El diagnstico basado en CobiT

Noviembre 2013

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

1. Desarrollo de la Auditora de Sistemas en Repsol

2. Metodologas
3. Ley Sarbanes Oxley
4. Modelos de madurez y Mapas de riesgos
5. La funcin de Auditora de Sistemas
6. El Diagnstico

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Desarrollo de la Auditora de Sistemas en Repsol

El desarrollo de la Auditora de Sistemas en Repsol comenz a principios del ao 2006, cuando

la obligatoriedad en el cumplimiento de la seccin 404 de la Ley Sarbanes Oxley puso de
manifiesto que era imprescindible acometer una supervisin profesional de las actividades de
Sistemas de Informacin

La Auditora de Sistemas era relativamente infrecuente hace una dcada, al menos fuera del
sector financiero, donde estaba slidamente asentada.

El sector industrial tena solo algunas empresas con esa funcin definida y bien diferenciada de
la Auditora de Negocio convencional.

Esta no es la situacin actual, pero en aqul entonces desarrollar esa actividad profesional
chocaba con una cierta incomprensin.

Por ello hay que reconocer que la aparicin de regulaciones como la mencionada Ley SOX, as
como la LOPD y otras similares han facilitado la aceptacin de la auditora de sistemas,
principalmente por parte de los auditados, el rea de SSII.

Desde aqul momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12
personas basados en Espaa y en Sudamrica.

Para evitar un crecimiento excesivo del equipo, decidimos aadir a nuestro equipo cada ao el
apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisin, diversos
proyectos de auditora, lo que ha permitido incrementar el alcance del rea notablemente.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Metodologas

Una de las primeras decisiones que tuvimos que tomar fue la seleccin de una metodologa
que soportara nuestros anlisis.

Obviamente la decisin fue adoptar CobiT, en aqul momento en la versin 4.0

Esta decisin fue comunicada formalmente al rea de SSII, para que la incluyeran como
metodologa de referencia junto con ITIL, ISO 17799, etc

Es decir, en aqul momento ya exista en SSII una incipiente costumbre de adopcin de

estndares y modelos de control, por lo que CobiT no supuso ninguna ruptura cultural.

Pero adoptar CobiT provoc de inmediato la necesidad de certificar todo el equipo, al menos en
CISA, lo que se consigui en un tiempo corto.

Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en
estndares estaba lograda. Esta es la posicin mnima que un equipo de Auditora de Sistemas
debe tener para acometer su funcin.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Ley Sarbanes Oxley

En el ao 2006 pusimos en marcha el Modelo de control interno para adecuarnos a la

seccin 404 de la Ley Sarbanes Oxley.

Este Modelo incluye una conjunto de controles (denominados Controles Generales de

Ordenador) que tienen como objetivo asegurar que los sistemas informticos son
fiables y soportan los procesos de negocio que producen la informacin financiera. Es
decir, si los procesos de negocio son correctos, los sistemas informticos no sern la
causa de un posible fraude en la informacin financiera.

La implantacin de este modelo supuso un enorme cambio en la cultura de control

interno de la compaa y fue la piedra de toque en el asentamiento de la Auditora de
Sistemas, dado que participamos tanto en asesorar sobre la interpretacin del Modelo
como en la revisin de la efectividad de los controles.

Un anlisis posterior no ha revelado que el mayor incremento en la madurez de los

procesos de Sistemas de Informacin se produjo precisamente en el momento y
como consecuencia de la implantacin de este modelo.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Modelos de madurez y Mapas de riesgos

La aplicacin de CobiT supuso la posibilidad de desarrollar los mapas de riesgos de SSII y de

evaluar los modelos de madurez.

El mapa de riesgos, diseado en base a los requerimientos de CobiT, se ha estado elaborando cada
dos aos desde el 2007, habindose asumido con prontitud su revisin por parte del rea de SSII,
que es quien lo actualiza hoy en da.

Es una herramienta muy importante para conocer las dificultades que impiden conseguir los objetivos de los
procesos de SSII e inspira la identificacin de Hechos Significativos en las auditoras.

Uno de sus principales caractersticas es que no es completo, puesto que depende de la identificacin de
posibles amenazas.

Por otra parte, la versin 4.1 de CobiT facilitaba enormemente el anlisis del modelo de madurez, a
travs de los cuestionarios que aparecan incluidos en la descripcin de los procesos.

Aplicar estos cuestionarios resulta relativamente sencillo y asegura precisin y repetitividad en los resultados, lo
que pudimos comprobar a travs de anlisis cruzados de varios equipos de evaluacin.

