Home / Resources / ISACA Journal / Issues / 2018 / Volume 4 / IS Audit Basics Add Value to What Is Valued

Auditoría básica de TI: Agregar valor a lo que es valioso

Autor: Ian Cooke, CISA, CRISC, CGEIT, CDPSE, COBIT 5 Assessor and Implementer, CFE, CIPM, CIPP/E, CIPT, FIP, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Fecha de Publicación: 17 January 2019
English

Crecí con mi madre, mamá soltera, en condiciones de relativa pobreza. Esto significaba que, ¡a veces regresaría a casa con una camisa nueva o un par de pantalones para mí y no saben qué gran valor que tenían! Tengo que admitir sí que en ese momento no podía ver el valor. Mi único pensamiento era que tenía que salir a las calles de la parte norte de Dublín, Irlanda, ¡en esa ropa! ¿Cuál es el punto de esta anécdota? Demostrar que el valor significa cosas diferentes para distintas personas, dependiendo de su perspectiva.

Esto también aplica en los negocios. Las empresas tienen muchas partes interesadas, y “crear valor” significa cosas diferentes—y a veces contradictorias—para cada uno de ellos.1 Teniendo esto en cuenta, ¿cómo podemos aprovechar la auditoría de TI para crear valor?

Definir el valor

La auditoría interna no define el valor para la empresa. Esa es una función de gobernanza. El sistema de gobernanza debería considerar a todas las partes interesadas cuando toma decisiones sobre la evaluación de beneficios, los riesgos y los recursos. Para cada decisión, se pueden y deberían hacer las siguientes preguntas: ¿para quiénes son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?2 En otras palabras, la creación de valor significa obtener beneficios a un costo de recursos óptimo mientas el riesgo se optimiza (figura 1).3

La cascada de metas

Las necesidades de los interesados pueden ser relacionadas con los objetivos de la empresa usando, por ejemplo, el Cuadro de Mando Integral.4 Éstos, a su vez, se conectan en cascada a los objetivos relacionados con TI utilizando el cuadro de mando integral de TI (IT BSC). Finalmente, los objetivos relacionados con las TI se conectan en cascada a los objetivos habilitadores (figura 2).5 Los habilitadores son factores que, individual y colectivamente, influyen en si algo funcionará.6

Si los habilitadores influyen en si algo funcionará, y esto puede deberse a las necesidades de las partes interesadas, entonces por consiguiente agregará valor el auditar estos habilitadores para comprobar si: se está siguiendo un estándar o un conjunto de directrices, los registros son precisos, o la eficiencia y efectividad se están cumpliendo.7

Existe, por supuesto, un problema potencial aquí: ¿qué pasa si la empresa de uno no ha adoptado COBIT 5?, ¿qué pasa si (bastante probable) no existen objetivos en cascada? La buena noticia es que hay una solución: uno puede trabajar a la inversa. Si los procesos de TI de la empresa son mapeados de acuerdo al modelo de referencia de proceso COBIT 5,8 los procesos resultantes de COBIT 5 se pueden usar para determinar los objetivos relacionados con TI.9 Estos, a su vez, pueden ser usados para determinar los objetivos de la empresa.10 Por ejemplo, la continuidad del negocio se correlacionaría con el proceso de COBIT Entrega, Servicio y Soporte (DSS), DSS04 Gestión de la continuidad. Esto se correlacionaría con el objetivo de TI ITG07 Entrega del servicio en línea con los requerimientos del negocio que, a su vez, se mapea con el objetivo empresarial EG07 Continuidad y disponibilidad del servicio empresarial. Tenga en cuenta que esto dará como resultados objetivos genéricos de TI y del negocio que pueden, y deberían, ser ajustados por los gerentes de TI y del negocio. La empresa debería, entonces, decidir cuál de éstos agrega más valor.

