Metodologías de Control Interno, Seguridad y Auditoría Informática.

Introducción y Definiciones.

De estas definiciones se aprende que cualquier proceso científico debe estar sujeto a una disciplina de proceso,
denominada ―metodología . La metodología es una palabra compuesta por los vocablos griegos metà, que
significa ―más allá , odòs, que significa ―camino , y por logos que significa ―estudio . Por lo que se refiere a los
métodos de investigación para lograr los objetivos de la ciencia.

Generalmente, las metodologías indican un conjunto de pasos exactos a seguir, así como las fases y los momentos
oportunos para ejecutarlos. También señalan las normas y los estándares que deben observarse en cada paso. Por
último, indican las personas indicadas para efectuar las actividades de la misma.

El propósito de las metodologías es llegar a un resultado a través de una secuencia de pasos lógicos y ordenados.
Aplicando esto a la auditoría de sistemas, se puede observar que existen diversas maneras de obtener los mismos
resultados. Por ello, el hecho que existan varias metodologías para realizar una misma auditoría.

La ingeniería de los sistemas de información siempre fue una disciplina compleja, por eso el uso de metodologías
en cada componente de la informática, desde la seguridad de la información hasta las redes de comunicación,
pasando por las bases de datos y las metodologías para el diseño del software (RUP, ágiles, modelos de cascada,
incremental, prototipos, etc.)

Considerando a la complejidad de los sistemas de información, es lógico y razonable ver la necesidad del uso de
metodologías para la auditoría y el control de estos sistemas. Una de las razones por la que los equipos de
auditoría utilizan metodologías es debido a la necesidad de obtener resultados homogéneos, trabajando con un
grupo heterogéneo de personas. Esto se logra con el establecimiento de fases, pasos, normas, políticas y roles
para sus integrantes.

Contramedidas.

La auditoría cumple un papel fundamental en la verificación de los riesgos existentes y potenciales de los sistemas
de información, la doctrina de la gestión de estos riesgos constituye la seguridad informática. Es por esto que el
grado de seguridad es un objetivo a evaluar en las auditorías informáticas, se deben verificar las medidas y
acciones existentes para proteger la integridad de la información de la organización. Estas actividades se
denominan ―contramedidas y están directamente relacionadas con la calidad y la eficacia del sistema de
información que la auditoría se encarga de evaluar.

Es decir, los sistemas de información poseen riesgos de seguridad inherentes a su naturaleza compleja, la
organización se encarga de definir y llevar a cabo contramedidas para mitigar el impacto y evitar la ocurrencia de
los mismos, y la auditoría informática verifica la calidad y eficacia de estas contramedidas, identificando sus puntos
débiles y dando sugerencias de cómo mejorarlas.

Las contramedidas están compuestas por un conjunto de factores que se pueden expresar en forma de pirámide,
tal como muestra la figura 1. Todos estos factores están estrechamente relacionados entre sí y son los
componentes del plan de seguridad de la organización. Este plan representa a la estrategia planificada de acciones
y procedimientos para proteger los activos de los sistemas de información.
Figura 1. Factores que componen una contramedida. Fuente: Piattini – Del Peso

Los factores componentes de la pirámide afectan a las contramedidas de la siguiente manera:

 Las Normas: incluyen también a los estándares y las políticas definidas por la dirección de la
organización, así como las mejores prácticas, las leyes gubernamentales y la experiencia profesional
acumulada. Deben ser claras y precisas, detallando todo lo que se debe cumplir especialmente desde el
punto de vista práctico. Se encuentra en la cima de la pirámide debido a que su alcance determina y
condiciona a los demás factores componentes de las contramedidas.

 La Organización: se refiere a las funciones, los procedimientos y los planes diseñados para las personas
que componen la organización. El personal constituye el aspecto más importante de las contramedidas,
debido a que son ellos los que ejecutan las actividades de los controles establecidos para la seguridad. Se
puede contar con los mejores diseños de seguridad, pero si los mismos no son acatados y cumplidos,
pierden totalmente su sentido de existencia.

 Las Metodologías: son los pasos necesarios para desarrollar los proyectos, tanto de auditoría como
cualquier otro, de manera ordenada y eficaz.

 Los Objetivos de Control: son los objetivos que deben cumplir los controles de seguridad. El hecho de
que los procedimientos sea eficaces y realistas dependen en gran medida de la correcta definición de
estos objetivos.

 Los Procedimientos de Control: se los diseñan en base a los objetivos de control planteados con
anterioridad y siguiendo una metodología apropiada. Constituyen a los procedimientos operativos de
toda la organización, establecidos y aprobados por la dirección.

 La Tecnología de Seguridad: la tecnología es el conjunto de instrumentos y procedimientos de software y

de hardware destinados a cumplir los objetivos de los controles de seguridad.

 Herramientas de Control: son los elementos utilizados en los procedimientos de control para cumplir con
las normas de seguridad.

Relación entra la Seguridad, la Auditoría Interna y el Control Interno.

Dentro del departamento de sistemas (también denominado TI por Tecnologías de la Información) existe la
función de seguridad TI. Dependiendo del tamaño de la organización esta función puede poseer su propio
departamento o estar dentro de las responsabilidades del gerente de sistemas. Una tendencia es a forma un
comité de seguridad formado por el directorio de la entidad, los responsables del control interno y los auditores
internos. Estos integrantes poseen puntos de vista y responsabilidades diferentes frente a la seguridad
informática, así como distintas funciones y métodos de trabajos.

El directorio es quien estable la estrategia y las políticas de seguridad. El control interno es el que ejecuta los
procedimientos de control diarios, mientras que los auditores internos verifican y evalúan el grado cumplimiento a
los objetivos.
La figura 2 muestra la relación entre estas áreas:

Metodologías en la Evaluación de Sistemas.

Podemos clasificar a las metodologías para la evaluación de los sistemas de información en dos grandes
categorías:

 Análisis de Riesgo: facilita la evaluación de los riesgos.

 Auditoría Informática: identifica en nivel de exposición por falta de controles.

Algunos conceptos básicos que se deben conocer en este punto son:

Amenaza: es un objeto que posee probabilidad ser fuente de peligro para los sistemas y que puede explotar las
vulnerabilidades del mismo. Por ejemplo: robos, inundaciones, sabotaje, falta de procedimientos, errores de
diseño entre otros. Lamentablemente las amenazas reales son difíciles de predecir y de calcular, especialmente
debido a la complejidad de algunas de ellas.

Vulnerabilidad: es un lugar en el sistema que se ve amenazado principalmente por la falta de uno o varios
controles. Por ejemplo, falta de controles lógicos, físico o de versionado.

Riesgo: el estándar COBITi lo define como: ―El potencial de que una amenaza específica explote las debilidades de
un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se mide por medio de
una combinación del impacto y la probabilidad de ocurrencia. Es otras palabras, es la probabilidad de que una
amenaza se haga efectiva debido a una vulnerabilidad del sistema.

Impacto: es el grado o alcance del efecto de un riesgo, puede calculárselo en términos económicos, imagen de la
empresa o hasta en vidas humanas.

El uso de metodologías para el análisis de riesgo ha sido usado desde la década de los setenta, especialmente en la
industria de los seguros. En la informática se lo ha empleado a partir de los años ochenta, sin embargo los registros
de los riesgos todavía son insuficientes para realizar cálculos probabilísticos con rigor científico.

Las metodologías existentes para el control de riesgos ayudan a establecer un conjunto de contramedidas que
garanticen la baja probabilidad de ocurrencia de las amenazas. Se debe llegar a un nivel de costo beneficio
aceptable para el negocio. Es decir, el costo de las contramedidas no debe ser excesivo en relación con los
beneficios que otorga para la empresa el ente que se desea proteger.

Las acciones que se pueden realizar contra los riesgos incluyen a:

 Evitarlos.

 Transferirlos.

 Reducirlos.

 Asumirlos.

Tipos de Metodologías.

Otra clasificación para las metodologías es de acuerdo a la forma de medirlas, que pueden ser metodologías
cuantitativas y cualitativas.

1.5.1. Metodologías Cuantitativas.

Son las metodologías que están basadas en un modelo matemático numérico para la ejecución del trabajo. En
primer lugar se identifican los riesgos potenciales de ocurrencia, luego se los comparan entre sí para asignarles
valores numéricos. Estos valores representan la probabilidad estadística de ocurrencia del riesgo y son la base para
los planes de contingencia, los análisis de riesgo y los presupuestos de los proyectos informáticos.

Además, al conocer en valor asignado a los riesgos potenciales para los sistemas, es posible emplear juegos de
simulación para determinar cuáles son las contramedidas más apropiadas a implementar.
 La deficiencia que poseen las metodologías cuantitativas es la poca cantidad de datos históricos en la industria que
puedan utilizarse para calcular, con una precisión aceptable, las probabilidades de ocurrencia de los riesgos
potenciales. Por lo tanto, resulta difícil predecir y computar económicamente el impacto de los riesgos con la
información existente.

1.5.2. Metodologías Cualitativas.

Estás metodologías están fundadas en el criterio y el raciocinio humano para seleccionar la forma de trabajo en
base a la experiencia profesional acumulada. Se basan en métodos estadísticos y en lógica difusa, es decir en lo
relativo a la observación de las personas y en el juicio de experto. Estás metodologías requieren menos recursos
que las metodologías cuantitativas pero necesitan de un profesional experimentado para llevarlas a cabo.

En la práctica se utilizan combinaciones de ambas metodologías, cada una de ellas posee ventajas y desventajas.
Entre las ventajas de las metodologías cuantitativas podemos destacar el enfoque basado números, que facilita la
comparación de vulnerabilidades muy distintas y proporciona justificaciones ponderadas para cada contramedida.
Entre sus desventajas se encuentran que la exactitud de las estimaciones depende de datos históricos fiables y que
no siempre se pueden asignar valores cuantificables a las pérdidas potenciales.

Las ventajas de las metodologías cualitativas comprenden el tener un plan de trabajo flexible y reactivo, así como
poseer un enfoque amplio e incluir a los factores intangibles. Por otro lado, sus desventajas incluyen el depender
fuertemente de la habilidad y calidad del profesional involucrado, como también la probabilidad de excluir riesgos
significativos pero desconocidos por el personal.

1.2. Metodologías de Auditoría Informática.

Las metodologías de auditoría están divididas en auditoría externa e interna. Los objetivos de las metodologías
para auditorías externas es dar una opinión sobre la fiabilidad de los datos del sistema de información. Están
basadas en cuestionarios o listas de comprobación, en muchos casos estándares, y su resultado es un informe
donde se describen las vulnerabilidades encontradas.

En el caso de las metodologías para las auditorías internas, es el mismo auditor interno quien debe diseñar y
desarrollar la metodología a ser utilizada. Esto es así debido a que esta persona es parte de la organización a ser
auditada y es necesaria su experiencia y conocimiento de la misma.

Como ya se ha visto, la metodología es una secuencia de pasos lógicos y ordenados a seguirse para obtener un
resultado. Dado que existe más de una manera de llegar al mismo resultado, contamos con diversas metodologías
para realizar una auditoría en los sistemas de información. A continuación se brinda un ejemplo de pasos que toda
metodología TI (Tecnología de la Información) debe poseer.

1.6.1. Ejemplo de Pasos Generales de una Auditoría Informática.

1.6.1.1. Paso 1: Definir el Alcance y los Objetivos.

En primer punto a considerar en cualquier auditoría es el definir hasta donde se llegará con la misma y cuáles
serán sus límites. Esto se logra mediante acuerdos entre los auditores y los clientes, ya sean clientes internos o
externos de la organización. Se definen cuáles serán las funciones, materias y departamentos a auditar, así como
cuales serán las excepciones del alcance, es decir los lugares que no serán auditados.

Los objetivos generales de cualquier auditoría incluyen el mantener la operatividad de los sistemas y de los
controles generales de la gestión informática. Por lo tanto, en este punto se definen los objetivos específicos de la
auditoría a ser realizada, y se los añaden a los objetivos generales. Todo el personal involucrado con la auditoría
tiene que conocer los objetivos específicos con el fin de poder cumplirlos al llevar a cabo sus tareas, y que estas
estén en conformidad con las necesidades del cliente.

1.6.1.2. Paso 2: Estudio Preliminar.

En este paso es donde se estudia a la organización a ser auditada para conocer las funciones y actividades TI que
realiza. Los puntos más importantes a estudiar abarcan lo siguiente:
  El Organigrama: la estructura organizacional oficial y, en especial, la estructura real.

