Caso de estudio Meycor COBIT AG

Presentacin de Meycor Cobit AG: Cobit es un marco de objetivos de control que establece un puente entre el negocio y los procesos de TI que los soportan. Permite determinar que Objetivos de control debe cumplir el rea de TI de modo que efecte un aporte positivo para alcanzar los Objetivos estratgicos de la organizacin. Mediante Meycor AG se puede ver el efecto que sobre los procesos del negocio tiene el nivel de cumplimiento con Cobit por parte de TI. La herramienta esta diseada para cuando los auditores deben efectuar el enfoque de auditoria a travs de un completo proceso de auditoria, que se diferencia de una auto evaluacin de controles. Destacamos los siguientes puntos de Meycor Cobit AG: Trabajar en varios proyectos de auditoria en forma simultanea. Poder elaborar opcionalmente un inventario completo de los recursos de TI (y como contribuyen a cumplir los procesos del negocio) Poder definir equipos de trabajo con roles diferentes. Facilidades para elaborar variados papeles de trabajo que justifiquen los juicios emitidos.

El caso: La firma de auditora ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnologa de la informacin. Desde hace ya 5 aos la empresa utiliza el estndar COBIT para realizar su trabajo y ltimamente incorpor el software Meycor COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crdito, con un grupo importante de condiciones diferentes por lo que el sistema informtico de Cuentas a Cobrar resulta crtico, para alcanzar sus objetivos de negocio. Desarrolla sus actividades en una sede central (ubicada en la ciudad de Montevideo) que se focaliza en las operaciones en la Capital y en los pases vecinos, y 2 sucursales ubicadas en otras partes del pas. Todo el sistema informtico consolida la informacin en Montevideo. Cuenta con procedimientos de cobro va electrnica y bancaria, por tarjetas de crdito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informtico de
1

desarrollo interno, se afirma que se encuentra correctamente diseado, si bien las reas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodologa del Informe COSO, determin que existe en el proceso Cuentas a Cobrar una exposicin al riesgo superior a lo aceptable por la organizacin. Esto es el resultado de un trabajo de identificar que en varios de los objetivos del proceso de negocio referido, los riesgos identificados tienen una valoracin significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes. En el rea de tecnologa es necesario complementar ese anlisis a efectos de evaluar los controles generales y de aplicacin existentes. ABC AUDIT es contratada por la empresa WEST FINANCIALS para realizar una auditora de sus sistemas de informacin. El proyecto de auditora es encomendado a Juan Mrquez quien participa en las primeras reuniones con la gerencia de la financiera donde se acuerda hacer una revisin total del funcionamiento de sus sistemas en la sede central. La misma comenzar por los Objetivos de alto nivel que fija Cobit, y en una segunda etapa atender los aspectos relacionados con la plataforma especifica conque cuenta la organizacin. Luego de tener las primeras entrevistas con la financiera, la empresa consultora comienza a realizar el trabajo de planificacin de la auditoria.

Tarea 1:
Se comienza a preparar el software para el trabajo. Meycor COBIT AG viene con un solo usuario precargado que es la Cuenta Admin, mediante la cual se pueden realizar diversas tareas de mantenimiento. En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario Matinez al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles.

Fig. 1: Creacin de un usuario

Tarea 2
El administrador tambin crea un centro de anlisis Centro1 (Correspondiente a la sede central de la empresa). Nota: un centro de anlisis ,es el objeto de la auditora, es el escenario sobre el que debe emitirse la opinin. Puede ser fsico (el centro de cmputos principal, una sucursal) o puede ser un aplicativo (el sistema de tarjeras de Crdito) o incluso una plataforma o sistema operativo (el equipo central). La alternativa sera manejar diversos proyectos, dependiendo de la necesidad de compartir informacin o comparar resultados.

Fig. 2: Creacin de un centro de anlisis

Tarea 3
El supervisor Martnez ingresa al software . A partir de la seleccin del centro de anlisis en que va a trabajar (puede tener asignados varios) crea el Proyecto de auditoria al cual se da el nombre de Sistema de Cuentas a Cobrar WF Nota: El proyecto es la base de la administracin de los procesos de auditoria en Meycor Cobit AG. En el mismo se define nombre, cdigo, objetivo, alcance, fecha de creacin, fecha estimada de finalizacin, auditores asignados, centro de anlisis que incluye.

