Documentos de Académico
Documentos de Profesional
Documentos de Cultura
11045-Texto Del Artículo-38825-1-10-20150225 PDF
11045-Texto Del Artículo-38825-1-10-20150225 PDF
RESUMEN ABSTRACT
El desarrollo de la tecnología es percibida en forma The development of technology is perceived globally
global, como un disparador de cambios permanentes as a trigger for permanent changes in the business en-
en el ambiente de negocios. Sin embargo, existe una vironment. However, there is one overriding idea that
idea primordial que aparece inmóvil contra esta fuerza appears immobile against this technological strength
tecnológica que implica que las organizaciones que which implies that organizations that survive are those
sobreviven, son aquellas que entregan más valor a that provide more value to their customers.
sus clientes. The role of the audit continues to provide assurance
La función de la auditoría continúa proporcionán- services to both internal and external customers. Since
donos servicios de aseguramiento, tanto a clientes the use of technology impacts the way we do business,
internos como externos. Dado que el empleo de la there must be effective and simple ways to carry out
tecnología impacta la forma de hacer negocios, debe the evaluation of the controls that must exist to ensure
haber formas efectivas y sencillas para llevar a cabo that service.
la evaluación de los controles que deben existir para The main objective of the research is to determine
garantizar dicho servicio. which methodology should be used to achieve ade-
quate control of information technology, risks and
El objetivo principal de la investigación es determinar
vulnerabilities for effective audit process.
qué metodología debería de emplearse para obtener un
Our main hypothesis is: The COBIT developed by
adecuado control de la tecnología de la información,
ISACA is a methodology that should be used to achie-
riesgos y vulnerabilidades para el proceso de una audi-
ve adequate control of information technology, risks
toría eficaz.
and vulnerabilities for effective audit process.
Nuestra hipótesis principal es: El COBIT desarro- From the review and research conducted, we conclude
llado por ISACA es una metodología que debería de that the COBIT, auditors information technology will
emplearse para obtener un adecuado control de la tec- have a suitable tool that will allow them to meet the
nología de la información, riesgos y vulnerabilidades new needs of organizations.
para el proceso de una auditoría eficaz.
De la revisión e investigación realizadas, concluimos
que con el COBIT, los auditores de tecnología de
información contarán con una herramienta adecuada
que les permitirá atender las nuevas necesidades de
las organizaciones. Keywords:
Palabras clave: Audit; risks; vulnerabilities; COBIT.
Auditoría; riesgos; vulnerabilidades; COBIT.
En este enfoque se incluye el análisis de riesgo • Ineficiente uso de los recursos tecnológicos.
en el negocio como punto importante en su revisión. • Robo de información.
El gran reto de este proyecto es enfrentar una
La auditoría debe tener como misión re- problemática compleja dado que se interrelacionan
portar los riesgos y los controles para diferentes tipos de activos, con lo cual si no se es
mitigarlos metódico y riguroso, los resultados y conclusiones no
Para ello, debe confeccionar un plan estratégico son de fiar y difícilmente sean de valor para la Entidad.
que incluye una cuidadosa consideración acerca de Las acciones a desarrollar permitirán:
los problemas de la resistencia al cambio, los costos a. Incorporar a la matriz de riesgo operacional, el
que representa dicha tecnología y las utilidades que riesgo de TI asociado a cada proceso de negocio.
se lograrán, alcance del proyecto, y asegurarse que b. Concientizar a los responsables de las Gerencias
su formación debería dar lugar a resultados más fa- de Tecnología y Sistemas de Información de la
vorables. Como mínimo, deber aplicarse las Técnicas existencia de riesgos y brindar soluciones para
de Auditoría asistida por el computador (Computer su mitigación.
Assisted Audit Techniques - CAAT), que tienen el
potencial de servir como un mecanismo de transición c. Ayudar a descubrir y planificar medidas oportu-
entre la auditoría manual y el final de la auditoría fu- nas para mantener los riesgos bajo control.
tura. Si se implementan y se utilizan según lo previsto, d. Preparar a la organización para procesos de
se realizarán beneficios significativos; de tal manera, evaluación, auditoría y cumplimiento, según
que las empresas deben estar más abiertas a contem- corresponda.
plar la idea de aventurarse más allá en el ámbito de la e. Establecer los aspectos a tener en cuenta para la
automatización. realización de planes de contingencias y con-
El trabajo de auditoría debe incluir el análisis de tinuidad del negocio y sistemas de gestión de
riesgo durante el planeamiento. De acuerdo con el seguridad informática.