 Los Departamentos: estudiar cada departamento dentro del alcance definido, cuáles son las tareas y
actividades que realizan, qué responsabilidades poseen y cuáles son sus funciones específicas.
 Las Relaciones entre los Departamentos: se deben conocer las relaciones jerárquicas y funcionales que
puedan existir entre los organismos de la organización, a fin de verificar el cumplimiento y las falencias
de tales relaciones.

 Canales de Información: estos canales incluyen no solo a las comunicaciones verticales, sino también las
horizontales y las oblicuas entre departamentos. El auditor debe investigar los canales alternativos de
comunicación debido a que estos se crean para poder cumplir las funciones con más eficiencia. La razón
de existencia de estos canales alternativos generalmente son fallas en el organigrama de la empresa,
aunque también se deben a afinidad entre empleados o simple comodidad.

 Puestos de Trabajos: se debe verificar que las funciones reales de los empleados sea la correcta para las
descripciones provistas para los puestos de trabajos correspondientes. Pueden encontrarse operaciones
redundantes o falta de alguna de ellas, esto es el resultado de fallas estructurales en la organización que
el auditor deben encontrar y dar a conocer.

 Empleados por Puesto de Trabajo: en muchas empresas el número de personas real que efectúan las
mismas funciones no concuerda con la estructura oficial para esos puestos.

1.6.1.3. Paso 3: Entorno Operacional.

El auditor, o equipo de auditores, debe llegar a conocer en profundidad el entorno o contexto de la organización.
Los puntos principales a considerar son:

Ubicación de los Sistemas de Información: conocer la ubicación de los centros de procesamiento de datos, las
responsabilidades de ellos y el ajuste de sus funciones a las normas y estándares definidos.

Arquitectura y Configuración del Sistema: el auditor se informa de la configuración existente en el hardware y el

software del sistema, así como la distribución e interconexión de los equipos, a fin de validar el cumplimiento a las
políticas de seguridad.

Equipamiento TI: el auditor debe prepara un inventario de todo el equipamiento de hardware y de todos los
productos de software del sistema.

Redes de Comunicación: datos y características de las redes de comunicación, así como los puntos de acceso a las
redes públicas.

Bases de Datos: la información que el auditor tiene que conocer incluye al volumen, la antigüedad y la complejidad
de las aplicaciones, conjuntamente con la metodología de diseño de las aplicaciones, la documentación del
sistema y la complejidad de las bases de datos. Los datos útiles de las bases de datos comprenden al tamaño, las
características, el tipo de relación, como también la cantidad de accesos y frecuencia de actualización. Con estos
datos el auditor puede obtener una mejor comprensión de la carga informática del sistema.

1.6.1.4. Paso 4: Recursos de la Auditoría Informática.

Una vez conocido y entendido el entorno de la organización a auditar, es momento para determinar los recursos
necesarios para ejecutar el proceso de auditoría. Estos recursos pueden ser del tipo humano o material.

 Recursos Materiales: generalmente son las herramientas a ser utilizadas por el auditor. Las herramientas
son de dos tipos:

o Herramientas de Software: son los programas y aplicativos propios de la auditoría para

verificar los procesos del cliente. También existen programas monitores que se utilizan de
acuerdo al nivel de desarrollo observado en la actividad técnica del sistema auditado y sus
datos.

o Herramientas de Hardware: habitualmente las herramientas de hardware son proporcionadas

por el cliente, debido a que el control se efectúa en los procesos que corren en los equipos del
auditado.
  Recursos Humanos: para poder determinar la cantidad de personal que ejecutará la auditoría se tienen
que considerar el tamaño del volumen auditable. Para saber los perfiles necesarios hay que tener en
cuenta el área de conocimiento de la organización a ser auditada. Los siguientes son algunos perfiles de
los auditores informáticos: experto en desarrollo de software, técnico en sistemas, experto en bases de
datos, experto en redes de comunicación, experto en seguridad e informático en general entre otros.

Luego de determinar los recursos necesarios, el responsable de la auditoría diseña un plan de trabajo teniendo en
cuenta varios criterios, como por ejemplo, si la revisión se realizará en áreas generales o específicas, o si la
auditoría es de todo el sistema o de una parte del mismo. De estos criterios dependerán la complejidad de la
auditoría y la cantidad y tipo de perfiles de los auditores.

Con el plan desarrollado se pasa a la elaboración del programa de actividades que compondrán la auditoría. Esta
programación debe abarcar a todas las actividades a ejecutarse en los procedimientos previamente definidos, y
brindar el orden y las prioridades de su realización.

1.6.1.5. Paso 5: Actividades de la Auditoría Informática.

Cuando el proceso de la auditoría informática se efectúa por sectores generales de la organización, se examinan
los temas en un nivel global, con mayor calidad y empleando más tiempo y recursos.

Si por el contrario, la auditoría se enfoca en áreas específicas, sólo se examinan los datos correspondientes a ese
sector, dejando de lado sus relaciones con otras áreas. En este caso los resultados de la auditoría se obtienen más
rápidamente pero con menor calidad en la información.

Algunos ejemplos de técnicas para realizar este paso son: análisis de la información recabada del auditado, análisis
de la información propia, cruzamiento de las informaciones anteriores, entrevistas, simulación y muestreos.

Las herramientas para llevar a la práctica las técnicas incluyen: un cuestionario general inicial, lista de
comprobación, estándares, monitores, simuladores, (generadores de datos), paquetes de auditoría (generadores
de programas) y matrices de riesgo.

1.6.1.6. Paso 6: Informe Final.

Los resultados obtenidos por los procedimientos de auditoría se presentan a la dirección de cliente en forma de
informe escrito. Es necesario que se vayan redactando informespreliminares a lo largo de todo el proceso para ir
informando sobre desviación o fallos en la organización auditada que requieran acciones inmediatas.

La estructura de informe generalmente está compuesta por lo siguiente:

 Fecha de la auditoría.

 Nombre de los auditores.

 Objetivos y alcance de la auditoría.

 Temas abarcados: situación actual, tendencia, debilidades y amenazas, recomendaciones y plan de

acciones correctivas.

1.6.1.7. Paso 7: Carta de Presentación.

Es una carta donde se resume en rangos generales la auditoría efectuada. Está destinada a la gerencia de empresa
que solicitó la auditoría. Los puntos principales a exponen en esta carta comprenden al alcance, los objetivos, las
áreas analizadas, conclusiones generales y debilidades principales encontradas. En esta carta no se escriben las
recomendaciones correctivas, ellas van en el informe final.

1.3. El Plan Auditor Informático.

Este plan es un esquema metodológico de gran importancia debido a que describe los procedimientos, las técnicas
y las herramientas a ser utilizadas en la metodología de auditoría definida para la organización.
Las partes de este plan son las siguientes:

 Funciones: se describe el organigrama de la organización y se indica el alcance de la auditoría en el

mismo, es decir todas las áreas con sus funciones y sus recursos de forma precisa. También se describe
las funciones de la auditoría de sistemas y el control interno informático a ser incluidos.

 Procedimientos: en este punto se describen cuáles son los procedimientos a ser implementados en la
auditoría, así como las técnicas y las herramientas requeridas.

 Tipo de Auditoría: se refiere principalmente al alcance de la misma, si se van a auditar todas las áreas o
solo lugares particulares de la organización.

 Nivel de Exposición: es la suma de los factores que indican el estado de gravedad de un área. Por
ejemplo, el impacto de riesgos materializados, el peso del área y la situación de control del área.

 Sistema de Evaluación: es el sistema por el cual se determinará el nivel de exposición del área auditada.
Dependiendo del nivel de exposición encontrado de define la fecha de la próxima auditoría.

 Seguimiento de Acciones Correctivas: punto fundamental para que se lleven a la práctica las sugerencias
de corrección del auditor.

 Plan de trabajo: es el plan donde se encuentran el detalle de las tareas de la auditoría. Contiene el
calendario de las actividades y los recursos asignados para cada una. Este plan debe ser monitoreado,
con cualquier herramienta de gestión de proyectos, para ayudar evitar desviaciones y mantener el curso
de la auditoría.

1.4. Control Interno informático: Métodos y procedimientos.

De acuerdo con el Committee of SponsoringOrganizations of theTreadwayCommission de los Estados Unidos de

Norteamérica (COSO por sus siglas en inglés), a través del documento denominado ―Control Interno - Marco
Integrado ii, mejor conocido como el Modelo de Control COSO, se define al control interno de como:

―...un proceso... efectuado por la Junta Directiva de la entidad, por la Administración y por otro personal...
diseñado para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos
en efectividad y eficiencia de las operaciones, confiabilidad de los reportes financieros y cumplimiento de las leyes
y reglamentos aplicables.

Es un medio por el cual los recursos de una organización son dirigidos, supervisados y medidos. Desempeña un
papel de notoriedad importante en la prevención y detección de fraude y en la protección de los recursos de la
organización, tanto física (por ejemplo, el equipamiento TI y los bienes) como intangible (por ejemplo, la
reputación o la propiedad intelectual).

Entre algunas consideraciones a tener en cuenta con respecto al control, se puede indicar que el control interno es
solo un proceso, no un fin en sí mismo. El control interno no es meramente documentación en los manuales de
políticas, sino que existe para el uso del personal en todos los niveles de la organización. El control interno puede
proveer sólo un aseguramiento razonable, no un aseguramiento absoluto sobre una entidad. En fin, el control
interno se enfoca en el cumplimiento de objetivos en una o más categoría separadas pero superpuestas.

Qué puede hacer el Control Interno:

El control interno puede ayudar a una entidad a alcanzar sus metas de rendimiento y de rentabilidad, y prevenir la
pérdida de sus recursos. Puede ayudar a garantizar una información financiera fiable, y puede ayudar a asegurar
que la empresa cumple con las leyes y regulaciones, evitando daños a su reputación y otras consecuencias. Por
último, puede ayudar a una organización a llegar a donde quiere ir, y evitar problemas e inconvenientes en el
camino.

Qué no puede hacer el Control Interno:

Lamentablemente, algunas personas tienen expectativas poco realistas. Buscan absolutos, creyendo que el control
interno puede, por sí solo, asegurar el éxito de una organización, es decir, garantizar el logro de los objetivos de
 negocio básicos o, al menos, asegurar su supervivencia.

Si bien un control interno efectivo, por su propia cuenta, puede ayudar a una organización a alcanzar estos
objetivos y puede proporcionar información de gestión sobre el progreso de la organización, o falta de ella. No
puede, sin embargo, modificar un gerenciamiento inherentemente pobre en uno bueno de un momento para
otro. Asimismo, los cambios en la política o programas del gobierno, las acciones de los competidores o de las
condiciones económicas se encuentran fuera del control gerencial. Por lo tanto, el control interno no puede
garantizar el éxito, o incluso la supervivencia.

También, la declaración que ―el control interno puede garantizar la fiabilidad de la información financiera y el
cumplimiento de las leyes y regulaciones no es totalmente garantida. No importa qué tan bien esté concebido y
operado un sistema de control interno, puedeproporcionar garantía sólo razonable, no absoluta, a la gerencia y
dirección relativa a la consecución de los objetivos de la organización. La probabilidad de la información del
desempeño se vea afectada por las limitaciones inherentes en todos los sistemas de control interno. Estas incluyen
la realidad de que los juicios en la toma de decisiones pueden ser defectuosos, y que los desperfectos pueden
ocurrir debido a simple error o equivocación. Además, los controles pueden ser evitados con un arreglo entre dos
o más personas deshonestas, y los gerentes pueden poseer la capacidad de anular el sistema. Otro factor limitante
es que el diseño de un sistema de control interno debe reflejar el hecho de que hay limitaciones de recursos, y los
beneficios de los controles deben ser considerados en relación con sus costos.

Así, mientras que el control interno puede ayudar a una organización a alcanzar sus objetivos, el control interno es
una panacea.

1.8.1. Roles y Responsabilidades.

Todo el personal de una organización tiene la responsabilidad de control interno.

1.8.1.1. Director Ejecutivo.

El director ejecutivo, o presidente de la organización, es el responsable más alto y debe asumir el papel de
"propietario" del sistema. Más que cualquier otra persona, el director ejecutivo establece las decisiones
principales que afecta a la integridad y la ética y otros factores de un entorno de control positivo. En una gran
empresa, el director ejecutivo cumple con esta función al proporcionar liderazgo y orientación a los directivos y
revisar la forma en que están controlando el negocio. Estos directivos superiores, a su vez, asignan
responsabilidades para el establecimiento de políticas de control interno más específicas y procedimientos para el
personal responsable de las funciones de sus unidades.