Fig.3: Creacin del proyecto y definicin de su objetivo y alcance. Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditora a nivel de los Objetivos de Control de alto nivel de Cobit). Tambin se define la escala de evaluacin aplicable, entre las que estn disponibles en el software. Se asignan los auditores a usar en el proyecto. Identificacin del negocio. Como ayuda a la seleccin de los procesos de TI a evaluar y posteriormente a la tarea de auditora en s, es posible evaluar el ambiente del negocio. Para ello es posible crear el organigrama de la empresa.

Tarea 4
Consiste en definir primero los niveles jerrquicos y posteriormente crear el organigrama. Es posible documentar informacin sobre los diversos departamentos o gerencias. Esto es creado por el supervisor. Men: Centro de Anlisis

Fig. 4: Organigrama Identificacin de los procesos de Negocio Permite ingresar que procesos de negocio se cumplen en la organizacin.

Tarea 5
Se ingresa el o los procesos de negocio que son de inters. Men :Centro de Anlisis

Fig. 5: Definicin de proceso de negocio. Identificacin de los Requerimientos de Informacin del Proceso Estos pueden ser varios y son la informacin necesaria para que el proceso de negocio pueda cumplir en forma exitosa sus objetivos. Un proceso de negocio tendr varios objetivos que son las metas a alcanzar por las unidades de la organizacin, para cumplirlas requieren diversos tipos de recursos. Nota: Se pueden derivar de Meycor Coso en el cual se releva y documenta esta informacin. Veamos ac el ejemplo de dos de los objetivos ,en los que se determin en una etapa previa a este trabajo que exista un conjunto de riesgos no cubiertos.

Objetivo del Proceso

Requerimientos informacin

de

A. Cobrar en Plazo todos 1.Saldos actualizados en tiempo y los saldos adeudados forma para los cobradores 2.informacin de las direcciones de los clientes 3.Informacin de los Cobradores 4:Libretas de recibos de cobro 5.Telecomunicaciones sucursales B. Efectuar slo los descuentos que estn admitidos por la poltica de la empresa con

1.Los criterios de autorizacin para aplicar descuentos. 2.Tablas de descuentos 3. Personal clculos que clculos verifica de los

Como se ve en este ejemplo, usamos el concepto Requerimientos de Informacin en sentido amplio. Ocurre entonces, que no todos estn relacionados con la tecnologa (aunque deben poderse identificar todos, si se quiere tener una documentacin completa). Notar que en el ejemplo anterior en el Objetivo tiene requerimientos de informacin como el numero 1 que requerir obviamente un listado informtico diario de saldos entregado a cada cobrador (veremos a continuacin que requerimientos de informacin implica). Por otra parte, el requerimiento 3 (Cobradores) que corresponde a personal y el 4 materiales (libretas de recibos) no estn afectados por TI (si podra estarlo si los documentos se generaran por computadora)

Tarea 6
Se identifican cuales son los requerimientos de la informacin necesarios que debe disponer TI y las reas de negocio, para cumplir con los procesos del negocio. El poder ingresar cuales de los criterios de informacin deben ser cumplidos permite vincularlos con los objetivos de Cobit de alto nivel. En la Fig. 6 al seleccionarse Integridad y Confiabilidad como criterios Primarios se esta relacionando este requerimiento con la necesidad de verificar el Proceso de Alto Nivel ES11, Administracin de los datos de Cobit. Los requerimientos de informacin se relacionan con los diversos procesos de negocio identificados previamente.

Fig. 6: Requerimientos de Informacin.

