Documentos de Académico
Documentos de Profesional
Documentos de Cultura
net/publication/320519484
CITATIONS READS
3 2,875
1 author:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
Consultorio Contable, una estrategia pedagógica para el fortalecimiento de la formación del estudiante del programa de Contaduría Pública de la Corporación
Universitaria de la Costa, Cu View project
normas técnicas, estándares y mejores prácticas mundiales en el ámbito de la tecnología de la información (TI) y control interno para la realización de auditorías
integrales de sistemas. View project
All content following this page was uploaded by Roberto Carlos Diaz-Alonso on 07 May 2018.
Resumen
Palabras clave
*
Contador público egresado de la Corporación Universitaria de la Costa (CUC),
Barranquilla, Colombia; especialista en Estudios Pedagógicos; especialista en
Auditoría de Sistemas de Información, CUC. Diplomado en Docencia y mediación
pedagógica en la Virtualidad y Herramientas web 2.0, Universidad Autónoma de
Bucaramanga (UNAB), Colombia. Correos electrónicos: roberalonso24@gmail.com;
rdiaz1@cuc.edu.co
15
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
Abstract
This article presents a framework of systems audit applicable to Micro, Small and
Medium Enterprises (MSMEs) in Colombia, based on the joint work with different
technical norms and standards, and best global practices in the field of information
technology (IT) and internal control for comprehensive system audits. For this
purpose, we study the behavior of the MSME sector in Colombian economy in
IT and analyze standards or technical norms of COBIT (Control Objectives for
Information and Related Technologies), ITIL (Information Technology Infrastructure
Library), ISO 2700X and ISO 900X, among others.
Keywords
16
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
de normas sobre calidad y gestión continua de ocupan 2 818 430 trabajadores, en donde el
calidad, establecidas por la Organización Interna- 99% de estas empresas son micro con un total
cional para la Estandarización ISO” (Wikipidia, s. f.). de 1 653 493 trabajadores, que corresponde al
58,67% del total. Las microempresas son en su
ISO 2700X se puede aplicar en cualquier tipo de
mayoría empresas familiares, estratos 1, 2 y 3
organización o actividad orientada a la producción
(Sánchez, 2007, p. 23).
de bienes o servicios, así como procedimientos de
administración de riesgos, con el fin de tener en No obstante, para que la actividad empresarial
cuenta como aspectos esenciales del gobierno pueda ser sostenible en el tiempo requiere avances
de TI: la gestión del servicio, la seguridad de la en el conocimiento humano, como instrumento
información y la teoría de riesgos, en concordancia principal de su racionalización. Al respecto, a lo
con los tres grandes temas que exige la auditoría largo de la historia han surgido múltiples disciplinas
de hoy y en cascada: gobierno, riesgos, control. que buscan el efectivo control de los recursos,
como la contabilidad, administración y en el ámbito
Hoy en día, en las organizaciones, la auditoría se de la automatización de tareas, la ingeniería de
concibe como una actividad de evaluación inde- sistemas de información. Pero, a medida que estos
pendiente que agrega valor mediante el hallazgo saberes surgían —unos primeros que otros, en el
de oportunidades de mejora a los procesos y en mundo se desarrollaba la auditoría a la par de la
el caso de los sistemas de información, su ayuda contabilidad— como proceso asegurador de la
radica en: actividad comercial:
[...] la revisión y la evaluación de los controles, Existe la evidencia de que alguna especie de
sistemas, procedimientos de informática; de los auditoría se practicó en tiempos remotos. El hecho
equipos de cómputo, su utilización, eficiencia y de que los soberanos exigieran el mantenimiento
seguridad, de la organización que participan en el de las cuentas de su residencia por dos escribanos
procesamiento de la información, a fin de que por independientes, pone de manifiesto que fueron
medio del señalamiento de cursos alternativos se tomadas algunas medidas para evitar desfalcos
logre una utilización más eficiente y segura de la en dichas cuentas. A medida que se desarrolló
información que servirá para una adecuada toma el comercio, surgió la necesidad de las revisiones
de decisiones (Armando, 2002, p. 122). independientes para asegurarse de la adecua-
ción y finalidad de los registros mantenidos en
Antecedentes y teorías básicas varias empresas comerciales. La auditoría como
profesión fue reconocida por primera vez bajo la
El progreso de los países está medido por la capa-
Ley Británica de Sociedades Anónimas de 1862 y
cidad de generación de riqueza que posea, y para
el reconocimiento general tuvo lugar durante el
nadie es secreto que en este aspecto la actividad
periodo de mandato de la ley (Lara, 2011, p. 19).
