Si no es as, la informacin
de control no fluir y no podr tomarse accin correctiva.
2. Los estndares pueden ser de una amplia variedad, des-de
planes y estrategias de alto nivel hasta indicadores clave de
desempeo (KPI - Key Performance Indica-tors) y factores crticos de
xito (CSF Critical Success Factors). Los estndares claramente
documentados, mantenidos y comunicados son necesarios para un buen
proceso de control. La responsabilidad clara por la cus-todia de
dichos estndares tambin es un requerimiento para un buen
control.
3. El proceso de control tiene los mismos requerimientos: bien
documentado en cuanto a cmo funciona y con responsabilidades
claras. Un aspecto importante es la clara definicin de lo que
constituye una desviacin, esto es, cules son los lmites de
desviacin.
IT GOVERNANCE INSTITUTE 25
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Normas Estndares KPI / CSF
Comparacin
Proceso
Acto
Informacin De Control
4. La oportunidad, integridad y conveniencia de la infor-macin
de control, as como tambin otra informa-cin, son bsicas para el
buen funcionamiento de un sistema de control y es algo que el
auditor debe tratar.
5. Tanto la informacin de control como la informacin de accin
correctiva tendrn que cumplir los requeri-mientos de evidencia, con
el fin de establecer la res-ponsabilidad despus del evento.
-
IT GOVERNANCE INSTITUTE 26
CCOBIOBITT DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para documentar las
actividades que generan inconvenientes a los objetivos de con-trol,
as como tambin identificar las medidas/procedimientos de control
establecidas.
Entrevistar al personal administrativo y de staff apropiado para
lograr la comprensin de: Los requerimientos del negocio y los
riesgos asociados La estructura organizacional Los roles y
responsabilidades Polticas y procedimientos Leyes y regulaciones
Las medidas de control establecidas La actividad de reporte a la
administracin (estatus, desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que se
ven especialmente afectados por el proceso bajo revisin. Con-firmar
el entendimiento del proceso bajo revisin, los Indicadores Clave de
Desempeo (KPI) del proceso, las implicaciones de control, por
ejemplo, mediante una revisin paso a paso del proceso.
EVALUACIN DE LOS CONTROLES
Los pasos de auditora a ejecutar en la evaluacin de la eficacia
de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Bsicamente, decidir qu se va a
probar, si se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el
proceso bajo revisin mediante la consideracin de los criterios
inden-tificados y las prcticas estndares de la industria, los
Factores Crticos de xito (CSF) de las medidas de control y la
aplicacin del juicio profesional de auditor.
Existen procesos documentados Existen resultados apropiados La
responsabilidad y el registro de las operaciones son claros y
efectivos Existen controles compensatorios, en donde es
necesario
Concluir el grado en que se cumple el objetivo de control.
VALORACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas
de control establecidas estn funcionando como es debido, de manera
consistente y continua, y concluir sobre la conveniencia del
ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos
seleccionados para asegurarse que se ha cumplido con los
procedimien-tos durante el perodo de revisin, utilizando evidencia
tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los
resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional
necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de
que no se cumpla el objetivo de control mendiante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es
respaldar la opinin e impresionar a la administracin para que tome
accin. Los auditores tienen que ser creativos para encontrar y
presentar esta informacin que con frecuencia es sensitiva y
confidencial.
Documentar las debilidades de control y las amenazas y
vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por
ejemplo, mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante
benchmarks.
-
Los controles tambin operan en diferentes niveles dentro del
ciclo tradicional de Planear-Hacer-Verificar-Corregir con el que la
administracin se siente cmoda. Este modelo ilus-tra:
La secuencia lgica de planear-hacer-verificar y corregir el plan
si es necesario:
Cmo sucede esto a nivel estratgico, tctico y administrativo;
Las diversas relaciones laterales y horizontales El hacer
estratgico da como resultado pla-
neacin tctica; el hacer tctico da como resultado planeacin
administrativa;
Las actividades de verificar y hacer co-operan e influyen
continuamente una con otra; y
La actividad administrativa de verificar reporta a verificar
tctico, quien a su vez reporta a verificar estratgico.
Cuando se evalan mecanismos de control, los revisores debern
estar conscientes de que estos controles operan en estos diferentes
niveles y de que tienen relaciones intrnse-cas. La orientacin hacia
el proceso de COBIT proporciona algunas indicaciones acerca de los
diferentes procesos de control, niveles e interrelaciones, pero la
implantacin o va-loracin real de los sistemas de control requiere
tomar en cuenta esta compleja dimensin adicional.
