El diagnóstico basado en CobiT Noviembre 2013

Transcripción

1 El diagnóstico basado en CobiT Noviembre 2013

2 1. Desarrollo de la Auditoría de Sistemas en Repsol 2. Metodologías 3. Ley Sarbanes Oxley 4. Modelos de madurez y Mapas de riesgos 5. La función de Auditoría de Sistemas 6. El Diagnóstico 2

3 Desarrollo de la Auditoría de Sistemas en Repsol El desarrollo de la Auditoría de Sistemas en Repsol comenzó a principios del año 2006, cuando la obligatoriedad en el cumplimiento de la sección 404 de la Ley Sarbanes Oxley puso de manifiesto que era imprescindible acometer una supervisión profesional de las actividades de Sistemas de Información La Auditoría de Sistemas era relativamente infrecuente hace una década, al menos fuera del sector financiero, donde estaba sólidamente asentada. El sector industrial tenía solo algunas empresas con esa función definida y bien diferenciada de la Auditoría de Negocio convencional. Esta no es la situación actual, pero en aquél entonces desarrollar esa actividad profesional chocaba con una cierta incomprensión. Por ello hay que reconocer que la aparición de regulaciones como la mencionada Ley SOX, así como la LOPD y otras similares han facilitado la aceptación de la auditoría de sistemas, principalmente por parte de los auditados, el área de SSII. Desde aquél momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12 personas basados en España y en Sudamérica. Para evitar un crecimiento excesivo del equipo, decidimos añadir a nuestro equipo cada año el apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisión, diversos proyectos de auditoría, lo que ha permitido incrementar el alcance del área notablemente. 3

4 Metodologías Una de las primeras decisiones que tuvimos que tomar fue la selección de una metodología que soportara nuestros análisis. Obviamente la decisión fue adoptar CobiT, en aquél momento en la versión 4.0 Esta decisión fue comunicada formalmente al área de SSII, para que la incluyeran como metodología de referencia junto con ITIL, ISO 17799, etc Es decir, en aquél momento ya existía en SSII una incipiente costumbre de adopción de estándares y modelos de control, por lo que CobiT no supuso ninguna ruptura cultural. Pero adoptar CobiT provocó de inmediato la necesidad de certificar todo el equipo, al menos en CISA, lo que se consiguió en un tiempo corto. Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en estándares estaba lograda. Esta es la posición mínima que un equipo de Auditoría de Sistemas debe tener para acometer su función. 4

5 Ley Sarbanes Oxley En el año 2006 pusimos en marcha el Modelo de control interno para adecuarnos a la sección 404 de la Ley Sarbanes Oxley. Este Modelo incluye una conjunto de controles (denominados Controles Generales de Ordenador) que tienen como objetivo asegurar que los sistemas informáticos son fiables y soportan los procesos de negocio que producen la información financiera. Es decir, si los procesos de negocio son correctos, los sistemas informáticos no serán la causa de un posible fraude en la información financiera. La implantación de este modelo supuso un enorme cambio en la cultura de control interno de la compañía y fue la piedra de toque en el asentamiento de la Auditoría de Sistemas, dado que participamos tanto en asesorar sobre la interpretación del Modelo como en la revisión de la efectividad de los controles. Un análisis posterior no ha revelado que el mayor incremento en la madurez de los procesos de Sistemas de Información se produjo precisamente en el momento y como consecuencia de la implantación de este modelo. 5

6 Modelos de madurez y Mapas de riesgos La aplicación de CobiT supuso la posibilidad de desarrollar los mapas de riesgos de SSII y de evaluar los modelos de madurez. El mapa de riesgos, diseñado en base a los requerimientos de CobiT, se ha estado elaborando cada dos años desde el 2007, habiéndose asumido con prontitud su revisión por parte del área de SSII, que es quien lo actualiza hoy en día. Es una herramienta muy importante para conocer las dificultades que impiden conseguir los objetivos de los procesos de SSII e inspira la identificación de Hechos Significativos en las auditorías. Uno de sus principales características es que no es completo, puesto que depende de la identificación de posibles amenazas. Por otra parte, la versión 4.1 de CobiT facilitaba enormemente el análisis del modelo de madurez, a través de los cuestionarios que aparecían incluidos en la descripción de los procesos. Aplicar estos cuestionarios resulta relativamente sencillo y asegura precisión y repetitividad en los resultados, lo que pudimos comprobar a través de análisis cruzados de varios equipos de evaluación. Desgraciadamente, la última versión de CobiT nos remite a la norma ISO 15504, lo que por otra parte eleva la notoriedad del concepto Como siempre pasa con las normas ISO, hacen más difícil su aplicación práctica, al eliminarse las guías de detalle. Lo que podemos concluir de la nueva versión CobiT 5.0 es que la idea del modelo de madurez no solo se mantiene sino que se realza. 6