empresarial juega un papel fundamental como
motor de la sociedad dentro de la economía
Antecedentes sobre las normas
capitalista. En el caso particular de nuestro país,
la mayor parte de la actividad empresarial se técnicas y estándares internacionales
encuentra en las mipymes:
En nuestro entorno se hace cada vez más común
En Colombia hay 1 343 521 empresas en los que en las grandes empresas se mencionen las
sectores de industria, comercio y servicios, que mejores prácticas mundiales en relación con
17
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
las diferentes disciplinas que intervienen en el la información han ocasionado una tecnodepen-
quehacer empresarial: finanzas, calidad, admi- dencia que impide una separación certera entre
nistración y, en los últimos años, las tecnologías la seguridad propia de las aplicaciones (seguridad
de la información se encuentran a la orden del informática) con la seguridad de la información
día dentro de los diferentes proyectos de las como tal. Por esta razón, reconociendo el amplio
grandes corporaciones, al invertir cantidades espectro que implica el concepto de seguridad
considerables de recursos en ello. de la información, se decidió acoger como un es-
tándar certificable la ISO 17799 —anteriormente
Con el objetivo de lograr una sincronización British Standard (BS) 7799/1999— en el 2005, la
exitosa entre TI y el negocio, en Inglaterra, a cual más tarde se convirtió en la ISO 27002:
finales de los años ochenta, surgió la Biblioteca
de Infraestructura de Tecnologías de Información Hasta 2005, el estándar más conocido en el en-
(ITIL) que fue desarrollada: torno de seguridad informática era el ISO 17799,
pero con la limitación de ser un “código de
[...] al reconocer que las organizaciones dependen prácticas” (Information technology —Security te-
cada vez más de la Informática para alcanzar sus chniques Code of practice for information security
objetivos corporativos. Esta dependencia en management), en el momento que se publica
aumento ha dado como resultado una necesidad su última revisión, se anuncia el desarrollo de
creciente de servicios informáticos de calidad que una serie de estándares ISO 27000, dedicada
se correspondan con los objetivos del negocio, y exclusivamente a la seguridad informática. Con
que satisfagan los requisitos y las expectativas del esto se le da un nuevo alcance a la seguridad,
cliente (TI, ITIL-Gestión de Servicios, 2011, p. 34). porque no solo es llevar un código de mejores
prácticas sino [también es] establecer un es-
Asimismo, se reconoce que:
tándar certificable de forma similar al ISO 9000
[...] el énfasis pasó de estar sobre el desarrollo (el primero de esa serie en publicarse fue el ISO
de las aplicaciones TI a la gestión de servicios 27001) (Palomino, 2007, p. 46).
