Noviembre 2013
La Auditora de Sistemas era relativamente infrecuente hace una dcada, al menos fuera del
sector financiero, donde estaba slidamente asentada.
El sector industrial tena solo algunas empresas con esa funcin definida y bien diferenciada de
la Auditora de Negocio convencional.
Esta no es la situacin actual, pero en aqul entonces desarrollar esa actividad profesional
chocaba con una cierta incomprensin.
Por ello hay que reconocer que la aparicin de regulaciones como la mencionada Ley SOX, as
como la LOPD y otras similares han facilitado la aceptacin de la auditora de sistemas,
principalmente por parte de los auditados, el rea de SSII.
Desde aqul momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12
personas basados en Espaa y en Sudamrica.
Para evitar un crecimiento excesivo del equipo, decidimos aadir a nuestro equipo cada ao el
apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisin, diversos
proyectos de auditora, lo que ha permitido incrementar el alcance del rea notablemente.
Metodologas
Una de las primeras decisiones que tuvimos que tomar fue la seleccin de una metodologa
que soportara nuestros anlisis.
Esta decisin fue comunicada formalmente al rea de SSII, para que la incluyeran como
metodologa de referencia junto con ITIL, ISO 17799, etc
Pero adoptar CobiT provoc de inmediato la necesidad de certificar todo el equipo, al menos en
CISA, lo que se consigui en un tiempo corto.
Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en
estndares estaba lograda. Esta es la posicin mnima que un equipo de Auditora de Sistemas
debe tener para acometer su funcin.
El mapa de riesgos, diseado en base a los requerimientos de CobiT, se ha estado elaborando cada
dos aos desde el 2007, habindose asumido con prontitud su revisin por parte del rea de SSII,
que es quien lo actualiza hoy en da.
Es una herramienta muy importante para conocer las dificultades que impiden conseguir los objetivos de los
procesos de SSII e inspira la identificacin de Hechos Significativos en las auditoras.
Uno de sus principales caractersticas es que no es completo, puesto que depende de la identificacin de
posibles amenazas.
Por otra parte, la versin 4.1 de CobiT facilitaba enormemente el anlisis del modelo de madurez, a
travs de los cuestionarios que aparecan incluidos en la descripcin de los procesos.
Aplicar estos cuestionarios resulta relativamente sencillo y asegura precisin y repetitividad en los resultados, lo
que pudimos comprobar a travs de anlisis cruzados de varios equipos de evaluacin.
Desgraciadamente, la ltima versin de CobiT nos remite a la norma ISO 15504, lo que por otra
parte eleva la notoriedad del concepto
Como siempre pasa con las normas ISO, hacen ms difcil su aplicacin prctica, al eliminarse las guas de
detalle.
Lo que podemos concluir de la nueva versin CobiT 5.0 es que la idea del modelo de madurez no solo se
mantiene sino que se realza.
El enfoque de los modelos de control debe ser de tipo holstico, teniendo en cuenta las diferentes
aspectos o dimensiones de las actividades del proceso
El fin de un proceso, su razn de ser, es conseguir sus objetivos, con la mayor eficiencia posible, de forma
sustentable y minimizando los riesgos.
La definicin de los niveles superiores de madurez coincide con las caractersticas buscadas en la
implantacin de los modelos de control.
Gestin cualitativa
Muytil prioridades
leccionesaprendidas
Modelos de control
optimizando
Muytil prioridades
predecible
til foco,prioridades
establecido
Falsoconfort~ utilidad
gestionado
Se alcanzan los objetivos de los procesos
Falsoconfort reactivo
realizado
No hay implementacin de procesos
Falsoconfort pocotil
incompleto
Modelo
de madurez
Mapas
de riesgos
8
Conforme ha ido estabilizndose la ejecucin y reporte de las auditoras, ha ido surgiendo el inters
por aportar algo ms de valor que la mera comunicacin de Hechos significativos.
Parece entonces que podra incluir algn tipo de conclusin sobre la adecuacin del proceso auditado y su
aportacin al objetivo de negocio.
Esta idea choca, sin embargo, con la interpretacin ms tradicional de la metodologa, que es la de limitar los
informes a los hechos evidenciables, normalmente alrededor de los Hechos Significativos.
Por lo tanto, sera interesante estudiar una perspectiva del diagnstico que pudiera tener una base
razonablemente rigurosa y ajena a la mera opinin subjetiva.
El Diagnstico
Como resultado de esta reflexin, concluimos que si la implantacin de los modelos de control es la
llave para que los procesos puedan elevar su nivel de madurez, en el camino de la excelencia, el
Diagnstico de la auditora podra centrarse en analizar qu gap existe en un proceso concreto y cules
son las dificultades identificadas en el avance por este camino.
Este anlisis es complementario a la identificacin de los Hechos Significativos, puesto que la correcta
mitigacin de los riesgos es consecuencia de una buena implantacin de los modelos de control, son
dimensiones complementarias.
1.
Concluir sobre la efectividad y eficacia de los Sistemas de Control interno en el rea de SSII
2.
Analizar y evaluar la expresin real, inmediata o probable de los riesgos, a travs de los denominados Hechos Significativos
3.
Diagnosticar la idoneidad del diseo de los procesos, a travs de un anlisis estratgico sobre su Madurez
4.
Efectuar estas tareas de forma independiente, con objeto de informar a la Comisin de Auditora.
En la versin mas concreta y tctica del punto, la buena aplicacin de los modelos de control permite tener los
riesgos adecuadamente cubiertos.
En su versin ms estratgica, estos modelos de control pueden conducir a los procesos a su nivel de excelencia.
10