República Bolivariana de Venezuela Ministerio del Poder Popular para la Defensa Universidad Nacional Experimental Politécnica de la uerza !rmada UNE!"#$uao %n&' (istemas")vo (emestre !uditoria !uditoria de (istemas (istemas
ITIL, COBIT y NAGAS
Integrantes:
!ran&uren !ran&uren *at$erine *at$erine #'%+ #'%+ ,-'./,'01/ ,-'./,'01/ Vallés 2uis #'%+13'.4/'.1. #astellano 2eonel #'%+ 1,'/,/'/-3 #aracas5 Noviembre 13,4
Introducción
! continuaci6n en el si&uiente traba7o de investi&aci6n donde se tratan diferentes t6picos entre ellos ITIL5 8ue es considerada una biblioteca de infraestructura de 9%5 es el marco de referencia 8ue describe un con7unto de me7ores pr:cticas ; recomendaciones para la administraci6n de servicios5 con un enfo8ue de administraci6n de procesos' ' %9%2 se constru;e en torno a una vista basada en proceso"modelo del control ; &esti6n de las operaciones a menudo atribuida a <' Ed=ards Demin&' Por otra parte5 se puede estudiar el concepto de COBIT5 pudiendo aplicarse a todos los sistemas de informaci6n de una empresa5 8ue tiene como meta el desarrollo de pol>ticas ; pr:cticas adecuadas para la se&uridad ; el control de los (istemas de %nformaci6n ; como su misi6n el investi&ar5 desarrollar5 publicar ; promover un con7unto internacional ; actualizado de ob7etivos de control para la tecnolo&>a de la informaci6n' Para finalizar5 cabe destacar 8ue al referirse a las ?normas de auditoria &eneralmente aceptadas@ o NAGAS se expresan los principios en donde estas normas por su car:cter &eneral se aplican a todo el proceso del examen ; se relacionan b:sicamente con la conducta funcional del auditor como persona $umana ; re&ula los re8uisitos ; aptitudes 8ue debe reunir para actuar como !uditor'
¿Qué es ITIL?
%9%2 es la biblioteca de %nfraestructura de 9ecnolo&>as de %nformaci6n5 frecuentemente abreviada %9%25 es un con7unto de conceptos ; buenas pr:cticas para la &esti6n de servicios de tecnolo&>as de la informaci6n5 el desarrollo de tecnolo&>as de la informaci6n ; las operaciones relacionadas con la misma en &eneral' %9%2 da descripciones detalladas de un extenso con7unto de procedimientos de &esti6n ideados para a;udar a las or&anizaciones a lo&rar calidad ; eficiencia en las operaciones de 9%' Estos procedimientos son independientes del proveedor ; $an sido desarrollados para servir como &u>a 8ue abar8ue toda infraestructura5 desarrollo ; operaciones de 9%' Certiicación ITIL!
2os particulares pueden conse&uir varias certificaciones oficiales %9%2' 2os est:ndares de calificaci6n %9%2 son &estionados por la %9%2 %#MB 8ue a&rupa a la A#5 a it(M %nternational ; a los dos %nstitutos Examinadores existentes+ EC%N con sede en los Pa>ses Ba7os e %(EB con sede en el Reino Unido' Existen tres niveles de certificaci6n %9%2 para profesionales+ ,' oundation #ertificate+ acredita un conocimiento b:sico de %9%2 en &esti6n de servicios de tecnolo&>as de la informaci6n ; la comprensi6n de la terminolo&>a propia de %9%2' Est: destinado a a8uellas personas 8ue deseen conocer las buenas pr:cticas especificadas en %9%2' 1' PractitionerFs #ertificate destinado a 8uienes tienen responsabilidad en el diseGo de procesos de administraci6n de departamentos de tecnolo&>as de la informaci6n ; en la planificaci6n de las actividades asociadas a los procesos' .' Mana&erFs #ertificate+ &arantiza 8ue 8uien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administraci6n de departamentos de tecnolo&>as de la informaci6n5 ; lo $abilita para diri&ir la implantaci6n de soluciones basadas en %9%2' No es posible certificar una or&anizaci6n o sistema de &esti6n como Hconforme a %9%2I5 pero una or&anizaci6n 8ue $a;a implementado las &u>as de %9%2 sobre esti6n de los (ervicios de 9% puede lo&rar certificarse ba7o la %(AJ%E# 13333' 2a versi6n . de %9%25 8ue apareci6 en 7unio de 133K5 cambi6 li&eramente el es8uema de #ertificaciones5 existiendo certificaciones puentes5 se definen . niveles+
