Módulo 2

Metodología de
Control Interno e
Informe de
Auditoría
1. Metodologías de Control
Interno, Seguridad y Auditoría
Informática.
1.1. Introducción y Definiciones.

Para comprender mejor los conceptos relacionados a las metodologías, se

presentan a continuación algunas definiciones de la real academia
española:

Método: 1. m. Modo de decir o hacer con orden.

2. m. Modo de obrar o proceder, hábito o costumbre que cada uno tiene y

observa.

3. m. Obra que enseña los elementos de una ciencia o arte.

4. m. Fil. Procedimiento que se sigue en las ciencias para hallar la verdad y

enseñarla. Metodología: 1. f. Ciencia del método.

2. f. Conjunto de métodos que se siguen en una investigación científica o

en una exposición doctrinal.

Estándar: 1. adj. Que sirve como tipo, modelo, norma, patrón o referencia.

2. m. Tipo, modelo, patrón, nivel. Estándar de vida.

1
De estas definiciones se aprende que cualquier proceso científico debe
estar sujeto a una disciplina de proceso, denominada ―metodología‖. La
metodología es una palabra compuesta por los vocablos griegos metà, que
significa ―más allá‖, odòs, que significa ―camino‖, y por logos que
significa ―estudio‖. Por lo que se refiere a los métodos de investigación
para lograr los objetivos de la ciencia.

Generalmente, las metodologías indican un conjunto de pasos exactos a

seguir, así como las fases y los momentos oportunos para ejecutarlos.
También señalan las normas y los estándares que deben observarse en
cada paso. Por último, indican las personas indicadas para efectuar las
actividades de la misma.

El propósito de las metodologías es llegar a un resultado a través de una

secuencia de pasos lógicos y ordenados. Aplicando esto a la auditoría de
sistemas, se puede observar que existen diversas maneras de obtener los
mismos resultados. Por ello, el hecho que existan varias metodologías para
realizar una misma auditoría.

La ingeniería de los sistemas de información siempre fue una disciplina

compleja, por eso el uso de metodologías en cada componente de la
informática, desde la seguridad de la información hasta las redes de
comunicación, pasando por las bases de datos y las metodologías para el
diseño del software (RUP, ágiles, modelos de cascada, incremental,
prototipos, etc.)

Considerando a la complejidad de los sistemas de información, es lógico y

razonable ver la necesidad del uso de metodologías para la auditoría y el
control de estos sistemas. Una de las razones por la que los equipos de
auditoría utilizan metodologías es debido a la necesidad de obtener
resultados homogéneos, trabajando con un grupo heterogéneo de
personas. Esto se logra con el establecimiento de fases, pasos, normas,
políticas y roles para sus integrantes.

2
1.2. Contramedidas.
La auditoría cumple un papel fundamental en la verificación de los riesgos
existentes y potenciales de los sistemas de información, la doctrina de la
gestión de estos riesgos constituye la seguridad informática. Es por esto
que el grado de seguridad es un objetivo a evaluar en las auditorías
informáticas, se deben verificar las medidas y acciones existentes para
proteger la integridad de la información de la organización. Estas
ac=vidades se denominan ―contramedidas‖ y están directamente
relacionadas con la calidad y la eficacia del sistema de información que la
auditoría se encarga de evaluar.

Es decir, los sistemas de información poseen riesgos de seguridad

inherentes a su naturaleza compleja, la organización se encarga de definir y
llevar a cabo contramedidas para mitigar el impacto y evitar la ocurrencia
de los mismos, y la auditoría informática verifica la calidad y eficacia de
estas contramedidas, identificando sus puntos débiles y dando sugerencias
de cómo mejorarlas.

Las contramedidas están compuestas por un conjunto de factores que se

pueden expresar en forma de pirámide, tal como muestra la figura 1. Todos
estos factores están estrechamente relacionados entre sí y son los
componentes del plan de seguridad de la organización. Este plan
representa a la estrategia planificada de acciones y procedimientos para
proteger los activos de los sistemas de información.

3
Figura 1. Factores que componen una contramedida. Fuente: Piattini – Del Peso

Los factores componentes de la pirámide afectan a las contramedidas de la

siguiente manera:

• Las Normas: incluyen también a los estándares y las políticas

definidas por la dirección de la organización, así como las mejores
prácticas, las leyes gubernamentales y la experiencia profesional
acumulada. Deben ser claras y precisas, detallando todo lo que se
debe cumplir especialmente desde el punto de vista práctico. Se
encuentra en la cima de la pirámide debido a que su alcance
determina y condiciona a los demás factores componentes de las
contramedidas.

4
• La Organización: se refiere a las funciones, los procedimientos y los
planes diseñados para las personas que componen la organización.
El personal constituye el aspecto más importante de las
contramedidas, debido a que son ellos los que ejecutan las
actividades de los controles establecidos para la seguridad. Se
puede contar con los mejores diseños de seguridad, pero si los
mismos no son acatados y cumplidos, pierden totalmente su
sentido de existencia.

• Las Metodologías: son los pasos necesarios para desarrollar los

proyectos, tanto de auditoría como cualquier otro, de manera
ordenada y eficaz.

• Los Objetivos de Control: son los objetivos que deben cumplir los
controles de seguridad. El hecho de que los procedimientos sea
eficaces y realistas dependen en gran medida de la correcta
definición de estos objetivos.

• Los Procedimientos de Control: se los diseñan en base a los

objetivos de control planteados con anterioridad y siguiendo una
metodología apropiada. Constituyen a los procedimientos
operativos de toda la organización, establecidos y aprobados por la
dirección.

• La Tecnología de Seguridad: la tecnología es el conjunto de

instrumentos y procedimientos de software y de hardware
destinados a cumplir los objetivos de los controles de seguridad.

• Herramientas de Control: son los elementos utilizados en los

procedimientos de control para cumplir con las normas de
seguridad.

5
1.3. Relación entra la Seguridad, la
Auditoría Interna y el Control Interno.
Dentro del departamento de sistemas (también denominado TI por
Tecnologías de la Información) existe la función de seguridad TI.
Dependiendo del tamaño de la organización esta función puede poseer su
propio departamento o estar dentro de las responsabilidades del gerente
de sistemas. Una tendencia es a forma un comité de seguridad formado
por el directorio de la entidad, los responsables del control interno y los
auditores internos. Estos integrantes poseen puntos de vista y
responsabilidades diferentes frente a la seguridad informática, así como
distintas funciones y métodos de trabajos.

El directorio es quien estable la estrategia y las políticas de seguridad. El

control interno es el que ejecuta los procedimientos de control diarios,
mientras que los auditores internos verifican y evalúan el grado
cumplimiento a los objetivos.

La figura 2 muestra la relación entre estas áreas:

6
Figura2.Organización interna de laseguridad informática. Fuente:Piattini– Del Peso.

7
1.4. Metodologías en la Evaluación de
Sistemas.
Podemos clasificar a las metodologías para la evaluación de los sistemas de
información en dos grandes categorías:

• Análisis de Riesgo: facilita la evaluación de los riesgos.

• Auditoría Informática: identifica en nivel de exposición por falta de

controles.

Algunos conceptos básicos que se deben conocer en este punto son:

Amenaza: es un objeto que posee probabilidad ser fuente de peligro para

los sistemas y que puede explotar las vulnerabilidades del mismo. Por
ejemplo: robos, inundaciones, sabotaje, falta de procedimientos, errores
de diseño entre otros. Lamentablemente las amenazas reales son difíciles
de predecir y de calcular, especialmente debido a la complejidad de
algunas de ellas.

Vulnerabilidad: es un lugar en el sistema que se ve amenazado

principalmente por la falta de uno o varios controles. Por ejemplo, falta de
controles lógicos, físico o de versionado.

Riesgo: el estándar COBITi lo define como: ―El potencial de que una

amenaza específica explote las debilidades de un activo o grupo de activos
para ocasionar pérdida y/o daño a los activos. Por lo general se mide por
medio de una combinación del impacto y la probabilidad de ocurrencia.‖ Es
otras palabras, es la probabilidad de que una amenaza se haga efectiva
debido a una vulnerabilidad del sistema.

Impacto: es el grado o alcance del efecto de un riesgo, puede calculárselo

en términos económicos, imagen de la empresa o hasta en vidas humanas.

El uso de metodologías para el análisis de riesgo ha sido usado desde la

década de los setenta, especialmente en la industria de los seguros. En la
informática se lo ha empleado a partir de los años ochenta, sin embargo los
registros de los riesgos todavía son insuficientes para realizar cálculos
probabilísticos con rigor científico.

Las metodologías existentes para el control de riesgos ayudan a establecer

un conjunto de contramedidas que garanticen la baja probabilidad de
ocurrencia de las amenazas. Se debe llegar a un nivel de costo beneficio
aceptable para el negocio. Es decir, el costo de las contramedidas no debe

8
ser excesivo en relación con los beneficios que otorga para la empresa el
ente que se desea proteger.

Las acciones que se pueden realizar contra los riesgos incluyen a:

• Evitarlos.

• Transferirlos.

• Reducirlos.

• Asumirlos.

1.5. Tipos de Metodologías.

Otra clasificación para las metodologías es de acuerdo a la forma de
medirlas, que pueden ser metodologías cuantitativas y cualitativas.

1.5.1. Metodologías Cuantitativas.

Son las metodologías que están basadas en un modelo matemático
numérico para la ejecución del trabajo. En primer lugar se identifican los
riesgos potenciales de ocurrencia, luego se los comparan entre sí para
asignarles valores numéricos. Estos valores representan la probabilidad
estadística de ocurrencia del riesgo y son la base para los planes de
contingencia, los análisis de riesgo y los presupuestos de los proyectos
informáticos.

Además, al conocer en valor asignado a los riesgos potenciales para los

sistemas, es posible emplear juegos de simulación para determinar cuáles
son las contramedidas más apropiadas a implementar.

La deficiencia que poseen las metodologías cuantitativas es la poca

cantidad de datos históricos en la industria que puedan utilizarse para
calcular, con una precisión aceptable, las probabilidades de ocurrencia de
los riesgos potenciales. Por lo tanto, resulta difícil predecir y computar
económicamente el impacto de los riesgos con la información existente.

9
 1.5.2. Metodologías Cualitativas.
Estás metodologías están fundadas en el criterio y el raciocinio humano
para seleccionar la forma de trabajo en base a la experiencia profesional
acumulada. Se basan en métodos estadísticos y en lógica difusa, es decir en
lo relativo a la observación de las personas y en el juicio de experto. Estás
metodologías requieren menos recursos que las metodologías
cuantitativas pero necesitan de un profesional experimentado para
llevarlas a cabo.

En la práctica se utilizan combinaciones de ambas metodologías, cada una

de ellas posee ventajas y desventajas. Entre las ventajas de las
metodologías cuantitativas podemos destacar el enfoque basado números,
que facilita la comparación de vulnerabilidades muy distintas y proporciona
justificaciones ponderadas para cada contramedida. Entre sus desventajas
se encuentran que la exactitud de las estimaciones depende de datos
históricos fiables y que no siempre se pueden asignar valores cuantificables
a las pérdidas potenciales.

Las ventajas de las metodologías cualitativas comprenden el tener un plan

de trabajo flexible y reactivo, así como poseer un enfoque amplio e incluir
a los factores intangibles. Por otro lado, sus desventajas incluyen el
depender fuertemente de la habilidad y calidad del profesional
involucrado, como también la probabilidad de excluir riesgos significativos
pero desconocidos por el personal.

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPÍTULO 3

―METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA
INFORMÁTICA‖. PÁGINAS 45 A 52 DE LA BIBLIOGRAFÍA BÁSICA AUDITORÍA
INFORMATICA - PIATTINI - DEL PESO (2º EDICIÓN AMPLIADA Y REVISADA)

1.6. Metodologías de Auditoría

Informática.
Las metodologías de auditoría están divididas en auditoría externa e
interna. Los objetivos de las metodologías para auditorías externas es dar
una opinión sobre la fiabilidad de los datos del sistema de información.
Están basadas en cuestionarios o listas de comprobación, en muchos casos
estándares, y su resultado es un informe donde se describen las
vulnerabilidades encontradas.

10
En el caso de las metodologías para las auditorías internas, es el mismo
auditor interno quien debe diseñar y desarrollar la metodología a ser
utilizada. Esto es así debido a que esta persona es parte de la organización
a ser auditada y es necesaria su experiencia y conocimiento de la misma.

Como ya se ha visto, la metodología es una secuencia de pasos lógicos y

ordenados a seguirse para obtener un resultado. Dado que existe más de
una manera de llegar al mismo resultado, contamos con diversas
metodologías para realizar una auditoría en los sistemas de información. A
continuación se brinda un ejemplo de pasos que toda metodología TI
(Tecnología de la Información) debe poseer.

1.6.1. Ejemplo de Pasos Generales de una

Auditoría Informática.
1.6.1.1. Paso 1: Definir el Alcance y los Objetivos.

En primer punto a considerar en cualquier auditoría es el definir hasta

donde se llegará con la misma y cuáles serán sus límites. Esto se logra
mediante acuerdos entre los auditores y los clientes, ya sean clientes
internos o externos de la organización. Se definen cuáles serán las
funciones, materias y departamentos a auditar, así como cuales serán las
excepciones del alcance, es decir los lugares que no serán auditados.

Los objetivos generales de cualquier auditoría incluyen el mantener la

operatividad de los sistemas y de los controles generales de la gestión
informática. Por lo tanto, en este punto se definen los objetivos específicos
de la auditoría a ser realizada, y se los añaden a los objetivos generales.
Todo el personal involucrado con la auditoría tiene que conocer los
objetivos específicos con el fin de poder cumplirlos al llevar a cabo sus
tareas, y que estas estén en conformidad con las necesidades del cliente.