diccionario Aplicativo para Contadores, se define En concreto, los avances en tecnología de la in-
Riesgo como: “La posibilidad que el auditor pueda formación en relación con los enfoques en tiempo
expresar una opinión financiera que esté distorciona- real a la realización de negocios están desafiando la
da en aspectos materiales, o que los criterios técnicos profesión de auditoría. Como tal, el objetivo principal
del auditor hayan sido insuficientes o inapropiados”. de esta investigación es determinar qué metodología
Como sabemos, Basilea II incorporó el riesgo debería de emplearse para obtener un adecuado con-
operacional a los riesgos ya evaluados por Basilea I trol de la tecnología de la información, riesgos y vul-
(de crédito, de mercado y de tipo de cambio) y uno nerabilidades para el proceso de una Auditoría eficaz.
de los aspectos a evaluar del riesgo operacional es el
factor de riesgo de tecnología de la información (TI). La auditoría debe aplicar las mejores
¿Qué es el análisis de riesgo de TI? prácticas disponibles en el mercado
Conocer los riesgos al que están sometidos los ac- En los sectores público y privado, se hacen uso
tivos de TI es imprescindible para poder gestionarlos. de una serie de estándares que guían el desarrollo de
Dentro de los riesgos de la Tecnología de Infor- proyectos de TI, entre ellos, se pueden mencionar:
mación podemos mencionar a los siguientes: • Directrices gerenciales de COBIT, desarrollado
• Información errónea o inoportuna. por la Information Systems Audit and Control
• Tiempo laboral perdido por mal uso del e-mail e Association (ISACA).
Internet. • The Management of the Control of data Infor-
• Alteración de datos. mation Technology, desarrollado por el Insti-
• Insatisfacción del usuario. tuto Canadiense de Contadores Certificados
• Acceso no autorizado. (CICA).
tres elementos son utilizados a nivel mundial para Aplicaciones: Se entiende como sistemas de
describir los requerimientos de seguridad. aplicación la suma de procedimientos manuales y
Se comenzó el análisis a partir de los requeri- programados.
mientos de calidad, fiduciarios y de seguridad, se Tecnología: La tecnología cubre hardware, softwa-
extrajeron siete categorías distintas, ciertamente re, sistemas operativos, sistemas de administración
superpuestas. de bases de datos, redes, multimedia, etc.
A continuación, se muestran las definiciones de Instalaciones: Recursos para alojar y dar soporte
trabajo de COBIT: a los sistemas de información.
Efectividad: Se refiere a que la información rele- Personal: Habilidades del personal, conocimiento,
vante sea pertinente para el proceso del negocio, conciencia y productividad para planear, organizar,
así como a que su entrega sea oportuna, correcta, adquirir, entregar, soportar y monitorear servicios
consistente y de manera utilizable. y sistemas de información.
Eficiencia: Se refiere a la provisión de información El dinero o capital no es considerado como un
a través de la utilización óptima (más productiva y recurso para la clasificación de objetivos de control
económica) de recursos. para TI debido a que puede definirse como la in-
Confidencialidad: Se refiere a la protección de versión en cualquiera de los recursos mencionados
información sensible contra divulgación no auto- anteriormente y podría causar confusión con los
rizada. requerimientos de auditoría financiera.
Integridad: Se refiere a la precisión y suficiencia El marco referencial no menciona, en forma espe-
de la información, así como a su validez de acuerdo cífica para todos los casos, la documentación de todos
con los valores y expectativas del negocio. los aspectos “materiales” importantes relacionados
Disponibilidad: Se refiere a la disponibilidad de con un proceso de TI particular. Como parte de las
la información cuando ésta es requerida por el buenas prácticas, la documentación es considerada
proceso de negocio ahora y en el futuro. También esencial para un buen control y, por lo tanto, la falta
se refiere a la salvaguarda de los recursos necesarios de documentación podría ser la causa de revisiones
y capacidades asociadas. y análisis futuros de controles de compensación en
cualquier área específica en revisión.
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos contrac- La información que los procesos de negocio
tuales a los que el proceso de negocios está sujeto, necesitan es proporcionada a través del empleo de
por ejemplo, criterios de negocio impuestos ex- recursos de TI. Con el fin de asegurar que los reque-
ternamente. rimientos de negocio para la información sean satis-
fechos, deben definir, implementarse y monitorearse
Confiabilidad de la información: Se refiere a la medidas de control adecuadas para estos recursos.
provisión de información apropiada para la admi-
nistración con el fin de operar la entidad y para ejer- ¿Cómo pueden entonces las empresas estar
cer sus responsabilidades de reportes financieros y satisfechas respecto de la información obtenida de
de cumplimiento. las características que necesitan? Es aquí donde se
requiere un sano marco referencial de Objetivos de
Los recursos de TI identificados en COBIT Control para TI.
pueden identificarse/definirse como se muestra a El marco referencial consta de Objetivos de
continuación: Control de TI de alto nivel y de una estructura ge-
Datos: Los elementos de datos en su más amplio neral para su clasificación y presentación. La teoría
sentido, (por ejemplo, externos e internos), estruc- subyacente para la clasificación seleccionada se refiere
turados y no estructurados, gráficos, sonido, etc. a que existen, en esencia, tres niveles de actividades
de TI al considerar la administración de sus recursos.