En una organización más pequeña, la influencia del director ejecutivo, a menudo un socio propietario, suele ser
más directa. En cualquier caso, en una estructura de responsabilidad en cascada, un gerente es efectivamente un
director ejecutivo de su esfera de responsabilidad. De particular importancia son los responsables financieros y su
personal, cuyas actividades de control van a través, así como arriba y abajo, de las operaciones y otras unidades de
la empresa.

¿Qué puede hacer un director ejecutivo para mejorar el sistema de control interno de su organización? Algunas
sugerencias indican que el director ejecutivo debe realizar una evaluación de su sistema de control, identificando
los lugares donde el mismo sea inadecuado o necesite mejoras, para que junto con sus ejecutivos de operaciones y
finanzas, pueda concentrar su atención en estas áreas.

Siguiendo con este enfoque, el director ejecutivo puede reunir a las cabezas de las unidades de negocio de la
organización y discutir la evaluación inicial del sistema de control. Ellos deben continuar evaluando sus respectivas
divisiones para conocer, de manera más particular, los lugares que necesitan corrección. De esta forma, pueden
definir acciones de mejora para las áreas particulares con problemas.

Otro enfoque puede incluir una revisión inicial de las políticas corporativas y de negocios, así como los programas
de auditoría interna. Cualquiera sea su forma, esta evaluación inicial debe determinar dónde se necesite, y cómo
se debe proceder, con evaluaciones más profundas. También debe asegurar que los procesos de monitoreo
continuo están establecidos. El tiempo que se dedique a evaluar el control interno representa una inversión con
un alto grado de retorno.

1.8.1.2. Consejo Directivo.

 Los directores, o consejo directivo, son quienes proveen el gobierno, la orientación y supervisión a la organización
completa. Los miembros efectivos del consejo deben ser objetivos, capaces e inquisitivos. Ellos también deben
tener un conocimiento de las actividades de la organización y su entorno, y dedicar el tiempo necesario para
cumplir con sus responsabilidades. Si bien la gerencia (que se encuentra debajo del consejo directivo en jerarquía)
puede estar en condiciones de reemplazar los controles y de ignorar o reprimir las comunicaciones de los
subordinados, lo que permite una gestión deshonesta que tergiversa deliberadamente los resultados para cubrir
sus hechos. Un consejo directivo fuerte y activo se encuentra generalmente mejor capacitado para de identificar y
corregir estos problemas cuando se combinan efectivos canales de comunicación vertical con funciones de
auditoría interna, financiera y legal.

¿Cómo pueden ayudar a mejorar el sistema de control? Los miembros del consejo directivo deben discutir con los
gerentes el estado del sistema de control interno, y proveer orientación según se requiera. Ellos deben recurrir y
utilizar a la información de las auditorías internas y externas que sean efectuadas.

1.8.1.3. Auditores Internos.

Los auditores internos juegan un papel importante en la evaluación de la efectividad de los sistemas de control.
Debido a su posición y autoridad dentro de la organización, una función de auditoría interna a menudo
desempeña un papel de control realmente significativo.

1.8.1.4. Personal de la Organización.

El control interno es, en alguna medida, responsabilidad de todos dentro de una organización, y por lo tanto,
debería ser una parte explícita o implícita en las descripciones de responsabilidades de todo el personal.
Virtualmente todos los empleados producen información que es usada por el sistema de control interno, o
realizan otras acciones necesarias para efectuar un control. Además, todo el personal debe ser responsable de
comunicar verticalmente problemas en las operaciones, falta de cumplimiento con el código de conducta o
cualquier otra violación a las políticas o acciones ilegales.

Algunas partes externas a la organización a menudo contribuyen a que esta alcance sus objetivos. Los auditores
externos, con su punto de vista independiente y objetivo, asisten directamente con sus auditorías e
indirectamente al proveer información útil a la gerencia y a los directores, para que estos puedan llevar a cabo sus
responsabilidades. Otros que proveen información útil a la organización, para efectuar controles internos, son los
legisladores y reguladores, clientes y otros negocios que realizan transacciones con la organización, analistas
financieros, mediciones públicas y de la prensa. Sin embargo, estos componentes externos no son responsables
por el sistema de control interno de la organización, y tampoco son parte del mismo.

¿Cómo pueden ayudar a mejorar el sistema de control? Los gerentes y el personal deben considerar cómo están
siendo efectuadas sus responsabilidades de control con respecto a las políticas o frameworks de control existente
en la organización, y conversar con sus líderes directos maneras de fortalecer el sistema.

1.8.2. Framework de Control.

Qué es un framework? Se puede definir al framework como una plataforma, un entorno o un marco de trabajo. Es
una estructura de soporte definida en la cual los proyectos y actividades son organizados y desarrollados. Los
frameworks permiten facilitar las tareas de control interno al brindar un modelo de referencia para el trabajo.

Los frameworks de control cuentan con cinco características:

 Sus recomendaciones y mejores prácticas se orientan hacia el negocio.

 Ofrecen un mejor foco del control interno en el negocio.

 Permiten definir un lenguaje común para comunicarse.

 Cumplen con las regulaciones y normativas vigentes.

 Poseen una aceptación general entre distintas organizaciones.

1.8.3. Componentes de un Framework de Control.

 Los controles internos se establecen para mantener a la empresa en camino hacia los objetivos de rentabilidad y
del logro de su misión, así como minimizar los problemas que puedan presentarse. Además, permiten a la
dirección abordar rápidamente los cambios del entorno económico y competitivo, las demandas y las prioridades
cambiantes de los clientes, y la reestructuración para el crecimiento futuro. El control interno busca promover la
eficiencia, reducir el riesgo de pérdida de activos, garantizar la fiabilidad de los estados financieros y el
cumplimiento de las leyes y reglamentaciones.

El control interno tiene diferentes significados para diferentes personas. Esto causa confusión entre la comunidad
comercial, legisladores, reguladores y otros. Estas dificultades en la comunicación y expectativas distintas generan
problemas en las organizaciones. Los problemas se complican cuando los términos están escritos en leyes,
reglamentos o normas, sin ser correctamente clarificados.

Los frameworks de control ayudan a solucionar estos inconvenientes de dos formas:

 Al establecer definiciones comunes que sean de utilidad a las necesidades de las distintas partes.

 Al proporcionar un estándar contra el cual las empresas y otras entidades - grandes o pequeñas, en el
sector público o privado, con o sin fines de lucro - pueden evaluar sus sistemas de control y determinar
la forma de mejorarlos.

El control interno se define generalmente como un proceso, efectuado por la junta directiva de una organización,
las gerencias y otro personal, diseñado para proporcionar una seguridad razonable sobre la consecución de los
objetivos en las siguientes categorías:

1. Efectividad y eficiencia de las operaciones.

2. Confiabilidad de la información financiera.

3. Cumplimiento de las leyes y reglamentos aplicables.

La primera categoría se refiere a los objetivos básicos de negocio de la organización, incluyendo los objetivos de
rendimiento, rentabilidad y protección de los recursos. La segunda se refiere a la preparación y publicación de
estados financieros confiables, incluyendo los estados financieros intermedios y consolidados, y los datos
financieros seleccionados derivados de tales declaraciones. La tercera trata del cumplimiento con las leyes y
reglamentos a los que la organización está sujeta. Estas categorías distintas pero superpuestas, permiten tener un
enfoque dirigido a satisfacer necesidades diferentes.

Los sistemas de control interno operan en niveles diferentes de efectividad. El control interno puede ser juzgado
como efectivo en cada una de las tres categorías respectivamente, si los directores y gerentes cuentan con
garantías razonables de que los objetivos son alcanzados de la siguiente manera:

 Los estados financieros publicados son preparados de forma fiable.

 Las leyes y reglamentaciones aplicables son cumplidas.

 Si bien el control interno es un proceso, su efectividad es un estado o condición del proceso en uno o
más puntos en el tiempo.

Existen varias organizaciones que establecen frameworks de control interno (ISACA, COSO, ITIL, ISO entre otras).
Cada uno de estos frameworks consta de componentes relacionados entre sí. Estos se derivan de la forma en que
la dirección de la corporación maneja el negocio, y están integrados con el proceso de gestión organizacional.
Aunque estos componentes se aplican a todas las organizaciones, en las empresas de tamaño pequeño y mediano
pueden implementarlos de manera diferente que las grandes. A pesar de que sus controles pueden ser menos
formales y menos estructurados, una pequeña empresa todavía puede tener un control interno eficaz. Más
adelante se verán las partes de algunos de los frameworks internacionales aceptados por la comunidad TI.

1.8.4. Fuentes de Framework de Control.

Existen organismos internacionales que se dedican a la creación de frameworks, estándares y metodologías para la
auditoría y el control interno informático. A continuación de describirán las más importantes:

1.8.4.1. ISACA.
 ISACAiii es una asociación de profesionales dedicada principalmente al IT Governance (Gobernabilidad TI en
español). Antes conocida como InformationSystemsAudit and Control Association, ahora solo de llama por su
acrónimo ISACA para reflejar el rango amplio de profesionales a los que presta servicio.

Fue fundada en los Estados Unidos en 1967 por un grupo de profesionales que trabajaban en controles de
auditoría para sistemas de computación. Ellos se dieron cuenta de la importancia de su función para sus
organizaciones y de la necesidad de contar con información y guía centralizada en la materia. El grupo se formalizó
primeramente con el nombre de EDP Auditor

Association (Asociación de Auditores de Procesamiento Electrónico de Datos) con Stuart Tyrnauer como su
director.

En 1976 la asociación formó una fundación educativa para enfocar sus esfuerzos en investigaciones de gran escala
y así expandir el conocimiento y el valor del campo del IT Governance y del control interno.

En la actualidad, ISACA cuenta con más de 86.000 miembros con certificaciones ISACA en más de 160 países. Sus
miembros son auditores de sistemas, consultores, educadores, profesionales de seguridad de sistemas entre otros
similares en distintos niveles gerenciales de las organizaciones. Existen 170 capítulos de ISACA establecidos en 60
países que proveen educación, recursos, red de contactos y otros beneficios. Además, ISACA Realiza eventos,
conferencias y desarrolla estándares en IT Governance, aseguramiento y seguridad para que sus miembros puedan
aprender de las experiencias de los demás e intercambiar puntos de vistas en diversos temas e industrias. ISACA
también publica la revista técnica ISACA Journal dedicada al campo del control informático.

ISACA brinda certificaciones reconocidas internacionalmente, algunas de ellas son:

 CISA: CertifiedInformationSystems Auditor, orientada a auditores de sistemas de información para

mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento. Esta
certificación ha sido formalmente aprobada por el Departamento de Defensa de los Estados Unidos en la
categoría de Aseguramiento de Información Técnica. La poseen más de 70.000 profesionales.

 CISM: TheCertifiedInformation Security Manager, orientada a administradores de seguridad de la

información. Esta certificación está enfocada a la gerencia y define los principales estándares de
competencias y desarrollo profesionales que un director de seguridad de la información debe poseer,
competencias necesarias para dirigir, diseñar, revisar y asesorar un programa de seguridad de la
información. La poseen más de 12.500 profesionales.

 CGEIT: TheCertified in theGovernance of Enterprise, diseñada para promover el progreso de

profesionales que deseen ser reconocidos por su experiencia y conocimiento en el área de IT
Governance. La poseen más de 4.000 profesionales.

 CRISC: Certified in Risk and InformationSystems Control, es para profesionales que identifican y
gestionan riesgos mediante la elaboración, implementación y mantenimiento de los controles de los
sistemas de información.

En 1996 ISACA organizó ISACF (InformationSystemAudit and Control Foundation), una organización internacional
sin ánimo de lucro para llevar a cabo investigaciones y dar a conocer los nuevos avances en la materia de control y
gestión de las tecnologías de los sistemas de información, e informar a los usuarios tecnológicos sobre la
importancia del control interno en todas las organizaciones. ISACF publicó la primera versión del estándar COBIT
en 1996, hoy mantenido por ITGI, han diseñado este producto principalmente como una fuente de instrucción
para los profesionales dedicados a las actividades de control.

