COBIT (Control Objetives for Information and Related Technology)

En los últimos tiempos el ejercicio en las actividades de auditoria y control en tecnologías informáticas, ha auspiciado un desenvolvimiento mas que acelerado de todas las demás actividades inmersas en la economía de un país. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente auditadas.

Modelo de metodología COBIT, para la implementación de la auditoría en cualquier negocio.Uno de los puntos clave que plantea COBIT consiste en vincular los objetivos de TI con los objetivos de negocio definidos por la empresa. De esta forma COBIT se asegura que la gerencia de la empresa tenga confianza sobre las actividades que realiza el área de TI, que sus procesos siempre funcionan adecuadamente y naturalmente que ayudan al crecimiento del negocio. Adicionalmente sugiere un modelo de mejora continua para hacer cada vez más seguros y eficientes los procesos.

La misión y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores.

COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las TI, que provean un marco de referencia para la administración, los usuarios y los auditores de cualquier tipo. Básicamente consta de 4 pasos, los cuales conforman el planeamiento y realización de una auditoria, ellos son:

El Resumen Ejecutivo se basa en una visión ejecutiva, la cual provee a la administración un entendimiento de los principios y conceptos claves de COBIT, así como el marco que provee a la administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.

Antecedentes y Marco de Referencia

El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control.

Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específicos, a través de los 34 Procesos de TI.

Guías de Auditoría

Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y recomendar sus mejoras.

Herramientas de Implementación

Las Herramientas de implementación, las cuales contienen el conocimiento de la administración y diagnóstico de control de TI, una guía de implementación. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT y relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.

Desde este punto de vista los auditores se convierten en un aliado del equipo de TI y no en un enemigo interno que es como se lo ve actualmente. Con COBIT se pueden planificar las pruebas objetivas haciendo un trabajo de escritorio sin necesidad de involucrarse aún con el usuario y luego realizar las pruebas sustantivas realizando un trabajo de campo con los involucrados en el proceso.

En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnología, además de los costos derivados de la posible organización estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.

COBIT (Control Objetives for Information and Related Technology) es uno de los modelos más utilizados actualmente en el área de Auditoría Informática a nivel internacional. COBIT, plantea trabajar a niveles superiores en el área de TI no solo revisando los resultados sino la eficiencia del proceso, con lo cual se asegura que los resultados sean razonablemente estables y a partir de estos poder mejorar. Por ejemplo verificar si existen procesos definidos, revisar que todos los riesgos que tiene cada uno de estos han sido detectados y luego verificar si se definieron controles claves para mitigar esos riesgos, estas revisiones se las realiza con el gerente de área de TI.