1.6.1.2. Paso 2: Estudio Preliminar.

En este paso es donde se estudia a la organización a ser auditada para

conocer las funciones y actividades TI que realiza. Los puntos más
importantes a estudiar abarcan lo siguiente:

• El Organigrama: la estructura organizacional oficial y, en especial, la

estructura real.

• Los Departamentos: estudiar cada departamento dentro del

alcance definido, cuáles son las tareas y actividades que realizan,
qué responsabilidades poseen y cuáles son sus funciones
específicas.

11
 • Las Relaciones entre los Departamentos: se deben conocer las
relaciones jerárquicas y funcionales que puedan existir entre los
organismos de la organización, a fin de verificar el cumplimiento y
las falencias de tales relaciones.

• Canales de Información: estos canales incluyen no solo a las

comunicaciones verticales, sino también las horizontales y las
oblicuas entre departamentos. El auditor debe investigar los
canales alternativos de comunicación debido a que estos se crean
para poder cumplir las funciones con más eficiencia. La razón de
existencia de estos canales alternativos generalmente son fallas en
el organigrama de la empresa, aunque también se deben a afinidad
entre empleados o simple comodidad.

• Puestos de Trabajos: se debe verificar que las funciones reales de

los empleados sea la correcta para las descripciones provistas para
los puestos de trabajos correspondientes. Pueden encontrarse
operaciones redundantes o falta de alguna de ellas, esto es el
resultado de fallas estructurales en la organización que el auditor
deben encontrar y dar a conocer.

• Empleados por Puesto de Trabajo: en muchas empresas el número

de personas real que efectúan las mismas funciones no concuerda
con la estructura oficial para esos puestos.

1.6.1.3. Paso 3: Entorno Operacional.

El auditor, o equipo de auditores, debe llegar a conocer en profundidad el

entorno o contexto de la organización. Los puntos principales a considerar
son:

Ubicación de los Sistemas de Información: conocer la ubicación de los

centros de procesamiento de datos, las responsabilidades de ellos y el
ajuste de sus funciones a las normas y estándares definidos.

Arquitectura y Configuración del Sistema: el auditor se informa de la

configuración existente en el hardware y el software del sistema, así como
la distribución e interconexión de los equipos, a fin de validar el
cumplimiento a las políticas de seguridad.

Equipamiento TI: el auditor debe prepara un inventario de todo el

equipamiento de hardware y de todos los productos de software del
sistema.

Redes de Comunicación: datos y características de las redes de

comunicación, así como los puntos de acceso a las redes públicas.

12
Bases de Datos: la información que el auditor tiene que conocer incluye al
volumen, la antigüedad y la complejidad de las aplicaciones,
conjuntamente con la metodología de diseño de las aplicaciones, la
documentación del sistema y la complejidad de las bases de datos. Los
datos útiles de las bases de datos comprenden al tamaño, las
características, el tipo de relación, como también la cantidad de accesos y
frecuencia de actualización. Con estos datos el auditor puede obtener una
mejor comprensión de la carga informática del sistema.

1.6.1.4. Paso 4: Recursos de la Auditoría Informática.

Una vez conocido y entendido el entorno de la organización a auditar, es

momento para determinar los recursos necesarios para ejecutar el proceso
de auditoría. Estos recursos pueden ser del tipo humano o material.

• Recursos Materiales: generalmente son las herramientas a ser

utilizadas por el auditor. Las herramientas son de dos tipos:

o Herramientas de Software: son los programas y aplicativos

propios de la auditoría para verificar los procesos del cliente.
También existen programas monitores que se utilizan de
acuerdo al nivel de desarrollo observado en la actividad
técnica del sistema auditado y sus datos.

o Herramientas de Hardware: habitualmente las herramientas

de hardware son proporcionadas por el cliente, debido a
que el control se efectúa en los procesos que corren en los
equipos del auditado.

• Recursos Humanos: para poder determinar la cantidad de personal

que ejecutará la auditoría se tienen que considerar el tamaño del
volumen auditable. Para saber los perfiles necesarios hay que tener
en cuenta el área de conocimiento de la organización a ser
auditada. Los siguientes son algunos perfiles de los auditores
informáticos: experto en desarrollo de software, técnico en
sistemas, experto en bases de datos, experto en redes de
comunicación, experto en seguridad e informático en general entre
otros.

Luego de determinar los recursos necesarios, el responsable de la auditoría

diseña un plan de trabajo teniendo en cuenta varios criterios, como por
ejemplo, si la revisión se realizará en áreas generales o específicas, o si la
auditoría es de todo el sistema o de una parte del mismo. De estos criterios
dependerán la complejidad de la auditoría y la cantidad y tipo de perfiles
de los auditores.

13
Con el plan desarrollado se pasa a la elaboración del programa de
actividades que compondrán la auditoría. Esta programación debe abarcar
a todas las actividades a ejecutarse en los procedimientos previamente
definidos, y brindar el orden y las prioridades de su realización.

1.6.1.5. Paso 5: Actividades de la Auditoría Informática.

Cuando el proceso de la auditoría informática se efectúa por sectores

generales de la organización, se examinan los temas en un nivel global, con
mayor calidad y empleando más tiempo y recursos.

Si por el contrario, la auditoría se enfoca en áreas específicas, sólo se

examinan los datos correspondientes a ese sector, dejando de lado sus
relaciones con otras áreas. En este caso los resultados de la auditoría se
obtienen más rápidamente pero con menor calidad en la información.

Algunos ejemplos de técnicas para realizar este paso son: análisis de la

información recabada del auditado, análisis de la información propia,
cruzamiento de las informaciones anteriores, entrevistas, simulación y
muestreos.

Las herramientas para llevar a la práctica las técnicas incluyen: un

cuestionario general inicial, lista de comprobación, estándares, monitores,
simuladores, (generadores de datos), paquetes de auditoría (generadores
de programas) y matrices de riesgo.

1.6.1.6. Paso 6: Informe Final.

Los resultados obtenidos por los procedimientos de auditoría se presentan

a la dirección de cliente en forma de informe escrito. Es necesario que se
vayan redactando informespreliminares a lo largo de todo el proceso para
ir informando sobre desviación o fallos en la organización auditada que
requieran acciones inmediatas.

La estructura de informe generalmente está compuesta por lo siguiente:

• Fecha de la auditoría.

• Nombre de los auditores.

• Objetivos y alcance de la auditoría.

• Temas abarcados: situación actual, tendencia, debilidades y

amenazas, recomendaciones y plan de acciones correctivas.

14
 1.6.1.7. Paso 7: Carta de Presentación.

Es una carta donde se resume en rangos generales la auditoría efectuada.

Está destinada a la gerencia de empresa que solicitó la auditoría. Los
puntos principales a exponen en esta carta comprenden al alcance, los
objetivos, las áreas analizadas, conclusiones generales y debilidades
principales encontradas. En esta carta no se escriben las recomendaciones
correctivas, ellas van en el informe final.

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPÍTULO 3

―METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA
INFORMÁTICA‖. PÁGINAS 52 A 65 DE LA BIBLIOGRAFÍA BÁSICA AUDITORÍA
INFORMATICA - PIATTINI - DEL PESO (2º EDICIÓN AMPLIADA Y REVISADA)

1.7. El Plan Auditor Informático.

Este plan es un esquema metodológico de gran importancia debido a que
describe los procedimientos, las técnicas y las herramientas a ser utilizadas
en la metodología de auditoría definida para la organización.

Las partes de este plan son las siguientes:

• Funciones: se describe el organigrama de la organización y se indica

el alcance de la auditoría en el mismo, es decir todas las áreas con
sus funciones y sus recursos de forma precisa. También se describe
las funciones de la auditoría de sistemas y el control interno
informático a ser incluidos.

• Procedimientos: en este punto se describen cuáles son los

procedimientos a ser implementados en la auditoría, así como las
técnicas y las herramientas requeridas.

• Tipo de Auditoría: se refiere principalmente al alcance de la misma,

si se van a auditar todas las áreas o solo lugares particulares de la
organización.

• Nivel de Exposición: es la suma de los factores que indican el estado

de gravedad de un área. Por ejemplo, el impacto de riesgos
materializados, el peso del área y la situación de control del área.

• Sistema de Evaluación: es el sistema por el cual se determinará el

nivel de exposición del área auditada. Dependiendo del nivel de
exposición encontrado de define la fecha de la próxima auditoría.

15
 • Seguimiento de Acciones Correctivas: punto fundamental para que
se lleven a la práctica las sugerencias de corrección del auditor.

• Plan de trabajo: es el plan donde se encuentran el detalle de las

tareas de la auditoría. Contiene el calendario de las actividades y los
recursos asignados para cada una. Este plan debe ser monitoreado,
con cualquier herramienta de gestión de proyectos, para ayudar
evitar desviaciones y mantener el curso de la auditoría.

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPÍTULO 3

―METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA
INFORMÁTICA‖. PÁGINAS 65 A 67 DE LA BIBLIOGRAFÍA BÁSICA AUDITORÍA
INFORMATICA - PIATTINI - DEL PESO (2º EDICIÓN AMPLIADA Y REVISADA)

1.8. Control Interno informático:

Métodos y procedimientos.
De acuerdo con el Committee of SponsoringOrganizations of
theTreadwayCommission de los Estados Unidos de Norteamérica (COSO
por sus siglas en inglés), a través del documento denominado ―Control
Interno - Marco Integrado‖ii, mejor conocido como el Modelo de Control
COSO, se define al control interno de como:

―...un proceso... efectuado por la Junta Direc=va de la en=dad, por la

Administración y por otro personal... diseñado para proporcionar a la
administración un aseguramiento razonable con respecto al logro de los
objetivos en efectividad y eficiencia de las operaciones, confiabilidad de los
reportes financieros y cumplimiento de las leyes y reglamentos aplicables.‖

Es un medio por el cual los recursos de una organización son dirigidos,

supervisados y medidos. Desempeña un papel de notoriedad importante
en la prevención y detección de fraude y en la protección de los recursos
de la organización, tanto física (por ejemplo, el equipamiento TI y los
bienes) como intangible (por ejemplo, la reputación o la propiedad
intelectual).

16
Entre algunas consideraciones a tener en cuenta con respecto al control, se
puede indicar que el control interno es solo un proceso, no un fin en sí
mismo. El control interno no es meramente documentación en los
manuales de políticas, sino que existe para el uso del personal en todos los
niveles de la organización. El control interno puede proveer sólo un
aseguramiento razonable, no un aseguramiento absoluto sobre una
entidad. En fin, el control interno se enfoca en el cumplimiento de
objetivos en una o más categoría separadas pero superpuestas.

Qué puede hacer el Control Interno:

El control interno puede ayudar a una entidad a alcanzar sus metas de

rendimiento y de rentabilidad, y prevenir la pérdida de sus recursos. Puede
ayudar a garantizar una información financiera fiable, y puede ayudar a
asegurar que la empresa cumple con las leyes y regulaciones, evitando
daños a su reputación y otras consecuencias. Por último, puede ayudar a
una organización a llegar a donde quiere ir, y evitar problemas e
inconvenientes en el camino.

Qué no puede hacer el Control Interno:

Lamentablemente, algunas personas tienen expectativas poco realistas.

Buscan absolutos, creyendo que el control interno puede, por sí solo,
asegurar el éxito de una organización, es decir, garantizar el logro de los
objetivos de negocio básicos o, al menos, asegurar su supervivencia.

Si bien un control interno efectivo, por su propia cuenta, puede ayudar a

una organización a alcanzar estos objetivos y puede proporcionar
información de gestión sobre el progreso de la organización, o falta de ella.
No puede, sin embargo, modificar un gerenciamiento inherentemente
pobre en uno bueno de un momento para otro. Asimismo, los cambios en
la política o programas del gobierno, las acciones de los competidores o de
las condiciones económicas se encuentran fuera del control gerencial. Por
lo tanto, el control interno no puede garantizar el éxito, o incluso la
supervivencia.

17
También, la declaración que ―el control interno puede garantizar la
fiabilidad de la información financiera y el cumplimiento de las leyes y
regulaciones‖ no es totalmente garantida. No importa qué tan bien esté
concebido y operado un sistema de control interno, puedeproporcionar
garantía sólo razonable, no absoluta, a la gerencia y dirección relativa a la
consecución de los objetivos de la organización. La probabilidad de la
información del desempeño se vea afectada por las limitaciones inherentes
en todos los sistemas de control interno. Estas incluyen la realidad de que
los juicios en la toma de decisiones pueden ser defectuosos, y que los
desperfectos pueden ocurrir debido a simple error o equivocación.
Además, los controles pueden ser evitados con un arreglo entre dos o más
personas deshonestas, y los gerentes pueden poseer la capacidad de
anular el sistema. Otro factor limitante es que el diseño de un sistema de
control interno debe reflejar el hecho de que hay limitaciones de recursos,
y los beneficios de los controles deben ser considerados en relación con sus
costos.

Así, mientras que el control interno puede ayudar a una organización a

alcanzar sus objetivos, el control interno es una panacea.

1.8.1. Roles y Responsabilidades.

Todo el personal de una organización tiene la responsabilidad de control
interno.

1.8.1.1. Director Ejecutivo.

El director ejecutivo, o presidente de la organización, es el responsable más

alto y debe asumir el papel de "propietario" del sistema. Más que cualquier
otra persona, el director ejecutivo establece las decisiones principales que
afecta a la integridad y la ética y otros factores de un entorno de control
positivo. En una gran empresa, el director ejecutivo cumple con esta
función al proporcionar liderazgo y orientación a los directivos y revisar la
forma en que están controlando el negocio. Estos directivos superiores, a
su vez, asignan responsabilidades para el establecimiento de políticas de
control interno más específicas y procedimientos para el personal
responsable de las funciones de sus unidades.

18
En una organización más pequeña, la influencia del director ejecutivo, a
menudo un socio propietario, suele ser más directa. En cualquier caso, en
una estructura de responsabilidad en cascada, un gerente es efectivamente
un director ejecutivo de su esfera de responsabilidad. De particular
importancia son los responsables financieros y su personal, cuyas
actividades de control van a través, así como arriba y abajo, de las
operaciones y otras unidades de la empresa.

¿Qué puede hacer un director ejecutivo para mejorar el sistema de control

interno de su organización? Algunas sugerencias indican que el director
ejecutivo debe realizar una evaluación de su sistema de control,
identificando los lugares donde el mismo sea inadecuado o necesite
mejoras, para que junto con sus ejecutivos de operaciones y finanzas,
pueda concentrar su atención en estas áreas.

Siguiendo con este enfoque, el director ejecutivo puede reunir a las

cabezas de las unidades de negocio de la organización y discutir la
evaluación inicial del sistema de control. Ellos deben continuar evaluando
sus respectivas divisiones para conocer, de manera más particular, los
lugares que necesitan corrección. De esta forma, pueden definir acciones
de mejora para las áreas particulares con problemas.

Otro enfoque puede incluir una revisión inicial de las políticas corporativas
y de negocios, así como los programas de auditoría interna. Cualquiera sea
su forma, esta evaluación inicial debe determinar dónde se necesite, y
cómo se debe proceder, con evaluaciones más profundas. También debe
asegurar que los procesos de monitoreo continuo están establecidos. El
tiempo que se dedique a evaluar el control interno representa una
inversión con un alto grado de retorno.

19
 1.8.1.2. Consejo Directivo.

Los directores, o consejo directivo, son quienes proveen el gobierno, la

orientación y supervisión a la organización completa. Los miembros
efectivos del consejo deben ser objetivos, capaces e inquisitivos. Ellos
también deben tener un conocimiento de las actividades de la organización
y su entorno, y dedicar el tiempo necesario para cumplir con sus
responsabilidades. Si bien la gerencia (que se encuentra debajo del consejo
directivo en jerarquía) puede estar en condiciones de reemplazar los
controles y de ignorar o reprimir las comunicaciones de los subordinados,
lo que permite una gestión deshonesta que tergiversa deliberadamente los
resultados para cubrir sus hechos. Un consejo directivo fuerte y activo se
encuentra generalmente mejor capacitado para de identificar y corregir
estos problemas cuando se combinan efectivos canales de comunicación
vertical con funciones de auditoría interna, financiera y legal.

¿Cómo pueden ayudar a mejorar el sistema de control? Los miembros del

consejo directivo deben discutir con los gerentes el estado del sistema de
control interno, y proveer orientación según se requiera. Ellos deben
recurrir y utilizar a la información de las auditorías internas y externas que
sean efectuadas.

1.8.1.3. Auditores Internos.

Los auditores internos juegan un papel importante en la evaluación de la

efectividad de los sistemas de control. Debido a su posición y autoridad
dentro de la organización, una función de auditoría interna a menudo
desempeña un papel de control realmente significativo.

1.8.1.4. Personal de la Organización.

El control interno es, en alguna medida, responsabilidad de todos dentro

de una organización, y por lo tanto, debería ser una parte explícita o
implícita en las descripciones de responsabilidades de todo el personal.
Virtualmente todos los empleados producen información que es usada por
el sistema de control interno, o realizan otras acciones necesarias para
efectuar un control. Además, todo el personal debe ser responsable de
comunicar verticalmente problemas en las operaciones, falta de
cumplimiento con el código de conducta o cualquier otra violación a las
políticas o acciones ilegales.

20
Algunas partes externas a la organización a menudo contribuyen a que esta
alcance sus objetivos. Los auditores externos, con su punto de vista
independiente y objetivo, asisten directamente con sus auditorías e
indirectamente al proveer información útil a la gerencia y a los directores,
para que estos puedan llevar a cabo sus responsabilidades. Otros que
proveen información útil a la organización, para efectuar controles
internos, son los legisladores y reguladores, clientes y otros negocios que
realizan transacciones con la organización, analistas financieros,
mediciones públicas y de la prensa. Sin embargo, estos componentes
externos no son responsables por el sistema de control interno de la
organización, y tampoco son parte del mismo.

¿Cómo pueden ayudar a mejorar el sistema de control? Los gerentes y el

personal deben considerar cómo están siendo efectuadas sus
responsabilidades de control con respecto a las políticas o frameworks de
control existente en la organización, y conversar con sus líderes directos
maneras de fortalecer el sistema.

1.8.2. Framework de Control.

Qué es un framework? Se puede definir al framework como una
plataforma, un entorno o un marco de trabajo. Es una estructura de
soporte definida en la cual los proyectos y actividades son organizados y
desarrollados. Los frameworks permiten facilitar las tareas de control
interno al brindar un modelo de referencia para el trabajo.

Los frameworks de control cuentan con cinco características:

• Sus recomendaciones y mejores prácticas se orientan hacia el

negocio.

• Ofrecen un mejor foco del control interno en el negocio.

• Permiten definir un lenguaje común para comunicarse.

• Cumplen con las regulaciones y normativas vigentes.

• Poseen una aceptación general entre distintas organizaciones.

21
Figura 2. Organización interna de la seguridad informática. Fuente: Piattini – Del Peso.

1.8.3. Componentes de un Framework de Control.

Los controles internos se establecen para mantener a la empresa en
camino hacia los objetivos de rentabilidad y del logro de su misión, así
como minimizar los problemas que puedan presentarse. Además, permiten
a la dirección abordar rápidamente los cambios del entorno económico y
competitivo, las demandas y las prioridades cambiantes de los clientes, y la
reestructuración para el crecimiento futuro. El control interno busca
promover la eficiencia, reducir el riesgo de pérdida de activos, garantizar la
fiabilidad de los estados financieros y el cumplimiento de las leyes y
reglamentaciones.

22
El control interno tiene diferentes significados para diferentes personas.
Esto causa confusión entre la comunidad comercial, legisladores,
reguladores y otros. Estas dificultades en la comunicación y expectativas
distintas generan problemas en las organizaciones. Los problemas se
complican cuando los términos están escritos en leyes, reglamentos o
normas, sin ser correctamente clarificados.

Los frameworks de control ayudan a solucionar estos inconvenientes de

dos formas:

• Al establecer definiciones comunes que sean de utilidad a las

necesidades de las distintas partes.

• Al proporcionar un estándar contra el cual las empresas y otras

entidades - grandes o pequeñas, en el sector público o privado, con
o sin fines de lucro - pueden evaluar sus sistemas de control y
determinar la forma de mejorarlos.

El control interno se define generalmente como un proceso, efectuado por

la junta directiva de una organización, las gerencias y otro personal,
diseñado para proporcionar una seguridad razonable sobre la consecución
de los objetivos en las siguientes categorías:

1. Efectividad y eficiencia de las operaciones.

2. Confiabilidad de la información financiera.

3. Cumplimiento de las leyes y reglamentos aplicables.

La primera categoría se refiere a los objetivos básicos de negocio de la

organización, incluyendo los objetivos de rendimiento, rentabilidad y
protección de los recursos. La segunda se refiere a la preparación y
publicación de estados financieros confiables, incluyendo los estados
financieros intermedios y consolidados, y los datos financieros
seleccionados derivados de tales declaraciones. La tercera trata del
cumplimiento con las leyes y reglamentos a los que la organización está
sujeta. Estas categorías distintas pero superpuestas, permiten tener un
enfoque dirigido a satisfacer necesidades diferentes.

Los sistemas de control interno operan en niveles diferentes de

efectividad. El control interno puede ser juzgado como efectivo en cada
una de las tres categorías respectivamente, si los directores y gerentes
cuentan con garantías razonables de que los objetivos son alcanzados de la
siguiente manera:

• Los estados financieros publicados son preparados de forma fiable.

23
 • Las leyes y reglamentaciones aplicables son cumplidas.

• Si bien el control interno es un proceso, su efectividad es un estado

o condición del proceso en uno o más puntos en el tiempo.

Existen varias organizaciones que establecen frameworks de control

interno (ISACA, COSO, ITIL, ISO entre otras). Cada uno de estos frameworks
consta de componentes relacionados entre sí. Estos se derivan de la forma
en que la dirección de la corporación maneja el negocio, y están integrados
con el proceso de gestión organizacional. Aunque estos componentes se
aplican a todas las organizaciones, en las empresas de tamaño pequeño y
mediano pueden implementarlos de manera diferente que las grandes. A
pesar de que sus controles pueden ser menos formales y menos
estructurados, una pequeña empresa todavía puede tener un control
interno eficaz. Más adelante se verán las partes de algunos de los
frameworks internacionales aceptados por la comunidad TI.

1.8.4. Fuentes de Framework de Control.

Existen organismos internacionales que se dedican a la creación de
frameworks, estándares y metodologías para la auditoría y el control
interno informático. A continuación de describirán las más importantes:

1.8.4.1. ISACA.

ISACAiii es una asociación de profesionales dedicada principalmente al IT

Governance (Gobernabilidad TI en español). Antes conocida como
InformationSystemsAudit and Control Association, ahora solo de llama por
su acrónimo ISACA para reflejar el rango amplio de profesionales a los que
presta servicio.

Fue fundada en los Estados Unidos en 1967 por un grupo de profesionales

que trabajaban en controles de auditoría para sistemas de computación.
Ellos se dieron cuenta de la importancia de su función para sus
organizaciones y de la necesidad de contar con información y guía
centralizada en la materia. El grupo se formalizó primeramente con el
nombre de EDP Auditor

Association (Asociación de Auditores de Procesamiento Electrónico de

Datos) con Stuart Tyrnauer como su director.

En 1976 la asociación formó una fundación educativa para enfocar sus

esfuerzos en investigaciones de gran escala y así expandir el conocimiento
y el valor del campo del IT Governance y del control interno.

24
En la actualidad, ISACA cuenta con más de 86.000 miembros con
certificaciones ISACA en más de 160 países. Sus miembros son auditores de
sistemas, consultores, educadores, profesionales de seguridad de sistemas
entre otros similares en distintos niveles gerenciales de las organizaciones.
Existen 170 capítulos de ISACA establecidos en 60 países que proveen
educación, recursos, red de contactos y otros beneficios. Además, ISACA
Realiza eventos, conferencias y desarrolla estándares en IT Governance,
aseguramiento y seguridad para que sus miembros puedan aprender de las
experiencias de los demás e intercambiar puntos de vistas en diversos
temas e industrias. ISACA también publica la revista técnica ISACA Journal
dedicada al campo del control informático.

ISACA brinda certificaciones reconocidas internacionalmente, algunas de

ellas son:

• CISA: CertifiedInformationSystems Auditor, orientada a auditores

de sistemas de información para mantener sus habilidades, y
monitorizar la efectividad de los programas de mantenimiento. Esta
certificación ha sido formalmente aprobada por el Departamento
de Defensa de los Estados Unidos en la categoría de Aseguramiento
de Información Técnica. La poseen más de 70.000 profesionales.

• CISM: TheCertifiedInformation Security Manager, orientada a

administradores de seguridad de la información. Esta certificación
está enfocada a la gerencia y define los principales estándares de
competencias y desarrollo profesionales que un director de
seguridad de la información debe poseer, competencias necesarias
para dirigir, diseñar, revisar y asesorar un programa de seguridad de
la información. La poseen más de 12.500 profesionales.

• CGEIT: TheCertified in theGovernance of Enterprise, diseñada para

promover el progreso de profesionales que deseen ser reconocidos
por su experiencia y conocimiento en el área de IT Governance. La
poseen más de 4.000 profesionales.

• CRISC: Certified in Risk and InformationSystems Control, es para

profesionales que identifican y gestionan riesgos mediante la
elaboración, implementación y mantenimiento de los controles de
los sistemas de información.

25
En 1996 ISACA organizó ISACF (InformationSystemAudit and Control
Foundation), una organización internacional sin ánimo de lucro para llevar
a cabo investigaciones y dar a conocer los nuevos avances en la materia de
control y gestión de las tecnologías de los sistemas de información, e
informar a los usuarios tecnológicos sobre la importancia del control
interno en todas las organizaciones. ISACF publicó la primera versión del
estándar COBIT en 1996, hoy mantenido por ITGI, han diseñado este
producto principalmente como una fuente de instrucción para los
profesionales dedicados a las actividades de control.

En 1998 ISACA funda ITGIiv (IT GovernanceInstitute) como una entidad de

investigación independiente y sin fines de lucro, cuyo objetivo es proveer
guía a los ejecutivos y a los profesionales de sistemas de información en
temas relacionados con el IT Governance. Además intenta ayudar a estos
profesionales a alinear sus actividades con los objetivos de la organización
y mitigar los riesgos existentes. ITGI mantiene y actualiza los estándares
COBIT y Val IT, y ofrece casos de estudio e investigación a las empresas
interesadas en mejorar sus responsabilidades en el gobierno y
administración de la tecnología.

1.8.4.2. COSO.

El Committee of SponsoringOrganizations of theTreadwayCommission

(COSO) es una organización creada en 1985 por empresas privadas en los
Estados Unidos, dedicada a brindar asesoramiento a los gerentes en
aspectos críticos del gobierno organizacional, éticas de negocio, control
interno, gestión de riesgos, fraude y reporte financiero. COSO diseñó un
modelo de control interno para que las empresas y organizaciones basen
sus sistemas de control.

COSO publicó en 1992 el reporte ―Internal Control— Integrated

Framework‖, re-publicado en 1994. Este reporte presenta una definición
común del control interno y provee un framework en el cual los sistemas
de control interno pueden ser evaluados y mejorados. Este reporte se
utiliza como un estándar para las auditorías anticorrupción de la FCPA
(ForeignCorruptPracticesAct) en las empresas de los Estados Unidos.