7 Modelos de control interno Los Modelos de Control son un conjunto razonablemente completo de procedimientos escritos, reglas y criterios para la ejecución de los procesos, manejo de excepciones y supervisión, vigilancia y mitigación de los riesgos. El enfoque de los modelos de control debe ser de tipo holístico, teniendo en cuenta las diferentes aspectos o dimensiones de las actividades del proceso El desarrollo e implantación de los Modelos de Control, permiten incrementar la madurez de los procesos y por lo tanto facilitan la consecución de sus objetivos El fin de un proceso, su razón de ser, es conseguir sus objetivos, con la mayor eficiencia posible, de forma sustentable y minimizando los riesgos. La definición de los niveles superiores de madurez coincide con las características buscadas en la implantación de los modelos de control. 7

8 Modelos de madurez y Mapas de riesgos Mejora continua de los procesos Gestión cualitativa Procesos adaptados - estándares Gestión de procesos y los productos Se alcanzan los objetivos de los procesos No hay implementación de procesos Modelos de control 5 optimizando 4 predecible 3 establecido 2 gestionado 1 realizado 0 incompleto Muy útil prioridades lecciones aprendidas Muy útil prioridades Útil foco, prioridades Falso confort ~ utilidad Falso confort reactivo Falso confort poco útil Utilidad del Mapa de Riesgos Modelo de madurez Mapas de riesgos 8

9 La función de Auditoría de Sistemas Tradicionalmente, en la práctica, el objetivo de la auditoría de sistemas, por paralelismo con el de la auditoría de negocio, ha sido el de realizar una serie de evaluaciones, basadas en pruebas sistemáticas, de los procesos de SSII, conducentes a identificar y evidenciar unos Hechos Significativos. Estos Hechos Significativos muestran la existencia de deficiencias o debilidades en los controles implantados para cubrir los riesgos de SSII. Ésta sería una definición clásica de Auditoría de Sistemas. Conforme ha ido estabilizándose la ejecución y reporte de las auditorías, ha ido surgiendo el interés por aportar algo más de valor que la mera comunicación de Hechos significativos. Parece entonces que podría incluir algún tipo de conclusión sobre la adecuación del proceso auditado y su aportación al objetivo de negocio. Esta idea choca, sin embargo, con la interpretación más tradicional de la metodología, que es la de limitar los informes a los hechos evidenciables, normalmente alrededor de los Hechos Significativos. Por lo tanto, sería interesante estudiar una perspectiva del diagnóstico que pudiera tener una base razonablemente rigurosa y ajena a la mera opinión subjetiva. 9

10 El Diagnóstico Como resultado de esta reflexión, concluimos que si la implantación de los modelos de control es la llave para que los procesos puedan elevar su nivel de madurez, en el camino de la excelencia, el Diagnóstico de la auditoría podría centrarse en analizar qué gap existe en un proceso concreto y cuáles son las dificultades identificadas en el avance por este camino. Este análisis es complementario a la identificación de los Hechos Significativos, puesto que la correcta mitigación de los riesgos es consecuencia de una buena implantación de los modelos de control, son dimensiones complementarias. Así pues, los objetivos de la Auditoría de Sistemas podrían quedar de la siguiente forma: 1. Concluir sobre la efectividad y eficacia de los Sistemas de Control interno en el área de SSII 2. Analizar y evaluar la expresión real, inmediata o probable de los riesgos, a través de los denominados Hechos Significativos 3. Diagnosticar la idoneidad del diseño de los procesos, a través de un análisis estratégico sobre su Madurez 4. Efectuar estas tareas de forma independiente, con objeto de informar a la Comisión de Auditoría. Puede observarse cómo el punto 1 se bifurca en el 2 y en el 3, según lo consideremos de forma táctica o estratégica. En la versión mas concreta y táctica del punto, la buena aplicación de los modelos de control permite tener los riesgos adecuadamente cubiertos. En su versión más estratégica, estos modelos de control pueden conducir a los procesos a su nivel de excelencia. 10