,' Basic 2evel' 1' Mana&ement and #apabilit; 2evel' .' !dvanced 2evel' En %9%2 v. reestructura el mane7o de los temas para consolidar el modelo de Lciclo de vida del servicioL separando ; ampliando al&unos subprocesos $asta convertirlos en procesos especializados' Esta modificaci6n responde a un enfo8ue empresarial para &randes corporaciones 8ue utilizan ampliamente %9%2 en sus operaciones ; aspira a consolidar el modelo para conse&uir aún me7ores resultados' Es por ello 8ue los especialistas recomiendan 8ue empresas emer&entes o medianas no utilicen %9%2 v. si no cuentan con un modelo %9%2 consolidado ; aspiran a una expansi6n a mu; lar&o plazo' %9%2 v. consta de 0 libros basados en el ciclo de vida del servicio+
Estrate&ia del (ervicio' DiseGo del (ervicio' 9ransici6n del (ervicio' Aperaci6n del (ervicio' Me7ora #ontinua del (ervicio' Estrate&ia del (ervicio'
(e enfoca en el estudio de mercado ; posibilidades mediante la bús8ueda de servicios innovadores 8ue satisfa&an al cliente tomando en cuenta la real factibilidad de su puesta en marc$a' !s> mismo se analizan posibles me7oras para servicios ;a existentes' (e verifican los contratos con base en las nuevas ofertas de proveedores anti&uos ; posibles nuevos proveedores5 lo 8ue inclu;e la renovaci6n o revocaci6n de los contratos vi&entes' Los "rocesos de ITIL
esti6n inanciera esti6n del Portafolio esti6n de la Demanda #ambios en la versi6n 13,,
inancial Mana&ement for %9 services+ 2a &esti6n financiera de 9% $a ampliado para incluir al&unos de los elementos clave de la %9%2 publicaciones anteriores 8ue $ab>an sido excluidos en la edici6n 133K de la Estrate&ia del (ervicio tales como contabilidad5 elaboraci6n de presupuestos ; de car&os' Business Relations$ip Mana&ement+ Este es un nuevo proceso 8ue se aseme7a al existente en la %(A 13'333' (e $ace una diferenciaci6n para los distintos proveedores de servicio+ tipo %5 %% ; %%%' (e brinda una explicaci6n diferente para cada tipo de proveedor'
overnance+ !$ora $a; m:s detalles sobre el concepto de obierno5 incluida una definici6n m:s completa de su si&nificado5 la diferencia entre el &obierno ; &esti6n5 un marco de &obierno5 ; c6mo la &esti6n del servicio se relaciona con el &obierno' #loud #omputin&+ (e $a incluido en 8ué forma la &esti6n de servicios se ve afectada por la aparici6n de la computaci6n en la nube' (e a&re&6 un nuevo apéndice 8ue cubre espec>ficamente la estrate&ia de servicio ; la nube+ caracter>sticas5 tipos5 tipos de servicio5 ; los componentes de la ar8uitectura de nube' Cic#o de $ida de #os Ser$icios de ITIL
Una vez identificado un posible servicio el si&uiente paso consiste en analizar su viabilidad' Para ello se toman factores tales como infraestructura disponible5 capacitaci6n del personal ; se planifican aspectos como se&uridad ; prevenci6n ante desastres' Para la puesta en marc$a se toman en consideraci6n la reasi&naci6n de car&os contrataci6n5 despidos5 ascensos5 7ubilaciones5 etc5 la infraestructura ; soft=are a implementar' Procesos de los servicios
esti6n del #at:lo&o de (ervicios esti6n de Niveles de (ervicios esti6n de la Disponibilidad esti6n de la #apacidad esti6n de la #ontinuidad de los (ervicios de 9% esti6n de Proveedores esti6n de la (e&uridad de %nformaci6n #oordinaci6n del DiseGo nuevo en la versi6n 13,,
#ambios en la versi6n 13,, 2as principales modificaciones del libro de %9%2 V. DiseGo del (ervicio en su versi6n 13,, inclu;e+ un cambio a los denominados 0 aspectos del diseGo ; primordialmente la inclusi6n de un nuevo proceso de #oordinaci6n del DiseGo' De esta manera esta fase inclu;e a$ora ) procesos5 en lu&ar de K'
Nuevo Proceso %9%2 V. 13,,+ #oordinaci6n del DiseGo
(e adicion6 este proceso para $acer m:s claro el flu7o de actividades en el ciclo de vida del diseGo' El prop6sito del proceso de #oordinaci6n del DiseGo es &arantizar 8ue las metas ; los ob7etivos de la etapa de diseGo del servicio entre&ando ; manteniendo un punto único de coordinaci6n ; control de todas las actividades ; procesos dentro de esta etapa del ciclo de vida de servicio' 2as salidas del proceso de coordinaci6n del diseGo son potencialmente+
DiseGo de servicios inte&rado ; consistente a través del (DP pa8uete de diseGo del servicio Revisi6n de la ar8uitectura empresarial Revisi6n del sistema de &esti6n Revisi6n de las métricas ; métodos de medici6n Revisi6n de procesos !ctualizaci6n del Portafolio de (ervicios !ctualizaci6n de los re&istros de cambios
"or%ue i&'#e&entar ITIL!
