Home / Resources / ISACA Journal / Issues / 2016 / Volume 6 / Enhancing the Audit Follow up Process Using COBIT 5

Mejorando el proceso de seguimiento de Auditoría usando COBIT 5

Autor: Ian Cooke, CISA, CRISC, CGEIT, CDPSE, COBIT 5 Assessor and Implementer, CFE, CIPM, CIPP/E, CIPT, FIP, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Fecha de Publicación: 13 January 2017
English

COBIT 5 para aseguramiento construye sobre la base del marco de trabajo de COBIT 5 proveyendo una guía detallada y práctica para profesionales del aseguramiento sobre cómo utilizar COBIT 5 para soportar una variedad de actividades de aseguramiento TI.

Una de las actividades clave de aseguramiento TI es asegurarse que el riesgo ha sido mitigado. COBIT 5 para aseguramiento requiere que, donde sea apropiado, las recomendaciones pueda incluir provisiones para monitoreo y seguimiento oportuno.1 Implementar un proceso de seguimiento de auditoría usando los catalizadores COBIT 5 y el Marco de Trabajo de Aseguramiento de Tecnologías de la Información (ITAF)2 provee valor a la empresa.

Los catalizadores de COBIT 5 y el proceso de seguimiento de auditoría

Los catalizadores son factores que, en forma colectiva e individual, influencian para que algo funcione o no. Los catalizadores son impulsados por la cascada de metas, por ejemplo, las metas de TI de alto nivel definen que deben lograr los distintos catalizadores.3 El marco de trabajo de COBIT 5 describe siete categorías de catalizadores (figura 1). COBIT 5 para aseguramiento revisa cada uno de estos catalizadores, destacando la perspectiva de aseguramiento. El artículo sigue una metodología similar enfocándose en el proceso de seguimiento de auditoría.

Principios, Políticas y Marcos de Trabajo
Los principios, políticas y marcos de trabajo son los vehículos para traducir el comportamiento deseado en guías prácticas para la gestión día a día4

Las guías prácticas para las actividades de seguimiento de auditoría están incluidas en ITAF. Específicamente el estándar 2402, Actividades de Seguimiento,5 requiere que los profesionales de auditoría y aseguramiento SI monitoreen información relevante para concluir si la administración ha planeado o tomado acciones apropiadas oportunas para abordar los hallazgos y recomendaciones de auditoría reportados

Procesos
Los procesos describen un conjunto de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de salidas como soporte para alcanzar metas globales relacionadas con TI6

Los procesos requieren buenas prácticas. Éstas son provistas por la guía ITAF 2402,7 la cual documenta guías en torno a las acciones de confirmación tomadas como respuesta a recomendaciones de auditoría. Los procesos también deberían tener un ciclo de vida. Esto se encuentra documentado en la guía 2402 del siguiente modo:

  • 2.1 Proceso de seguimiento
  • 2.2 Acciones propuestas por la administración
  • 2.3 Asumiendo el riesgo de no tomar acciones correctivas
  • 2.4 Procedimientos de seguimiento
  • 2.5 Tiempos y planificación de actividades de seguimiento
  • 2.6 Naturaleza y ámbito de las actividades de seguimiento
  • 2.7 Actividades de seguimiento de postergación
  • 2.8 Formato de respuestas de seguimiento
  • 2.9 Seguimiento a manos de profesionales acerca de recomendaciones de auditoría externa
  • 2.10 Reportando actividades de seguimiento

Estos pasos sugieren que los ítems de recomendaciones de auditoría tienen diferentes estados a medida que fluyen por el ciclo de vida. La figura 2 resume los estados que una acción puede tener a lo largo de su ciclo de vida.