TI. La aplicación TI (a veces nombrada como un
sistema de información) solo contribuye a reali- Las ventajas en lo organizacional de aspirar a
zar los objetivos corporativos si el sistema está a una certificación o de alinear sus procesos hacia
disposición de los usuarios y, en caso de fallos o estándares certificados confluyen principalmente
modificaciones necesarias, es soportado por los en las siguientes: 1) se puede aprovechar una
procesos de mantenimiento y operaciones (TI, curva de aprendizaje adquirida por experiencias
ITIL-Gestión de Servicios, 2011, p. 35). exitosas y también por los errores anteriores en la
implementación de los requerimientos de la nor-
Por otra parte, el desarrollo vertiginoso en las ma; 2) la organización se pone a tono con prácticas
redes informáticas trajo consigo un aumento certificadas, lo que en sí mismo ya es una garantía
considerable en la velocidad de procesamiento razonable de que, a raíz de una buena implemen-
y en la transmisión de información del negocio, tación, mejorarán los procesos involucrados; 3)
pero con riesgos cada vez mayores en lo referente implementar la mejor forma de realizar los procesos
a seguridad de los datos transportados por estos implica ahorros considerables a las compañías en
medios; en este sentido, vemos cómo en la cuanto a tiempo, recursos empleados, cumplimien-
actualidad, la convergencia de las tecnologías de to del marco legal aplicable si se adapta la norma
18
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
certificable a la realidad normativa del entorno tos, para que estos fueran luego aprobados. A
del negocio; todo esto repercute directamente partir de 1959 en los Estados Unidos se utilizó
en una disminución de costes y por ende en el un programa de requerimientos de calidad
mejoramiento de la eficiencia; 4) el alineamiento para los suministros militares. En 1968 la OTAN
de los procesos con la norma certificable genera especificó la AQAP (Allied Quality Assurance
mejoras en la eficacia de la organización, dada su Procedures o aseguramiento de calidad para los
capacidad de efectuar solo aquellas tareas que procedimientos de los aliados) para aplicarla a
contribuyen al logro de los objetivos del negocio. los insumos militares de la alianza. Con el tiempo
y la presión de los compradores de insumos, la
Similar a la familia de normas técnicas ISO 2700X, idea de la estandarización fue más allá del ámbito
se encuentran regulando en el ámbito de los militar, y en 1971, el Instituto de Estandarización
procesos organizacionales y como garante de Británico publicó la norma BS 9000, específica-
que el producto o servicio efectuado cumpla mente para el aseguramiento de la calidad en la
con unos requerimientos mínimos de calidad, la industria electrónica; esta siguió desarrollándose
familia de normas técnicas ISO 900X, la cual tiene para en 1970 pasar a ser la BS 5750, más general
su origen en la norma BS 5750, publicada en 1979 y aplicable (“¿Qué es Iso 9000?”, 2011, p. 12).
por la entidad de normalización británica que
tenía como objetivo la consecución de mejores De esta norma se derivó la primera versión de
procedimientos para la actividad militar (figura 1): la norma técnica ISO 9000:1987. Valga decir que
con el paso del tiempo la familia de ISO 900X ha
[...] se comenzó a exigir a los fabricantes que ganado en lo referente a la inclusión en forma
mantuvieran por escrito todos los procedimien- explícita del concepto de mejora continua y el
Gestión de Medición,
análisis y Satisfacción
los recursos
mejora
19
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
monitoreo y seguimiento de la satisfacción del Entendiendo el punto de vista del autor, vemos
cliente; asimismo, se han eliminado gradualmente que en el COBIT confluyen algunos elementos
los requerimientos documentales que entorpe- comunes a los anteriores marcos de referencia y
cen la labor de la organización. normas técnicas citadas: seguridad (ISO 27001) y
procesos (ITIL), enfocados al cliente con criterios
Actualmente se ha convertido en lugar común de calidad (ISO 9000), llevando esto a la posibili-
para diferentes autores estudiosos de los s istemas dad de desarrollar un marco de trabajo único que
de gestión y mapear los requerimientos de las garantice profundidad y multidisciplinariedad
diferentes normas técnicas en cuestión. Como para trabajos de aseguramiento de TI. En efecto:
ejemplo podríamos citar los anexos de la n orma
ISO 27002 que mapea esta norma con los requisitos Cobit está basado en marcos de referencia
exigidos por la ISO 9001; una tarea especialmente establecidos, tales como CMM de SEI (Software
importante porque provee de herramientas a ad- Engineering Institute), ISO 9000, ITIL e ISO/IEC
ministradores de sistemas de gestión, alta dirección 27002; sin embargo, Cobit no incluye tareas y
y auditores para ejecutar su labor e identificar pasos de procesos porque, aunque está orientado
sinergias que permitan una implementación/ a procesos de TI, es un marco de referencia para
evaluación costo-eficiente para la compañía. gestión y control antes que un marco de referencia
para procesos. Cobit se focaliza en lo que una
Como marco de referencia para los objetivos empresa necesita hacer, no cómo lo tiene que
de control de las tecnologías de la información hacer, y la audiencia objetivo es la alta gerencia,
encontramos COBIT, desarrollado por Isaca, que los gerentes funcionales, los gerentes de TI y los
tiene como objetivo presentar un modelo que per- auditores (It Govemance Institute, 2008, p. 7).