racias a la me7ora continua del servicio5 se utilizan $erramientas de medici6n ; feedbacO para documentar la informaci6n referente al funcionamiento del servicio5 los resultados obtenidos5 problemas ocasionados5 soluciones implementadas5 etc' Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio5 fomentar el re&istro e investi&aci6n referentes al servicio ; disponer de la informaci6n al resto de los usuarios5 ; nada m:s'
¿Qué es COBIT?
Es una &u>a de me7ores pr:cticas presentado como frame=orO5 diri&ida al control ; supervisi6n de tecnolo&>a de la informaci6n' Mantenido por %(!#! ; el %9 %5 tiene una serie de recursos 8ue pueden servir de modelo de referencia para la &esti6n de 9%5 inclu;endo un resumen e7ecutivo5 un frame=orO5 ob7etivos de control5 mapas de auditor>a5 $erramientas para su implementaci6n ; principalmente5 una &u>a de técnicas de &esti6n' 2a primera edici6n fue publicada en ,--4 la se&unda edici6n en ,--) la tercera edici6n en 1333 la edici6n on"line estuvo disponible en 133. ; la cuarta edici6n en diciembre de 13305 ; la versi6n /', est: disponible desde ma;o de 133K' Ni$e#es de COBIT!
#AB%9 /', En su cuarta edici6n5 #AB%9 tiene ./ procesos 8ue cubren 1,3 ob7etivos de control espec>ficos o detallados clasificados en cuatro dominios+
Planificaci6n ; Ar&anizaci6n Plan and Ar&anize
!d8uisici6n e %mplantacion !c8uire and %mplement
Entre&a ; (oporte Deliver and (upport
(upervisi6n ; Evaluaci6n Monitor and Evaluate
#AB%9 0 %saca lanz6 el ,3 de abril del 13,1 la nueva edici6n de este marco de referencia' #AB%9 0 es la última edici6n del frame=orO mundialmente aceptado5 el cual proporciona una visi6n empresarial del obierno de 9% 8ue tiene a la tecnolo&>a ; a la informaci6n como prota&onistas en la creaci6n de valor para las empresas' #AB%9 0 se basa en #AB%9 /',5 ; a su vez lo ampl>a mediante la inte&raci6n de otros importantes marcos ; normas como Val %9 ; RisO %95 %nformation 9ec$nolo&; %nfrastructure 2ibrar; %9%2 Q ; las normas %(A relacionadas en esta norma'
Beneicios!
#AB%9 0 a;uda a empresas de todos los tamaGos a+
Aptimizar los servicios el coste de las 9% ; la tecnolo&>a !po;ar el cumplimiento de las le;es5 re&lamentos5 contractuales ; las pol>ticas esti6n de nuevas tecnolo&>as de informaci6n
acuerdos
Seguridad de #a inor&ación en COBIT
En el mes de 7unio del 13,15 %(!#! lanz6 L#AB%9 0 para la se&uridad de la informaci6nL5 actualizando la última versi6n de su marco a fin de proporcionar una &u>a pr:ctica en la se&uridad de la empresa5 en todos sus niveles pr:cticos' ?#AB%9 0 para se&uridad de la informaci6n puede a;udar a las empresas a reducir sus perfiles de ries&o a través de la adecuada administraci6n de la se&uridad' 2a informaci6n espec>fica ; las tecnolo&>as relacionadas son cada vez m:s esenciales para las or&anizaciones5 pero la se&uridad de la informaci6n es esencial para la confianza de los accionistas@'
¿Qué es NAGAS?