Explicacin de los criterios de Informacin de Cobit Vemos que se determinan los criterios de Informacin de Cobit que son aplicables. Producto 1 Tabla de Intereses a aplicar ( El sistema debe permitir tener en forma oportuna los interese a aplicar sobre los recargos. Los mismos se deben calcular diariamente teniendo en cuenta varias variables tales como el tipo de cambio del dlar o el inters legalmente aplicable) Prod EFE 1 EFI CONF INT DISP CUM CONFI COMENTARIOS P P
Interesa el reporte en forma oportuna, No se trata de informacin reservada La informacin debe ser completa dada la cantidad de situaciones posibles. La confiabilidad aparece como importante en todos los casos

Detalle de las columnas: Efectividad o Eficacia, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad de la informacin. Identificacin de los recursos de TI En esta etapa es posible hacer un inventario de los recursos de TI donde se puede ingresar una informacin detallada de los mismos. Adems se relacionan con los requerimientos de informacin identificados en la tarea anterior. As podemos saber que personas, datos y equipos son necesarios para obtener el requerimiento de informacin Tabla de Intereses a cobrar en forma oportuna para el negocio. En general se tendr presentes tecnologa (hardware), Aplicativos (software) y Datos (archivos o tablas), en cuanto a los otros recursos puede depender de la situacin. Un proceso que implique atencin al publico (Producto :Cobranzas por Caja) involucra a las Instalaciones (cmaras de video de seguridad, etc.) Un proceso que no sea totalmente automatizado involucra a las Personas.

10

Tarea 7
Se ingresa la informacin de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnolgica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de informacin previamente identificados. Men Centro de Anlisis /Recursos de TI Seleccin de procesos a auditar Se debe determinar cuales de los 34 procesos de Cobit se deben evaluar. MEYCOR COBIT AG asiste en la seleccin. Es posible obtener una relacin entre los 34 procesos de Cobit con los Procesos de Negocio a travs de los requerimientos de informacin de Cobit y los recursos de TI que son usados por los mismos. Igualmente el Supervisor puede usando su criterio, variar esa sugerencia (amplindola o modificndola)

Fig. 7: Relacin entre procesos de negocio y procesos de Cobit.

11

Planillas de Auditoria En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para obtener una informacin primaria de los procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales.

Fig. 8: Planillas de auditoria. Asignacin de Procesos de Cobit para auditar Como se indic, los pasos anteriores asisten y documentan los criterios usados en la seleccin de los procesos de Cobit a verificar.

12

Tarea 8
Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel ), para la auditora, al equipo de evaluadores asignados al proyecto. Men: Proyectos/ mantenimiento/ asignar Objetivos. Tambin se seleccionan primariamente las Guas de Auditoria de Cobit que se considera oportuno aplicar.

Fig. 9: Ejemplo de la asignacin de procesos de Cobit a un revisor.

13

Comienzo de la auditoria El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE Alerta que le indica que ha sido asignado a un proyecto de auditoria. Puede ver la informacin del mismo (organigrama, procesos de negocio. recursos de Ti, etc.) Puede ver los Procesos de Cobit asignados y comenzar as su trabajo.

Fig. 10: Se determina sobre que objetivos de control auditar

Tarea 9
Mediante el botn Comenzar con la Auditoria iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados.

14

Tarea 10
A partir de aqu MEYCOR COBIT AG asiste al auditor en el proceso de arribar a una conclusin sobre el Objetivo de control de alto nivel (en este caso).Se van registrando las tareas efectuadas. Para lo cual estn disponibles las guas de auditoria que corresponden a cada etapa. Se pueden registrar hallazgos y recomendaciones, las que posteriormente sern evaluadas por el supervisor.

Etapa 1: Entrevistas
Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visin del objeto de la auditora. En este caso son con los usuarios del sistema para entender su visin en cuanto al funcionamiento. Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo. Las entrevistas podrn planificarse de modo de que se obtenga simultneamente toda la informacin requerida para los procesos de Cobit bajo revisin.

Fig. 11: Ejemplo de un hallazgo en la etapa de entrevistas

Etapa 2: Documentacin
En este caso se obtienen los manuales tcnicos y de usuarios de la aplicacin,

15

Fig. 12: Registro de las tareas efectuadas A partir de las entrevistas y de la documentacin que se obtuvo y se analizo, se pide que se determine si se consideran (en primera instancia que los controles son efectivos o no).En este ejemplo si bien se han detectado algunas problemticas (actualizacin de cierta documentacin , amigabilidad de ciertos mdulos, dificultades en las asignaciones de cdigos de recargo), estos hallazgos van quedando registrados para su anlisis posterior. Si bien las etapas 1 y 2 se presentan en forma secuencial, es posible pasar de una a otra en forma recurrente, hasta completar el conocimiento de la realidad del objeto de la auditara.