Estructuras Organizacionales
Las estructuras organizacionales son las entidades claves en la toma de decisiones en una empresa.8 Las buenas prácticas aquí incluyen la definición de los principios operativos, el ámbito de control, el nivel de autoridad, la delegación de autoridad y los procedimientos de escalamiento para los ítems de recomendaciones de auditoría. La mejor manera de hacer esto es utilizando una matriz de responsable, encargado, consultado e informado (RACI). Una matriz RACI sugerida para el proceso de seguimiento de auditoría puede verse en la figura 3.

Cultura, Ética y Comportamiento
La cultura, ética y comportamiento de los individuos y de la empresa son usualmente subestimados como un factor de éxito en las actividades de gobierno y gestión.9 Para el proceso de seguimiento de auditoría el foco está en confirmar la implementación de ítems de auditoría. Las buenas prácticas son discutidas en la figura 4.

Información
La información permea a través de cualquier organización e incluye toda la información producida y utilizada por la empresa. La información es requerida para mantener la organización funcionando y adecuadamente gobernada.10

La información acerca de los ítems de seguimiento de auditoría debe ser capturada en un registro de hallazgos de aseguramiento. Este es un registro de asuntos/hallazgos levantados durante actividades de aseguramiento. Es mantenido y seguido para asegurar que los asuntos/hallazgos más significativos han sido registrados en acuerdo en los reportes de aseguramiento.11 La figura 5 muestra los ítems de datos que deberían ser capturados como mínimo.

De cualquier manera, es ventajoso agregar ítems de datos adicionales. COBIT 5: Procesos Habilitadores describe atributos de información.12 Uno puede agregar valor a la información al agregar más ítems de datos (figura 6).

Otros ítems que agreguen valor a la empresa pueden ser agregados.

Servicios, Infraestructura y Aplicaciones
Los servicios, infraestructura y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que provee la empresa con servicios y procesamiento de tecnologías de información.13

Desde una perspectiva de seguimiento de auditoría, lo que realmente se requiere es una instalación para almacenar los hallazgos de aseguramiento y producir reportes basados en los mismos. Esta puede ser una aplicación (por ejemplo, software de gestión de auditoría) o Microsoft Excel/Access. Las aplicaciones de tipo flujo de trabajo también pueden ser útiles para solicitar o hacer seguimiento a las recomendaciones.

Personas, Habilidades y Competencias
Las personas, habilidades y competencias son requeridas para completar exitosamente todas las actividades y para tomar decisiones correctas y tomar acciones correctivas.14

El auditor debe ser competente y contar con las habilidades necesarias para confirmar la implementación del ítem de auditoría. El auditor debe saber o tener una idea por adelantado de qué será aceptable para confirmar la implementación. Esto puede variar dependiendo de la relevancia del ítem. Un certificación de Auditor de Sistemas de Información Certificado (CISA) y familiaridad con ITAF también será beneficioso.

Reuniéndolo todo—El proceso de seguimiento de auditoría en acción

Acciones Propuestas por la Administración
El proceso de seguimiento se inicia con la creación del reporte de auditoría, específicamente, al momento que se hacen las recomendaciones y las acciones propuestas por la administración15 son documentadas. La figura 7 documenta qué debe ser capturado en esta etapa.

Procedimientos de Seguimiento
Una vez que las acciones propuestas son acordadas, los procedimientos para las actividades de seguimiento deben ser establecidos.16 Esto debe incluir:

  • Una evaluación de la respuesta de la administración
  • Una verificación de la respuesta, si es apropiada
  • Trabajo de seguimiento, si es apropiado

Al completarse las actividades de seguimiento, el estado del ítem de recomendación de auditoría debe cambiar. Por ejemplo, el estado de recomendación puede cambiar desde “destacado” a “parcialmente implementado”, “completamente implementado” o, si se verifica, “cerrado”.

La significancia también puede cambiar. Esto puede ocurrir donde los sistemas de aplicaciones han cambiado, los controles compensatorios han sido implementados, o los objetivos o prioridades del negocio han cambiado de tal manera que eliminan efectivamente o reducen significativamente el riesgo original.