2as Normas de !uditor>a eneralmente !ceptadas N!!( son los principios fundamentales de auditor>a a los 8ue deben enmarcarse su desempeGo los auditores durante el proceso de la auditoria' El cumplimiento de estas normas &arantiza la calidad del traba7o profesional del auditor' ¿Quién #as creó?
2as N!!(5 tiene su ori&en en los Boletines (tatement on !uditin& Est:ndar5 (!( emitidos por el #omité de !uditor>a del %nstituto !mericano de #ontadores' En ,-.- fue creado el #ommittee on !uditin& Procedu"res' En ,-K1 fue creado el !uditin& (tan"dards #ommittee5 cu;os pronunciamientos se denominan (tatements on !uditin& (tandards5 de los cuales el número ,5 publicado en noviembre de ,-K.5 ba7o el t>tulo #odification of !uditin& (tandards and Procedures5 es considerado a modo de c6di&o para los profesionales de la auditor>a' El e7emplo de los Estados Unidos fue se&uido por otros muc$os pa>ses' “Normas de Auditoría Generalmente Aceptadas. Las normas tienen que ver con la calidad de la auditoría realizada por el auditor independiente. Los socios del AICPA han aprobado y adoptado diez normas de auditoría eneralmente aceptadas !NAGA"# que se dividen en tres rupos$ !%" normas enerales# !&" normas de la e'ecuci(n del traba'o y !)" normas de in*ormar.+ ,-ailey# %/0 C#asiicación (e Las NAGAS!
En la actualidad las N!!(5 vi&entes son ,35 las mismas 8ue constitu;en los ,3 diez mandamientos para el auditor ; son+ Normas enerales o Personales+ ,' Entrenamiento ; capacidad profesional' L2a !uditoria debe ser efectuada por personal 8ue tiene el entrenamiento técnico ; pericia como !uditorL' 1' %ndependencia' LEn todos los asuntos relacionados con la !uditor>a5 el auditor debe mantener independencia de criterioL'
.' #uidado o esmero profesional' LDebe e7ercerse el esmero profesional en la e7ecuci6n de la auditor>a ; en la preparaci6n del dictamenL'
Normas de E7ecuci6n del 9raba7o+ /' Planeamiento ; (upervisi6n' L2a auditor>a debe ser planificada apropiadamente ; el traba7o de los asistentes del auditor5 si los $a;5 debe ser debidamente supervisadoL' 0' Estudio ; Evaluaci6n del #ontrol %nterno' LDebe estudiarse ; evaluarse apropiadamente la estructura del control interno de la empresa cu;os estados financieros se encuentra su7etos a auditor>a o como base para establecer el &rado de confianza 8ue merece5 ; consecuentemente5 para determinar la naturaleza5 el alcance ; la oportunidad de los procedimientos de auditor>aL'
4' Evidencia (uficiente ; #ompetente' LDebe obtenerse evidencia competente ; suficiente5 mediante la inspecci6n5 observaci6n5 inda&aci6n ; confirmaci6n para proveer una base razonable 8ue permita la expresi6n de una opini6n sobre los estados financieros su7etos a la auditor>a'@ Normas de Preparaci6n del %nforme+ K' !plicaci6n de los Principios de #ontabilidad eneralmente !ceptados' LEl dictamen debe expresar si los estados financieros est:n presentados de acuerdo a principios de contabilidad &eneralmente aceptadosL' )' #onsistencia' LEl dictamen debe contener la expresi6n de una opini6n sobre los estados financieros tomados en su inte&ridad5 o la aseveraci6n de 8ue no puede expresarse una opini6n' En este último caso5 deben indicarse las razones 8ue lo impiden' En todos los casos5 en 8ue el nombre de un auditor esté asociado con estados financieros el dictamen debe contener una indicaci6n clara de la naturaleza de la auditor>a5 ; el &rado de responsabilidad 8ue est: tomandoL'
-' Revelaci6n (uficiente' ?2as revelaciones informativas en los estados financieros deben considerarse razonablemente adecuadas a menos 8ue se especifi8ue de otro modo en el informe'@ ,3'Apini6n del !uditor' LEl dictamen debe contener la expresi6n de una opini6n sobre los estados financieros tomados en su inte&ridad5 o la aseveraci6n de 8ue no puede expresarse una opini6n' En este último caso5 deben indicarse las razones 8ue lo impiden' En todos los casos5
en 8ue el nombre de un auditor esté asociado con estados financieros el dictamen debe contener una indicaci6n clara de la naturaleza de la auditor>a5 ; el &rado de responsabilidad 8ue est: tomandoL' Genera#idades de #a Nor&a!