26
 1.8.4.3. ISO.

La Organización Internacional para la Estandarización (ISO) y la Comisión

Electrónica Internacional (IEC) publicaron en el año 2000 el ISO/IEC
17799:2000 como un estándar para la seguridad de la información, que
luego fue actualizado en 2005 como ISO/IEC 17799:2005. El título del
estándar es ―Informa=ontechnology - Security techniques - Code of
practiceforinformationsecuritymanagement‖.

El ISO/IEC 17799 provee mejores prácticas para la administración de la

seguridad de la información. Está orientado a los responsables de iniciar,
implantar y mantener los sistemas de gestión de la seguridad de la
información. Los puntos principales de este estándar son el mantener la
confidencialidad, la integridad y la disponibilidad de la información de la
organización. La norma no especifica requisitos necesarios, sino que es una
guía de mejores prácticas para establecer un sistema certificable.

1.8.4.4. ITIL.

InformationTechnologyInfrastructure Library (ITIL) es un framework

compuesto por mejores prácticas en el campo de los servicios de
tecnología de la información. Contiene un conjunto de procedimientos
orientados a brindar soporte a las organizaciones a lograr calidad y
eficiencia en las operaciones tecnológicas.

ITIL fue desarrollada en los años 1980 por la Central Computer and
Telecommunications Agency (CCTA) del gobierno británico y adoptada
ampliamente en los mediados de los 1990. Fue la base para normas y
estándares internacionales, como la ISO/IEC 20000 de la gestión de
servicios TI. ITIL proporciona un lenguaje común ampliamente aceptado
por la comunicad informática.

ITIL posee una certificación para profesionales dividida en tres niveles:

Foundation, Practitioner y Manager.

• FoundationCertificate en Gestión de Servicios TI: está destinado a

quienes desean tener un conocimiento básico de las prácticas ITIL
en la gestión de los servicios TI y de la terminología propia de ITIL.

• PractitionerCertificate en Gestión de Servicios TI: destinado a

quienes tiene responsabilidad en diseñar procesos de gestión de la
información y en las actividades de los mismos.

27
 • Manager Certificate en Gestión de Servicios TI: orientado a
profesionales con profundos conocimientos en todas las áreas de la
gestión de la información, así como directores de
implementaciones ITIL.

Si bien las organizaciones no pueden recibir certificaciones ITIL, si pueden

certificar ISO/IEC 20000 para demostrar su implementación de las prácticas
ITIL sobre gestión de servicio TI.

1.8.5. IT Governance.
La palabra en inglés ―Governance‖ se traduce como ―Forma de
Gobierno‖, ―Gobernabilidad‖ o simplemente ―Gobierno‖, en esta lectura
se utilizará el término en inglés (así como ―Framework‖) por ser este el
más usado en la industria de los sistemas de información. El Gobierno de la
IT (IT Governance) es un framework cuyo fin es garantizar que las
decisiones tecnológicas se realizan apoyando los objetivos y las metas de
negocio de la organización. La responsabilidad del IT Governance es del
directorio y de los gerentes ejecutivos de las empresas, no se delega esta
responsabilidad a los responsables de las áreas de sistemas. El IT
Governance se deriva de Gobierno Corporativo (CorporateGovernance) y
se ocupa principalmente de la conexión entre el enfoque de negocios y la
gestión TI. Los principales objetivos del IT Governance son el
aseguramiento que las inversiones en TI generen valor de negocio y la
mitigación de los riesgos asociados con la TI.

Figura4.CorporativeGovernancevs.ITGovernance.

28
El ITGI define a la IT Governance como ―una estructura de relaciones y
procesos para dirigir y controlar la compañía, a fin de alcanzar las metas de
la organización al añadir valor, mientras se balancean los riesgos vs el
retorno en la TI y sus procesos.‖

En otras palabras, el IT Governance es la manera en que los principales

directores y ejecutivos de las empresas planean las inversiones en los
sistemas de información, teniendo en consideración las ganancias que
tendrá la corporación con ellas. El IT Governance representa la manera en
que estos ejecutivos administrarán (gobernarán) la infraestructura
tecnológica desde una vista global de toda la organización, y sus relaciones
con el mercado y la competencia.

La influencia constante de las regulaciones empresariales está obligando a

las compañías a encontrar nuevas estrategias para minimizar las cargas y
maximizar los beneficios de abordar el cumplimiento a las normativas. Las
compañías pueden obtener una serie de beneficios del cumplimiento
regulatorio, incluyendo un reporte financiero más exacto, una mejor
visibilidad de los riesgos, y un mejor IT Governance. Este último, como
parte del CorporativeGovernance, proporciona las estructuras
organizativas necesarias para crear valor de negocio en la tecnología de la
información (TI). Parte de este proceso es el asegurase que las inversiones
en TI se hacen sólo en proyectos económicamente rentables y que existen
suficientes mecanismos de control de la TI.

Mediante la alineación de la planificación del TI con los objetivos de la

organización, la TI se convierte en una pieza clave en la evaluación de los
asuntos de negocio dentro de la toma global de decisiones. Los frameworks
de IT Governance y de control interno son herramientas fundamentales y
de gran ayuda para la dirección de las empresas y también para los
gerentes de sistemas que las implementan.

Si bien el año 2006 marca la primera aparición de tema IT Governance en la

lista principal de tecnología de AICPA (American Institute of
CertifiedPublicAccountants), el concepto no es nuevo. Como ya se nombró,
el ITGI fue establecido en 1998, cuando publicó su framework de IT
Governance. A partir de allí, un gran número de organizaciones
profesionales líderes en la industria y grupos de investigación también
promovieron el concepto de IT Governance.

29
 1.8.5.1. Alineamiento del TI con los Requerimientos del Negocio.

Mientras que los frameworks de IT Governance pueden ayudar a las

organizaciones y a los negocios a satisfacer los requisitos de las
reglamentaciones gubernamentales, el concepto posee más utilidad como
un medio para asegurar que la TI se encuentra perfectamente alineada con
los requerimientos del negocio, y que los servicios TI se prestan de manera
rentable. Sin embargo, las compañías que más se benefician por desarrollar
un framework de IT Governance son aquellas en donde:

• La TI es el componente principal del modelo de negocios, por

ejemplo, donde el uso del TI es un fenómeno generalizado en los
productos y servicios para industrias como la financiera, salud,
farmacéutica y productos de consumo.

• La TI es un factor primordial de la eficiencia y la eficacia de los

procesos principale,: por ejemplo, en la última década o más, las
compañías dedicadas a la manufactura y distribución han realizado
importantes inversiones en TI con el propósito de simplificar y
globalizar los procesos de negocio.

• La TI es una fuente primaria de los riesgos, que incluyen la

interrupción proveniente de cambios, incumplimiento, controles
inefectivos, oportunidades perdidas y los gastos excesivos.
Normalmente, cuanto más una empresa utiliza y depende de la TI,
mayor es el riesgo que representará para la empresa.

Tal vez el elemento más importante de los frameworks de IT Governance,

tales como COBIT, es que proporcionan orientación para ayudar a las
empresas a implantar adecuadamente la planificación y la gestión del TI en
todos los aspectos del negocio.

1.8.5.2. Nuevos Enfoques para la Gestión TI

Los enfoques de la vieja escuela de gestión de TI ponen la responsabilidad

de la TI exclusivamente en el gerente de sistemas, quien no es
generalmente un socio confiable de los directivos superiores de la
organización.

Dentro de la nueva escuela de IT Governance, la TI es una responsabilidad

de los directivos superiores, no sólo el trabajo del gerente de sistemas. En
este nuevo enfoque, los gerentes TI se convierten en socios de los gerentes
ejecutivos de operaciones, finanzas, recursos humanos, y de otras áreas de
la organización. Juntos aprovechan la tecnología para resolver los
problemas de negocios, y utilizar un enfoque organizado para planificar e

30
implementar soluciones de TI, que sean más eficaces para la empresa en su
conjunto.

Como resultado de ello, el IT Governance requiere de un liderazgo fuerte.

Este liderazgo no sólo requiere importantes destrezas técnicas, sino
también las habilidades del personal y mucho enfoque en los negocios.

1.8.5.3. La integración IT.

Las organizaciones que implementan IT Governance poseen fuertes líderes

de TI que participan activamente en el mantenimiento de todos los
aspectos de las operaciones, finanzas, gestión de personal, entre otros.
Estas empresas considerar cuidadosamente el rol de IT en toda la
planificación estratégica, en la gestión operativa y en el cumplimiento de
las actividades de gestión relacionadas. Además, un IT Governance efectivo
provee un monitoreo y evaluación continuo de la eficacia y la eficiencia de
la compañía.

1.8.5.4. Diferencia entre Gobierno del TI (IT Governance) y Gestión de

la TI.

Para poder lograr un IT Governance exitoso es fundamental contar con las

buenas prácticas de la gestión TI, la eficacia de aquel dependerá en gran
medida de la eficiencia en la implementación de estas prácticas.

El propósito de la gestión de la TI es brindar servicios a los sistemas de

información de una manera segura, confiable, predecible, sostenible en el
tiempo, rentable y adecuada a las necesidades del negocio con un nivel de
riesgo aceptable. En el XXIX Salón de Informática, llevado a cabo en Agosto
del 2009 en Bogotá, Colombia, Roberto C. Arbeláezv quien se desempeña
como Security Program Manager para Latinoamérica en Microsoft,
presentó los siguientes pilares fundamentales de la gestión TI:

• Optimización de la Infraestructura: Adquirir la infraestructura

óptima para las necesidades de la organización. Utilizar de manera
óptima los recursos computacionales de la organización de manera
que le agreguen valor a las operaciones del negocio:

o Incrementar la integración, el intercambio de información y

la utilización compartida de recursos.

o Mejorar la eficiencia, eliminar la redundancia y aumentar la

automatización.

31
 • Operaciones de la TI: Administrar, Gestionar y Operar
adecuadamente un sistema de información y todos sus
componentes:

o Infraestructura computacional y de comunicaciones.

o Procesos y procedimientos.

o Personas.

Mantener niveles de servicio adecuados a las necesidades del negocio.

• Seguridad Informática: Asegurar y mantener seguros todos los

componentes del sistema de información. Mantener la
confidencialidad, integridad y disponibilidad de la información.
Garantizar la continuidad del servicio. Diseñar elementos de control
que garanticen el acceso controlado a los recursos del sistema.‖

Arbeláez también define un proceso de siete pasos para implementar un

framework de IT Governance en una organización:

1. Definir un marco organizacional (como parte de una iniciativa de

gobierno de TI) con responsabilidades y objetivos claros, y la participación
de todos los actores interesados, que lidere la implementación y se adueñe
(y se haga responsable) de ella.

2. Alinear la estrategia de TI con los objetivos del negocio.

a. ¿En cuáles objetivos de negocios contribuyen las TIs de manera

significativa?

b. Se debe lograr un entendimiento adecuado del entorno de

negocios, los riesgos (y la tolerancia corporativa frente al riesgo), y
la estrategia de negocios (y cómo se relaciona con las TIs).

c. Las guías de gestión de COBIT (específicamente los KGIs) y los

criterios de información del marco de COBIT ayudan a definir los
objetivos de TI, en conjunto con ITIL, de esta manera definiendo
niveles de servicio y estructurando Acuerdos de Nivel de Servicio
(ServiceLevelAgreements - SLAs), ajustándose a las necesidades del
cliente.

3. Entender y definir los riesgos. Dados los objetivos de negocio, ¿Cuáles

son los riesgos que afectan la capacidad de las TIs de proveer un servicio
adecuado? El proceso de COBIT para la administración del riesgo (PO9) y la

32
aplicación del marco de control y de los criterios de información ayudan a
asegurar que los riesgos sean identificados y que se les asigne un dueño.
ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los riesgos
de seguridad.

4. Delimitar las áreas a optimizar, y en ellas, identificar los procesos de TI

que son críticos para administrar adecuadamente los diferentes riesgos. El
marco de Procesos de COBIT puede ser usado como la base, apoyado en la
definición de procesos de entrega de servicios críticos
(keyservicedeliveryprocesses) de ITIL y los objetivos de seguridad de ISO
17799.

5. Analizar la capacidad actual de prestación de servicios de TI respecto a

las necesidades del negocio, e identificar las brechas. Llevar a cabo un
análisis de capacidad de madurez (maturitycapabilityassessment) para
identificar en dónde se necesitan más urgentemente mejoras (puede
usarse el modelo de madurez de COBIT, o el de ITIL). Las guías de gestión
de COBIT proveen una base, soportada en más detalle por ITIL e ISO 17799.

6. Desarrollar una estrategia de mejora continua, y articularla a través de

un portafolio de proyectos. Se debe decidir cuáles proyectos deben tener
una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestión
y el gobierno de áreas que provean servicios de TI significativos para el
negocio. La decisión debe tomarse basado en el beneficio potencial, la
facilidad de implementación de las mejoras, y con un claro foco en
procesos importantes de TI. Se deberá establecer un proceso de mejora
continua (ContinuousImprovementProcess) que garantice que la
optimización será permanente a lo largo del tiempo. Los CSFs de COBIT, los
objetivos de control y las prácticas de control son soportadas con mayor
nivel de detalle por ITIL e ISO 17799.

7. Medir los resultados a través de la definición de metas-objetivos,

métricas, y la creación de indicadores e índices de gestión, y la articulación
de un tablero de control, que permita medir el desempeño actual y
monitorear los resultados de nuevas mejoras. Las guías de gestión de
COBIT (específicamente los KPIs, alineados a KGIs previamente definidos)
pueden formar la base del scorecard.‖

1.8.6. Frameworks Internacionales de Control

(COSO, ISACA, ITIL, ISO).
1.8.6.1. Committee of SponsoringOrganizations (COSO).