En 1998 ISACA funda ITGIiv (IT GovernanceInstitute) como una entidad de investigación independiente y sin fines
de lucro, cuyo objetivo es proveer guía a los ejecutivos y a los profesionales de sistemas de información en temas
relacionados con el IT Governance. Además intenta ayudar a estos profesionales a alinear sus actividades con los
objetivos de la organización y mitigar los riesgos existentes. ITGI mantiene y actualiza los estándares COBIT y Val
IT, y ofrece casos de estudio e investigación a las empresas interesadas en mejorar sus responsabilidades en el
gobierno y administración de la tecnología.

1.8.4.2. COSO.

El Committee of SponsoringOrganizations of theTreadwayCommission (COSO) es una organización creada en 1985

 por empresas privadas en los Estados Unidos, dedicada a brindar asesoramiento a los gerentes en aspectos críticos
del gobierno organizacional, éticas de negocio, control interno, gestión de riesgos, fraude y reporte financiero.
COSO diseñó un modelo de control interno para que las empresas y organizaciones basen sus sistemas de control.

COSO publicó en 1992 el reporte ―Internal Control— Integrated Framework , re-publicado en 1994. Este reporte
presenta una definición común del control interno y provee un framework en el cual los sistemas de control
interno pueden ser evaluados y mejorados. Este reporte se utiliza como un estándar para las auditorías
anticorrupción de la FCPA (ForeignCorruptPracticesAct) en las empresas de los Estados Unidos.
1.8.4.3. ISO.

La Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC) publicaron
en el año 2000 el ISO/IEC 17799:2000 como un estándar para la seguridad de la información, que luego fue
actualizado en 2005 como ISO/IEC 17799:2005. El título del estándar es ―Informationtechnology - Security
techniques - Code of practiceforinformationsecuritymanagement .

El ISO/IEC 17799 provee mejores prácticas para la administración de la seguridad de la información. Está orientado
a los responsables de iniciar, implantar y mantener los sistemas de gestión de la seguridad de la información. Los
puntos principales de este estándar son el mantener la confidencialidad, la integridad y la disponibilidad de la
información de la organización. La norma no especifica requisitos necesarios, sino que es una guía de mejores
prácticas para establecer un sistema certificable.

1.8.4.4. ITIL.

InformationTechnologyInfrastructure Library (ITIL) es un framework compuesto por mejores prácticas en el campo

de los servicios de tecnología de la información. Contiene un conjunto de procedimientos orientados a brindar
soporte a las organizaciones a lograr calidad y eficiencia en las operaciones tecnológicas.

ITIL fue desarrollada en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del
gobierno británico y adoptada ampliamente en los mediados de los 1990. Fue la base para normas y estándares
internacionales, como la ISO/IEC 20000 de la gestión de servicios TI. ITIL proporciona un lenguaje común
ampliamente aceptado por la comunicad informática.

ITIL posee una certificación para profesionales dividida en tres niveles: Foundation, Practitioner y Manager.

 FoundationCertificate en Gestión de Servicios TI: está destinado a quienes desean tener un conocimiento
básico de las prácticas ITIL en la gestión de los servicios TI y de la terminología propia de ITIL.

 PractitionerCertificate en Gestión de Servicios TI: destinado a quienes tiene responsabilidad en diseñar

procesos de gestión de la información y en las actividades de los mismos.

 Manager Certificate en Gestión de Servicios TI: orientado a profesionales con profundos conocimientos
en todas las áreas de la gestión de la información, así como directores de implementaciones ITIL.

Si bien las organizaciones no pueden recibir certificaciones ITIL, si pueden certificar ISO/IEC 20000 para demostrar
su implementación de las prácticas ITIL sobre gestión de servicio TI.

1.8.5. IT Governance.

La palabra en inglés ―Governance se traduce como ―Forma de Gobierno , ―Gobernabilidad o simplemente

―Gobierno , en esta lectura se utilizará el término en inglés (así como ―Framework ) por ser este el más usado en
la industria de los sistemas de información. El Gobierno de la IT (IT Governance) es un framework cuyo fin es
garantizar que las decisiones tecnológicas se realizan apoyando los objetivos y las metas de negocio de la
organización. La responsabilidad del IT Governance es del directorio y de los gerentes ejecutivos de las empresas,
no se delega esta responsabilidad a los responsables de las áreas de sistemas. El IT Governance se deriva de
Gobierno Corporativo (CorporateGovernance) y se ocupa principalmente de la conexión entre el enfoque de
negocios y la gestión TI. Los principales objetivos del IT Governance son el aseguramiento que las inversiones en TI
generen valor de negocio y la mitigación de los riesgos asociados con la TI.

El ITGI define a la IT Governance como ―una estructura de relaciones y procesos para dirigir y controlar la
compañía, a fin de alcanzar las metas de la organización al añadir valor, mientras se balancean los riesgos vs el
retorno en la TI y sus procesos.
 En otras palabras, el IT Governance es la manera en que los principales directores y ejecutivos de las empresas
planean las inversiones en los sistemas de información, teniendo en consideración las ganancias que tendrá la
corporación con ellas. El IT Governance representa la manera en que estos ejecutivos administrarán (gobernarán)
la infraestructura tecnológica desde una vista global de toda la organización, y sus relaciones con el mercado y la
competencia.

La influencia constante de las regulaciones empresariales está obligando a las compañías a encontrar nuevas
estrategias para minimizar las cargas y maximizar los beneficios de abordar el cumplimiento a las normativas. Las
compañías pueden obtener una serie de beneficios del cumplimiento regulatorio, incluyendo un reporte financiero
más exacto, una mejor visibilidad de los riesgos, y un mejor IT Governance. Este último, como parte del
CorporativeGovernance, proporciona las estructuras organizativas necesarias para crear valor de negocio en la
tecnología de la información (TI). Parte de este proceso es el asegurase que las inversiones en TI se hacen sólo en
proyectos económicamente rentables y que existen suficientes mecanismos de control de la TI.

Mediante la alineación de la planificación del TI con los objetivos de la organización, la TI se convierte en una pieza
clave en la evaluación de los asuntos de negocio dentro de la toma global de decisiones. Los frameworks de IT
Governance y de control interno son herramientas fundamentales y de gran ayuda para la dirección de las
empresas y también para los gerentes de sistemas que las implementan.

Si bien el año 2006 marca la primera aparición de tema IT Governance en la lista principal de tecnología de AICPA
(American Institute of CertifiedPublicAccountants), el concepto no es nuevo. Como ya se nombró, el ITGI fue
establecido en 1998, cuando publicó su framework de IT Governance. A partir de allí, un gran número de
organizaciones profesionales líderes en la industria y grupos de investigación también promovieron el concepto de
IT Governance.

1.8.5.1. Alineamiento del TI con los Requerimientos del Negocio.

Mientras que los frameworks de IT Governance pueden ayudar a las organizaciones y a los negocios a satisfacer los
requisitos de las reglamentaciones gubernamentales, el concepto posee más utilidad como un medio para
asegurar que la TI se encuentra perfectamente alineada con los requerimientos del negocio, y que los servicios TI
se prestan de manera rentable. Sin embargo, las compañías que más se benefician por desarrollar un framework
de IT Governance son aquellas en donde:

 La TI es el componente principal del modelo de negocios, por ejemplo, donde el uso del TI es un
fenómeno generalizado en los productos y servicios para industrias como la financiera, salud,
farmacéutica y productos de consumo.

 La TI es un factor primordial de la eficiencia y la eficacia de los procesos principale,: por ejemplo, en la

última década o más, las compañías dedicadas a la manufactura y distribución han realizado importantes
inversiones en TI con el propósito de simplificar y globalizar los procesos de negocio.

 La TI es una fuente primaria de los riesgos, que incluyen la interrupción proveniente de cambios,
incumplimiento, controles inefectivos, oportunidades perdidas y los gastos excesivos. Normalmente,
cuanto más una empresa utiliza y depende de la TI, mayor es el riesgo que representará para la empresa.

Tal vez el elemento más importante de los frameworks de IT Governance, tales como COBIT, es que proporcionan
orientación para ayudar a las empresas a implantar adecuadamente la planificación y la gestión del TI en todos los
aspectos del negocio.

1.8.5.2. Nuevos Enfoques para la Gestión TI

Los enfoques de la vieja escuela de gestión de TI ponen la responsabilidad de la TI exclusivamente en el gerente de

sistemas, quien no es generalmente un socio confiable de los directivos superiores de la organización.

Dentro de la nueva escuela de IT Governance, la TI es una responsabilidad de los directivos superiores, no sólo el
trabajo del gerente de sistemas. En este nuevo enfoque, los gerentes TI se convierten en socios de los gerentes
ejecutivos de operaciones, finanzas, recursos humanos, y de otras áreas de la organización. Juntos aprovechan la
tecnología para resolver los problemas de negocios, y utilizar un enfoque organizado para planificar e implementar
soluciones de TI, que sean más eficaces para la empresa en su conjunto.

Como resultado de ello, el IT Governance requiere de un liderazgo fuerte. Este liderazgo no sólo requiere
 importantes destrezas técnicas, sino también las habilidades del personal y mucho enfoque en los negocios.

1.8.5.3. La integración IT.

Las organizaciones que implementan IT Governance poseen fuertes líderes de TI que participan activamente en el
mantenimiento de todos los aspectos de las operaciones, finanzas, gestión de personal, entre otros. Estas
empresas considerar cuidadosamente el rol de IT en toda la planificación estratégica, en la gestión operativa y en
el cumplimiento de las actividades de gestión relacionadas. Además, un IT Governance efectivo provee un
monitoreo y evaluación continuo de la eficacia y la eficiencia de la compañía.

1.8.5.4. Diferencia entre Gobierno del TI (IT Governance) y Gestión de la TI.

Para poder lograr un IT Governance exitoso es fundamental contar con las buenas prácticas de la gestión TI, la
eficacia de aquel dependerá en gran medida de la eficiencia en la implementación de estas prácticas.

El propósito de la gestión de la TI es brindar servicios a los sistemas de información de una manera segura,
confiable, predecible, sostenible en el tiempo, rentable y adecuada a las necesidades del negocio con un nivel de
riesgo aceptable. En el XXIX Salón de Informática, llevado a cabo en Agosto del 2009 en Bogotá, Colombia, Roberto
C. Arbeláezv quien se desempeña como Security Program Manager para Latinoamérica en Microsoft, presentó los
siguientes pilares fundamentales de la gestión TI:

 Optimización de la Infraestructura: Adquirir la infraestructura óptima para las necesidades de la

organización. Utilizar de manera óptima los recursos computacionales de la organización de manera que
le agreguen valor a las operaciones del negocio:

o Incrementar la integración, el intercambio de información y la utilización compartida de

recursos.

o Mejorar la eficiencia, eliminar la redundancia y aumentar la automatización.

 Operaciones de la TI: Administrar, Gestionar y Operar adecuadamente un sistema de información y
todos sus componentes:

o Infraestructura computacional y de comunicaciones.

o Procesos y procedimientos.

o Personas.

Mantener niveles de servicio adecuados a las necesidades del negocio.

 Seguridad Informática: Asegurar y mantener seguros todos los componentes del sistema de información.
Mantener la confidencialidad, integridad y disponibilidad de la información. Garantizar la continuidad del
servicio. Diseñar elementos de control que garanticen el acceso controlado a los recursos del sistema.

Arbeláez también define un proceso de siete pasos para implementar un framework de IT Governance en una
organización:

1. Definir un marco organizacional (como parte de una iniciativa de gobierno de TI) con responsabilidades y
objetivos claros, y la participación de todos los actores interesados, que lidere la implementación y se adueñe (y se
haga responsable) de ella.

2. Alinear la estrategia de TI con los objetivos del negocio.

a. ¿En cuáles objetivos de negocios contribuyen las TIs de manera significativa?

b.Se debe lograr un entendimiento adecuado del entorno de negocios, los riesgos (y la tolerancia
corporativa frente al riesgo), y la estrategia de negocios (y cómo se relaciona con las TIs).

c. Las guías de gestión de COBIT (específicamente los KGIs) y los criterios de información del marco de
COBIT ayudan a definir los objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles de
servicio y estructurando Acuerdos de Nivel de Servicio (ServiceLevelAgreements - SLAs), ajustándose a
las necesidades del cliente.
 3. Entender y definir los riesgos. Dados los objetivos de negocio, ¿Cuáles son los riesgos que afectan la
capacidad de las TIs de proveer un servicio adecuado? El proceso de COBIT para la administración del riesgo (PO9)
y la aplicación del marco de control y de los criterios de información ayudan a asegurar que los riesgos sean
identificados y que se les asigne un dueño. ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los
riesgos de seguridad.