Asumiendo el Riesgo o No Tomando Acciones Correctivas
La administración debe decidir aceptar el riesgo de no corregir la condición reportada en base a su costo, complejidad de la acción correctiva u otras consideraciones.17 En dichas circunstancias, la recomendación puede no llegar a acuerdo o postergada para una fecha posterior.

Reportando las actividades de seguimiento
La documentación de ISACA recomienda que un reporte con el estado de las acciones correctivas acordadas provenientes de las cartas de acuerdo de auditoría, incluyendo las recomendaciones acordadas aún no implementadas, debe presentarse al nivel apropiado de la administración y a aquellos encargados del gobierno (por ejemplo, el comité de auditoría).18

Reportar el estado de ítems individuales es una buena práctica. Sin embargo, al recolectar la información sugerida anteriormente, junto con los estados y fechas relacionadas que se han seguido, se puede hacer más. Primero, usando tablas pivote de Excel (o una herramienta similar) los datos pueden ser agregados. Esto puede luego ser usado para mostrar como secciones enteras, divisiones, países o dueños están rindiendo (figuras 8 y 9).

Las tablas pivote de Excel pueden también ser usadas para resumir los estados de las recomendaciones de auditoría en formatos que sean más familiares a la administración (figura 10).

O, pueden ser usados para demostrar cumplimiento de los estándares de la empresa (figuras 11 y 12).


Estos ejemplos indican puntos de dolor y son buenos indicadores de retardo. Sin embargo, una revisión cuidadosa de los temas ubicados revela que también pueden ser considerados indicadores líderes. Por ejemplo, si una nueva aplicación va a ser implementada en Irlanda, es muy probable que existan problemas con la autenticación y autorización (figura 13).

Beneficios del proceso mejorado de seguimiento de auditoría

Capturando los estados de las recomendaciones de auditoría en un registro de hallazgos de aseguramiento significa que, de parte de las buenas prácticas, un reporte del estado de acciones correctivas acordadas puede ser presentado a la Alta Administración y al comité de auditoría. Sin embargo, capturando la información adicional sugerida, uno puede:

  • Presentar información resumida por país/departamento/región/dueño
  • Presentar la información en un formato con el que los ejecutivos estén más familiarizados
  • Mostrar claramente el cumplimiento a los estándares y regulaciones
  • Usar la información como un indicador líder para nuevas iniciativas

Esto otorga unan mejor perspectiva de los riesgos que afectan diferentes áreas de la empresa.

Notas finales

1 ISACA, COBIT 5 for Assurance, USA, 2013, p. 17
2 ISACA, ITAF™: A Professional Practices Framework for IS Audit/ Assurance, 3rd Edition, USA, 2014
3 ISACA, COBIT 5, USA, 2012, p. 27
4 Op cit, COBIT 5, p. 27
5 Op cit, ITAF, p. 39
6 Op cit, COBIT 5, p. 27
7 Op cit, ITAF, p. 141
8 Op cit, COBIT 5, p. 27
9 Ibid.
10 Ibid.
11 Op cit, COBIT 5 for Assurance, p. 45
12 ISACA, COBIT 5: Enabling Information, USA, 2013, p. 37, figure 28
13 Op cit, COBIT 5, p. 27
14 Ibid.
15 Op cit, ITAF, p. 142
16 Ibid.
17 Ibid.
18 Ibid.

Ian Cooke, CISA, CGEIT, CRISC, COBIT Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt
Es un gerente de auditoría TI establecido en Dublin, Irlanda, con más de 25 años de experiencia en todos los aspectos de los sistemas de información. Miembro de los Grupos de Trabajo de las Comunidades de ISACA, él es también el líder temático para discusiones de Bases de Datos Oracle, Bases de Datos de SQL Server y Herramientas y Técnicas de Auditoría. Cooke acepta comentarios y sugerencias en Ian_J_Cooke@hotmail.com o en el tema de Herramientas y Técnicas de Auditoría en el Centro de Conocimiento de ISACA.