mita implementar y auditar “la gestión y control de
Cobit se basa en marcos de referencia estableci-
los sistemas de información y tecnología, orientado
dos, como CMM del Software Engineering Institute,
a todos los sectores de una organización, es decir,
ISO 9000, ITIL e ISO/IEC 27002. Sin embargo, Cobit
administradores IT, usuarios y por supuesto, los
no incluye los pasos del proceso y las tareas ya
auditores involucrados en el proceso” (Micrositios
que, si bien se orienta hacia los procesos de TI,
Ltda., 2005). De esta manera, COBIT se convirtió
es un marco de gestión y control en lugar de un
en la herramienta de clase mundial por excelencia
marco de proceso. Asimismo, COBIT se centra
implementada por las grandes organizaciones para
en lo que una la empresa tiene que hacer, no
adecuar sus sistemas de información a las mejores
cómo debe hacerlo y el público objetivo es la
prácticas en materia de control y gobierno de TI:
alta dirección, alta dirección de TI y los auditores.
[...] la estructura del modelo COBIT propone un Partiendo de esta premisa tenemos que, si bien
marco de acción donde se evalúan los criterios los objetivos de Cobit, la ITIL y las normas técnicas
de información, como por ejemplo la seguridad ISO/IEC 9000 e ISO/IEC 27000 son sustancialmente
y calidad, se auditan los recursos que compren diferentes, la construcción de Cobit está basada
den la tecnología de información, como por en distintos marcos de referencia en el mundo y
ejemplo el recurso humano, instalaciones, por ello, partiendo de Cobit como elemento de
sistemas, entre otros, y finalmente se realiza una cohesión se puede obtener un alineamiento con-
evaluación sobre los procesos involucrados en sistente entre las mencionadas normas técnicas
la organización (Micrositios Ltda., 2005). y estándares
20
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
IT best practices need to be aligned to business [...] un proceso económico, tecnológico, social
requirements and integrated with one another y cultural a gran escala, que consiste en la
and with internal procedures. COBIT can be creciente comunicación e interdependencia
used at the highest level, providing an overall entre los distintos países del mundo unificando
control framework based on an IT process sus mercados, sociedades y culturas, a través
model that should suit every organisation ge- de una serie de transformaciones sociales,
nerically. Specific practices and standards such económicas y políticas que les dan un carácter
as ITIL and ISO/IEC 27002 cover discrete areas global (Wikipedia, s. f.).
and can be mapped to the COBIT framework,
thus providing a hierarchy of guidance materi-
Es de anotar de la presente definición que la
als (It Govemance Institute, 2008, p. 22).
globalización es un proceso y como tal posee di-
namismo, este último impulsado por a los avances
Las mejores prácticas de TI tienen que alinearse a acelerados en materia de telecomunicaciones:
los requerimientos del negocio e integrarse entre “En lo tecnológico la globalización depende de los
sí y con los procesos internos. COBIT se puede avances en la conectividad humana (transporte
utilizar al más alto nivel, proporcionando un marco y telecomunicaciones) facilitando la libre circula
de control general sobre la base de un modelo de ción de personas y la masificación de las TIC y
procesos de TI que debe adaptarse a cada organi- el Internet” (Wikipedia, s. f.). Las empresas que
zación de forma genérica. Las prácticas específicas logran reconocer estas realidades comprenden
y las normas como la ITIL e ISO/IEC 27002 cubren bien el papel que TI puede jugar en el negocio:
áreas específicas y se pueden mapear con el marco
de referencia COBIT, para así proporcionar una For many enterprises, information and the
jerarquía de materiales de orientación. technology that supports it represent their most
valuable, but often least understood, assets.