Etapa 3: Emisin de una primera opinin

A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicacin. Si el juicio es que, en forma primaria, dichos controles no son suficientes se seguir un camino de procedimientos de auditoria tendiente a evaluar cual es el riesgo de que esos controles u otros sustitutivos no existan. En caso de que se juzguen adecuados, se probar que en la practica funcionen tal y como se haba descrito. Puede ser deseable que las opiniones se registren en consulta previa con el supervisor pero ello depender del caso concreto.

16

Fig. 13: Evaluacin de Controles.

17

Etapa 4: Verificar el cumplimiento de los controles

Aqu se revisa que esos controles estn funcionando. Para ello deber probarse con procedimientos especficos de auditoria la existencia de los controles descriptos. Estas pruebas pueden ser muy variadas, desde ver un proceso de control en accin a recolectar la necesaria evidencia, u otras. Por ejemplo en el caso de que se indique que existe un control en la aplicacin que evita que se autoricen descuentos superiores al margen autorizado por la gerencia de Crditos se podr: a) b) Hacer una prueba de datos, intentando ingresar transacciones que superen ese porcentaje. Solicitar el archivo de las transacciones del ultimo ao y compararlo con la tabla de tasas autorizadas que estuvieron vigentes en el periodo (por ejemplo mediante el uso del software de auditora ACL)

Fig. 14: Verificacin de controles

18

Etapa 5: Realizacin de muestreos

Fig. 15: Determinacin del muestreo El tamao de la muestra (pocos o muchos) si bien es subjetivo, esta relacionado con la cantidad de casos que debern ser revisados y tiene en cuenta la confianza que se ha obtenido hasta esa etapa en cuanto al control interno en TI. Tendr en cuenta entre otras cosas: Consideraciones del riesgo de auditora. Si hay medidas de control. Si las medidas de control existentes fueron evaluadas como no suficientes. Si las pruebas primarias de cumplimiento determinaron que los controles no son aplicados en forma consistente y adecuada.

19

Etapa 6: Emisin de una conclusin final

Se emite una conclusin (en este caso es para los Objetivos de control que forman un proceso) En otro caso ser para el proceso en su conjunto. La conclusin se respalda en todos los pasos anteriores del proceso de auditoria. Adems debe tener en cuenta los hallazgos. Ntese que la escala de evaluacin corresponde a la que fuera seleccionada al comienzo por el Administrador. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios. En este ejemplo concreto , el sistema de control permite detectar los problemas que se producen por usar cdigos incorrectos. Es posible tomar acciones para que esos errores se minimicen o se tomen acciones correctivas en una etapa mas temprana del proceso de modo de evitar que se tenga que anular la operacin al finalizarla.

Fig. 16: Se indica si hay o no aseguramiento.

20

PARTICIPACION DEL SUPERVISOR Mientras que los auditores estn efectuando el trabajo de campo, el supervisor puede examinar los avances. Tambin puede dejar establecido s esta o no de acuerdo con las observaciones efectuadas. Mediante el botn Retroceder se puede desmarcar una etapa en la que se emiti un juicio de modo de que se pueda cambiar por parte del auditor. PAPELES DE TRABAJO Es posible obtener un reporte sobre las pruebas de auditoria que fueron efectuadas y el tiempo invertido en las mismas.

Fig. 17: Ejemplo de Papel de trabajo.

21

Fig. 18: Informe Final Vemos en este ejemplo que para el Objetivo de Control Evaluado se han detectado algunos problemas sin embargo la evaluacin final se entendi satisfactoria. CONCLUSIN: Meycor Cobit AG asiste en el proceso de auditar basado en las guas de auditora de Cobit 3 Edicin. Define una metodologa de trabajo que permite su aplicacin a diversas auditorias simultaneas, pudindose comparar los resultados. Para ello tiene la facilidad de efectuarlas como diversos centros de Anlisis del mismo Proyecto general. Una vez finalizado el ciclo de la auditora , el supervisor cierra el proyecto. Es posible efectuar una planificacin de revisiones que tenga en cuenta los riesgos detectados y los recursos disponibles. Un proyecto puede ser duplicado, conservando la informacin bsica relevada, para poder luego efectuar una nueva evaluacin.

22