COBIT Y LOS CONTROLES DE APLICACIÓN

Los controles de aplicación consisten de actividades manuales y/o automatizadas que aseguran que la información cumple con ciertos criterios, los que COBIT refiere como requerimientos de negocio para la información. Estos criterios son:

  • Efectividad
  • Eficiencia
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento
  • Confiabilidad

Los controles de aplicación se establecen para proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre las aplicaciones, se alcanzan. Estos objetivos se articulan típicamente a través de funciones específicas para la solución, la definición de las reglas de negocio para el procesamiento de la información y la definición de procedimientos manuales de soporte. Ejemplo de ello son:

  • Totalidad (Integridad)
  • Exactitud
  • Validez
  • Autorización
  • Segregación de funciones

Es necesario asegurarse de que existen suficientes controles para mitigar los riesgos y que están operando con la efectividad necesaria para proveer información confiable.

Durante el ciclo de vida de los sistemas, diversas partes de la organización realizan actividades, responsabilidades y roles asociados con los controles de aplicación.

DISEÑO E IMPLANTACIÓN DE LOS CONTROLES DE APLICACIÓN

Una parte importante de esta etapa tanto para los sistemas nuevos como para los existentes, es identificar los objetivos de control, evaluar los riesgos y determinar la suficiencia de los controles de aplicación. Si no fue así, se deberán plantear las acciones correctivas necesarias.

1.PNG

OPERACIÓN Y MANTENIMIENTO DE LOS CONTROLES DE APLICACIÓN

El ambiente de proceso de TI en el cual operan los controles de aplicación, necesita ser controlado para asegurar la confiabilidad del proceso de los sistemas. Los cambios en los procesos y en los requerimientos de negocio, deben ser considerados para actualizar y/o mejorar los controles de aplicación.

2.PNG

DEPENDENCIA DE LOS CONTROLES GENERALES DE TI

Los controles generales de TI son aquellos que tienen que ver con el ambiente de proceso de TI en el cual operan los controles de aplicación. Entre los controles generales están, por ejemplo:

  • Control de cambios a programas
  • Controles de acceso físico
  • Controles de acceso lógico
  • Controles de continuidad operativa

El hecho de que los controles generales sean adecuados, no garantiza que los controles de aplicación serán adecuados.

Pero si los controles generales son deficientes, los controles de aplicación muy probablemente lo serán también.

MARCO DE TRABAJO GENERAL COBIT

Para proporcionar la información que la empresa necesita para lograr sus objetivos, es necesario administrar los recursos de TI a través de un conjunto estructurado de procesos de TI.

3.PNG

OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AC1 PREPARACIÓN Y AUTORIZACIÓN DE INFORMACIÓN FUENTE

Asegurar que los documentos fuente están preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregación de funciones respecto al origen y aprobación de estos documentos. Detectar errores e irregularidades para que sean informados y corregidos.

AC2 RECOLECCIÓN Y ENTRADA DE INFORMACIÓN FUENTE

Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvíos de los datos que fueron erróneamente ingresados se deben realizar, sin comprometer los niveles de autorización de las transacciones originales. En donde sea apropiado para la reconstrucción, retener los documentos fuente originales durante el tiempo necesario.

AC3 CHEQUEOS DE EXACTITUD, INTEGRIDAD Y AUTENTICIDAD

Asegurar que las transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible.

AC4 INTEGRIDAD Y VALIDEZ DEL PROCESAMIENTO

Mantener la integridad y validación de los datos a través del ciclo de procesamiento. Detectar transacciones erróneas y que no interrumpan el procesamiento de transacciones válidas.

AC5 REVISIÓN DE SALIDAS, RECONCILIACIÓN Y MANEJO DE ERRORES

Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la información proporcionada en la salida.

AC6 AUTENTICACIÓN E INTEGRIDAD DE TRANSACCIONES

Antes de pasar datos de la transacción entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisión o el transporte.

TIPOS DE CONTROLES DE APLICACIÓN

CONTROLES DE APLICACIÓN MANUALES: Son controles ejecutados sin la asistencia de sistemas automatizados. Ejemplos:

  • Autorizaciones escritas, como firmas en cheques.
  • Reconciliación de órdenes de compra con los formatos de recepción de mercancías.

CONTROLES DE APLICACIÓN AUTOMATIZADOS: Son controles que han sido programados e integrados en una aplicación computacional. Ejemplos:

  • Validaciones de edición y contenido de datos de entrada.
  • Dígitos verificadores para validar números de cuenta.

CONTROLES DE APLICACIÓN HÍBRIDOS O DEPENDIENTES DE CONTROLES DE APLICACIÓN AUTOMATIZADOS: Son controles que consisten de una combinación de actividades manuales y automatizadas. Ejemplo:

El proceso de llenado de órdenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de órdenes no embarcadas.

Para que este control sea efectivo, la actividad automatizada (generación de un reporte completo y seguro de órdenes no embarcadas) así como la actividad manual (revisión y seguimiento por el gerente), son necesarias para que el control sea efectivo.

CONTROLES DE APLICACIÓN CONFIGURABLES: Son controles automatizados que están basados y por lo tanto son dependientes de la configuración de parámetros dentro de la aplicación. Ejemplo:

Un control en un sistema de compras automatizado, que permite órdenes hasta un límite de autorización, es dependiente de controles sobre los cambios en los límites preconfigurados de autorización.

En muchos casos, las aplicaciones comerciales o desarrolladas en casa, son altamente dependientes de la configuración de varias tablas de parámetros.

Es apropiado considerar el diseño del control sobre las tablas como un elemento separado.