Desgraciadamente, la ltima versin de CobiT nos remite a la norma ISO 15504, lo que por otra
parte eleva la notoriedad del concepto

Como siempre pasa con las normas ISO, hacen ms difcil su aplicacin prctica, al eliminarse las guas de
detalle.

Lo que podemos concluir de la nueva versin CobiT 5.0 es que la idea del modelo de madurez no solo se
mantiene sino que se realza.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Modelos de control interno

Los Modelos de Control son un conjunto razonablemente completo de procedimientos escritos,

reglas y criterios para la ejecucin de los procesos, manejo de excepciones y supervisin,
vigilancia y mitigacin de los riesgos.

El enfoque de los modelos de control debe ser de tipo holstico, teniendo en cuenta las diferentes
aspectos o dimensiones de las actividades del proceso

El desarrollo e implantacin de los Modelos de Control, permiten incrementar la madurez de los

procesos y por lo tanto facilitan la consecucin de sus objetivos

El fin de un proceso, su razn de ser, es conseguir sus objetivos, con la mayor eficiencia posible, de forma
sustentable y minimizando los riesgos.

La definicin de los niveles superiores de madurez coincide con las caractersticas buscadas en la
implantacin de los modelos de control.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Gestin cualitativa

Procesos adaptados - estndares

Gestin de procesos y los productos

Muytil prioridades
leccionesaprendidas

Utilidad del Mapa de Riesgos

Mejora continua de los procesos

Modelos de control

Modelos de madurez y Mapas de riesgos

optimizando

Muytil prioridades

predecible

til foco,prioridades

establecido

Falsoconfort~ utilidad

gestionado
Se alcanzan los objetivos de los procesos

Falsoconfort reactivo

realizado
No hay implementacin de procesos

Falsoconfort pocotil

incompleto

Modelo
de madurez

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

Mapas
de riesgos
8

La funcin de Auditora de Sistemas

Tradicionalmente, en la prctica, el objetivo de la auditora de sistemas, por paralelismo con el de la

auditora de negocio, ha sido el de realizar una serie de evaluaciones, basadas en pruebas
sistemticas, de los procesos de SSII, conducentes a identificar y evidenciar unos Hechos
Significativos.

Estos Hechos Significativos muestran la existencia de deficiencias o debilidades en los controles

implantados para cubrir los riesgos de SSII.

sta sera una definicin clsica de Auditora de Sistemas.

Conforme ha ido estabilizndose la ejecucin y reporte de las auditoras, ha ido surgiendo el inters
por aportar algo ms de valor que la mera comunicacin de Hechos significativos.

Parece entonces que podra incluir algn tipo de conclusin sobre la adecuacin del proceso auditado y su
aportacin al objetivo de negocio.

Esta idea choca, sin embargo, con la interpretacin ms tradicional de la metodologa, que es la de limitar los
informes a los hechos evidenciables, normalmente alrededor de los Hechos Significativos.

Por lo tanto, sera interesante estudiar una perspectiva del diagnstico que pudiera tener una base
razonablemente rigurosa y ajena a la mera opinin subjetiva.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

El Diagnstico

Como resultado de esta reflexin, concluimos que si la implantacin de los modelos de control es la
llave para que los procesos puedan elevar su nivel de madurez, en el camino de la excelencia, el
Diagnstico de la auditora podra centrarse en analizar qu gap existe en un proceso concreto y cules
son las dificultades identificadas en el avance por este camino.

Este anlisis es complementario a la identificacin de los Hechos Significativos, puesto que la correcta
mitigacin de los riesgos es consecuencia de una buena implantacin de los modelos de control, son
dimensiones complementarias.

As pues, los objetivos de la Auditora de Sistemas podran quedar de la siguiente forma:

1.

Concluir sobre la efectividad y eficacia de los Sistemas de Control interno en el rea de SSII

2.

Analizar y evaluar la expresin real, inmediata o probable de los riesgos, a travs de los denominados Hechos Significativos

3.

Diagnosticar la idoneidad del diseo de los procesos, a travs de un anlisis estratgico sobre su Madurez

4.

Efectuar estas tareas de forma independiente, con objeto de informar a la Comisin de Auditora.

Puede observarse cmo el punto 1 se bifurca en el 2 y en el 3, segn lo consideremos de forma tctica

o estratgica.

En la versin mas concreta y tctica del punto, la buena aplicacin de los modelos de control permite tener los
riesgos adecuadamente cubiertos.

En su versin ms estratgica, estos modelos de control pueden conducir a los procesos a su nivel de excelencia.

REPSOL S.A. Direccin de Auditora de Sistemas. Noviembre 2013.

10