4. Delimitar las áreas a optimizar, y en ellas, identificar los procesos de TI que son críticos para administrar
adecuadamente los diferentes riesgos. El marco de Procesos de COBIT puede ser usado como la base, apoyado en
la definición de procesos de entrega de servicios críticos (keyservicedeliveryprocesses) de ITIL y los objetivos de
seguridad de ISO 17799.

5. Analizar la capacidad actual de prestación de servicios de TI respecto a las necesidades del negocio, e
identificar las brechas. Llevar a cabo un análisis de capacidad de madurez (maturitycapabilityassessment) para
identificar en dónde se necesitan más urgentemente mejoras (puede usarse el modelo de madurez de COBIT, o el
de ITIL). Las guías de gestión de COBIT proveen una base, soportada en más detalle por ITIL e ISO 17799.

6. Desarrollar una estrategia de mejora continua, y articularla a través de un portafolio de proyectos. Se debe
decidir cuáles proyectos deben tener una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestión y
el gobierno de áreas que provean servicios de TI significativos para el negocio. La decisión debe tomarse basado en
el beneficio potencial, la facilidad de implementación de las mejoras, y con un claro foco en procesos importantes
de TI. Se deberá establecer un proceso de mejora continua (ContinuousImprovementProcess) que garantice que la
optimización será permanente a lo largo del tiempo. Los CSFs de COBIT, los objetivos de control y las prácticas de
control son soportadas con mayor nivel de detalle por ITIL e ISO 17799.

7. Medir los resultados a través de la definición de metas-objetivos, métricas, y la creación de indicadores e

índices de gestión, y la articulación de un tablero de control, que permita medir el desempeño actual y monitorear
los resultados de nuevas mejoras. Las guías de gestión de COBIT (específicamente los KPIs, alineados a KGIs
previamente definidos) pueden formar la base del scorecard.

1.8.6. Frameworks Internacionales de Control (COSO, ISACA, ITIL, ISO).

1.8.6.1. Committee of SponsoringOrganizations (COSO).

Después de varios errores de auditoría significativos ocurridos durante la década de 1980, COSO, formado para
redefinir el control interno y los criterios para determinar la eficacia de un sistema de control interno, publicó el
documento ―Internal Control - Integrated Framework en 1992 que cambió la forma de mirar al control interno.
También se conoce a este documento como el ―Informe COSO sobre control interno.

En este informe se resumen lo resultados de las investigaciones realizadas por un grupo de trabajo de la
TreadwayCommision, NationalCommissiononFraudulentFinancialReporting de los Estados Unidos. Si bien se
solicitó la redacción del informe a Coopers&Lybrand, los representantes de este grupo fueron:

 American AccountingAssociation (AAA)

 American Institute of CertifiedPublicAccountants (AICPA)

 FinancialExecutiveInstitute (FEI)

 Institute of InternalAuditors (IIA)

 Institute of Management Accountants (IMA)

La idea fundamental del trabajo era definir un nuevo marco conceptual del control interno, con capacidades de
integrar las definiciones y conceptos existentes hasta ese momento. Creando de esta manera un framework
común de trabajo para distintas organizaciones, sean estas del orden privado, público, académicas,
gubernamentales, de control externo o interno.

Las teorías tradicionales, que primeramente se enfocaban en los controles financieros, se ampliaron
considerablemente. El framework COSO considera no sólo la evaluación de los controles duros, como la
separación de funciones, sino también los controles blandos, tales como la competencia, la profesionalidad de los
empleados, los controles de la integridad y los valores éticos del personal, la filosofía y el estilo de operación de la
gerencia y la efectividad de la comunicación. Especialmente en los Estados Unidos, estos conceptos han sido
 adoptados por muchas organizaciones, así como por muchas entidades gubernamentales, a pesar de que la
aplicación del framework COSO en la práctica no es tan simple como su adopción en la teoría.

Framework Integrado de Control

El framework COSO consta de cinco partes componentes, ellos son: Ambiente de Control, Evaluación de Riesgos,
Actividades de Control, Información y Comunicación y Supervisión y Seguimiento del Sistema de Control. Estos
componentes están interrelacionados y para ser efectivos deben estar institucionalizados en la organización, es
decir, ser parte de sus procesos administrativos cotidianos. Otra característica de los componentes del framework
COSO es que los procesos no son secuenciales ni están en un orden específico, sino que son multidireccionales,
repetitivos y permanentes, pudiendo un proceso ser afectado y afectar a varios. Ellos forman lo que se conoce
como un framework integrado para responder a cambios en las condiciones del negocio.

Efectividad:

La RAE define efectividad como la ―capacidad de lograr el efecto que se desea o se espera . La efectividad de los
sistemas de control interno está medida con la calidad con la que se desempeñan en el paso del tiempo y en
condiciones cambiantes. Este juicio sobre la efectividad del sistema resulta subjetivo y está condicionado por el
momento de su medición. Se deben considerar el desempeño de cada uno de los cinco componentes del
framework, como también el logro de cada uno a los siguientes puntos:

 La consecución de las metas y objetivos de la organización están siendo alcanzados.

 La información de los estados financieros es fiable.

 Las normas y reglamentación gubernamentales son cumplidas.

En la medición de efectividad no se tiene que esperar que los cinco puntos componente trabajen de la misma
manera y con el mismo grado de desempeño. Se debe adecuar su funcionamiento a la organización en donde se
apliquen, en algunos casos se enfocarán a mitigar ciertos riesgos presentes particulares del entorno de la empresa
donde se encuentren. Sin embargo, siempre se espera que, como conjunto, satisfagan los criterios generales de
efectividad aceptados por el directorio de la entidad evaluada y por los auditores internos y externos.

Componentes del Informe COSO:

1. Ambiente de Control.

El ambiente o entorno de control establece el tono de una organización, influyendo en la conciencia de control de
su personal. Es la base para todos los demás componentes del control interno, proporcionando disciplina y
estructura. Busca estimular las actividades del personal con respecto al control de las mismas. Los factores de
control del entorno incluyen:

 La integridad y los valores éticos del personal

Generar declaraciones referentes a la conducta y los valores éticos del personal. La integridad y los
valores de quienes diseñan, implementan y supervisan el sistema de control son fundamentales para la
efectividad del mismo. El directorio juega un papel preponderante en este punto, debido a que ellos
deben comunicar de forma efectiva y fortalecer los valores, y así demostrar con su ejemplo el grado de
cumplimiento requerido a los mismos. Además, se deben prestar la atención necesaria a los puntos
débiles del sistema, donde existan conductas contrarias a los valores éticos o donde los controles sean
insuficientes para los riesgos que puedan materializarse.

 La competencia de las personas de la organización:

Las personas que componen la organización deben poseer las habilidades y el conocimiento necesario
para desempeñar sus tareas de conformidad con los valores éticos de la entidad y con el sistema de
control interno establecido.

 La filosofía de gestión y el estilo de operación:

Corresponde a la actitud mostrada hacia los activos que se desea salvaguardar, como la información
financiera, el procesamiento de la misma y las buenas prácticas de la industria entre otros.
  La manera en que los gerentes asignan autoridad y responsabilidad, y organizan y desarrollan su
personal:

Estos elementos influyen considerablemente en el ambiente de control. Igualmente, las acciones de los
gerentes impactan en el desarrollo de las operaciones, en el establecimiento de los objetivos y en la
estimación de los riesgos. Estas decisiones están basadas por la misma historia de la organización, el
nivel cultural de la gestión y por el comportamiento de los sistemas de información.

 La atención y la orientación proporcionada por el consejo directivo:

Los miembros del consejo directivo, así como otros líderes de la organización, tienen que contar con la
experiencia, la dedicación y el involucramiento en las actividades delsistema de control y en las
decisiones respecto a la información proporcionada por los auditores. Ellos son quienes determinan los
criterios para organizar el ambiente de control.

2. Evaluación de Riesgos.

Cada entidad se enfrenta a una variedad de riesgos de fuentes externas e internas que deben ser evaluados. Una
condición previa para la evaluación de riesgos es el establecimiento de objetivos, vinculados a diferentes niveles e
internamente consistentes. La evaluación de riesgos es la identificación y análisis de los riesgos relacionados con el
logro de los objetivos, formando una base para determinar cómo los riesgos deben ser manejados. Debido a que
las condiciones económicas, industriales, regulatorias y operacionales va a continuar cambiando, se necesitan
mecanismos para identificar y hacer frente a los riesgos especiales asociados con el cambio.

Por lo tanto, la primera tarea que propone el framework es establecer los objetivos para todos los niveles de la
organización. Conocidos los objetivos se tiene una base para identificar y analizar los factores de riesgos que
pueden amenazar su consecución. Estos objetivos representan la orientación que la dirección está buscando para
el negocio, e intentan aplicar todos sus recursos y esfuerzos en ellos. Los objetivos aspiran a identificar factores
críticos de éxito para la empresa. De aquí la importancia poseer una base sólida para el control interno efectivo, es
decir, poseer criterios de evaluación y monitoreo de los riesgos identificados como probables.

El informe COSO establece las siguientes categorías para los objetivos:

 Objetivos de Información Financiera: el propósito es que la información financiera de la organización sea

fiable.

 Objetivos de Cumplimiento: se refiere al cumplimiento de las normas y reglamentaciones vigentes y

aplicables a la entidad.

Además, COSO identifica ciertos eventos necesarios para el cumplimiento de los objetivos:

 Ejecución de controles internos efectivos que brinden garantía suficiente para el cumplimiento de los
objetivos, especialmente los de información financiera.

 Ejecución de controles para evaluar la consistencia en los objetivos de operación y sus relaciones con las
metas de las distintas áreas de la empresa. En estos casos existen cambios en el entorno fuera del
alcance de los controles, por lo que los controles deben identificar los factores críticos para el éxito e
informar de acciones correctivas necesarias.

Con respecto a los riesgos, el informe COSO expresa que el sistema de control debe ser lo suficientemente amplio
para monitorear las relaciones de todas las áreas de la organización con su entorno. Los riesgos a considerar
incluyen a los de nivel global, tanto internos como externos, y a los de nivel de actividad de las áreas funcionales
más importantes, clasificando a los mismos por su grado de impacto. Todo análisis de riesgos debe considerar:

 Una estimación de la importancia del riesgo y su impacto en la organización.

 Una evaluación de la probabilidad de ocurrencia del mismo.

 Un plan de acciones ante la materialización de algún riesgo.

Un punto esencial en la efectividad de los controles internos es el control de cambios. Los cambios deben poder
gestionarse de manera que no afecten o degraden el monitoreo del sistema de control. Aquellos estados o
 condiciones, donde los cambios afecten al sistema, deben estar perfectamente identificados. También la gestión
de cambios debe estar interrelacionado con elanálisis de riesgo, de modo tal que se conozca cuando cambios en el
entorno generen riesgos o amenazas para la entidad.

Es el directorio el principal responsable de la gestión de objetivos, riesgos y cambios. Los auditores, tanto internos
como externos, solo apoyan a la organización verificando el nivel de acatamiento a las directivas, normas y
políticas establecidas.

3. Actividades de Control.

Las actividades de control son las políticas y los procedimientos que ayudan a garantizar que las directivas
gerenciales sean llevadas a cabo. Estas actividades también avalan las medidas necesarias para hacer frente a los
riesgos para la consecución de los objetivos de la organización. Las actividades de control se producen en toda la
organización, en todos los niveles y en todas las funciones. Estas incluyen una amplia gama de actividades tan
diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operativo,
seguridad de los activos y la segregación de funciones.

Otras actividades de vital importancia son la protección de los recursos, la distribución de responsabilidades, el
monitoreo continuo y la capacitación necesaria. Las actividades de control son de características diferentes,
algunas pueden estar automatizadas, otras se realizan en forma manual, pueden ser preventivas o correctivas,
generales o específicas, globales o de algún área en particular.

Sin embargo, todas estas actividades se enfocan, en distinto grado, en evitar y mitigar los riesgos probables
identificados que puedan amenazar a los objetivos y la misión de la organización, así como sus recursos y activos.
Las actividades de control diseñadas deben representar la manera correcta de proceder y el medio idóneo para
obtener el mejor control con un criterio costo beneficio aceptable.