COLOCNDOLAS TODAS JUNTAS En resumen, las Directrices de Auditora
detalladas siempre pueden complementarse tomando en cuenta el
Lineamiento Genrico y el proceso bajo revisin, y obteniendo tareas
de auditora adicionales para lograr el objetivo de auditora. El
desarrollo del programa de auditora en s puede beneficiarse de
tomar en consideracin los requerimientos del proceso de auditora de
TI, el Marco Referencial de COBIT y los Objeti-vos de Control de
Alto Nivel, y las Consideraciones de Con-trol que se muestran
aqu.
RELACIN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-RECTRICES DE
AUDITORA Los objetivos han sido desarrollados a partir de una
orienta-cin al proceso porque la administracin est buscando
ase-sora proactiva sobre cmo tratar el problema de mantener TI bajo
control. Los Objetivos de Control ayudan a la admi-nistracin a
establecer el control sobre el proceso, las Direc-trices de
Auditora ayudan al auditor o asesor a asegurar que el proceso est
realmente bajo control, de tal manera que los requerimientos de
informacin necesarios para lograr los objetivos del negocio sern
satisfechos. La relacin entre estos dos conceptos es el proceso,
por lo que las Directrices de Auditora han sido desarrolladas para
cada uno de los procesos, en oposicin a cada uno de los objetivos
de control.
IT GOVERNANCE INSTITUTE 27
DDIRECTRICESIRECTRICES DEDE A AUDITORIAUDITORIA
Plan Accin Verificacin
Estratgico
Tctico
Administrativo
Correccin
Reporte
Reporte
-
En cuanto al marco referencial de control representado por el
modelo de cascada, las Directrices de Auditora pueden ver-se como
los elementos que proporcionan retroalimentacin a partir de los
procesos de control para los objetivos del nego-cio. Los objetivos
de control son la gua que baja por la cas-cada para tener el
proceso de TI bajo control. Las Directri-ces de Auditora son la gua
para regresar a la parte superior de la cascada con la pregunta:
Hay seguridad de que se logre el objetivo del negocio? Algunas
veces, las Directri-ces de Auditora son traducciones literales de
los Objetivos de Control; con mayor frecuencia, las Directrices
buscan la evidencia de que el proceso est bajo control.
OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-CIN La utilizacin
del Marco Referencial, los Objetivos de Con-trol y las Directrices
de Auditora como fundamento para la tarea de auditora/valoracin nos
presenta algunas ventajas definitivas:
Permite dar prioridad a las actividades de auditora y reas bajo
revisin, utilizando las calificaciones Primaria y Secundaria de los
criterios de informa-cin;
Conduce a reas de investigacin que normalmen-te sin un marco
referencial o modelo- no seran tratadas; Puede desarrollarse una
planeacin y se-cuencia de entrevistas ms lgica conforme los
auditores avanzan en el proceso;
Las investigaciones pueden enfocarse utilizando el indicador de
qu recurso es ms importante en qu proceso; y
Como un estndar para definir las reas de TI au-ditables para el
plan estratgico de auditora, con el fin de asegurar La cobertura
efectiva de la auditora La adquisicin/desarrollo oportuno de
las
habilidades necesarias para la auditora. Sin embargo, existen
algunos retos en cuanto a la integra-cin del marco referencial y de
los objetivos dentro del tra-bajo de auditora:
El cambio nunca es fcil (actitud, conjunto de herramientas,
conjunto de habilidades, etc.);
La naturaleza detallada hace difcil la aplicacin inicial,
especialmente cuando se est verificando la completitud7 y
aplicabilidad de los objetivos de control para el rea bajo
revisin;
Existe un grado necesario de repeticin en las Di-rectrices de
Auditora porque rara vez hay una relacin uno-a-uno entre el
objetivo de control y los mecanismos de control, un mecanismo
contri-buye de varias maneras a varios objetivos, un obje-tivo
necesita de varios mecanismos para lograr su cometido; y
IT GOVERNANCE INSTITUTE 28
CCOBIOBITT
LineamientosDetallados de Auditoria
Requerimientos deProceso de Auditoria
Marco de Referencia de Control
efect
ivida
d
efic ie
ncia
confi
denc
ialida
d
integ
ridad
dispo
nibil id
ad
cum
plimi
ento
confi
abilid
ad
P SPlaneacin &Organizacin
Adquisicin &Implementacin
Entrega &Soporte
Monitoreo
aplica
cione
s
tecno
loga
facilid
ades
datosge
nte
9 9
Prcticas deControl
Los Estatutosde Control
Requerimientosde negocio
El control de
Lo cual satisface
es posible por
considerando las
Proceso de TI
Observaciones de Control
NormasEstndares KPI / CSF
ComparacinProceso
Acto
Infor