33
Después de varios errores de auditoría significativos ocurridos durante la
década de 1980, COSO, formado para redefinir el control interno y los
criterios para determinar la eficacia de un sistema de control interno,
publicó el documento ―Internal Control - Integrated Framework‖ en 1992
que cambió la forma de mirar al control interno. También se conoce a este
documento como el ―Informe COSO‖ sobre control interno.

En este informe se resumen lo resultados de las investigaciones realizadas

por un grupo de trabajo de la TreadwayCommision,
NationalCommissiononFraudulentFinancialReporting de los Estados
Unidos. Si bien se solicitó la redacción del informe a Coopers&Lybrand, los
representantes de este grupo fueron:

• American AccountingAssociation (AAA)

• American Institute of CertifiedPublicAccountants (AICPA)

• FinancialExecutiveInstitute (FEI)

• Institute of InternalAuditors (IIA)

• Institute of Management Accountants (IMA)

La idea fundamental del trabajo era definir un nuevo marco conceptual del
control interno, con capacidades de integrar las definiciones y conceptos
existentes hasta ese momento. Creando de esta manera un framework
común de trabajo para distintas organizaciones, sean estas del orden
privado, público, académicas, gubernamentales, de control externo o
interno.

Las teorías tradicionales, que primeramente se enfocaban en los controles

financieros, se ampliaron considerablemente. El framework COSO
considera no sólo la evaluación de los controles duros, como la separación
de funciones, sino también los controles blandos, tales como la
competencia, la profesionalidad de los empleados, los controles de la
integridad y los valores éticos del personal, la filosofía y el estilo de
operación de la gerencia y la efectividad de la comunicación.
Especialmente en los Estados Unidos, estos conceptos han sido adoptados
por muchas organizaciones, así como por muchas entidades
gubernamentales, a pesar de que la aplicación del framework COSO en la
práctica no es tan simple como su adopción en la teoría.

Framework Integrado de Control

El framework COSO consta de cinco partes componentes, ellos son:

Ambiente de Control, Evaluación de Riesgos, Actividades de Control,

34
Información y Comunicación y Supervisión y Seguimiento del Sistema de
Control. Estos componentes están interrelacionados y para ser efectivos
deben estar institucionalizados en la organización, es decir, ser parte de sus
procesos administrativos cotidianos. Otra característica de los
componentes del framework COSO es que los procesos no son secuenciales
ni están en un orden específico, sino que son multidireccionales,
repetitivos y permanentes, pudiendo un proceso ser afectado y afectar a
varios. Ellos forman lo que se conoce como un framework integrado para
responder a cambios en las condiciones del negocio.

Efectividad:

La RAE define efec=vidad como la ―capacidad de lograr el efecto que se

desea o se espera‖. La efectividad de los sistemas de control interno está
medida con la calidad con la que se desempeñan en el paso del tiempo y
en condiciones cambiantes. Este juicio sobre la efectividad del sistema
resulta subjetivo y está condicionado por el momento de su medición. Se
deben considerar el desempeño de cada uno de los cinco componentes del
framework, como también el logro de cada uno a los siguientes puntos:

• La consecución de las metas y objetivos de la organización están

siendo alcanzados.

• La información de los estados financieros es fiable.

• Las normas y reglamentación gubernamentales son cumplidas.

En la medición de efectividad no se tiene que esperar que los cinco puntos

componente trabajen de la misma manera y con el mismo grado de
desempeño. Se debe adecuar su funcionamiento a la organización en
donde se apliquen, en algunos casos se enfocarán a mitigar ciertos riesgos
presentes particulares del entorno de la empresa donde se encuentren. Sin
embargo, siempre se espera que, como conjunto, satisfagan los criterios
generales de efectividad aceptados por el directorio de la entidad evaluada
y por los auditores internos y externos.

Componentes del Informe COSO:

1. Ambiente de Control.

El ambiente o entorno de control establece el tono de una organización,

influyendo en la conciencia de control de su personal. Es la base para todos
los demás componentes del control interno, proporcionando disciplina y
estructura. Busca estimular las actividades del personal con respecto al
control de las mismas. Los factores de control del entorno incluyen:

35
• La integridad y los valores éticos del personal

Generar declaraciones referentes a la conducta y los valores éticos

del personal. La integridad y los valores de quienes diseñan,
implementan y supervisan el sistema de control son fundamentales
para la efectividad del mismo. El directorio juega un papel
preponderante en este punto, debido a que ellos deben comunicar
de forma efectiva y fortalecer los valores, y así demostrar con su
ejemplo el grado de cumplimiento requerido a los mismos. Además,
se deben prestar la atención necesaria a los puntos débiles del
sistema, donde existan conductas contrarias a los valores éticos o
donde los controles sean insuficientes para los riesgos que puedan
materializarse.

• La competencia de las personas de la organización:

Las personas que componen la organización deben poseer las

habilidades y el conocimiento necesario para desempeñar sus
tareas de conformidad con los valores éticos de la entidad y con el
sistema de control interno establecido.

• La filosofía de gestión y el estilo de operación:

Corresponde a la actitud mostrada hacia los activos que se desea

salvaguardar, como la información financiera, el procesamiento de
la misma y las buenas prácticas de la industria entre otros.

• La manera en que los gerentes asignan autoridad y responsabilidad,

y organizan y desarrollan su personal:

Estos elementos influyen considerablemente en el ambiente de

control. Igualmente, las acciones de los gerentes impactan en el
desarrollo de las operaciones, en el establecimiento de los objetivos
y en la estimación de los riesgos. Estas decisiones están basadas por
la misma historia de la organización, el nivel cultural de la gestión y
por el comportamiento de los sistemas de información.

• La atención y la orientación proporcionada por el consejo directivo:

Los miembros del consejo directivo, así como otros líderes de la

organización, tienen que contar con la experiencia, la dedicación y
el involucramiento en las actividades delsistema de control y en las
decisiones respecto a la información proporcionada por los
auditores. Ellos son quienes determinan los criterios para organizar
el ambiente de control.

36
2. Evaluación de Riesgos.

Cada entidad se enfrenta a una variedad de riesgos de fuentes externas e

internas que deben ser evaluados. Una condición previa para la evaluación
de riesgos es el establecimiento de objetivos, vinculados a diferentes
niveles e internamente consistentes. La evaluación de riesgos es la
identificación y análisis de los riesgos relacionados con el logro de los
objetivos, formando una base para determinar cómo los riesgos deben ser
manejados. Debido a que las condiciones económicas, industriales,
regulatorias y operacionales va a continuar cambiando, se necesitan
mecanismos para identificar y hacer frente a los riesgos especiales
asociados con el cambio.

Por lo tanto, la primera tarea que propone el framework es establecer los

objetivos para todos los niveles de la organización. Conocidos los objetivos
se tiene una base para identificar y analizar los factores de riesgos que
pueden amenazar su consecución. Estos objetivos representan la
orientación que la dirección está buscando para el negocio, e intentan
aplicar todos sus recursos y esfuerzos en ellos. Los objetivos aspiran a
identificar factores críticos de éxito para la empresa. De aquí la importancia
poseer una base sólida para el control interno efectivo, es decir, poseer
criterios de evaluación y monitoreo de los riesgos identificados como
probables.

El informe COSO establece las siguientes categorías para los objetivos:

• Objetivos de Información Financiera: el propósito es que la

información financiera de la organización sea fiable.

• Objetivos de Cumplimiento: se refiere al cumplimiento de las

normas y reglamentaciones vigentes y aplicables a la entidad.

Además, COSO identifica ciertos eventos necesarios para el cumplimiento

de los objetivos:

• Ejecución de controles internos efectivos que brinden garantía

suficiente para el cumplimiento de los objetivos, especialmente los
de información financiera.

• Ejecución de controles para evaluar la consistencia en los objetivos

de operación y sus relaciones con las metas de las distintas áreas de
la empresa. En estos casos existen cambios en el entorno fuera del
alcance de los controles, por lo que los controles deben identificar

37
 los factores críticos para el éxito e informar de acciones correctivas
necesarias.

Con respecto a los riesgos, el informe COSO expresa que el sistema de

control debe ser lo suficientemente amplio para monitorear las relaciones
de todas las áreas de la organización con su entorno. Los riesgos a
considerar incluyen a los de nivel global, tanto internos como externos, y a
los de nivel de actividad de las áreas funcionales más importantes,
clasificando a los mismos por su grado de impacto. Todo análisis de riesgos
debe considerar:

• Una estimación de la importancia del riesgo y su impacto en la

organización.

• Una evaluación de la probabilidad de ocurrencia del mismo.

• Un plan de acciones ante la materialización de algún riesgo.

Un punto esencial en la efectividad de los controles internos es el control

de cambios. Los cambios deben poder gestionarse de manera que no
afecten o degraden el monitoreo del sistema de control. Aquellos estados
o condiciones, donde los cambios afecten al sistema, deben estar
perfectamente identificados. También la gestión de cambios debe estar
interrelacionado con elanálisis de riesgo, de modo tal que se conozca
cuando cambios en el entorno generen riesgos o amenazas para la entidad.

Es el directorio el principal responsable de la gestión de objetivos, riesgos y

cambios. Los auditores, tanto internos como externos, solo apoyan a la
organización verificando el nivel de acatamiento a las directivas, normas y
políticas establecidas.

3. Actividades de Control.

Las actividades de control son las políticas y los procedimientos que ayudan
a garantizar que las directivas gerenciales sean llevadas a cabo. Estas
actividades también avalan las medidas necesarias para hacer frente a los
riesgos para la consecución de los objetivos de la organización. Las
actividades de control se producen en toda la organización, en todos los
niveles y en todas las funciones. Estas incluyen una amplia gama de
actividades tan diversas como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones de desempeño operativo, seguridad de los
activos y la segregación de funciones.

Otras actividades de vital importancia son la protección de los recursos, la

distribución de responsabilidades, el monitoreo continuo y la capacitación
necesaria. Las actividades de control son de características diferentes,

38
algunas pueden estar automatizadas, otras se realizan en forma manual,
pueden ser preventivas o correctivas, generales o específicas, globales o de
algún área en particular.

Sin embargo, todas estas actividades se enfocan, en distinto grado, en

evitar y mitigar los riesgos probables identificados que puedan amenazar a
los objetivos y la misión de la organización, así como sus recursos y activos.
Las actividades de control diseñadas deben representar la manera correcta
de proceder y el medio idóneo para obtener el mejor control con un
criterio costo beneficio aceptable.

El informe COSO provee características a considerar en los controles de los

sistemas de información, estas abarcan los siguientes puntos:

• Controles Generales: estos controles buscan garantizar la

operatoria continua de la entidad, y verifican los sectores de
procesamiento de datos, seguridad lógica y física, administración de
hardware y software. Además, comprenden las actividades de
desarrollo de sistemas, mantenimiento y soporte del mismo, las
bases de datos y las comunicaciones.

• Controles de Aplicativos: se enfocan en las aplicaciones corriendo

en los sistemas de información. Verifican los mecanismos de
autorización y validación e interfaces de intercambio de datos con
otros sistemas.

4. Información y Comunicación.

La información es el componente principal y vital para poder controlar y

administrar una organización y poder tomar las decisiones correctas
utilizando los recursos adecuados. La información debe ser oportuna, clara,
asequible, relevante, completa y fidedigna.

La información pertinente debe ser identificada, capturada y comunicada

en forma y tiempo, a fin de permitir al personal de una entidad cumplir con
sus responsabilidades. Los sistemas de información producen reportes que
contienen información de los aspectos operativos, financieros y de
cumplimiento regulatorio que hacen posible poner en funcionamiento y
controlar el negocio. Tratan no sólo con los datos generados internamente,
sino también información acerca de los acontecimientos externos,
actividades y condiciones necesarias para la toma decisiones de negocio.

39
Asimismo, los sistemas de información, actuando como sistemas de
control, juegan una función muy importante para éxito de la organización,
al apoyar la implementación de las estrategias corporativas diseñadas por
la dirección. Esto es posible debido a que los sistemas de información se
encuentran integrados en las operaciones cotidianas de las empresas. Esta
integración posee distintos grados de complejidad, dependiendo de la
organización donde se apliquen.

De esta forma la información constituye una ventaja competitiva para las

empresas, dado que provee a la dirección de una herramienta decisiva y
útil para la toma de decisiones de negocio. Por esto, las organizaciones
realizan importantes inversiones en mejorar la calidad de la información
proporcionada por sus sistemas TI.

El sistema de comunicación de la organización es otro apartado indicado

por el informe COSO. La comunicación efectiva también debe ocurrir en un
sentido más amplio, fluyendo hacia abajo, hacia arriba y a través de la
organización. Todo el personal debe recibir un claro mensaje de la alta
dirección de que las responsabilidades de control deben ser tomadas
seriamente. Ellos deben entender su propio papel en el sistema de control
interno, así como de qué manera las actividades individuales se relacionan
con el trabajo de otros. Deben tener un medio para comunicar información
importante hacia arriba en la organización.

También es necesaria la comunicación efectiva con las partes externas,

como clientes, proveedores y accionistas. Conjuntamente con las entidades
reguladores públicas que deben obtener información sobre las operaciones
de la empresa, incluso el desempeño del sistema de control por ejemplo en
las entidades financieras.

5. Supervisión y Seguimiento del Sistema de Control.

Al diseñar un sistema de control, se tiene en consideración determinadas

circunstancias en las que se calcula que trabajará el sistema. Estas
circunstancias se estipulan en base a los riesgos detectados y a las
limitaciones inherentes a los sistemas de control. No obstante, las
circunstancias van cambiando a través del tiempo, reduciendo la
efectividad del sistema de control.