ATRIBUTOS DE LOS CONTROLES

  • Frecuencia del Control: Esta característica se relaciona con que tan frecuentemente es aplicado un control (diaria, semanal, mensual, etc.). Esta necesita ser considerada en el contexto de riesgo. Tal vez la frecuencia anual de revisión de la nómina no sea suficiente y por otro lado, una revisión de un balance diario, pueda dar lugar a errores y debe hacerse mensualmente.
  • Proximidad del Control al evento de Riesgo: Esta característica considera dónde, dentro del proceso, se aplica la actividad de control. Si la entrada de datos es una preocupación, entonces la actividad de control debe ser más efectiva entre más cerca esté de dicho evento dentro del proceso.
  • Ejecución de la actividad de Control: Saber quién ejecuta el control es una característica relevante, sobre todo en los controles manuales, ya que ello implica roles y responsabilidades por las decisiones y aprobaciones relacionadas con el control. Esta característica considera si las responsabilidades han sido apropiadamente segregadas de otras responsabilidades incompatibles.

COBIT 5: UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA

COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. OBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.

COBIT 5 se divide en 5 principios. Juntos, habilitan a la empresa a construir un marco de gestión de gobierno y gestión efectivo que optimiza la inversión y el uso de información y tecnología para el beneficio de las partes interesadas.

2.png

PRINCIPIO 1. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS

3.png

Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida.

PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO-A-EXTREMO

4.png

COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:

  • Cubre todas las funciones y procesos dentro de la empresa
  • Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.

PRINCIPIO 3: APLICAR UN MARCO DE REFERENCIA ÚNICO INTEGRADO

5.png

Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.

PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO

6.png

Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores:

7.png

PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN

8.png

El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta distinción clave entre gobierno y gestión es:

Gobierno Gestión
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.

http://www.isaca.org/COBIT/pages/default.aspx

CASCADA DE METAS DE COBIT 5

Cada empresa opera en un contexto diferente; este contexto está determinado por factores externos y factores internos y requiere un sistema de gobierno y gestión personalizado. Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite establecer metas específicas en todos los niveles y en todas las áreas de la empresa en apoyo de los objetivos generales y requisitos de las partes interesadas y así, efectivamente, soportar la alineación entre las necesidades de la empresa y las soluciones y servicios de TI.

1.png

Paso 1. Los Motivos de las Partes Interesadas Influyen en las Necesidades de las Partes Interesadas: Las necesidades de las partes interesadas están influenciadas por diferentes motivos, por ejemplo, cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías.

Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas Empresariales: Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas empresariales genéricas. Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro de mando integral (CMI. En inglés: Balanced Scorecard, BSC) y representan una lista de objetivos comúnmente usados que una empresa puede definir por sí misma. Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la empresa pueden relacionarse fácilmente con uno o más de los objetivos genéricos de la empresa. En el Apéndice D se representa una tabla de las partes interesadas y metas corporativas.

Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI: El logro de metas empresariales requiere un número de resultados relacionados con las TI, que están representados por las metas relacionadas con la TI. Se entiende como relacionados con las TI a la información y tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17 metas relacionadas con las TI.

Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras: Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios catalizadores. El concepto de catalizador se explica detalladamente en el capítulo 5. Los catalizadores incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas relacionadas con la TI. Los procesos son uno de los catalizadores y el apéndice C contiene una relación entre metas relacionadas con las TI y los procesos relevantes de COBIT 5, los cuales contienen metas de los procesos relacionados.

Beneficios de la Cascada de Metas de COBIT 5

La cascada de metas es importante porque permite la definición de prioridades de implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se basa en metas corporativas (estratégicas) de la empresa y elriesgo relacionado. En la práctica, la cascada de metas:

  • Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad
  • Filtra la base de conocimiento de COBIT 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento.
  • Identifica claramente y comunica cómo (algunas veces de forma muy operativa) los catalizadores son importantes para alcanzar metas de la empresa.

http://www.isaca.org/COBIT/pages/default.aspx

ESTÁNDAR COBIT 4.1 EN ESPAÑOL

En la actualidad para las organizaciones, la información y los avances tecnológicos que poseen representan sus más valiosos activos, aunque con frecuencia son poco entendidos y bien tratados. Por ello nace la necesidad de asegurar la TI, administrar los riesgos asociados a las TI y controlar los requerimientos que diariamente surgen en los procesos de las empresas. (Valor, Riesgo y Control).

Como solución a las necesidades anteriormente descritas el marco del trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones.

COBIT es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (Information Systems Audit and Control Association) y el IT GI (IT Governance Institute).

La misión del COBIT es Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.

Las organizaciones deben satisfacer la calidad, los requerimientos y la seguridad de su información, así como la de todos sus activos. La dirección también debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones, información, infraestructura y personas.

Los Objetivos de Control para la Información y la Tecnología relacionada COBIT brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica, al igual que la correcta ejecución de las aplicaciones automatizadas del negocio gracias a los recursos de TI.

Los recursos de TI identificados en COBIT se pueden definir como sigue:

Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requiera.

Los criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio son:

La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios, los cuales  se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear, y son:

Planear y Organizar (PO): Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).

Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios.

Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.

Monitorear y Evaluar (ME): Monitorear todos los procesos para asegurar que se sigue la dirección provista.

Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT,  compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno. En la siguiente figura se expone todo el marco de trabajo completo del COBIT.

COBIT.png

Modelos de madurez

 El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras.

El propósito no es avaluar el nivel de adherencia a los objetivos de control. Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI, no hay intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido con exactitud.

0 No Existente: Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial: Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

5 Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

http://www.isaca.org/cobit/pages/default.aspx

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf