Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORA DE SISTEMAS
TEMA: COBIT ORIENTADO A LA AUDITORA
INTEGRANTES: CAYLLAHUA LEON, JOYCER CUEVA BARDALES, HENRY PRADO MARCA, FERNANDO VARGAS OLIVA, CHARLE
COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGAS DE INFORMACIN (TI) QUE GARANTIZA LA ALINEACIN CON LA ESTRATEGIA CORPORATIVA
Auditores de sistemas de informacin: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido.
Conjunto de buenas prcticas a travs de un marco de trabajo conformado por dominios y procesos que les permitir optimizar sus inversiones de TI
INFORMACIN
Monitorear y Evaluar
Planear y Organizar
Adquirir e Implementar
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
AI2.4 Seguridad y disponibilidad de las aplicaciones. Derechos de acceso y administracin de privilegios, proteccin de informacin sensible en todas las etapas, autenticacin e integridad de las transacciones y recuperacin automtica.
Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones. Verificar que ada usuario necesariamente deber tener un nivel de accesibilidad a las aplicaciones
Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. Una efectiva administracin de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema, desarrollo y mantenimiento) deben ser identificables de manera nica. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.
CASO 1:
MEYCOR COBIT AG aplicado en WEST FINANCIALS
PRESENTANDO A LOS ACTORES:
La firma de auditora ABC AUDIT se dedica a realizar auditorias externas en
organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnologa de la informacin. Desde hace ya 5 aos la empresa utiliza el estndar COBIT para realizar su trabajo y ltimamente incorpor el software MEYCOR COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crdito, con un grupo
CASO 2:
MEYCOR COBIT AG aplicado en WEST FINANCIALS
PLANTEAMIENTO DEL PROBLEMA:
Todo el sistema informtico consolida la informacin en Montevideo. Cuenta con
procedimientos de cobro va electrnica y bancaria, por tarjetas de crdito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informtico de desarrollo interno, se afirma que se encuentra correctamente diseado, si bien las reas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodologa del Informe COSO, determin que existe en el proceso Cuentas a Cobrar una exposicin al riesgo superior a lo aceptable por la organizacin. Los riesgos identificados tienen una valoracin significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.
Creacin de un usuario
auditora, es el
escenario sobre el que debe emitirse la opinin.
Organigrama
Detalle de las columnas: Efectividad o Eficacia, Integridad, Eficiencia, Confidencialidad, Cumplimiento, Disponibilidad,
Confiabilidad de la informacin.
Requerimientos de Informacin.
Planillas de auditoria.
Alerta
que
le
indica
que
ha sido
asignado a un proyecto de auditoria. Puede ver la informacin del mismo (organigrama, procesos de Recursos de Ti, etc.) negocio.
Etapa 1: Entrevistas
Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visin del objeto de la auditora.
Etapa 2: Documentacin En este caso se obtienen los manuales tcnicos y de usuarios de la aplicacin.
Etapa 3: Emisin de una primera opinin A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles
suficientes
para
los
riesgos
involucrados en la aplicacin.
Evaluacin de Controles.
Etapa 4: Verificar el cumplimiento de los controles Aqu se revisa que esos controles estn funcionando.
Verificacin de controles
Etapa 5: Realizacin de muestreos Consideraciones del riesgo de auditora. Si hay medidas de control.
CASO 2:
Modelo de Auditora basado en COBIT para Servicios de Internet en el Ambito Hospitalario
La aparicin de nuevas posibilidades de proceso de la informacin y de nuevos flujos de informacin ha provocado la aparicin de nuevos riesgos y amenazas con respecto a la informacin y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologas y del contexto hospitalario para construir nuevos enfoques de auditora de sistemas de informacin sanitarios. Se presenta un Modelo General basado en el marco formal de Auditora denominado COBIT.
ANTECEDENTES
Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Informacin Hospitalarios
Objetivo
estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un anlisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditora. Todo ello se ha realizado aplicando el marco metodolgico de auditora denominado COBIT
Elementos
Planificacin
Adquisicin
Mantenimiento
Seguridad
Servicio
Gerencia Responsable Informtica Tcnicos Informtica Webmaster Administrador Seguridad Personal clnico (med., enfer.)
Personal auxiliar (celad., etc.) Pacientes / usuarios Tecnologas Mercado Marco Legal Marco Normativo Estndares Proveedores Hw base: servidores Hw redes Sw base: sis. op., ser. Web Sw redes Sw Info: BD, etc. Sw. aplicacin
4 4
4 4
4 4 4 4 4 4 4 4 4
4
4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 Elementos del sistema en estudio 4 4 4 4 4 4 4 4 4 4 4 4
4 4
4 4 4 4 4 4
Elementos Gerencia Responsable Informtica Tcnicos Informtica Webmaster Administrador Seguridad Personal clnico (med., enfer.) Personal auxiliar (celad., etc.) Pacientes / usuarios Tecnologas Mercado Marco Legal Marco Normativo Estndares Proveedores Hw base: servidores Hw redes Sw base: sis. op., ser. Web
4 4 4 4 4 4 4
4 4
4 4 4
4 4
4 4
4 4 4 4 4
4 4 4 4 4
4 4
4 4 4
4 4 4
Riesgos Asociados
4 4 4
4 4
4 4 4
Resultados
Se presenta y discute un modelo de desarrollo de auditora para soluciones de Internet en los sistemas de informacin sanitarios del mbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guas de auditora para auditar dichos objetivos. En primer lugar, se construye el modelo en funcin de los dominios y los procesos de cada dominio. En este modelo se busca la adscripcin a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporacin de una intranet: Planificacin, Adquisicin, Mantenimiento, Seguridad, y Servicios (oferta y explotacin de los servicios). Para cada funcin se determina el grado de cumplimiento de los objetivos de gestin: P, Primario; y S, Secundario (vase la Tabla 3) (ISACA-FMWK, 2000). A continuacin, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratgico de sistema, la funcin de Planificacin debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000): P01.1. Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo: La gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. ...... P01.6. Evaluacin de Sistemas Existentes: La Gerencia de servicios informticos debe evaluar los sistemas existentes en trminos de nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO
ESTRUCTURA DE COBIT DOMINIO PROCESO DENOMINACIN PROCESO INCORPORACIN INTRANET Planificacin Adquisicin Mantenimiento Seguridad Servicios
PO1 PO2 PO3 PO4 Planeacin y Organizacin PO5 PO6 PO7 PO8 PO9 PO10 PO11 Adquisici ne Implementacin AI1 AI2 AI3
Definir un plan estratgico de sistema Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI) Comunicar la direccin y objetivos de la gerencia Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgo Administrar proyecto Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica
P P S S P S P P S S S P P P P P P S S P P P P S P S P P P P P P P P P P P S S P P P
AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 Entrega de servicios y Soporte DS6 DS7 DS8 DS9
Desarrollar y mantener procedimiento Instalar y acreditar sistemas de informacin Administrar cambio Definir niveles de servicio Administrar servicios de tercero Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistema Identificar y asignar costo Educar y capacitar a usuario Apoyar y orientar a clientes Administrar la configuracin P P
P P P P
P P P
P P
P P P S P P P P
S S P P P P P P P P P P P
DS10 Administrar problemas e incidente DS11 Administrar la informacin DS12 Administrar las instalaciones DS13 Administrar la operacin M1 M2 Monitoreo M3 M4 Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente P P S S S
S P
El Grupo adopt e implement un esquema de administracin de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la informacin contable.
El Grupo Bancolombia adopt los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compaas que hacen parte del Grupo, con el propsito de aplicarlos en el diseo y valoracin del sistema de control interno.
Desarrollamos lneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente
Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversin para los grupos de inters.
LA SCI
Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comits, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuacin unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI
El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia.
El Sistema de Control Interno cuenta con el rea de auditoria en la cual cuenta con independencia funcional y tcnica respecto de la administracin de GBC, dentro del mbito del grupo. Este rgano mantiene una vinculacin de dependencia funcional con la Gerencia general.
La adopcin del SCI, debe contemplar la necesidad de que la alta direccin de cada empresa y el resto de la organizacin, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestin, considerndolo como un conjunto de actividades integradas a los procesos operativos de las empresas. Se entiende por SCI el conjunto de polticas, principios, normas, procedimientos y mecanismos de verificacin y evaluacin establecidos por la junta directiva, la alta direccin y dems funcionarios de una organizacin de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecucin de los objetivos.
El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estndares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este ltimo aplicado a los procesos de tecnologa de informacin. Estos estndares, aplicados de tiempo atrs por el Banco, se continuaron aplicando en el ao 2010 en el diseo y la valoracin del Sistema de Control Interno. La revisin de la efectividad del Sistema de Control Interno del Banco comprendi las siguientes actividades:
1. EVALUACIN DE LA ADMINISTRACIN: Ambiente de control: Realizamos la evaluacin a los empleados sobre el contenido y
la aplicacin de los Cdigos de tica y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorera y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Lnea tica como el canal de denuncia de actos incorrectos.
Al cierre del ao 2010, ni la Administracin ni los rganos de control internos y externos del Banco ni el Comit de Auditora detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la informacin financiera preparada y revelada por el Banco.
CONCLUSIONES
Claramente COBIT es un marco de referencia para profesionalizar el rea informtica de una compaa, ya que tiene una compleja estructura de 34 procesos de alto nivel y 210 objetivos de control.
Los procesos de negocio son la base por la que COBIT existe y no lo es el simple hecho de implementar la tecnologa de punta.
RECOMENDACIONES
Si el rea informtica de la organizacin es pequea COBIT puede