RESUMEN ABSTRACT
El desarrollo de la tecnologa es percibida en forma The development of technology is perceived globally
global, como un disparador de cambios permanentes as a trigger for permanent changes in the business en-
en el ambiente de negocios. Sin embargo, existe una vironment. However, there is one overriding idea that
idea primordial que aparece inmvil contra esta fuerza appears immobile against this technological strength
tecnolgica que implica que las organizaciones que which implies that organizations that survive are those
sobreviven, son aquellas que entregan ms valor a that provide more value to their customers.
sus clientes. The role of the audit continues to provide assurance
La funcin de la auditora contina proporcionn- services to both internal and external customers. Since
donos servicios de aseguramiento, tanto a clientes the use of technology impacts the way we do business,
internos como externos. Dado que el empleo de la there must be effective and simple ways to carry out
tecnologa impacta la forma de hacer negocios, debe the evaluation of the controls that must exist to ensure
haber formas efectivas y sencillas para llevar a cabo that service.
la evaluacin de los controles que deben existir para The main objective of the research is to determine
garantizar dicho servicio. which methodology should be used to achieve ade-
quate control of information technology, risks and
El objetivo principal de la investigacin es determinar
vulnerabilities for effective audit process.
qu metodologa debera de emplearse para obtener un
Our main hypothesis is: The COBIT developed by
adecuado control de la tecnologa de la informacin,
ISACA is a methodology that should be used to achie-
riesgos y vulnerabilidades para el proceso de una audi-
ve adequate control of information technology, risks
tora eficaz.
and vulnerabilities for effective audit process.
Nuestra hiptesis principal es: El COBIT desarro- From the review and research conducted, we conclude
llado por ISACA es una metodologa que debera de that the COBIT, auditors information technology will
emplearse para obtener un adecuado control de la tec- have a suitable tool that will allow them to meet the
nologa de la informacin, riesgos y vulnerabilidades new needs of organizations.
para el proceso de una auditora eficaz.
De la revisin e investigacin realizadas, concluimos
que con el COBIT, los auditores de tecnologa de
informacin contarn con una herramienta adecuada
que les permitir atender las nuevas necesidades de
las organizaciones. Keywords:
Palabras clave: Audit; risks; vulnerabilities; COBIT.
Auditora; riesgos; vulnerabilidades; COBIT.
En este enfoque se incluye el anlisis de riesgo Ineficiente uso de los recursos tecnolgicos.
en el negocio como punto importante en su revisin. Robo de informacin.
El gran reto de este proyecto es enfrentar una
La auditora debe tener como misin re- problemtica compleja dado que se interrelacionan
portar los riesgos y los controles para diferentes tipos de activos, con lo cual si no se es
mitigarlos metdico y riguroso, los resultados y conclusiones no
Para ello, debe confeccionar un plan estratgico son de fiar y difcilmente sean de valor para la Entidad.
que incluye una cuidadosa consideracin acerca de Las acciones a desarrollar permitirn:
los problemas de la resistencia al cambio, los costos a. Incorporar a la matriz de riesgo operacional, el
que representa dicha tecnologa y las utilidades que riesgo de TI asociado a cada proceso de negocio.
se lograrn, alcance del proyecto, y asegurarse que b. Concientizar a los responsables de las Gerencias
su formacin debera dar lugar a resultados ms fa- de Tecnologa y Sistemas de Informacin de la
vorables. Como mnimo, deber aplicarse las Tcnicas existencia de riesgos y brindar soluciones para
de Auditora asistida por el computador (Computer su mitigacin.
Assisted Audit Techniques - CAAT), que tienen el
potencial de servir como un mecanismo de transicin c. Ayudar a descubrir y planificar medidas oportu-
entre la auditora manual y el final de la auditora fu- nas para mantener los riesgos bajo control.
tura. Si se implementan y se utilizan segn lo previsto, d. Preparar a la organizacin para procesos de
se realizarn beneficios significativos; de tal manera, evaluacin, auditora y cumplimiento, segn
que las empresas deben estar ms abiertas a contem- corresponda.
plar la idea de aventurarse ms all en el mbito de la e. Establecer los aspectos a tener en cuenta para la
automatizacin. realizacin de planes de contingencias y con-
El trabajo de auditora debe incluir el anlisis de tinuidad del negocio y sistemas de gestin de
riesgo durante el planeamiento. De acuerdo con el seguridad informtica.
diccionario Aplicativo para Contadores, se define En concreto, los avances en tecnologa de la in-
Riesgo como: La posibilidad que el auditor pueda formacin en relacin con los enfoques en tiempo
expresar una opinin financiera que est distorciona- real a la realizacin de negocios estn desafiando la
da en aspectos materiales, o que los criterios tcnicos profesin de auditora. Como tal, el objetivo principal
del auditor hayan sido insuficientes o inapropiados. de esta investigacin es determinar qu metodologa
Como sabemos, Basilea II incorpor el riesgo debera de emplearse para obtener un adecuado con-
operacional a los riesgos ya evaluados por Basilea I trol de la tecnologa de la informacin, riesgos y vul-
(de crdito, de mercado y de tipo de cambio) y uno nerabilidades para el proceso de una Auditora eficaz.