Por lo tanto, los sistemas de control interno deben ser supervisados y

monitoreados, es decir se debe contar con un proceso que evalúe la
calidad del desempeño del sistema en el tiempo. Esto se logra a través de

40
actividades de monitoreo continuo, evaluaciones puntuales o una
combinación de ambas.

El monitoreo continuo se produce en el curso de las operaciones. Incluye la

gestión regular y actividades de supervisión, y otras acciones que el
personal realiza en el desempeño de sus funciones. Las deficiencias del
control interno deben ser informadas a la gerencia y a la dirección, como
parte de los reportes de asuntos importantes.

Algunos ejemplos de actividades de monitoreo y supervisión pueden ser:

• Documentación cotidiana: autorizaciones, aprobaciones, informes,

reportes.

• Comprobación de los registros frente a la existencia física del bien.

• Informes de auditorías, contaduría, diagnósticos.

• Reportes generados por entidades externas.

• Revisiones de las operaciones relacionadas con la efectividad de los

controles.

• Detección de fraudes internos o externos.

El siguiente componente se refiere a evaluaciones que se realizan en

determinados momentos específicos. Estas actividades brindar información
valiosa a la dirección sobre la efectividad del sistema de control. Una
característica que ellas deben poseer es el carácter de independencia, en
otras palabras, para que sean eficaces tienen que ser objetivas y enfocarse
en medir la efectividad de los controles. El alcance y la frecuencia de las
evaluaciones puntuales dependerán principalmente de la evaluación de los
riesgos y la efectividad de los procedimientos de monitoreo y supervisión
continuo.

El tercer componente es una combinación del monitoreo y las

evaluaciones. Al mezclar ambas técnicas se intenta maximizar las ventajas
de cada una y minimizar sus puntos débiles.

Existe sinergia y vínculos entre estos componentes, conformando un

sistema integrado que reacciona dinámicamente a las condiciones
cambiantes. El sistema de control interno está entrelazado con las
actividades operativas de la organización y existen por razones de negocio
fundamentales. El control interno es más efectivo cuando los controles
están integrados en la infraestructura de la organización y son una parte de
la esencia misma de la empresa.

41
Hay una relación directa entre las tres categorías de objetivos (metas,
estados financieros y reglamentaciones), que son los que una entidad se
esfuerza por lograr, y los componentes, que representan lo que se necesita
para alcanzar los objetivos. Todos los componentes son relevantes para
cada categoría de objetivos. Al mirar a una categoría (por ejemplo, la
efectividad y la eficiencia de las operaciones) los cinco componentes deben
estar presentes y funcionando efectivamente para concluir que el control
interno de las operaciones es efectivo.

La definición de control interno, con sus conceptos básicos fundamentales

de un proceso, efectuado por personas, de una garantía razonable, junto
con la clasificación de los objetivos, los componentes, los criterios de
eficacia y las discusiones asociadas constituyen el framewok COSO de
control interno.

1.8.6.2. COBIT.

La función de COBIT es efectuar investigaciones, desarrollar, publicar y

promover un framework de control para el TI Governance, que sea
autorizado, actualizado y aceptado internacionalmente para el uso de
empresas, gerentes de negocio, profesionales TI y profesionales de calidad.

Con mayor frecuencia los directivos se están dando cuenta de la

importancia de la información en el éxito de una empresa. Ellos esperan
poder obtener una ventaja competitiva a través del uso óptimo de la TI. En
especial, los directores necesitan asegurarse que con la información
disponible la empresa pueda:

• Cumplir con los objetivos de negocio.

• Ser flexible para gestionar eficientemente los cambios.

• Gestionar adecuadamente los riesgos.

• Aprovechar las oportunidades que se presentan y actuar en

consecuencia.

Las empresas que tienen éxito comprenden los riesgos y explotan los
beneficios de la TI encontrando formas de:

• Alinear las estrategias del negocio con las de TI.

• Garantizar que los inversionistas y accionistas utilizan una gestión

estandarizada de negocios para reducir los riesgos.

42
 • Materia: Auditoría de Sistemas Profesor: Francisco Cardozo - 27 -

• Conseguir que la estrategia TI, así como los objetivos, se distribuyan

gradualmente a toda la estructura empresarial.

• Diseñar e desarrollar una infraestructura TI que soporte la

implementación de las estrategias y metas de negocio.

• Formar relaciones provechosas y vías de comunicación abiertas

entre la empresa y los proveedores de TI, y también con accionistas
externos.

• Monitorear el desempeño de la TI.

Satisfacer las Necesidades de Negocio:

Orientado hacia el negocio:

COBIT está diseñado para proveedores de servicios TI, usuarios y auditores

de TI, y principalmente hacia la gerencia y dueños de procesos de negocios.
El framework está en su totalidad orientado a los negocios de la
organización.

El framework COBIT se basa en el hecho de que para proporcionar la

información que la empresa requiere para satisfacer sus necesidades y
objetivos, debe invertir en administrar y controlar los recursos TI usando
procesos estructurados que provean la información de negocio requerida.
El framework COBIT brinda herramientas para ayudar a las organizaciones
a satisfacer los sus requerimientos de negocio.

Criterios de información de COBIT:

La información necesaria para cumplir con los requerimientos de negocio

tiene que adaptarse a ciertos criterios de control:

• Efectividad: la información a usarse tiene que ser relevante y

pertinente y se debe proporcionar de una forma oportuna,
correcta, consistente y utilizable.

• Eficiencia: la información debe ser generada con el óptimo uso de

recursos.

• Confidencialidad: proteger la información sensible contra

revelación no autorizada.

• Integridad: precisión y completitud de la información, así como su

validez de acuerdo a los valores y expectativas del negocio.

43
 • Disponibilidad: la información debe estar siempre disponible
cuando sea requerida. También se refiere a la protección de los
recursos y las capacidades necesarias asociadas.

• Cumplimiento: cumplir con las leyes, reglamentos y acuerdos

contractuales a los cuales está sujeto el proceso de negocios,
refiriéndose a criterios externos e internos.

• Confiabilidad: proporcionar la información adecuada para que el

negocio sea administrado correctamente y cumpla con sus
responsabilidades regulatorias.

El framework COBIT 4.1 publica un Modelo de Madurez para el Control

Internovi. En el apéndice 3 ―Control de Madurez‖ encontramos lo
siguiente:

“Este apéndice muestra un modelo genérico de madurez que describe el

estatus del ambiente de control interno y el establecimiento de controles
internos en una empresa. Muestra cómo la administración del control
interno, y la conciencia de la necesidad de establecer mejores controles
internos, por lo general evoluciona de algo ad hoc, hasta un nivel
optimizado. El modelo brinda una guía de alto nivel para ayudar a los
usuarios de COBIT a apreciar lo que se requiere para un control interno
efectivo en TI y ayudar a posicionar a su empresa en la escala de madurez”.

44
NiveldeMadurez Estado delEntorno de Control Establecimiento de
Interno ControlInterno

Nosereconocelanecesidaddelcontrol No existe la intención de evaluar la

interno. El control no es parte de la necesidad del control interno.
0
culturao misión organizacional. Existe Los
No existente
un alto riesgo de deficiencias incidentessemanejanconformevan
incidentes decontrol. surgiendo.
Sereconocealgodelanecesidaddel No existe la conciencia de la
controlinterno.El enfoquehacialos necesidadde evaluarlo que se
requerimientosderiesgoy controlesad necesitaentérminosdecontrolesde
1 hocydesorganizado,sincomunicación TI.Cuandosellevan acabo, son
Inicial /ad hoc osupervisión. Nose identifican las solamente de forma ad hoc, a alto
deficiencias. Losempleadosnoestán nivelycomoreacción aincidentes
conscientes de sus significativos. Laevaluaciónsólo se
responsabilidades. enfocaal incidente presente.

Existen controles pero no están La evaluación de la necesidad de

documentados.Suoperación depende controlsucede solo cuando se
delconocimientoy motivacióndelos necesita para ciertos procesos
individuos.Laefectividadnoseevalúa seleccionadosdeTIpara determinar
deforma adecuada. Existenmuchas el nivel actual demadurezdelcontrol,
2
debilidadesdecontroly nose resuelven el nivelmeta quedebe ser
Repetible
de forma apropiada; el impacto alcanzado,y
pero
puede lasbrechasexistentes.Se utilizaun
Intuitivo
sersevero.Lasmedidasdelagerencia enfoque de taller informal, que
para resolver problemas de control involucraa losgerentesdeTIyal
no son equipointeresadoenel proceso, para
consistentesnitienenprioridades. Los definirunenfoque adecuado haciael
empleados pueden no estar controlpara losprocesos,ypara
conscientes de sus generar un plan de
responsabilidades. acciónacordado.

45
 Existencontrolesy están LosprocesoscríticosdeTI se
documentados de forma adecuada. identificanconbaseenimpulsoresde
Se evalúa la valory de riesgo. Se realiza
efectividadoperativadeformaperiódica unanálisis
y existe un número promedio de detalladoparaidentificarrequisitosde
problemas.Sinembargo,elprocesode controlylacausaraízdelasbrechas,
3
evaluaciónno está documentado. asícomo para desarrollar
Definido
Aunquela gerencia puede manejarla oportunidadesdemejora. Además
mayoría delosproblemas de controlde de
forma predecible,algunas facilitartalleres,seusanherramientas
debilidadesde yserealizanentrevistasparaapoyar
controlpersistenylosimpactospueden elanálisisy garantizarquelosdueños
ser severos. Losempleadosestán delosprocesosdeTIsonrealmente
conscientesdesus responsabilidades losdueñose impulsan al proceso de
de control. evaluación y mejora.

Existe un ambiente efectivo de Sedefinede formaperiódicaquétan

control críticossonlosprocesosdeTIconel
internoydeadministraciónderiesgos. apoyoyacuerdocompletoporparte
Laevaluaciónformaly documentada de los dueños de los procesos
de correspondientes.
loscontrolesocurredeformaperiódica. Laevaluacióndelos requisitos
4 Muchos controlesestánautomatizados decontrolse basa en las
Administrado y se realizan de forma periódica. políticasyenlamadurezrealdeestos
Y Es procesos,siguiendo unanálisis
Medible probable que la gerencia detecte la meticuloso y medido, involucrando
mayoríade losproblemasde control, a los Interesados (Stakeholders)
aunqueno todoslosproblemasse clave. Larendición
identificandeformarutinaria.Hay un decuentassobreestas evaluaciones
seguimiento consistente para esclara y está reforzada.
manejar las debilidadesde Lasestrategiasdemejora están
controlidentificadas. apoyadas encasos de negocio. El
Seaplicaunusodelatecnologíatáctico desempeño para lograrlos
ylimitado a los controles resultados deseados se supervisa
automatizados. de forma periódica. Se organizan
de forma ocasional revisiones e
control.

46
 Unprogramaorganizacionalderiesgoy Loscambiosenelnegociotomanen
controlproporcionalasolucióncontinua cuentaque tan críticos son los
y efectiva a problemas de control y procesosdeTI, ycubren cualquier
riesgo.El controlinternoyla necesidadde re-evaluarlacapacidad del
administraciónderiesgos seintegran a control de los procesos. Los dueños
lasprácticas empresariales, delosprocesos realizanauto-
apoyadas con una supervisión en evaluaciones deformaperiódicapara
tiempo real,y unarendición confirmar quelos controlesse
decuentas completa para la encuentran en el nivel correcto de
vigilancia de los controles, madurez para satisfacerlas
administración de riesgos, e necesidadesdelnegocio, ytomanen
5 implantación delcumplimiento. La cuenta losatributosde madurez para
Optimizado evaluacióndelcontrolescontinuay se encontrarmaneras de hacerquelos
basaenauto-evaluacionesy enanálisis controlesseanmás eficientesy efectivos.
debrechas y decausas raíz. Los La organizaciónevalúapor comparación
empleadosseinvolucran deformapro- conlasmejorasprácticas externasy
activa en las mejoras de control. buscaasesoríaexterna sobre la
efectividad de los controles
internos.Paraprocesoscríticos, se
realizan evaluacionesindependientes
para proporcionar seguridad de que
los controles se encuentran alnivel
deseado de madurez y funcionan
como fue planeado.

1.8.6.3. ITIL.
ITIL se basa en la definición de procesos de mejores prácticas para la gestión y el
mantenimiento de los servicios TI. ITIL propone mejores prácticas en lugar de un
framework de control completo. Se enfoca en los métodos y define un conjunto
de procesos fáciles de comprender.

Las organizaciones están incrementando su dependencia en la TI para cumplir sus

objetivos y satisfacer sus necesidades de negocio. Esta dependencia en aumento
necesita servicios TI de un nivel de calidad adaptado a las necesidades
empresariales y los requerimientos de negocio de la organización.

ITIL compendia un amplio conjunto de procedimientos de gestión diseñados para

que las organizaciones consigan calidad y eficiencia en sus operaciones TI. Estos
procedimientos son independientes del proveedor de servicios y han sido ideados
como una guía que comprenda toda infraestructura, desarrollo y operaciones TI
de la entidad.

47
A este grupo de procedimientos se lo conoce como ―mejores prácticas‖. Es un
conjunto consistente, comprensible y coherente, para la gestión de los servicios
TI, promoviendo un enfoque de calidad para el logro de la efectividad empresarial
y la eficiencia en el uso de los sistemas de información.

Los procesos de gestión de servicios de ITIL sugieren y ayudan, pero no

dictaminan, los procesos de negocio de una organización. Los procesos genéricos
descriptos en ITIL promueven las mejores prácticas y pueden ser utilizados como
una base para cumplir con el estándar británico BS15000 (British Standard for IT
Service Management), el cual está siendo considerado para convertirse en una
estándar internacional ISO/IEC 20000.