Habilitadores

El marco COBIT 5 describe siete categorías de habilitadores (figura 3):11

  • Los Principios, Políticas y Marcos son el vehículo para traducir el comportamiento deseado en una guía práctica para la gestión diaria.
  • Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que ayudan al logro de los objetivos generales relacionados con TI.
  • Las Estructuras Organizacionales son las principales entidades de toma de decisiones en una empresa.
  • La Cultura, la Ética y el Comportamiento de las personas y de la empresa son muy a menudo subestimados como un factor de éxito en las actividades de gobernanza y gestión.
  • La información está omnipresente en cualquier organización e incluye toda la información producida y utilizada por la empresa. Se requiere información para mantener la organización en funcionamiento y bien gobernada, pero a nivel operativo la información es, a menudo, el producto clave de la empresa misma.
  • Los Servicios, la Infraestructura y las Aplicaciones incluyen la infraestructura, tecnología y aplicaciones que proveen a la empresa de procesamiento y servicios de tecnología de la información.
  • Las Personas, Habilidades y Competencias están vinculadas a las personas y son necesarias para completar con éxito todas las actividades y, para tomar decisiones correctas y tomar acciones correctivas.

Auditando los habilitadores

En esta etapa, aquellos que han leído columnas anteriores de Auditoría Básica de SI12, 13, 14 probablemente estén esperando la introducción del documento oficial (white paper) de ISACA sobre la creación de programas de auditoría15 y, de hecho, esto funcionaría. Sin embargo, en mi opinión, el enfoque de auditoría sugerido en el documento oficial es el más adecuado para el habilitador seis, esto es, auditar una pieza discreta de infraestructura o tecnología, o una aplicación individual. Esto se debe a que el enfoque se basa puramente en el riesgo, lo que generalmente da como resultado que el objetivo de auditoría se describa en un contexto de control. Por ejemplo, en el documento sobre creación de programas de auditoría, el ejemplo dado para un objetivo de auditoría es “determinar si los cambios en el código fuente del programa se realizan en un entorno bien definido y controlado”.16

Para satisfacer todas las necesidades de los interesados, el compromiso de aseguramiento debería considerar los tres componentes del objetivo de valor: entregando beneficios que apoyen los objetivos estratégicos, optimizando el riesgo de que no se logren los objetivos estratégicos y optimizando los niveles de recursos necesarios para alcanzar los objetivos estratégicos.17 Para cumplir con estos objetivos, recomiendo la adopción del enfoque genérico de compromiso de aseguramiento basado en COBIT 5 (figura 4).18

Este enfoque está alineado con las normas y prácticas de auditoría generalmente aceptadas, incluidas las fases definidas en el documento de creación de programas de auditoría, específicamente:19

  • Fase A—Planificación y alcance del compromiso de aseguramiento (planificación)
  • Fase B—Comprensión de la materia, estableciendo criterios de evaluación apropiados y realizando la evaluación real (trabajo en terreno/documentación)
  • Fase C—Comunicación de los resultados de la evaluación (informe/seguimiento)

Además, esto hace referencia a la cascada de los objetivos de COBIT 5 para asegurar que los objetivos detallados del compromiso de aseguramiento puedan ser puestos en el contexto de la empresa y de TI, y, al mismo tiempo, esto permite vincular los objetivos de aseguramiento con los riesgos y beneficios de las TI y de la empresa.20

Por otro lado, este proceso que se describe detalladamente en COBIT 5 para Aseguramiento,21 ISACA ha utilizado el enfoque para desarrollar programas de auditoría/aseguramiento para 34 de los 37 procesos de COBIT 5.22 Cuando estos se utilizan para auditar horizontalmente23—es decir, el mismo proceso en varias aplicaciones diferentes—los compromisos de aseguramiento no sólo pueden crear, sino también demostrar el vínculo con el valor de la empresa.

Conclusión

En mayo de 2016, Dublín tuvo el honor de ser anfitrión de EuroCACS.24 Conocí a algunos colegas de ISACA en un ambiente social (¡por cierto, llevaba una camisa nueva y pantalones comprados especialmente para la ocasión!) antes de la recepción de la noche. La conversación se dirigió hacía COBIT y se hizo un comentario acerca de cómo COBIT 4,1 era “mejor” que COBIT 5, ya que sólo podía ser “tomado y usado”. Al final del 2015 había completado el entrenamiento de COBIT 5 Foundation,25 así que me sentí lo suficientemente cómodo como para responder.