Comprendiendo lo anterior, la pregunta natural Successful enterprises recognise the contribu-
que surge es: si el marco conceptual de COBIT tion and benefits of information technology
surge del alineamiento de diversos estándares (IT) and use IT to drive their stakeholders’ value.
que desarrollan el cómo hacer, ¿cuál es la mejor These enterprises also understand and manage
manera de integrar los diversos estándares y the associated risks such as increasing regula-
normas técnicas enfocadas a la realidad de las tory compliance and critical dependence of
pymes? Esta pregunta es la que intentaremos many business processes on IT (It Govemance
desarrollar en el resto del trabajo, con el objetivo Institute, 2007, p. 8).
de desarrollar unas guías de auditoría con los
puntos de control claros por auditar en las pymes. Para muchas empresas, la información y la tecno-
logía que la soporta representan lo más valioso
Desarrollo de las pymes: el papel y a menudo menos entendido, los activos. Las
de las auditorías combinadas de empresas de éxito reconocen la contribución y los
beneficios de la TI y el uso de esta para impulsar el
tecnología de la información
valor de sus accionistas. Estas empresas también
En el contexto actual de la economía mundial, ha- entienden y gestionan los riesgos asociados como
blar de desarrollo, competitividad y libre comercio el aumento de cumplimiento de la normativa y
nos lleva de inmediato a pensar en el término la dependencia crítica de muchos procesos de
globalización que puede ser definida como: negocio en TI.
21
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
Por ello, para el sector empresarial la globalización y grandes sumas de capital invertido” (Wikipedia,
representa un reto y a la vez una oportunidad, ya s. f.). No obstante, por el hecho de que las pymes
que los competidores se encuentran ubicados en presenten esta enorme ventaja, las encontramos
la aldea global y no solamente en las economías rezagadas en materia de TI (en incluso de otras
locales, como anteriormente sucedía con la ate- disciplinas), las cuales no encuentran en este tema
nuante de que todos ellos conocen con claridad algo interesante para aportarles a sus negocios,
el papel que TI desempeña en el negocio ¿Cuál es por una razón fundamental: “Muchas empresas
el factor diferenciador entre un negocio y otro? no manejan IT de una manera cohesiva, sino más
Esta anotación adquiere especial relevancia si bien distribuida, lo cual deriva en islas de hardware,
tomamos como objeto de estudio las pymes (pe- software, servicios de telecomunicaciones, cada
queñas y medianas empresas), empresas que por quien respondiendo por sus respectivos depar
su estructura, tamaño, número de trabajadores y tamentos, sin ver el servicio completo al usuario
monto de activos o patrimonio presentan algunas final”(IntraEmprendedor, s. f.). Esta visión incompleta
desventajas frente a las grandes empresas: y fragmentada del universo de la TI genera descon
fianza en la alta dirección (trátese en las pymes
• Financiación. Las empresas pequeñas tienen más de un organismo colegiado, gerente o gerente-
dificultad de encontrar financiación a un costo y propietario) que no encuentra valor agregado para
plazo adecuados debido a su mayor riesgo. Para alcanzar los objetivos del plan de negocios.
solucionar esto se recurren a las sociedades de
garantía recíproca (SGR) y capital riesgo. Esta percepción de los dueños de negocios pymes
de la TI implica un gran reto, puesto que hoy más
• Empleo. Son empresas con mucha rigidez labo- que nunca es imperativo adecuar las tecnologías de
ral y que tiene dificultades para encontrar mano la información en los procesos de negocio: “el reto
de obra especializada. La formación previa del de administrar toda el área de TI sigue vigente sin
empleado es fundamental para estas. importar el tamaño de la empresa” (IntraEmpren-
dedor, s. f.); para abordar el reto existen las buenas
• Tecnología. Debido al pequeño volumen de
prácticas y normas técnicas respectivas de acuerdo
beneficios que presentan estas empresas no
con la materia de estudio, que pueden desempeñar
pueden dedicar fondos a la investigación, por
un papel crucial para el desarrollo de las pymes por
lo que tienen que asociarse con universidades
cuanto que al someterse al filtro de estas, permite
o con otras empresas.