Los procesos operacionales principales de la gestión de servicios TI están

descriptos dentro de dos publicaciones de ITIL: Gestión de Servicios
(ServiceSupport) y Entrega del Servicio (ServiceDelivery).

1.8.6.3.1. Gestión de Servicios (ServiceSupport)

El ServiceSupport ITIL es la práctica de las disciplinas que permiten que los
servicios TI sean prestados eficientemente. Los procesos de la ServiceSupport de
ITIL son:

1. Gestión de la Configuración.
Configuration Management, CM por sus sigles en inglés, es la aplicación de una
base de datos (Configuration Management Database - CMDB) que contiene los
detalles de los elementos de la organización que se utilizan en la prestación y
gestión de sus servicios de TI. Esto es más que un ―registro de ac=vos", ya que
contienen información relacionada con el mantenimiento, el movimiento, y los
problemas experimentados con los elementos de configuración.

La CMDB también tiene una gama mucho más amplia de información acerca de
los elementos sobre los que depende los servicios TI de la organización. Esta gama
de información incluye al hardware, al software, a la documentación y al personal.

La CM consta esencialmente de cuatro tareas:

• Identificación: es la especificación, la identificación de todos los

componentes TI y su inclusión en la CMDB.

• Control: es la gestión de cada elemento o ítem de configuración,

especificando quién está autorizado para modificarlo.

• Estado: esta tarea es el registro del estado de todos los elementos de

configuración en la CMDB, y el mantenimiento de esta información.

• Verificación: Esta tarea implica revisiones y auditorías para garantizar que

la información contenida en la CMDB es exacta.

48
La Gestión de la Configuración y La Seguridad TI:

El CM está muy relacionada con la seguridad TI. Dado que sin la definición de
todos los elementos de configuración que se utilizan para proporcionar los
servicios TI a una organización, puede resultar muy difícil identificar cuáles
elementos son necesarios para ciertos servicios. El uso incorrecto del CM puede
resultar en ítems de configuración críticos robados, reemplazados o fuera de
lugar, afectando a la disponibilidad de los servicios dependientes de ellos.
También podría dar lugar a que, elementos no autorizados, se utilicen en la
prestación de los servicios TI.

2. Gestión de Cambios.
La Gestión de Cambios es la práctica que garantiza que todas las modificaciones a
los elementos de configuración se llevan a cabo de manera planificada y
autorizada. Esto incluye el asegurar que existe una razón de negocio detrás de
cada cambio, identificando a los ítems de configuración específicos y a los
servicios TI afectados por el cambio. También abarca a la planificación del cambio,
la prueba del cambio, y al plan de respaldo en caso de que la modificación resulte
en un estado inesperado del elemento de configuración.

La Gestión de Cambios y La Seguridad TI:

La seguridad TI debe estar integrada en el proceso de gestión del cambio, a fin de

asegurar que todos los cambios sean verificados por riesgos potenciales. Esto
incluirá la evaluación de los impactos de negocio que los riesgos potenciales
encontrados en los cambios puedan producir.

Si los procedimientos de la gestión de cambios no son eficaces, puede resultar en

cambios no autorizados a servicios TI, con importantes repercusiones en el
negocio, incluyendo la pérdida financiera, pérdida de clientes, pérdida de
mercado, litigios, y en el peor de los casos, hasta la caída del de negocio que los
servicios de TI deberían apoyar.

3. Gestión de Problemas y Gestión de Incidentes.

La gestión de problemas e incidentes es la resolución y prevención de incidentes
que afecten el funcionamiento normal de los servicios TI de una organización.
Esto incluye garantizar que se corrijan los defectos, evitar la recurrencia de estos
defectos, y la aplicación de mantenimiento preventivo para reducir la
probabilidad de que estas fallas se produzcan en la primera instancia.

La Gestión de Problemas e Incidentes y La Seguridad TI:

La práctica efectiva tanto de la gestión de incidentes como la gestión de

problemas asegurará que la disponibilidad de servicios TI sea la máxima, y
también puede proteger la integridad y la confidencialidad de la información al
identificar la causa raíz de los problemas.

49
4. Gestión de la Distribución.
Esta disciplina de la Gestión de Servicio IT es la administración de todos los
elementos de configuración de software dentro de la organización. Es responsable
de la gestión de desarrollo de software, instalación y soporte de los productos de
software de una organización.

El software no es a menudo considerado como un activo tangible, debido a su

naturaleza intangible, lo que se traduce en que no es controlado efectivamente.
Pueden existir varias versiones del mismo software dentro de la organización, y
también puede haber software sin licencia o de copias ilegales.

La práctica eficiente del control y distribución de software envuelve la creación de

una librería de software definitiva (Definitive Software Library - DSL), en el que las
copias maestras de todo el software son almacenadas, y desde donde se
administra su control y su distribución. El DSL consiste en un almacenamiento
físico y uno lógico. El físico es donde se almacenan las copias maestras de todo el
software, este software generalmente es el adquirido de un proveedor externa. El
almacenamiento lógico es el índice de todo el software y los productos, versiones,
etc. indicando la ubicación de los medios físicos. El almacenamiento lógico
también puede ser utilizado para el almacenamiento de software desarrollado
dentro de la organización.

Los procedimientos de la gestión de control y distribución incluyen la gestión de

los elementos de software de configuración y su distribución e implementación en
un entorno de producción. Esto implicará la definición de un programa de
distribución adecuado para la organización, la definición de cómo el control de
versión será llevado a cabo, y los procedimientos que rodean cómo el software
será construido, distribuido y auditado.

La Gestión de la Distribución y La Seguridad TI:

Las tres áreas claves de la seguridad informática (disponibilidad, confidencialidad

e integridad) pueden quedar expuestas a vulnerabilidades como resultado directo
de la falta de control en la distribución del software. Si los cambios del software
no son correctamente administrados y testeados, pueden originarse problemas si
esos cambios llegan al ambiente de producción, al provocar falta de disponibilidad
de servicios. Igualmente, las modificaciones de software no autorizadas pueden
dar lugar a fraudes, virus y daño malicioso a los archivos de datos.

Por estas y otras razones, es importante que los procedimientos de gestión de

control y distribución sean revisados completamente por una evaluación de
seguridad, a fin de garantizar que las medidas apropiadas para reducir las
amenazas se encuentren en su lugar.

5. Servicio de Mesa de Ayuda ITIL (HelpDesk).

50
El servicio de HelpDesk desempeña un papel importante en la prestación de
servicios TI. Es muy a menudo el primer contacto que los usuarios tienen en su
utilización de los servicios TI cuando algo no funciona como se espera. El HelpDesk
es un único punto de contacto para los usuarios finales que necesitan asistencia.
Sin este servicio, una organización sin duda podría enfrentar pérdidas debido a
ineficiencias.

Los dos ejes principales del HelpDesk son el control de incidentes y la

comunicación.

Existen diferentes tipos de HelpDesk, la selección depende de lo que el negocio

requiera. Algunos a proporcionar una simple función registro de llamadas, y
escalan las llamadas al personal más capacitado y con más experiencia. Otros
ofrecen un alto grado de conocimiento del negocio y técnico, con la capacidad de
resolver la mayoría de los incidentes en el momento en que el usuario los
informa.

Actividades del Servicio de HelpDesk:

Excepto para el Call Center, el servicio de HelpDesk suele realizar las siguientes
actividades: recibir todas las llamadas y correos electrónicos sobre incidentes,
registrar los incidentes; priorizarlos, clasificarlos y escalarlos; además intenta
solucionar los problemas en línea, mantener actualizado al usuario sobre en
estado de los incidentes, manejar las comunicaciones de otros procesos de ITIL;
informar a la gerencia, a los administradores de procesos y a clientes en el
rendimiento de ServiceDesk.

El ServiceDesk y La Seguridad TI:

Dado que el Servicio de HelpDesk es generalmente el primer contacto que un

usuario corporativo tiene la hora de informar algo fuera de lo común, la habilidad
y la asiduidad del personal del HelpDesk puede prevenir la recurrencia de
incidentes, y por lo tanto, promover medidas que limiten el impacto de los posible
brechas en la seguridad TI.

El Software de ServiceDesk:

Existe una gama de soluciones de software para mesa de ayuda disponible en el

mercado. Algunas herramientas de soluciones de software incluyen las mejores
prácticas ITIL y otras mejores prácticas de gestión. Esto resulta de gran beneficio a
las organizaciones y es un enfoque que se está convirtiendo cada vez más común.

1.8.6.3.2. Entrega del Servicio (ServiceDelivery).

El ServiceDelivery es la gestión de los servicios IT a los sistemas de información, e
implica una serie de prácticas de gestión para garantizar que los servicios TI se
prestan conforme a lo acordado entre el proveedor y el cliente. El ServiceDelivery
de ITIL abarca cinco disciplinas:

51
1. Gestión de Nivel de Servicio.
Es la gestión principal de los servicios TI y se asegura que los servicios TI se
presten de acuerdo a las características convenidas de cómo y cuándo debían ser
entregados. El gerente de nivel de servicio depende de todas las demás áreas de
entrega de servicios, brindando el apoyo necesario que garantice que los servicios
acordados se proporcionan de una manera eficaz, segura, eficiente y rentable.

Hay una serie de procesos de negocio que forman parte de la Gestión de Nivel de
Servicio. Estos son:

• Revisión de los servicios existentes.

• Negociación con los clientes.

• Revisión de los contactos que sustentan a los proveedores de servicios

externos.

• Producción y el seguimiento del Acuerdo de Nivel de Servicio

(ServiceLevelAgreement - SLA)

• Aplicación de la política y los procesos de mejora de servicios.

• Establecimiento de las prioridades.

• Planificación para el crecimiento del servicio.

• Participación en el proceso de contabilidad de costos de servicios y de

retorno de la inversión de estos costes.

La Gestión del Nivel del Servicio y La Seguridad TI:

Seguridad TI es parte integral de la entrega de servicios, y como la gestión del

nivel del servicio es la disciplina clave en el suministro de la prestación de
servicios, este proceso también es responsable de garantizar que los servicios de
TI sean proveídos de una manera segura, y que la disponibilidad de los servicios
sea la máxima dentro de las limitaciones de costos y eficiencia. Los planes de
contingencia también forman parte de la entrega de servicios para garantizar que
estos puedan ser recuperados y mantenidos en caso de algún incidente grave.

2. Gestión de la Capacidad.
La Gestión de la Capacidad es la disciplina que garantiza que la infraestructura TI
se suministre en el momento justo, en el volumen correcto y al precio adecuado;
asegurando que la TI se utilice de la manera más eficiente posible.

Esto implica el aporte de muchas áreas de la empresa a fin de identificar cuáles

son los servicios necesarios, qué infraestructura se requiere para apoyar a estos
servicios, qué nivel de contingencia será preciso y cuál será el costo de esta
infraestructura.

52
Estos son los datos de entrada necesarios para los procesos de la Gestión de
Capacidad:

• Monitoreo del rendimiento

• Monitoreo de la carga de trabajo.

• Tamaño de la aplicación.

• Previsión de los recursos.

• Previsión de la demanda.

• Modelado del sistema.

A partir de estos procesos se obtienen los resultados de la gestión de la

capacidad, que son el plan de capacidad en sí, las previsiones, los ajustes de datos
y las directrices para la gestión de nivel de servicio.

La Gestión de la Capacidad y La Seguridad TI:

Una evaluación de riesgos de la función de planificación de la capacidad ayudará a

asegurar que el proceso se lleva a cabo de manera eficaz, y que se actúe en
consecuencia a sus conclusiones.

3. La Gestión de la Continuidad.
Gestión de la Continuidad / Recuperación de Desastres / Continuidad del negocio

La gestión de la continuidad es el proceso por el que los planes son establecidos y

gestionados para garantizar que los servicios TI pueden recuperarse y continuar
operando a pesar de haber ocurrido un incidente grave. No se trata solo de
medidas reactivas, sino también de medidas proactivas que reducen el riesgo de
un desastre en primera instancia. La gestión de la continuidad se considera como
la recuperación de la infraestructura TI utilizada para proporcionar los servicios de
TI,

La gestión de la continuidad es tan importante que muchas organizaciones no

hacen negocios con proveedores de servicios IT que no posean planes de
contingencia. También es un hecho que muchas organizaciones, que sufrieron un
desastre debido a que falló su plan de contingencia, cesaron su actividad en los 18
meses siguientes a la catástrofe.

La gestión de la continuidad comprende los siguientes pasos básicos:

• Priorización del negocio a ser recuperado a partir de la ejecución de un

Análisis de Impacto de Negocio (Business ImpactAnalysis –BIA).

53
 • Realización de un análisis de riesgos para cada uno de los servicios TI, a fin
de identificar los activos, las amenazas, las vulnerabilidades y las
contramedidas para cada servicio.

• Evaluación de las opciones de recuperación.

• Elaboración del Plan de Contingencia.

• Pruebas, exámenes y revisaciones del plan de forma regular.

La Gestión de la Continuidad y La Seguridad TI:

La Gestión de la Continuidad (y la planificación de contingencia, la continuidad del

negocio y la recuperación de desastres) es una parte integral de la seguridad
informática y del análisis de riesgo. Una planificación de contingencia inadecuada
se considera como un riesgo para el negocio, y es a menudo pasado por alto hasta
que es demasiado tarde, resultando en la pérdida del funcionamiento de los
sistemas de información.

4. Gestión de la Disponibilidad.
Gestión de la Disponibilidad es la práctica de identificar los niveles de
disponibilidad de servicios TI para su uso en las revisiones de nivel de servicio con
los clientes.

Todas las áreas de un servicio deben ser medidas y definidas en el Acuerdo de

Nivel de Servicio (ServiceLevelAgreement - SLA).