COBIT 5, a diferencia de COBIT 4,1, aborda todas las necesidades de los interesados: beneficios obtenidos, optimización de riesgos y optimización de recursos. Al seguir los objetivos en cascada o, cuando esto no está en su lugar, trazar un mapa hacia arriba de los objetivos genéricos, los habilitadores que realmente agregan valor a la empresa, incluidos los procesos, se pueden agregar al universo de auditoría. El enfoque también asegura que los objetivos y los resultados del compromiso de aseguramiento se puedan poner en un contexto empresarial y de TI. Esto, en última instancia, permite que la auditoría agregue valor a lo que se valora.

Notas finales

1 ISACA, COBIT 5, USA, 2012
2 Ibid., p.17
3 Ibid.
4 Kaplan, R. S.; D. P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University Press, USA, 1996
5 Op cit COBIT 5, p. 17. The goals cascade is covered in greater detail in COBIT 5
6 Ibid., p. 27
7 ISACA Glossary, Audit, www.isaca.org/Glossary
8 Op cit COBIT 5, figure 16, p. 33
9 ISACA, COBIT 5: Enabling Processes, USA, 2012, figure 18, p. 227-229. Map between the IT processes and IT-related goals
10 Ibid., figure 17, p. 226. Map between the IT-related goals and enterprise goals
11 Op cit COBIT 5, p. 27
12 Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, https://www.isaca.org/resources/isaca-journal/issues
13 Cooke, I.; “Auditing Mobile Devices,” ISACA Journal, vol. 6, 2017, https://www.isaca.org/resources/isaca-journal/issues
14 Cooke, I.; “Auditing Data Privacy,” ISACA Journal, vol. 3, 2018, https://www.isaca.org/resources/isaca-journal/issues
15 ISACA, Information Systems Auditing: Tools and Techniques—Creating Audit Programs, USA, 2016
16 Op cit ISACA, Information Systems Auditing: Tools and Techniques—Creating Audit Programs, p. 8
17 ISACA, COBIT 5 for Assurance, USA, 2013, p. 59
18 Ibid., p. 55-82
19 Op cit ISACA, Information Systems Auditing: Tools and Techniques—Creating Audit Programs
20 Op cit ISACA, COBIT 5 for Assurance, p. 56
21 Ibid., Section 2B, Assessment Perspective: Providing Assurance Over a Subject Matter, p. 53
22 ISACA, COBIT 5 Process Audit/Assurance Programs
23 Cooke, I.; “Innovation in the IT Audit Process,” ISACA Journal, vol. 2, 2018, https://www.isaca.org/resources/isaca-journal/issues
24 European Computer Audit, Control and Security Conference
25 I would like to take this opportunity to publicly thank the gentleman in question, Everett Breakey, CISA, CRISC, CISM, CGEIT, of the ISACA Ireland Chapter, who has made it his mission to bring COBIT 5 training to the population of Ireland.

Ian Cooke, CISA, CRISC, CGEIT, COBIT Assessor and Implementer, CFE, CPTE, DipFM, ITIL Foundation, Six Sigma Green Belt
Es el gerente de auditoría de TI del grupo de An Post (la Oficina de Correos Irlandesa con sede en Dublín, Irlanda) y tiene 30 años de experiencia en todos los aspectos de los sistemas de información. Cooke ha cooperado en varios comités de ISACA, y es un miembro actual del Grupo de Trabajo de Desarrollo de Elementos para el Examen CGEIT de ISACA. Él es el líder de la comunidad de las Bases de Datos de Oracle y SQL Server, y de las Herramientas y Técnicas de Auditoría en el Centro de Conocimiento de ISACA. Cooke ayudó en las actualizaciones del Manual de Revisión de CISA para las prácticas de trabajo del 2016, y fue un experto en la materia para el Curso de Revisión en Línea de CISA de ISACA. Ha sido galardonado con el Premio Common Body of Knowledge John W. Lainhart IV 2017, por sus contribuciones al desarrollo y mejora de las publicaciones de ISACA y de los módulos de capacitación para la certificación. Cooke acepta comentarios o sugerencias de sus artículos por correo electrónico en Ian_J_Cooke@hotmail.com, Twitter (@COOKEI), o en el tópico de Herramientas y Técnicas de Auditoría del Centro de Conocimientos de ISACA. Las opiniones expresadas en esta columna son suyas y no representan necesariamente las opiniones de An Post.