conocer el estado actual de los procesos y reconocer
• Acceso a mercados internacionales. El menor la brecha existente para establecer planes de acción
tamaño complica su entrada en otros mer que permitan optimizar los procesos de acuerdo
cados. Desde las instituciones públicas se con la capacidad de consecución de recursos de la
hacen esfuerzos para formar a las empresas compañía y los objetivos por alcanzar.
en las culturas de otros países.
Algunos institutos, como el ITGI, han diseñado
Sin desconocer lo anterior, las pymes también marcos de referencia como COBIT Quickstart que
presentan como una de sus principales ventajas “su está diseñada para una implementación rápida
capacidad de cambiar rápidamente su estructura en compañías que, o bien desean implementar
productiva en el caso de variar las necesidades de COBIT de forma rápida o sencillamente poseen
mercado, lo cual es mucho más difícil en una gran una menor envergadura (léase pequeñas y me-
empresa, con un importante número de empleados dianas empresas):
22
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
The driver behind COBIT Quickstart is the como ITIL e ISO/IEC 27002, cubrir áreas específicas y
need of IT managers of smaller organisations se pueden mapear al marco COBIT, para así propor-
for a simple-to-use tool that will speed up the cionar una jerarquía de materiales de orientación.
implementation of key IT control objectives.
Equally, IT managers of larger organisations can De esta manera, observamos que partiendo de
leverage the tool to ‘quickstart’ the initial phases COBIT Quickstart, y pasando por Aligning COBIT®
of a broader IT governance implementation (It 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit,
Govemance Institute, 2007, p. 15). encontramos una forma expedita de enmarcar la
gestión del gobierno de TI para las pymes y a su
El motor detrás de Cobit Quickstart es la nece- vez alinear estos requerimientos con lo exigido
sidad de los administradores de la TI de las orga- por ITIL e ISO/IEC 27002. Ahora bien, la pregunta
nizaciones más pequeñas de una herramienta que sigue es: ¿se deben alinear las normas
sencilla de usar que acelerará la aplicación de técnicas, marco de gobierno y buenas prácticas
los principales objetivos de control de la TI. Del en la TI a la gestión de la calidad (ISO/IEC 9000)
mismo modo, los administradores de TI de las o se debe evaluar primero la calidad y luego
grandes organizaciones pueden aprovechar adentrarnos en el mundo de la TI —en este caso el
de Quickstart, como las fases iniciales de una término“mundo TI hará referencia al conjunto de
implementación más amplia del gobierno de TI. buenas prácticas, marcos de referencia y normas
técnicas utilizados para evaluar la función de la
Pero además de lo anterior, el ITGI también TI, en nuestro caso ITIL, COBIT e ISO/IEC 27002—?
provee herramientas que realizan funciones de
alineamiento entre diferentes normas técnicas y La pregunta debe ser resuelta de acuerdo con
estándares, así encontramos Aligning CObIT® 4.1, las circunstancias particulares de cada pyme,
ITIL® V3 and ISO/IEC 27002 for Business Benefit que: si lo que queremos es efectuar una auditoría
integral enfocada hacia la TI lo correcto es alinear
COBIT can be used at the highest level of IT gov- la norma técnica de calidad a los requerimientos
ernance, providing an overall control framework del mundo de la TI, pero si nuestra intención es
based on an IT process model that is intended by realizar una auditoría de calidad y adicionar un
ITGI to generically suit every enterprise. There is valor agregado evaluando algunos aspectos
also a need for detailed, standardised practitio- detallados de TI, lo más conveniente es arrancar
ner processes. Specific practices and standards, desde ISO/IEC 9000 y alinear los requisitos de la
such as ITIL and ISO/IEC 27002, cover specific ar- norma a los requerimientos del mundo de la TI.
eas and can be mapped to the COBIT framework, En nuestro caso de estudio partiremos desde la
thus providing a hierarchy of guidance materials primera óptica, ya que nuestro objetivo son las
(It Govemance Institute, 2008, p. 22). auditorías integrales de las TI para las pymes.