El informe COSO provee características a considerar en los controles de los sistemas de información, estas abarcan
los siguientes puntos:

 Controles Generales: estos controles buscan garantizar la operatoria continua de la entidad, y verifican
los sectores de procesamiento de datos, seguridad lógica y física, administración de hardware y
software. Además, comprenden las actividades de desarrollo de sistemas, mantenimiento y soporte del
mismo, las bases de datos y las comunicaciones.

 Controles de Aplicativos: se enfocan en las aplicaciones corriendo en los sistemas de información.

Verifican los mecanismos de autorización y validación e interfaces de intercambio de datos con otros
sistemas.

4. Información y Comunicación.

La información es el componente principal y vital para poder controlar y administrar una organización y poder
tomar las decisiones correctas utilizando los recursos adecuados. La información debe ser oportuna, clara,
asequible, relevante, completa y fidedigna.

La información pertinente debe ser identificada, capturada y comunicada en forma y tiempo, a fin de permitir al
personal de una entidad cumplir con sus responsabilidades. Los sistemas de información producen reportes que
contienen información de los aspectos operativos, financieros y de cumplimiento regulatorio que hacen posible
poner en funcionamiento y controlar el negocio. Tratan no sólo con los datos generados internamente, sino
también información acerca de los acontecimientos externos, actividades y condiciones necesarias para la toma
decisiones de negocio.

Asimismo, los sistemas de información, actuando como sistemas de control, juegan una función muy importante
para éxito de la organización, al apoyar la implementación de las estrategias corporativas diseñadas por la
dirección. Esto es posible debido a que los sistemas de información se encuentran integrados en las operaciones
cotidianas de las empresas. Esta integración posee distintos grados de complejidad, dependiendo de la
organización donde se apliquen.

De esta forma la información constituye una ventaja competitiva para las empresas, dado que provee a la
dirección de una herramienta decisiva y útil para la toma de decisiones de negocio. Por esto, las organizaciones
realizan importantes inversiones en mejorar la calidad de la información proporcionada por sus sistemas TI.
 El sistema de comunicación de la organización es otro apartado indicado por el informe COSO. La comunicación
efectiva también debe ocurrir en un sentido más amplio, fluyendo hacia abajo, hacia arriba y a través de la
organización. Todo el personal debe recibir un claro mensaje de la alta dirección de que las responsabilidades de
control deben ser tomadas seriamente. Ellos deben entender su propio papel en el sistema de control interno, así
como de qué manera las actividades individuales se relacionan con el trabajo de otros. Deben tener un medio para
comunicar información importante hacia arriba en la organización.

También es necesaria la comunicación efectiva con las partes externas, como clientes, proveedores y accionistas.
Conjuntamente con las entidades reguladores públicas que deben obtener información sobre las operaciones de la
empresa, incluso el desempeño del sistema de control por ejemplo en las entidades financieras.

5. Supervisión y Seguimiento del Sistema de Control.

Al diseñar un sistema de control, se tiene en consideración determinadas circunstancias en las que se calcula que
trabajará el sistema. Estas circunstancias se estipulan en base a los riesgos detectados y a las limitaciones
inherentes a los sistemas de control. No obstante, las circunstancias van cambiando a través del tiempo,
reduciendo la efectividad del sistema de control.

Por lo tanto, los sistemas de control interno deben ser supervisados y monitoreados, es decir se debe contar con
un proceso que evalúe la calidad del desempeño del sistema en el tiempo. Esto se logra a través de actividades
de monitoreo continuo, evaluaciones puntuales o una combinación de ambas.

El monitoreo continuo se produce en el curso de las operaciones. Incluye la gestión regular y actividades de
supervisión, y otras acciones que el personal realiza en el desempeño de sus funciones. Las deficiencias del control
interno deben ser informadas a la gerencia y a la dirección, como parte de los reportes de asuntos importantes.

Algunos ejemplos de actividades de monitoreo y supervisión pueden ser:

 Documentación cotidiana: autorizaciones, aprobaciones, informes, reportes.

 Comprobación de los registros frente a la existencia física del bien.

 Informes de auditorías, contaduría, diagnósticos.

 Reportes generados por entidades externas.

 Revisiones de las operaciones relacionadas con la efectividad de los controles.

 Detección de fraudes internos o externos.

El siguiente componente se refiere a evaluaciones que se realizan en determinados momentos específicos. Estas
actividades brindar información valiosa a la dirección sobre la efectividad del sistema de control. Una característica
que ellas deben poseer es el carácter de independencia, en otras palabras, para que sean eficaces tienen que ser
objetivas y enfocarse en medir la efectividad de los controles. El alcance y la frecuencia de las evaluaciones
puntuales dependerán principalmente de la evaluación de los riesgos y la efectividad de los procedimientos de
monitoreo y supervisión continuo.

El tercer componente es una combinación del monitoreo y las evaluaciones. Al mezclar ambas técnicas se intenta
maximizar las ventajas de cada una y minimizar sus puntos débiles.

Existe sinergia y vínculos entre estos componentes, conformando un sistema integrado que reacciona
dinámicamente a las condiciones cambiantes. El sistema de control interno está entrelazado con las actividades
operativas de la organización y existen por razones de negocio fundamentales. El control interno es más efectivo
cuando los controles están integrados en la infraestructura de la organización y son una parte de la esencia misma
de la empresa.

Hay una relación directa entre las tres categorías de objetivos (metas, estados financieros y reglamentaciones),
que son los que una entidad se esfuerza por lograr, y los componentes, que representan lo que se necesita para
alcanzar los objetivos. Todos los componentes son relevantes para cada categoría de objetivos. Al mirar a una
categoría (por ejemplo, la efectividad y la eficiencia de las operaciones) los cinco componentes deben estar
presentes y funcionando efectivamente para concluir que el control interno de las operaciones es efectivo.
 La definición de control interno, con sus conceptos básicos fundamentales de un proceso, efectuado por personas,
de una garantía razonable, junto con la clasificación de los objetivos, los componentes, los criterios de eficacia y las
discusiones asociadas constituyen el framewok COSO de control interno.

1.8.6.2. COBIT.

La función de COBIT es efectuar investigaciones, desarrollar, publicar y promover un framework de control para el
TI Governance, que sea autorizado, actualizado y aceptado internacionalmente para el uso de empresas, gerentes
de negocio, profesionales TI y profesionales de calidad.

Con mayor frecuencia los directivos se están dando cuenta de la importancia de la información en el éxito de una
empresa. Ellos esperan poder obtener una ventaja competitiva a través del uso óptimo de la TI. En especial, los
directores necesitan asegurarse que con la información disponible la empresa pueda:

 Cumplir con los objetivos de negocio.

 Ser flexible para gestionar eficientemente los cambios.

 Gestionar adecuadamente los riesgos.

 Aprovechar las oportunidades que se presentan y actuar en consecuencia.

Las empresas que tienen éxito comprenden los riesgos y explotan los beneficios de la TI encontrando formas de:

 Alinear las estrategias del negocio con las de TI.

 Garantizar que los inversionistas y accionistas utilizan una gestión estandarizada de negocios para
reducir los riesgos.

 Materia: Auditoría de Sistemas Profesor: Francisco Cardozo - 27 -

 Conseguir que la estrategia TI, así como los objetivos, se distribuyan gradualmente a toda la estructura
empresarial.

 Diseñar e desarrollar una infraestructura TI que soporte la implementación de las estrategias y metas de
negocio.

 Formar relaciones provechosas y vías de comunicación abiertas entre la empresa y los proveedores de
TI, y también con accionistas externos.

 Monitorear el desempeño de la TI.

Satisfacer las Necesidades de Negocio:

Orientado hacia el negocio:

COBIT está diseñado para proveedores de servicios TI, usuarios y auditores de TI, y principalmente hacia la
gerencia y dueños de procesos de negocios. El framework está en su totalidad orientado a los negocios de la
organización.

El framework COBIT se basa en el hecho de que para proporcionar la información que la empresa requiere para
satisfacer sus necesidades y objetivos, debe invertir en administrar y controlar los recursos TI usando procesos
estructurados que provean la información de negocio requerida. El framework COBIT brinda herramientas para
ayudar a las organizaciones a satisfacer los sus requerimientos de negocio.

Criterios de información de COBIT:

La información necesaria para cumplir con los requerimientos de negocio tiene que adaptarse a ciertos criterios de
control:

 Efectividad: la información a usarse tiene que ser relevante y pertinente y se debe proporcionar de una
forma oportuna, correcta, consistente y utilizable.
  Eficiencia: la información debe ser generada con el óptimo uso de recursos.

 Confidencialidad: proteger la información sensible contra revelación no autorizada.

 Integridad: precisión y completitud de la información, así como su validez de acuerdo a los valores y
expectativas del negocio.

 Disponibilidad: la información debe estar siempre disponible cuando sea requerida. También se refiere a
la protección de los recursos y las capacidades necesarias asociadas.

 Cumplimiento: cumplir con las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el
proceso de negocios, refiriéndose a criterios externos e internos.

 Confiabilidad: proporcionar la información adecuada para que el negocio sea administrado

correctamente y cumpla con sus responsabilidades regulatorias.

El framework COBIT 4.1 publica un Modelo de Madurez para el Control Internovi. En el apéndice 3 ―Control de
Madurez encontramos lo siguiente:

“Este apéndice muestra un modelo genérico de madurez que describe el estatus del ambiente de control interno y
el establecimiento de controles internos en una empresa. Muestra cómo la administración del control interno, y la
conciencia de la necesidad de establecer mejores controles internos, por lo general evoluciona de algo ad hoc,
hasta un nivel optimizado. El modelo brinda una guía de alto nivel para ayudar a los usuarios de COBIT a apreciar
lo que se requiere para un control interno efectivo en TI y ayudar a posicionar a su empresa en la escala de
madurez”.

Mirar cuadro.

1.8.6.3. ITIL.

ITIL se basa en la definición de procesos de mejores prácticas para la gestión y el mantenimiento de los servicios TI.
ITIL propone mejores prácticas en lugar de un framework de control completo. Se enfoca en los métodos y define
un conjunto de procesos fáciles de comprender.

Las organizaciones están incrementando su dependencia en la TI para cumplir sus objetivos y satisfacer sus
necesidades de negocio. Esta dependencia en aumento necesita servicios TI de un nivel de calidad adaptado a las
necesidades empresariales y los requerimientos de negocio de la organización.

ITIL compendia un amplio conjunto de procedimientos de gestión diseñados para que las organizaciones consigan
calidad y eficiencia en sus operaciones TI. Estos procedimientos son independientes del proveedor de servicios y
han sido ideados como una guía que comprenda toda infraestructura, desarrollo y operaciones TI de la entidad.

A este grupo de procedimientos se lo conoce como ―mejores prácticas . Es un conjunto consistente, comprensible
y coherente, para la gestión de los servicios TI, promoviendo un enfoque de calidad para el logro de la efectividad
empresarial y la eficiencia en el uso de los sistemas de información.

Los procesos de gestión de servicios de ITIL sugieren y ayudan, pero no dictaminan, los procesos de negocio de una
organización. Los procesos genéricos descriptos en ITIL promueven las mejores prácticas y pueden ser utilizados
como una base para cumplir con el estándar británico BS15000 (British Standard for IT Service Management), el
cual está siendo considerado para convertirse en una estándar internacional ISO/IEC 20000.

Los procesos operacionales principales de la gestión de servicios TI están descriptos dentro de dos publicaciones
de ITIL: Gestión de Servicios (ServiceSupport) y Entrega del Servicio (ServiceDelivery).

1.8.6.3.1. Gestión de Servicios (ServiceSupport)

El ServiceSupport ITIL es la práctica de las disciplinas que permiten que los servicios TI sean prestados
eficientemente. Los procesos de la ServiceSupport de ITIL son:

1. Gestión de la Configuración.
 Configuration Management, CM por sus sigles en inglés, es la aplicación de una base de datos (Configuration
Management Database - CMDB) que contiene los detalles de los elementos de la organización que se utilizan en la
prestación y gestión de sus servicios de TI. Esto es más que un ―registro de activos", ya que contienen
información relacionada con el mantenimiento, el movimiento, y los problemas experimentados con los
elementos de configuración.

La CMDB también tiene una gama mucho más amplia de información acerca de los elementos sobre los que
depende los servicios TI de la organización. Esta gama de información incluye al hardware, al software, a la
documentación y al personal.