Para medir la disponibilidad del servicio, las siguientes áreas se suelen incluir en el
SLA:

• Estadísticas de acuerdo: lo que se incluye en el servicio convenido.

• Disponibilidad: acuerdo de los tiempos de servicio, tiempos de respuesta,

etc.

• Llamadas al HelpDesk: número de incidentes ocurridos, tiempos de

respuesta, tiempos de resolución.

• Contingencia: acuerdo de los detalles de la contingencia, la ubicación de

la documentación, el sitio de contingencia, la participación de
proveedores externos, etc.

• Capacidad: tiempos de ejecución de las transacciones en línea, producción

de reportes, número de usuarios del sistema, etc.

• Detalles de Costos: cargos por el servicio, y cualquier sanción por falta de

cumplimiento del nivel del servicio.

La Gestión de la Disponibilidad y La Seguridad TI:

54
La seguridad TI es una parte integral de la Gestión de la Disponibilidad, siendo su
objetivo principal el garantizar que la infraestructura de TI siga estando disponible
para la prestación de servicios TI.

Algunos de los elementos anteriores son el resultado de un análisis de riesgo

efectuado con el objetivo de determinar las medidas que deben ponerse en
marcha, identificando cuán confiables son los elementos y cuántos problemas han
sido causados como consecuencia de fallas del sistema.

El análisis de riesgos también recomienda controles para mejorar la disponibilidad

de la infraestructura TI, tales como estándares para el desarrollo de software,
testeo adecuado, seguridad física, asignación de las habilidades correctas en los
lugares correctos y en el momento adecuado, entre otras.

5. La Gestión Financiera de la TI
La Gestión Financiera de la TI es la disciplina de garantizar que la infraestructura TI
se obtiene a un precio eficiente (que no significa necesariamente barato), y
calcular el coste de la prestación de los servicios TI a fin de que la organización
pueda administrar sus inversiones en esta área. Estos costos pueden ser
recuperados con los clientes del servicio.

Los costos se dividen en centros de costos de:

• Equipamiento.

• Software.

• Organización (personal, horas extras),

• Alojamiento.

• Costos de transferencia (proveedores de servicios externos)

Los costos se dividen en directos e indirectos, y pueden ser de capital u

operativos.

La Gestión Financiera de la TI y La Seguridad TI:

La práctica de la gestión financiera de TI permite al gerente de servicios

determinar la cantidad que se gasta en medidas de seguridad dentro de la
prestación de los servicios de TI. La cantidad que se invierte en estas medidas
debe equilibrarse con los riesgos y las pérdidas potenciales que el servicio podría
incurrir, como se haya identificado en la BIA y en la evaluación de riesgos. La
gestión de estos costos, en última instancia, se reflejará en el precio de la
prestación de los servicios TI y, potencialmente, lo que se cobra por la
recuperación de dichos costos.

55
 1.8.6.4. ISO/IEC 17799:20000.
Las partes esenciales del estándar ISO 17799 para las Tecnologías de Información -
Código de Prácticas para la Gestión de la Seguridad de la Información fueron
desarrolladas y publicadas por el Instituto Británico de Estándares.

El estándar original estaba compuesto por dos secciones principales:

• BS 7799 Parte 1: Tecnología de la Información - Código de Prácticas para

la Gestión de la Seguridad de la Información.

• BS 7799 Parte 2: Sistemas de Gestión de la Seguridad de la Información –

Especificaciones y Pautas para su Uso.

La ISO y el IEC establecieron una comisión técnica conjunta

(jointtechnicalcommitte – JTC), la ISO/IEC JTC 1, y publicaron el estándar
internacional ISO/IEC 17799:20000.

Este estándar brinda información a los responsables de implementar la seguridad

informática dentro de las organizaciones. Puede considerarse como una base para
desarrollar los estándares de seguridad y las prácticas de gestión en la entidad con
el objetivo de mejorar la confiabilidad de los sistemas de administración de la
seguridad en las relaciones inter-organizacionales.

La primera edición del estándar fue publicada en el año 2000, la cual fue
actualizada en Junio del 2005. Se puede clasificar al estándar como las mejores
prácticas actuales en el área de los sistemas de administración de seguridad
informática. El BS 7799 original se revisó en Septiembre de 2002.

Los principios de la guía son los puntos iniciales para implementar la seguridad
informática. Se fundamentan tanto en los requerimientos legales como en las
mejores prácticas aceptadas por la industria.

Las mediciones basadas en los requerimientos legales incluyen:

• Protección y confidencialidad de los datos personales.

• Protección de la información interna.

• Protección de los derechos y las propiedades intelectuales.

Las mejores prácticas mencionadas son:

• Implementación de políticas de seguridad informáticas.

• Asignación de responsabilidades para la seguridad informática.

• Escalamiento de problemas.

• Gestión de la continuidad del negocio.

56
Cuando se implementa un sistema de administración de seguridad informática, se
deben considerar ciertos factores críticos para el éxito:

• La política de seguridad, sus objetivos y actividades deben reflejar a los

objetivos de la organización.

• La implementación debe considerar a los aspectos culturales de la

organización.

• Se requiere contar con el apoyo manifiesto y el involucramiento del

directorio y la gerencia.

• Se requiere un vasto conocimiento de requerimientos de seguridad,

evaluación de riesgos y gestión de los mismos.

• Todo el personal debe conocer los objetivos de seguridad, en especial los

miembros de la gerencia.

• La política y las medidas de seguridad se deben comunicar a los

proveedores externos.

• Los usuarios de los sistemas de información debe ser adecuadamente

entrenados.

• Se debe contar con un sistema potente y balanceado de medición de

desempeño, el cual soporte en mejoramiento continuo a través de la
retroalimentación.

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPÍTULO 3

―METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA
INFORMÁTICA‖. PÁGINAS 65 A 91 DE LA BIBLIOGRAFÍA BÁSICA AUDITORÍA
INFORMATICA - PIATTINI - DEL PESO (2º EDICIÓN AMPLIADA Y REVISADA)

1.8.7. Conclusiones sobre los Frameworks de

Control Interno.
No hay duda que la adecuada gestión de las políticas y los procedimientos ayudan
a garantizar que los sistemas de información son administrados dentro de las
actividades rutinarias diarias de la organización. La adopción de estándares y
mejores prácticas permiten una rápida implementación de buenos
procedimientos y evitan la demoras por en re-invento de la rueda en acuerdos y
enfoques.

57
Sin embargo, la adopción de mejores prácticas tiene que ser apropiado para la
organización, integrado con otros métodos y prácticas que se estén utilizando y
consistente con la gestión de riesgos y el framework de control. Los estándares y
mejores prácticas no son una panacea y su efectividad depende de cómo hayan
sido implementados y actualizados. Ellos son más útiles cuando se aplican como
un conjunto de principios y como un punto de origen para alinear los
procedimientos existentes.

Para evitar que la implementación de nuevas prácticas fracase, es importante

tener una capacidad de cambio tal, que los gerentes y el personal pueda entender
qué deben hacer, cómo hacerlo y por qué hacerlo. Para que estas prácticas sean
efectivas, es fundamental usar un lenguaje común y un enfoque estandarizado
hacia los requerimientos reales de negocio para que todos sigan a los mismos
objetivos y prioridades.

Alineamiento:

Todas las organizaciones necesitan alinear el uso de estándares y prácticas, cómo

las vistas en COBIT, ITIL, ISO y COSO, para que se ajusten a sus requerimientos
particulares. Las cuatro nombras juegan un papel de mucha utilidad - COSO,
COBIT e ISO 17799 ayudan a definir qué es lo que debe hacerse, mientras que ITIL
provee el cómo implementar los aspectos de administración de servicios. El uso
típico de los estándares, buenas prácticas y frameworks son:

• Mantener la gobernabilidad al:

o Proveer un framework de control y políticas de administración.

o Establecer propietarios para los procesos, responsabilidades

claras y responsabilidades para las actividades TI.

o Alinear los objetivos TI con los objetivos del negocio,

estableciendo prioridades y alocando recursos.

o Asegurar un retorno de la inversión y una optimización de los

costos.

o Garantizar que los riesgos significativos sean identificados y

reportados a la gerencia, quien ha aceptado la responsabilidad
por los mismos y ha recibido confirmación de la correcta
implementación de controles internos.

o Asegurar que los recursos se han organizado eficientemente y que

recibieron la capacitación necesaria para ejecutar la estrategia de
la TI.

o Asegurar que las actividades críticas sean monitoreadas y

medidas, a fin de que los problemas puedan ser identificados y se
tomen las medidas correctivas correspondientes.

58
 • Definir requerimientos para los servicios y definiciones para los proyectos,
tanto internamente como para los proveedores externos, por ejemplo al:

o Definir objetivos y métricas claras y relacionadas con el negocio.

o Definir a los servicios y a los proyectos en términos de usuario

final.

o Crear acuerdos de nivel de servicio (SLA) y contratos que puedan

ser monitoreados por los clientes.

o Asegurar que los requerimientos del cliente hayan sido

transformados apropiadamente en requerimientos técnicos
operacionales de la TI.

o Considerar a los portfolios de servicios y proyectos

colectivamente, para que puedan establecerse las prioridades
relativas y asignarse a los recursos en forma equitativa y
conveniente.

• Demostrar al mercado capacidad profesional y competitividad con:

o Auditorías y evaluaciones externas independientes.

o Compromisos contractuales.

o Licencias y certificaciones.

Establecimiento de Prioridades:

A fin de evitar implementaciones costosas y mal encaminadas de los estándares y

mejores prácticas, las organizaciones necesitan establecer prioridades acerca del
lugar y la aplicación de los mismos. Se requiere de un plan de acción eficiente que
se aplique a las circunstancias y necesidades de la entidad. Es importante que el
consejo directivo se haga responsable del IT Governance y defina la dirección que
la gerencia debe seguir. Para esto la dirección debe:

• Incluir a la TI dentro de la agenda del consejo directivo.

• Orientar a la gerencia a alinear las iniciativas de TI con las necesidades

reales de negocio.

• Insistir que el desempeño de la TI sea medido y reportado a la dirección.

Planificación:

Una vez llegado a este punto, la gerencia puede iniciar y poner en acción un plan
de implementación. Los siguientes pasos son sugerencias brindadas por los
estándares para ayudar a que el plan de implementación genere resultados
positivos:

59
1. Diseñar un framework de la organización (idealmente como una parte de las
iniciativas de IT Governance) con responsabilidades y objetivos claros y con la
participación de todas las partes interesadas en llevar adelante la
implementación.

2. Alinear la estrategia TI con los objetivos de negocio, es decir, decidir en cuáles

objetivos actuales de negocio tiene la TI una contribución significativa. Conocer
correctamente al entorno de negocio, los riesgos potenciales y la estrategia de
negocio, debido a que todos ellos están relacionados con los sistemas de
información. Para este paso, COBIT puede servir de guía para la definición de los
objetivos TI, mientras que ITIL puede ayudar a especificar los SLA.

3. Comprender y definir los riesgos. En otras palabras, dados los objetivos de

negocio, identificar cuáles son los riesgos relacionados con la capacidad de la TI
para prestar los servicios requeridos por esos objetivos. COBIT permite identificar
los riesgos y actuar sobre ellos, ITIL clarifica los riesgos operacionales e ISO
clarifica los riesgos de seguridad. Se debe considerar:

• El desempeño en los datos históricos.

• Los factores actuales de la organización TI.

• La complejidad, el tamaño y el alcance del ambiente TI actual o planeado.

• Las vulnerabilidades inherentes del ambiente TI actual o planeado.

• La naturaleza de las iniciativas en TI que estén siendo consideradas, por

ejemplo, los nuevos proyectos de sistemas, cambios en la arquitectura,
consideraciones de outsourcing, etc.

4. Definir las áreas para la implementación e identificar a los procesos TI de las

mismas que sean críticos a fin de gestionar sus riesgos.

5. Analizar las capacidades actuales e identificar sus falencias. Realizar una

evaluación de modelos de madurez para encontrar los lugares que más necesiten
mejora.

6. Desarrollar estrategias de mejora, y decidir cuáles son las prioridades más

importantes que ayudarán a mejorar la gestión y gobernabilidad de las áreas más
significativas.

7. Medir los resultados, establecer un mecanismo de puntuación para medir el

desempeño actual y monitorear los resultados de las nuevas mejoras,
considerando como mínimo lo siguiente:

• Si la estructura de la organización podrá soportar la implementación de la

estrategia.

• Si las responsabilidades de la gestión de los riesgos están embebidas en la

organización.

60
 • Si existe la infraestructura que podrá facilitar y mantener la creación y
comunicación de información de negocio vital.

• Si las estrategias y los objetivos han sido comunicados efectivamente a

todo el personal involucrado en la organización.

8. Repetir los pasos 2 al 7 de forma regular.

61
Bibliografía
i COBIT. Estándar del IT GovernanceInstitute. Version 4.1 2007.

iiGrantThornton LLP. GuidanceonMonitoringInternal Control Systems.

TheCommittee of SponsoringOrganizations of theTreadwayCommission
(COSO). Enero 2009.

iii ISACA. Página Web Oficial: www.isaca.org

iv ITGI. IT GovernanceInstitute. Página Web Oficial: www.itgi.org

v Roberto C. Arbeláez. Integrando ITIL, COBIT e ISO 27002 como parte de

un marco de Gobierno y Control de TI. XXVI

Salón de INFORMÁTICA. Agosto 2009, Bogotá, Colombia.

vi COBIT 4.1. Marco de Trabajo, Objetivos de Control, Directrices

Gerenciales, Modelos de Madurez. Apéndice III. IT GovernanceInstitute
2007.
www.uesiglo21.edu.ar

62