Cobit puede ser utilizado en el más alto nivel del
gobierno de TI, proporcionando un marco de control Universo de auditoría
general basado en un modelo de proceso de TI en las mipymes: marco referencial
provisto por la ITGI para adaptarse a cada empresa y metodología integrada
de forma genérica. También hay una necesidad de
procesos detallados, de procesos prácticos estan- En nuestro entorno se hace cada vez más común
darizados. Las prácticas y las normas específicas, que en las grandes empresas se haga mención
23
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
de las mejores prácticas mundiales en relación De este modo, en 1992, debido a los estudios
con las diferentes disciplinas que intervienen en del Committee Of Sponsoring Organizations
el quehacer empresarial: finanzas, calidad, admi- (adelantados desde 1985):
nistración y, en los últimos años, las tecnologías
Se trataba entonces de materializar un objetivo
de la información se encuentran a la orden del
fundamental: definir un nuevo marco concep-
día dentro de los diferentes proyectos de las
tual del control interno, capaz de integrar las
grandes corporaciones, invirtiendo cantidades
diversas definiciones y conceptos que venían
considerables de recursos en ello. El control
siendo utilizados sobre este tema, logrando así
interno se convierte cada vez más en parte inte-
que, al nivel de las organizaciones públicas o
gral del negocio y una forma de desarrollar los
privadas, de la auditoría interna o externa, o de
negocios y los controles son vistos como algo
los niveles académicos o legislativos, se cuente
natural a los procesos y no una necesaria carga
con un marco conceptual común, una visión
externa que ralentizaba la actividad empresarial.
integradora que satisfaga las demandas gene-
Ver en el control interno como el marco sobre el
ralizadas de todos los sectores involucrados.
cual descansa la estrategia empresarial ha traído
(Committee of Sponsoring Organizations, 1985).
múltiples beneficios a las organizaciones que
comprenden los beneficios que esto genera en Así, este comité definió los siguientes objetivos y
la administración en un mundo globalizado con componentes en su marco de control, mediante
mayor incertidumbre: con mayor nivel de riesgo. la siguiente interacción (figura 2):
an rm
ne
ro
ie
im
Fin Info
io
ac
pl
m
er
Cu
Op
Actividad 1
Supervisión
Actividad 2
Unidad A
Información y Comunicación
Unidad B
Actividades de Control
Entorno de Control
Fuente: “Los nuevos conceptos del control interno”. Informe COSO (Modelo de Control COSO.
Objetivos & Componentes de Control)
Por otra parte, dado que el éxito de las organi- tura de Tecnologías de la Información (ITIC). El
zaciones cada vez más se encuentra asociado a modelo de gestión del servicio ITIC se representa
los requisitos y expectativas del cliente, se hizo en la figura 3.
necesario desarrollar la Biblioteca de Infraestruc-
24
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
Governance Methods
s Stan
& Skill dar
ge sA
ed llig
wl nm
K no Continual Service en
t
Improvement
s
pic
Ca
To
Service
se
ty
Stu
i Design
cial
die
S pe
s
Service Strategies
e Introduction
Service ITIL
Tempplat
Operation
e
l S ent
Co
vic
Im inua
cutiv
es
inu em
nt
p
er
r
Service
ov l Ser
nt rov
Exe
em vi
a
Transition
Co Imp
en ce
t
Sc
ds
al
Ai
ab
dy ilit
y
Stu
s Quic
ation k Wins
Qualific
De igual manera, y como se dijo antes, últimamente los riesgos en seguridad para los datos transpor-
el desarrollo vertiginoso en la redes informáticas tados por estos medios. De ahí la necesidad de
ha traído consigo un aumento considerable en la implementar modelos de sistemas de gestión
velocidad de procesamiento y en la transmisión de de seguridad de la información (figura 4).