La CM consta esencialmente de cuatro tareas:

 Identificación: es la especificación, la identificación de todos los componentes TI y su inclusión en la

CMDB.

 Control: es la gestión de cada elemento o ítem de configuración, especificando quién está autorizado
para modificarlo.

 Estado: esta tarea es el registro del estado de todos los elementos de configuración en la CMDB, y el
mantenimiento de esta información.

 Verificación: Esta tarea implica revisiones y auditorías para garantizar que la información contenida en la
CMDB es exacta.

La Gestión de la Configuración y La Seguridad TI:

El CM está muy relacionada con la seguridad TI. Dado que sin la definición de todos los elementos de configuración
que se utilizan para proporcionar los servicios TI a una organización, puede resultar muy difícil identificar cuáles
elementos son necesarios para ciertos servicios. El uso incorrecto del CM puede resultar en ítems de configuración
críticos robados, reemplazados o fuera de lugar, afectando a la disponibilidad de los servicios dependientes de
ellos. También podría dar lugar a que, elementos no autorizados, se utilicen en la prestación de los servicios TI.

2. Gestión de Cambios.

La Gestión de Cambios es la práctica que garantiza que todas las modificaciones a los elementos de configuración
se llevan a cabo de manera planificada y autorizada. Esto incluye el asegurar que existe una razón de negocio
detrás de cada cambio, identificando a los ítems de configuración específicos y a los servicios TI afectados por el
cambio. También abarca a la planificación del cambio, la prueba del cambio, y al plan de respaldo en caso de que
la modificación resulte en un estado inesperado del elemento de configuración.

La Gestión de Cambios y La Seguridad TI:

La seguridad TI debe estar integrada en el proceso de gestión del cambio, a fin de asegurar que todos los cambios
sean verificados por riesgos potenciales. Esto incluirá la evaluación de los impactos de negocio que los riesgos
potenciales encontrados en los cambios puedan producir.

Si los procedimientos de la gestión de cambios no son eficaces, puede resultar en cambios no autorizados a
servicios TI, con importantes repercusiones en el negocio, incluyendo la pérdida financiera, pérdida de clientes,
pérdida de mercado, litigios, y en el peor de los casos, hasta la caída del de negocio que los servicios de TI deberían
apoyar.

3. Gestión de Problemas y Gestión de Incidentes.

La gestión de problemas e incidentes es la resolución y prevención de incidentes que afecten el funcionamiento

normal de los servicios TI de una organización. Esto incluye garantizar que se corrijan los defectos, evitar la
recurrencia de estos defectos, y la aplicación de mantenimiento preventivo para reducir la probabilidad de que
estas fallas se produzcan en la primera instancia.

La Gestión de Problemas e Incidentes y La Seguridad TI:

La práctica efectiva tanto de la gestión de incidentes como la gestión de problemas asegurará que la disponibilidad
de servicios TI sea la máxima, y también puede proteger la integridad y la confidencialidad de la información al
 identificar la causa raíz de los problemas.

4. Gestión de la Distribución.

Esta disciplina de la Gestión de Servicio IT es la administración de todos los elementos de configuración de

software dentro de la organización. Es responsable de la gestión de desarrollo de software, instalación y soporte
de los productos de software de una organización.

El software no es a menudo considerado como un activo tangible, debido a su naturaleza intangible, lo que se
traduce en que no es controlado efectivamente. Pueden existir varias versiones del mismo software dentro de la
organización, y también puede haber software sin licencia o de copias ilegales.

La práctica eficiente del control y distribución de software envuelve la creación de una librería de software
definitiva (Definitive Software Library - DSL), en el que las copias maestras de todo el software son almacenadas, y
desde donde se administra su control y su distribución. El DSL consiste en un almacenamiento físico y uno lógico.
El físico es donde se almacenan las copias maestras de todo el software, este software generalmente es el
adquirido de un proveedor externa. El almacenamiento lógico es el índice de todo el software y los productos,
versiones, etc. indicando la ubicación de los medios físicos. El almacenamiento lógico también puede ser utilizado
para el almacenamiento de software desarrollado dentro de la organización.

Los procedimientos de la gestión de control y distribución incluyen la gestión de los elementos de software de
configuración y su distribución e implementación en un entorno de producción. Esto implicará la definición de un
programa de distribución adecuado para la organización, la definición de cómo el control de versión será llevado a
cabo, y los procedimientos que rodean cómo el software será construido, distribuido y auditado.

La Gestión de la Distribución y La Seguridad TI:

Las tres áreas claves de la seguridad informática (disponibilidad, confidencialidad e integridad) pueden quedar
expuestas a vulnerabilidades como resultado directo de la falta de control en la distribución del software. Si los
cambios del software no son correctamente administrados y testeados, pueden originarse problemas si esos
cambios llegan al ambiente de producción, al provocar falta de disponibilidad de servicios. Igualmente, las
modificaciones de software no autorizadas pueden dar lugar a fraudes, virus y daño malicioso a los archivos de
datos.

Por estas y otras razones, es importante que los procedimientos de gestión de control y distribución sean
revisados completamente por una evaluación de seguridad, a fin de garantizar que las medidas apropiadas para
reducir las amenazas se encuentren en su lugar.

5. Servicio de Mesa de Ayuda ITIL (HelpDesk).

El servicio de HelpDesk desempeña un papel importante en la prestación de servicios TI. Es muy a menudo el
primer contacto que los usuarios tienen en su utilización de los servicios TI cuando algo no funciona como se
espera. El HelpDesk es un único punto de contacto para los usuarios finales que necesitan asistencia. Sin este
servicio, una organización sin duda podría enfrentar pérdidas debido a ineficiencias.

Los dos ejes principales del HelpDesk son el control de incidentes y la comunicación.

Existen diferentes tipos de HelpDesk, la selección depende de lo que el negocio requiera. Algunos a proporcionar
una simple función registro de llamadas, y escalan las llamadas al personal más capacitado y con más experiencia.
Otros ofrecen un alto grado de conocimiento del negocio y técnico, con la capacidad de resolver la mayoría de los
incidentes en el momento en que el usuario los informa.

Actividades del Servicio de HelpDesk:

Excepto para el Call Center, el servicio de HelpDesk suele realizar las siguientes actividades: recibir todas las
llamadas y correos electrónicos sobre incidentes, registrar los incidentes; priorizarlos, clasificarlos y escalarlos;
además intenta solucionar los problemas en línea, mantener actualizado al usuario sobre en estado de los
incidentes, manejar las comunicaciones de otros procesos de ITIL; informar a la gerencia, a los administradores de
procesos y a clientes en el rendimiento de ServiceDesk.
 El ServiceDesk y La Seguridad TI:

Dado que el Servicio de HelpDesk es generalmente el primer contacto que un usuario corporativo tiene la hora de
informar algo fuera de lo común, la habilidad y la asiduidad del personal del HelpDesk puede prevenir la
recurrencia de incidentes, y por lo tanto, promover medidas que limiten el impacto de los posible brechas en la
seguridad TI.

El Software de ServiceDesk:

Existe una gama de soluciones de software para mesa de ayuda disponible en el mercado. Algunas herramientas
de soluciones de software incluyen las mejores prácticas ITIL y otras mejores prácticas de gestión. Esto resulta de
gran beneficio a las organizaciones y es un enfoque que se está convirtiendo cada vez más común.

1.8.6.3.2. Entrega del Servicio (ServiceDelivery).

El ServiceDelivery es la gestión de los servicios IT a los sistemas de información, e implica una serie de prácticas de
gestión para garantizar que los servicios TI se prestan conforme a lo acordado entre el proveedor y el cliente. El
ServiceDelivery de ITIL abarca cinco disciplinas:

Gestión de Nivel de Servicio.

Es la gestión principal de los servicios TI y se asegura que los servicios TI se presten de acuerdo a las características
convenidas de cómo y cuándo debían ser entregados. El gerente de nivel de servicio depende de todas las demás
áreas de entrega de servicios, brindando el apoyo necesario que garantice que los servicios acordados se
proporcionan de una manera eficaz, segura, eficiente y rentable.

Hay una serie de procesos de negocio que forman parte de la Gestión de Nivel de Servicio. Estos son:

 Revisión de los servicios existentes.

 Negociación con los clientes.

 Revisión de los contactos que sustentan a los proveedores de servicios externos.

 Producción y el seguimiento del Acuerdo de Nivel de Servicio (ServiceLevelAgreement - SLA)

 Aplicación de la política y los procesos de mejora de servicios.

 Establecimiento de las prioridades.

 Planificación para el crecimiento del servicio.

 Participación en el proceso de contabilidad de costos de servicios y de retorno de la inversión de estos

costes.

La Gestión del Nivel del Servicio y La Seguridad TI:

Seguridad TI es parte integral de la entrega de servicios, y como la gestión del nivel del servicio es la disciplina
clave en el suministro de la prestación de servicios, este proceso también es responsable de garantizar que los
servicios de TI sean proveídos de una manera segura, y que la disponibilidad de los servicios sea la máxima dentro
de las limitaciones de costos y eficiencia. Los planes de contingencia también forman parte de la entrega de
servicios para garantizar que estos puedan ser recuperados y mantenidos en caso de algún incidente grave.

2. Gestión de la Capacidad.

La Gestión de la Capacidad es la disciplina que garantiza que la infraestructura TI se suministre en el momento

justo, en el volumen correcto y al precio adecuado; asegurando que la TI se utilice de la manera más eficiente
posible.

Esto implica el aporte de muchas áreas de la empresa a fin de identificar cuáles son los servicios necesarios, qué
infraestructura se requiere para apoyar a estos servicios, qué nivel de contingencia será preciso y cuál será el costo
de esta infraestructura.
 Estos son los datos de entrada necesarios para los procesos de la Gestión de Capacidad:

 Monitoreo del rendimiento

 Monitoreo de la carga de trabajo.

 Tamaño de la aplicación.

 Previsión de los recursos.

 Previsión de la demanda.

 Modelado del sistema.

A partir de estos procesos se obtienen los resultados de la gestión de la capacidad, que son el plan de capacidad
en sí, las previsiones, los ajustes de datos y las directrices para la gestión de nivel de servicio.

La Gestión de la Capacidad y La Seguridad TI:

Una evaluación de riesgos de la función de planificación de la capacidad ayudará a asegurar que el proceso se lleva
a cabo de manera eficaz, y que se actúe en consecuencia a sus conclusiones.

3. La Gestión de la Continuidad.

Gestión de la Continuidad / Recuperación de Desastres / Continuidad del negocio

La gestión de la continuidad es el proceso por el que los planes son establecidos y gestionados para garantizar que
los servicios TI pueden recuperarse y continuar operando a pesar de haber ocurrido un incidente grave. No se trata
solo de medidas reactivas, sino también de medidas proactivas que reducen el riesgo de un desastre en primera
instancia. La gestión de la continuidad se considera como la recuperación de la infraestructura TI utilizada para
proporcionar los servicios de TI,

La gestión de la continuidad es tan importante que muchas organizaciones no hacen negocios con proveedores de
servicios IT que no posean planes de contingencia. También es un hecho que muchas organizaciones, que
sufrieron un desastre debido a que falló su plan de contingencia, cesaron su actividad en los 18 meses siguientes a
la catástrofe.

La gestión de la continuidad comprende los siguientes pasos básicos:

 Priorización del negocio a ser recuperado a partir de la ejecución de un Análisis de Impacto de Negocio
(Business ImpactAnalysis –BIA).

 Realización de un análisis de riesgos para cada uno de los servicios TI, a fin de identificar los activos, las
amenazas, las vulnerabilidades y las contramedidas para cada servicio.

 Evaluación de las opciones de recuperación.

 Elaboración del Plan de Contingencia.

 Pruebas, exámenes y revisaciones del plan de forma regular.

La Gestión de la Continuidad y La Seguridad TI:

La Gestión de la Continuidad (y la planificación de contingencia, la continuidad del negocio y la recuperación de

desastres) es una parte integral de la seguridad informática y del análisis de riesgo. Una planificación de
contingencia inadecuada se considera como un riesgo para el negocio, y es a menudo pasado por alto hasta que es
demasiado tarde, resultando en la pérdida del funcionamiento de los sistemas de información.

4. Gestión de la Disponibilidad.

Gestión de la Disponibilidad es la práctica de identificar los niveles de disponibilidad de servicios TI para su uso en
las revisiones de nivel de servicio con los clientes.
 Todas las áreas de un servicio deben ser medidas y definidas en el Acuerdo de Nivel de Servicio
(ServiceLevelAgreement - SLA).

