Documentos de Académico
Documentos de Profesional
Documentos de Cultura
M I A I A.
Modelo Integrado de
Auditoría Interna Auditool
Por todo lo que hemos comentado a lo largo de este vademécum, hoy en día es totalmente
imposible encontrar organizaciones empresariales en las que no estén presentes sistemas
o aplicaciones informáticas que permitan, de una u otra manera, apoyar la realización de
los procesos de gestión, no solo los de índole administrativa, sino también los netamente
operativos, y esta dependencia puede llegar, incluso, a límites extremos.
En este entorno, recordemos la convulsión que se produjo a finales del siglo pasado cuando
se acercaba el cambio de milenio y no había seguridad acerca de cómo iban a reaccionar
los sistemas informáticos ante el cambio del dígito representativo de la unidades de millar.
Hubo quien pronosticó, y no fueron solo consultores, que a las cero horas del día 1 de
enero de 2000 se colapsaría el mundo, los aviones se caerían, las bolsas se bloquearían,
y así un centenar de desgracias adicionales.
A este respecto, en general, las organizaciones deben satisfacer altos niveles de calidad,
y los requerimientos fiduciarios y de seguridad de su información, así como de todos sus
activos. La Dirección también debe optimizar el uso de los recursos disponibles de TI,
incluyendo aplicaciones, información, infraestructura y personas. Para descargar estas
responsabilidades, así como para lograr sus objetivos, la Dirección debe entender el
estatus de su arquitectura empresarial para TI y decidir qué tipo de gobierno y de control
debe aplicar.
MIAIA
Uno de los estándares que más se están utilizando en el mundo como base para realizar
una metodología de control interno en el ambiente de tecnología informática y sistemas de
información es el denominado Control Objetives for Information and Related Technology
(COBIT), que constituye un marco de referencia y se fundamenta en los objetivos de control
existentes de la Information Systems Audit and Control Foundation (ISACF), y que ha sido
mejorado a partir de estándares internacionales técnicos, profesionales, regulatorios y
específicos para la industria.
El marco de referencia COBIT otorga especial importancia al impacto sobre los recursos
de tecnología informática, así como a los requerimientos de negocios en cuanto a
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad que deben ser satisfechos. Además, proporciona definiciones para los
requerimientos de negocio que son derivados de objetivos de control superiores en lo
referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con tecnología
de información.
Planificación y organización.
Adquisición e implantación.
Soporte y Servicios.
Monitoreo.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de información, como los de la tecnología que la respalda. En conjunto, estos dominios y
los objetivos de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los
recursos que proporciona la Tecnología de la Información, tales como datos, sistemas de
aplicación, tecnología (plataformas), instalaciones y el recurso humano.
12.1. COBIT 4
Este protocolo tiene como finalidad “investigar, desarrollar, publicar y promover un conjunto
internacional y actualizado de objetivos de control en cuanto a tecnología de información,
generalmente aceptado para el uso cotidiano de gerentes de empresa y auditores”. Fue
propuesto por Informations Systems Audit and Control Association (ISACA),
Para iniciar nuestros comentarios recordemos que COBIT 4.0 pretende asegurar que las
Tecnologías y los Sistemas de Información cumplan los siguientes aspectos:
Normalmente, las gerencias requieren información para tomar sus decisiones. En el caso
concreto del gobierno de TI su preocupación se centrará en saber si el nivel de control y
de desempeño es el adecuado. Una respuesta a estos requerimientos viene de las
definiciones específicas de los siguientes conceptos en COBIT:
a) Modelos de madurez
0) Inexistente, cuando:
Los procesos se encuentran en una etapa en la cual diversos grupos que emprenden
la misma tarea siguen procedimientos similares.
No hay ningún entrenamiento formal o comunicación estándar de procedimientos
La responsabilidad descansa en los individuos.
Hay un alto grado de confianza en el conocimiento de los individuos y por lo tanto los
errores son probables.
3) Definido, siempre que:
5) Optimizado:
b) Metas y Métricas
Los indicadores clave de desempeño definen las mediciones que determinan la forma
como se está desempeñando el proceso de IT para alcanzar las metas. Son indicadores
que miden los resultados de las actividades, es decir, las acciones que el responsable del
proceso debe realizar para lograr un resultado efectivo. Las métricas a emplear, para ser
efectivas, deben tener las siguientes características:
Las metas se deben organizar de arriba abajo. Son los objetivos del negocio los que definen
las metas que deben exigirse a IT. Estas decidirán las diferentes necesidades de los
objetivos de los procesos, y cada meta del proceso establecerá las de las actividades.
c) Cuadros de Mando
De acuerdo con esta definición, lo que resulta básico para la eficacia de un cuadro de
mando es la fijación de objetivos claros para la Organización, alcanzables mediante las
diferentes actuaciones que se incorporan en los procesos, los cuales tendrán su reflejo en
unas variables claves controladas a través de indicadores. Por consiguiente, las líneas
maestras de un cuadro de mando serán:
12.2 COBIT 5
El objetivo de esta nueva versión es ayudar a las organizaciones de todos los tamaños y
de cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando
de satisfacer las necesidades de las “partes interesadas internas y externas” mediante la
creación de valor para la empresa a través de las tecnologías de información. Esto se
realiza con un enfoque de gestión holística de extremo a extremo, cumpliendo de la mejor
manera posible con las leyes, regulaciones, políticas, y basándose en buenas prácticas
internacionales.
Según se recoge en el prólogo del propio marco “La información es un recurso clave para
todas las empresas y desde el momento en que la información se crea hasta que es
destruida, la tecnología juega un papel importante. La tecnología de la información está
avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales,
públicos y de negocios”. Como resultado, hoy más que nunca, las empresas y sus
ejecutivos se esfuerzan por:
Mantener información de alta calidad para soportar las decisiones del negocio.
Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas
estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e
innovador.
Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y
eficiente.
Mantener los riesgos relacionados con TI en un nivel aceptable.
MIAIA
COBIT 5 reúne los cinco principios que permiten a las empresas construir una
gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete
facilitadores que optimiza la información y la inversión en tecnología y el uso para el
beneficio de las partes interesadas. Veámoslos de forma gráfica en la siguiente figura.
En tanto que los Facilitadores reconocidos son los que se representan en la siguiente
figura.
Figura 2. Recursos según COBIT 5 - Fuente: COBIT ® 5, figure 12. © 2012 ISACA®
MIAIA
Además, provee a los ejecutivos un lenguaje común para comunicar las metas, objetivos y
resultados a los profesionales de auditoría, de TI y a otros profesionales. COBIT ofrece
unas buenas prácticas y herramientas para el seguimiento y la gestión de las actividades
de TI. También ayuda a los ejecutivos a comprender y gestionar las inversiones en TI
durante todo su ciclo de vida y proporciona un método para evaluar si los servicios de TI y
las nuevas iniciativas están cumpliendo con las exigencias corporativas y si generarán los
beneficios esperados.