información del negocio. Este hecho ha aumentado
Plan
Establish the
ISMS
Do Development Act
Implement Maintain
maintainance and
and operate
the ISMS and Improve
improvement the ISMS
Chech
Monitor and review
the ISMS
Fuente: http://www.chullohack.com/wp-content/uploads/2010/02/iso27001.jpg
25
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
Como ya se ha dicho, debe existir un modelo de por las grandes organizaciones para adecuar sus
gestión y control de los sistemas de información y sistemas de información a las mejores prácticas
tecnología. En este contexto aparece COBIT, una en temas de control y gobierno de TI (veánse
herramienta de clase mundial implementada figuras 5 y 6).
Cobit
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
MONITOREAR Cumplimiento
Confiabilidad
Y EVALUAR
RECURSOS PLANEAR
Y ORGANIZAR
Aplicaciones
Información
Infraestructura
Personas
ENTREGAR Y
DAR SOPORTE ADQUIRIR E
IMPLEMENTAR
DS1 Definir y administrar niveles de servicio
DS2 Administar servicios de terceros
DS3 Administrar desempeño y capacidad
DS4 Garantizar la continuidad del servicio AJ1 Identificar soluciones automatizadas
DS5 Garantizar la seguridad de los sistemas AJ2 Adquirir y mantener el software aplicativo
DS6 Identificar y asignar costos AJ3 Adquirir y mantener la infraestructura económica
DS7 Educar y entrenar a los usuarios AJ4 Facilitar la operación y el uso
DS8 Administrar la mesa de servicios y los incidentes AJ5 Adquirir recursos de TL
DS9 Administrar la configuración AJ6 Administrar cambios
DS10 Administrar los problemas AJ7 Instalar y acreditar soluciones y cambios
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administar las operaciones
26
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
Control
Interno
Gestión de
Cumplimiento
riesgos Gobierno
Gobierno
de TI
Objetivos de gobierno de TI
cio Perfe
r vi ccio
l se n a
e o de servic
señ
m
Di io
d
ien
uo
tin
to c
amiento con
ia de ser
o
eg Adquirir e
ntinuo del serv
Monitoreo y
Estrat
vici
rvicio
ITIL 3 implementar
Operaci
evaluación
o
e se
on
ón
de
cci
nd
se i ó
icio
rfe
rv icio sic
Tran
Pe
s Pe
rfe
icio cc
ion
amie serv
nto continuo del
Entrega y
soporte
27
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Roberto Carlos Díaz Alonso
Como vemos, existe una perfecta sincronía entre control propuestos por Cobit; por ello se tomará
los elementos del control interno y los dominios como base Cobit Quickstart 2nd Edition. Nuestro
para el cumplimiento de los objetivos de la TI. enfoque de trabajo se fundamenta en la figura 7.
Ahora, ¿cómo pueden ser materializados los En esta se parte del objetivo detallado de control
objetivos de la TI en procedimientos y prácticas de COBIT hacia los requisitos de ISO 27002 e ITIL
concretas para el quehacer empresarial? La res- V3 respectivamente. Este enfoque está sustentado
puesta se encuentra en la alineación de Cobit con en el documento “Alineando COBIT 4.1, ITIL V3 e
ITIL, ISO 2700X e ISO 900X. En la figura 7 se verá el ISO 27002 en beneficio de la empresa”, así como
detalle de cada una de estas, teniendo en cuenta COBIT Quickstart, que posee los requerimientos
que para efectuar auditorías en mipymes no es mínimos de control para las empresas mipymes
necesario tener en cuenta todos los objetivos de según IT Governance Institute.
CObIT
ITIL V3
ISO 27002
28
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433
Marco de referencia para auditorías integrales de sistemas en las mipymes colombianas
pymes, que contribuirán al mejoramiento de los IT Governance Institute (2007). COBIT Quickstart (2d ed.).
procesos. Governace Institute.
29
Gest. Soc., 5(1); 15-29, enero-junio 2012, ISSN 2027-1433