Por: CP Iván Rodríguez. Colaborador de Auditool.
Los objetivos de control de la información y tecnologías (COBIT - Control Objetives for Information Technology) conforman un marco de trabajo para el gobierno y la gestión de las tecnologías de la información (TI) empresariales. Fue desarrollado por la asociación de Asociación de Auditoría y Control de Sistemas de Información (Information Systems Audit and Control Association – ISACA), una asociación profesional global para los profesionales de TI y auditoría. Su primera versión apareció en 1996 la cual estaba destinada a los auditores de TI, siendo la última versión COBIT 2019. En esta versión actual, se consideran además de los auditores otras partes interesadas, tales como la Junta Directiva y la Dirección Ejecutiva entre otros.
Este marco consta de diferentes principios que se relacionan a continuación:
- Proporcionar valor a las partes interesadas.
- Enfoque Holístico.
- Un sistema de gobierno dinámico.
- Separa el gobierno de la gestión.
- Adaptar a las necesidades de la empresa.
- Sistema de gobierno íntegro.
De acuerdo con el documento denominado Marco de Referencia COBIT 2019 de ISACA[1], este marco puede aplicarse al gobierno y la gestión de la información y la tecnología empresarial en toda la empresa y se refiere a toda la tecnología y el procesamiento de la información que la empresa pone en marcha para lograr sus objetivos, independientemente del área dónde ocurra. En otras palabras, la TI empresarial no se limita al departamento de TI de una organización, sino que lo incluye.
Ahora bien, para los auditores COBIT se constituye en una herramienta sumamente útil ya que al proporcionar un marco integral y estructurado para la gobernanza y gestión de la tecnología de la información (TI), proporciona beneficios como los siguientes:
Planificación y ejecución de auditorías:
La definición del alcance, los objetivos y los criterios de evaluación que efectúan los auditores puede apoyarse en las guías y herramientas que proporciona COBIT, ya que incluyen la identificación de controles clave y la realización de pruebas de control.
Evaluación del Control Interno:
La auditoría, en ejecución de su trabajo revisa los controles internos existentes, los cuales puede compararlos con los objetivos de control y mejores prácticas de COBIT. Esto incluye la evaluación de controles generales de TI y controles específicos de aplicaciones. En la ejecución de sus pruebas para verificar que la efectividad de los controles implementados incluyen pruebas de cumplimiento, pruebas sustantivas y revisiones de documentación y registros, basados en el contenido del marco COBIT.
Criterios de evaluación consistentes:
COBIT proporciona un conjunto estandarizado de criterios y objetivos de control que pueden ser empleados por los auditores para evaluar los sistemas y procesos de TI de manera consistente y objetiva. Así mismo facilita la comunicación entre los auditores y los distintos niveles de la organización al usar un lenguaje común.
Evaluación integral de controles:
Toda vez que COBIT abarca los diferentes aspectos de la gobernanza y gestión de TI e incluye la alineación con los objetivos del negocio, la gestión de riesgos y la optimización de recursos, su uso en las evaluaciones de auditoría facilita una evaluación integral. A ello se suma que COBIT proporciona una matriz de control que puede emplearse para mapear los controles existentes para los objetivos de control específicos y así identificar áreas de mejora.
Gestión de Riesgos:
En virtud de su contenido, COBIT facilita que los auditores puedan identificar y evaluar los riesgos relacionados con TI, (lo cual incluye riesgos operativos, de seguridad y de cumplimiento). También proporciona directrices y mejores prácticas para la implementación de controles que contribuyen a la mitigación de los riesgos identificados.
Cumplimiento Normativo:
Con base en las directrices de COBIT, los auditores pueden recopilar y organizar la documentación y las evidencias necesarias que le permiten a la organización demostrar el cumplimiento normativo. Algunas de las regulaciones que pueden considerarse son ISO/IEC 27001, Sarbanes-Oxley (SOX) y otras normativas específicas de cada sector al que pertenezca la organización.
Mejora Continua:
Al incluir el tema del modelo de madurez, COBIT permite a la auditoría efectuar una evaluación del estado de los procesos de TI y sobre esta base contribuir a un proceso de mejora continua. Una buena manera es efectuar recomendaciones basadas en las mejores prácticas de COBIT, lo que facilita la adopción de mejoras al interior de la organización.
Hay que tener presente que COBIT hace una clara distinción y separa la gobernanza de la gestión. Cada uno de estos conceptos comprende diferentes tipos de actividades, requiere diferentes estructuras organizativas y sirve para diferentes propósitos. La gobernanza se asegura de que se satisfagan las necesidades de las partes interesadas y establece la dirección priorizando las iniciativas, tomando decisiones y supervisando el rendimiento; por su parte, la gestión planifica, construye, ejecuta y supervisa las actividades para asegurarse de que están alineadas con la dirección establecida por la junta de gobierno. Por ello, este marco representa importantes beneficios en la labor de auditoría y mejoramiento empresarial.
El hecho que un auditor utilice COBIT aumenta la confianza y credibilidad de los hallazgos y recomendaciones de auditoría; de acuerdo con lo expuesto anteriormente, se observa que proporciona una estructura clara y completa para evaluar y mejorar los controles de TI, asegurando que estos estén alineados con los objetivos del negocio y cumplan con la normativa aplicable, a la vez que ayuda a identificar y mitigar riesgos de manera proactiva, reduciendo la probabilidad de incidentes y fallos de control.
[1] Puede obtenerse en: COBIT 2019 Framework: Introduction & Methodology
👀 Te invitamos a visualizar los siguientes documentos relacionados con el modelo COBIT: |
- Sección TI/ Categoría Ciberseguridad | Matrices para la gestión, diseño y control de riesgos bajo el modelo COBIT
- Curso Virtual: Modelo de Gobierno Empresarial para la Información y Tecnología - COBIT 2019
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.