2a e7ecuci6n de un traba7o de auditor>a conforme a las directrices debe or&anizarse ; documentarse de forma apropiada con el fin de 8ue pueda dele&arse entre los colaboradores del e8uipo5 de forma 8ue cada uno de ellos conozca detalladamente 8ue debe $acer ; a 8ué ob7etivo final debe diri&ir su esfuerzo' ue el traba7o 8uede re&istrado de manera 8ue permita su revisi6n5 evaluaci6n ; obtenci6n de conclusiones en las 8ue fundamentar una opini6n sobre la informaci6n contable su7eta a auditoria' 2a necesidad de planificar5 controlar ; documentar el traba7o es independiente del tamaGo del cliente' 2os ob7etivos perse&uidos con la planificaci6n ; control son me7orar el nivel de eficiencia5 con la consi&uiente reducci6n de tiempo necesario5 ; me7ora del servicio al cliente5 &arantizar 8ue la auditor>a se e7ecutar: adecuadamente5 me7orar las relaciones con los clientes ; permitir al personal un ma;or &rado de satisfacci6n en el traba7o' Sabitualmente es necesario preparar al&una forma de plan escrito antes de iniciar cual8uier traba7o de auditor>a' No obstante su &rado de detalle ; formalizaci6n depender: de muc$os factores5 por e7emplo5 del número de personas involucradas ; de si estén o no ubicadas en la misma oficina o el mismo pa>s' 2as normas de auditor>a inclu;en la estipulaci6n de 8ue el traba7o $a de ser adecuadamente planeado' 2as normas de auditor>a controlan la naturaleza ; alcance de la evidencia 8ue $a de obtenerse por medio de procedimientos de auditor>a5 una norma es un patr6n de medida de los procedimientos aplicados con aceptabilidad &eneral en funci6n de los resultados obtenidos'
! 8uiénes re&ula+ •
•
#onocidas por el ana&rama N!!' (on un con7unto de principios5 procedimientos5 re&las ; normas 8ue re&ulan el e7ercicio de la auditor>a externa' 2as normas de auditor>a &eneralmente aceptadas5 se relacionan con las cualidades profesionales del #ontador Público5 con el empleo de su buen 7uicio en la e7ecuci6n de su examen ; en su informe referente al mismo'
•
•
El revisor fiscal debe cumplir con las normas de auditor>a de &eneral aceptaci6n en #olombia ;a 8ue contienen las re&las b:sicas 8ue él debe se&uir en la realizaci6n de su traba7o' 2as normas tienen 8ue ver con la calidad de la auditor>a realizada por el auditor independiente'
Conc#usión
En primer lu&ar5 en el :mbito de los !uditores5 ellos actualmente $an tomado el lideraz&o en los esfuerzos internacionales de estandarizaci6n5 debido a 8ue enfrentan continuamente la necesidad de sustentar ; apo;ar frente a la erencia su opini6n acerca de los controles internos' Esto $a sido mostrado en varios estudios recientes acerca de la manera en la 8ue los auditores evalúan situaciones comple7as de se&uridad ; control de 9%' %ncluso5 la administraci6n
consulta cada vez m:s a los auditores para contar con su asesor>a en forma proactiva en lo referentes a asuntos de se&uridad ; control' Dado 8ue se debe $ablar en primera instancia de %9%2 8ue se cre6 como un modelo para la administraci6n de servicios e inclu;e informaci6n sobre las metas5 las actividades &enerales5 las entradas ; las salidas de los procesos 8ue se pueden incorporar a las :reas de 9%' Por otra parte #AB%95 consolida ; armoniza est:ndares de fuentes &lobales prominentes en un recurso cr>tico para la &erencia5 los profesionales de control ; los auditores' Es5 por lo tanto5 la $erramienta innovadora para el &obierno de 9% 8ue a;uda a la &erencia a comprender ; administrar los ries&os asociados a 9%' En cuanto a las N!!(5 estas tienen 8ue ver con la calidad de la auditor>a realizada por el auditor independiente' 2os socios del !%#P! $an aprobado ; adoptado diez normas N!!' El cumplimiento de estas normas &arantiza la calidad del traba7o profesional del auditor5 estas se dividen en tres &rupos por mencionar al&unas est:n las normas &enerales5 de la e7ecuci6n del traba7o ; de informar'