Para medir la disponibilidad del servicio, las siguientes áreas se suelen incluir en el SLA:

 Estadísticas de acuerdo: lo que se incluye en el servicio convenido.

 Disponibilidad: acuerdo de los tiempos de servicio, tiempos de respuesta, etc.

 Llamadas al HelpDesk: número de incidentes ocurridos, tiempos de respuesta, tiempos de resolución.

 Contingencia: acuerdo de los detalles de la contingencia, la ubicación de la documentación, el sitio de

contingencia, la participación de proveedores externos, etc.

 Capacidad: tiempos de ejecución de las transacciones en línea, producción de reportes, número de

usuarios del sistema, etc.

 Detalles de Costos: cargos por el servicio, y cualquier sanción por falta de cumplimiento del nivel del
servicio.

La Gestión de la Disponibilidad y La Seguridad TI:

La seguridad TI es una parte integral de la Gestión de la Disponibilidad, siendo su objetivo principal el garantizar que la
infraestructura de TI siga estando disponible para la prestación de servicios TI.

Algunos de los elementos anteriores son el resultado de un análisis de riesgo efectuado con el objetivo de
determinar las medidas que deben ponerse en marcha, identificando cuán confiables son los elementos y cuántos
problemas han sido causados como consecuencia de fallas del sistema.

El análisis de riesgos también recomienda controles para mejorar la disponibilidad de la infraestructura TI, tales
como estándares para el desarrollo de software, testeo adecuado, seguridad física, asignación de las habilidades
correctas en los lugares correctos y en el momento adecuado, entre otras.

5. La Gestión Financiera de la TI

La Gestión Financiera de la TI es la disciplina de garantizar que la infraestructura TI se obtiene a un precio eficiente

(que no significa necesariamente barato), y calcular el coste de la prestación de los servicios TI a fin de que la
organización pueda administrar sus inversiones en esta área. Estos costos pueden ser recuperados con los clientes
del servicio.

Los costos se dividen en centros de costos de:

 Equipamiento.

 Software.

 Organización (personal, horas extras),

 Alojamiento.

 Costos de transferencia (proveedores de servicios externos)

Los costos se dividen en directos e indirectos, y pueden ser de capital u operativos.

La Gestión Financiera de la TI y La Seguridad TI:

La práctica de la gestión financiera de TI permite al gerente de servicios determinar la cantidad que se gasta en
medidas de seguridad dentro de la prestación de los servicios de TI. La cantidad que se invierte en estas medidas
debe equilibrarse con los riesgos y las pérdidas potenciales que el servicio podría incurrir, como se haya
identificado en la BIA y en la evaluación de riesgos. La gestión de estos costos, en última instancia, se reflejará en
el precio de la prestación de los servicios TI y, potencialmente, lo que se cobra por la recuperación de dichos
costos.
1.8.6.4. ISO/IEC 17799:20000.

Las partes esenciales del estándar ISO 17799 para las Tecnologías de Información - Código de Prácticas para la
Gestión de la Seguridad de la Información fueron desarrolladas y publicadas por el Instituto Británico de
Estándares.

El estándar original estaba compuesto por dos secciones principales:

 BS 7799 Parte 1: Tecnología de la Información - Código de Prácticas para la Gestión de la Seguridad de la

Información.

 BS 7799 Parte 2: Sistemas de Gestión de la Seguridad de la Información – Especificaciones y Pautas para

su Uso.

La ISO y el IEC establecieron una comisión técnica conjunta (jointtechnicalcommitte – JTC), la ISO/IEC JTC 1, y
publicaron el estándar internacional ISO/IEC 17799:20000.

Este estándar brinda información a los responsables de implementar la seguridad informática dentro de las
organizaciones. Puede considerarse como una base para desarrollar los estándares de seguridad y las prácticas de
gestión en la entidad con el objetivo de mejorar la confiabilidad de los sistemas de administración de la seguridad
en las relaciones inter-organizacionales.

La primera edición del estándar fue publicada en el año 2000, la cual fue actualizada en Junio del 2005. Se puede
clasificar al estándar como las mejores prácticas actuales en el área de los sistemas de administración de seguridad
informática. El BS 7799 original se revisó en Septiembre de 2002.

Los principios de la guía son los puntos iniciales para implementar la seguridad informática. Se fundamentan tanto
en los requerimientos legales como en las mejores prácticas aceptadas por la industria.

Las mediciones basadas en los requerimientos legales incluyen:

 Protección y confidencialidad de los datos personales.

 Protección de la información interna.

 Protección de los derechos y las propiedades intelectuales. Las mejores

prácticas mencionadas son:

 Implementación de políticas de seguridad informáticas.

 Asignación de responsabilidades para la seguridad informática.

 Escalamiento de problemas.

 Gestión de la continuidad del negocio.

Cuando se implementa un sistema de administración de seguridad informática, se deben considerar ciertos

factores críticos para el éxito:

 La política de seguridad, sus objetivos y actividades deben reflejar a los objetivos de la organización.

 La implementación debe considerar a los aspectos culturales de la organización.

 Se requiere contar con el apoyo manifiesto y el involucramiento del directorio y la gerencia.

 Se requiere un vasto conocimiento de requerimientos de seguridad, evaluación de riesgos y gestión de

los mismos.

 Todo el personal debe conocer los objetivos de seguridad, en especial los miembros de la gerencia.

 La política y las medidas de seguridad se deben comunicar a los proveedores externos.

  Los usuarios de los sistemas de información debe ser adecuadamente entrenados.

 Se debe contar con un sistema potente y balanceado de medición de desempeño, el cual soporte en
mejoramiento continuo a través de la retroalimentación.

1.8.7. Conclusiones sobre los Frameworks de Control Interno.

No hay duda que la adecuada gestión de las políticas y los procedimientos ayudan a garantizar que los sistemas de
información son administrados dentro de las actividades rutinarias diarias de la organización. La adopción de
estándares y mejores prácticas permiten una rápida implementación de buenos procedimientos y evitan la
demoras por en re-invento de la rueda en acuerdos y enfoques.

Sin embargo, la adopción de mejores prácticas tiene que ser apropiado para la organización, integrado con otros
métodos y prácticas que se estén utilizando y consistente con la gestión de riesgos y el framework de control. Los
estándares y mejores prácticas no son una panacea y su efectividad depende de cómo hayan sido implementados
y actualizados. Ellos son más útiles cuando se aplican como un conjunto de principios y como un punto de origen
para alinear los procedimientos existentes.

Para evitar que la implementación de nuevas prácticas fracase, es importante tener una capacidad de cambio tal,
que los gerentes y el personal pueda entender qué deben hacer, cómo hacerlo y por qué hacerlo. Para que estas
prácticas sean efectivas, es fundamental usar un lenguaje común y un enfoque estandarizado hacia los
requerimientos reales de negocio para que todos sigan a los mismos objetivos y prioridades.

Alineamiento:

Todas las organizaciones necesitan alinear el uso de estándares y prácticas, cómo las vistas en COBIT, ITIL, ISO y
COSO, para que se ajusten a sus requerimientos particulares. Las cuatro nombras juegan un papel de mucha
utilidad - COSO, COBIT e ISO 17799 ayudan a definir qué es lo que debe hacerse, mientras que ITIL provee el cómo
implementar los aspectos de administración de servicios. El uso típico de los estándares, buenas prácticas y
frameworks son:

 Mantener la gobernabilidad al:

o Proveer un framework de control y políticas de administración.

o Establecer propietarios para los procesos, responsabilidades claras y responsabilidades para las
actividades TI.

o Alinear los objetivos TI con los objetivos del negocio, estableciendo prioridades y alocando
recursos.

o Asegurar un retorno de la inversión y una optimización de los costos.

o Garantizar que los riesgos significativos sean identificados y reportados a la gerencia, quien ha
aceptado la responsabilidad por los mismos y ha recibido confirmación de la correcta
implementación de controles internos.

o Asegurar que los recursos se han organizado eficientemente y que recibieron la capacitación
necesaria para ejecutar la estrategia de la TI.

o Asegurar que las actividades críticas sean monitoreadas y medidas, a fin de que los problemas
puedan ser identificados y se tomen las medidas correctivas correspondientes.
 Definir requerimientos para los servicios y definiciones para los proyectos, tanto internamente como
para los proveedores externos, por ejemplo al:

o Definir objetivos y métricas claras y relacionadas con el negocio.

o Definir a los servicios y a los proyectos en términos de usuario final.

o Crear acuerdos de nivel de servicio (SLA) y contratos que puedan ser monitoreados por los
 clientes.

o Asegurar que los requerimientos del cliente hayan sido transformados apropiadamente en
requerimientos técnicos operacionales de la TI.

o Considerar a los portfolios de servicios y proyectos colectivamente, para que puedan

establecerse las prioridades relativas y asignarse a los recursos en forma equitativa y
conveniente.

 Demostrar al mercado capacidad profesional y competitividad con:

o Auditorías y evaluaciones externas independientes.

o Compromisos contractuales.

o Licencias y certificaciones.

Establecimiento de Prioridades:

A fin de evitar implementaciones costosas y mal encaminadas de los estándares y mejores prácticas, las
organizaciones necesitan establecer prioridades acerca del lugar y la aplicación de los mismos. Se requiere de un
plan de acción eficiente que se aplique a las circunstancias y necesidades de la entidad. Es importante que el
consejo directivo se haga responsable del IT Governance y defina la dirección que la gerencia debe seguir. Para
esto la dirección debe:

 Incluir a la TI dentro de la agenda del consejo directivo.

 Orientar a la gerencia a alinear las iniciativas de TI con las necesidades reales de negocio.

 Insistir que el desempeño de la TI sea medido y reportado a la dirección.

Planificación:

Una vez llegado a este punto, la gerencia puede iniciar y poner en acción un plan de implementación. Los
siguientes pasos son sugerencias brindadas por los estándares para ayudar a que el plan de implementación
genere resultados positivos:

1. Diseñar un framework de la organización (idealmente como una parte de las iniciativas de IT Governance) con
responsabilidades y objetivos claros y con la participación de todas las partes interesadas en llevar adelante la
implementación.

2. Alinear la estrategia TI con los objetivos de negocio, es decir, decidir en cuáles objetivos actuales de negocio
tiene la TI una contribución significativa. Conocer correctamente al entorno de negocio, los riesgos potenciales y la
estrategia de negocio, debido a que todos ellos están relacionados con los sistemas de información. Para este
paso, COBIT puede servir de guía para la definición de los objetivos TI, mientras que ITIL puede ayudar a
especificar los SLA.

3. Comprender y definir los riesgos. En otras palabras, dados los objetivos de negocio, identificar cuáles son los
riesgos relacionados con la capacidad de la TI para prestar los servicios requeridos por esos objetivos. COBIT
permite identificar los riesgos y actuar sobre ellos, ITIL clarifica los riesgos operacionales e ISO clarifica los riesgos
de seguridad. Se debe considerar:

 El desempeño en los datos históricos.

 Los factores actuales de la organización TI.

 La complejidad, el tamaño y el alcance del ambiente TI actual o planeado.

 Las vulnerabilidades inherentes del ambiente TI actual o planeado.

  La naturaleza de las iniciativas en TI que estén siendo consideradas, por ejemplo, los nuevos proyectos
de sistemas, cambios en la arquitectura, consideraciones de outsourcing, etc.

4. Definir las áreas para la implementación e identificar a los procesos TI de las mismas que sean críticos a fin de
gestionar sus riesgos.

5. Analizar las capacidades actuales e identificar sus falencias. Realizar una evaluación de modelos de
madurez para encontrar los lugares que más necesiten mejora.

6. Desarrollar estrategias de mejora, y decidir cuáles son las prioridades más importantes que ayudarán a mejorar
la gestión y gobernabilidad de las áreas más significativas.

7. Medir los resultados, establecer un mecanismo de puntuación para medir el desempeño actual y monitorear los
resultados de las nuevas mejoras, considerando como mínimo lo siguiente:

 Si la estructura de la organización podrá soportar la implementación de la estrategia.

 Si las responsabilidades de la gestión de los riesgos están embebidas en la organización.

 Si existe la infraestructura que podrá facilitar y mantener la creación y comunicación de información de

negocio vital.

 Si las estrategias y los objetivos han sido comunicados efectivamente a todo el personal involucrado en
la organización.

8. Repetir los pasos 2 al 7 de forma regular.