de los aspectos a evaluar del riesgo operacional es el
factor de riesgo de tecnologa de la informacin (TI). La auditora debe aplicar las mejores
Qu es el anlisis de riesgo de TI? prcticas disponibles en el mercado
Conocer los riesgos al que estn sometidos los ac- En los sectores pblico y privado, se hacen uso
tivos de TI es imprescindible para poder gestionarlos. de una serie de estndares que guan el desarrollo de
Dentro de los riesgos de la Tecnologa de Infor- proyectos de TI, entre ellos, se pueden mencionar:
macin podemos mencionar a los siguientes: Directrices gerenciales de COBIT, desarrollado
Informacin errnea o inoportuna. por la Information Systems Audit and Control
Tiempo laboral perdido por mal uso del e-mail e Association (ISACA).
Internet. The Management of the Control of data Infor-
Alteracin de datos. mation Technology, desarrollado por el Insti-
Insatisfaccin del usuario. tuto Canadiense de Contadores Certificados
Acceso no autorizado. (CICA).
tres elementos son utilizados a nivel mundial para Aplicaciones: Se entiende como sistemas de
describir los requerimientos de seguridad. aplicacin la suma de procedimientos manuales y
Se comenz el anlisis a partir de los requeri- programados.
mientos de calidad, fiduciarios y de seguridad, se Tecnologa: La tecnologa cubre hardware, softwa-
extrajeron siete categoras distintas, ciertamente re, sistemas operativos, sistemas de administracin
superpuestas. de bases de datos, redes, multimedia, etc.
A continuacin, se muestran las definiciones de Instalaciones: Recursos para alojar y dar soporte
trabajo de COBIT: a los sistemas de informacin.
Efectividad: Se refiere a que la informacin rele- Personal: Habilidades del personal, conocimiento,
vante sea pertinente para el proceso del negocio, conciencia y productividad para planear, organizar,
as como a que su entrega sea oportuna, correcta, adquirir, entregar, soportar y monitorear servicios
consistente y de manera utilizable. y sistemas de informacin.
Eficiencia: Se refiere a la provisin de informacin El dinero o capital no es considerado como un
a travs de la utilizacin ptima (ms productiva y recurso para la clasificacin de objetivos de control
econmica) de recursos. para TI debido a que puede definirse como la in-
Confidencialidad: Se refiere a la proteccin de versin en cualquiera de los recursos mencionados
informacin sensible contra divulgacin no auto- anteriormente y podra causar confusin con los
rizada. requerimientos de auditora financiera.
Integridad: Se refiere a la precisin y suficiencia El marco referencial no menciona, en forma espe-
de la informacin, as como a su validez de acuerdo cfica para todos los casos, la documentacin de todos
con los valores y expectativas del negocio. los aspectos materiales importantes relacionados
Disponibilidad: Se refiere a la disponibilidad de con un proceso de TI particular. Como parte de las
la informacin cuando sta es requerida por el buenas prcticas, la documentacin es considerada
proceso de negocio ahora y en el futuro. Tambin esencial para un buen control y, por lo tanto, la falta
se refiere a la salvaguarda de los recursos necesarios de documentacin podra ser la causa de revisiones
y capacidades asociadas. y anlisis futuros de controles de compensacin en
cualquier rea especfica en revisin.
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos contrac- La informacin que los procesos de negocio
tuales a los que el proceso de negocios est sujeto, necesitan es proporcionada a travs del empleo de
por ejemplo, criterios de negocio impuestos ex- recursos de TI. Con el fin de asegurar que los reque-
ternamente. rimientos de negocio para la informacin sean satis-
fechos, deben definir, implementarse y monitorearse
Confiabilidad de la informacin: Se refiere a la medidas de control adecuadas para estos recursos.
provisin de informacin apropiada para la admi-
nistracin con el fin de operar la entidad y para ejer- Cmo pueden entonces las empresas estar
cer sus responsabilidades de reportes financieros y satisfechas respecto de la informacin obtenida de
de cumplimiento. las caractersticas que necesitan? Es aqu donde se
requiere un sano marco referencial de Objetivos de
Los recursos de TI identificados en COBIT Control para TI.
pueden identificarse/definirse como se muestra a El marco referencial consta de Objetivos de
continuacin: Control de TI de alto nivel y de una estructura ge-
Datos: Los elementos de datos en su ms amplio neral para su clasificacin y presentacin. La teora
sentido, (por ejemplo, externos e internos), estruc- subyacente para la clasificacin seleccionada se refiere
turados y no estructurados, grficos, sonido, etc. a que existen, en esencia, tres niveles de actividades
de TI al considerar la administracin de sus recursos.