© REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

El diagnóstico basado en CobiT

Noviembre 2013

©

1. Desarrollo de la Auditoría de Sistemas en Repsol

2. Metodologías

3. Ley Sarbanes Oxley

4. Modelos de madurez y Mapas de riesgos

5. La función de Auditoría de Sistemas

6. El Diagnóstico

REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013. 2

©

Desarrollo de la Auditoría de Sistemas en Repsol

• El desarrollo de la Auditoría de Sistemas en Repsol comenzó a principios del año 2006, cuando la obligatoriedad en el cumplimiento de la sección 404 de la Ley Sarbanes Oxley puso de manifiesto que era imprescindible acometer una supervisión profesional de las actividades de Sistemas de Información

• La Auditoría de Sistemas era relativamente infrecuente hace una década, al menos fuera del sector financiero, donde estaba sólidamente asentada.

• El sector industrial tenía solo algunas empresas con esa función definida y bien diferenciada de la Auditoría de Negocio convencional.

• Esta no es la situación actual, pero en aquél entonces desarrollar esa actividad profesional chocaba con una cierta incomprensión.

• Por ello hay que reconocer que la aparición de regulaciones como la mencionada Ley SOX, así como la LOPD y otras similares han facilitado la aceptación de la auditoría de sistemas, principalmente por parte de los auditados, el área de SSII.

• Desde aquél momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12 personas basados en España y en Sudamérica.

• Para evitar un crecimiento excesivo del equipo, decidimos añadir a nuestro equipo cada año el apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisión, diversos proyectos de auditoría, lo que ha permitido incrementar el alcance del área notablemente.

3REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

• Una de las primeras decisiones que tuvimos que tomar fue la selección de una metodología que soportara nuestros análisis.

• Obviamente la decisión fue adoptar CobiT, en aquél momento en la versión 4.0

• Esta decisión fue comunicada formalmente al área de SSII, para que la incluyeran como metodología de referencia junto con ITIL, ISO 17799, etc…

• Es decir, en aquél momento ya existía en SSII una incipiente costumbre de adopción de estándares y modelos de control, por lo que CobiT no supuso ninguna ruptura cultural.

• Pero adoptar CobiT provocó de inmediato la necesidad de certificar todo el equipo, al menos en CISA, lo que se consiguió en un tiempo corto.

• Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en estándares estaba lograda. Esta es la posición mínima que un equipo de Auditoría de Sistemas debe tener para acometer su función.

Metodologías

4REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

• En el año 2006 pusimos en marcha el Modelo de control interno para adecuarnos a la sección 404 de la Ley Sarbanes Oxley.

• Este Modelo incluye una conjunto de controles (denominados Controles Generales de Ordenador) que tienen como objetivo asegurar que los sistemas informáticos son fiables y soportan los procesos de negocio que producen la información financiera. Es decir, si los procesos de negocio son correctos, los sistemas informáticos no serán la causa de un posible fraude en la información financiera.

• La implantación de este modelo supuso un enorme cambio en la cultura de control interno de la compañía y fue la piedra de toque en el asentamiento de la Auditoría de Sistemas, dado que participamos tanto en asesorar sobre la interpretación del Modelo como en la revisión de la efectividad de los controles.

• Un análisis posterior no ha revelado que el mayor incremento en la madurez de los procesos de Sistemas de Información se produjo precisamente en el momento y como consecuencia de la implantación de este modelo.

Ley Sarbanes Oxley

5REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

• La aplicación de CobiT supuso la posibilidad de desarrollar los mapas de riesgos de SSII y de evaluar los modelos de madurez.

• El mapa de riesgos, diseñado en base a los requerimientos de CobiT, se ha estado elaborando cada dos años desde el 2007, habiéndose asumido con prontitud su revisión por parte del área de SSII, que es quien lo actualiza hoy en día.

Es una herramienta muy importante para conocer las dificultades que impiden conseguir los objetivos de los procesos de SSII e inspira la identificación de Hechos Significativos en las auditorías.

Uno de sus principales características es que no es completo, puesto que depende de la identificación de posibles amenazas.

• Por otra parte, la versión 4.1 de CobiT facilitaba enormemente el análisis del modelo de madurez, a través de los cuestionarios que aparecían incluidos en la descripción de los procesos.

Aplicar estos cuestionarios resulta relativamente sencillo y asegura precisión y repetitividad en los resultados, lo que pudimos comprobar a través de análisis cruzados de varios equipos de evaluación.

• Desgraciadamente, la última versión de CobiT nos remite a la norma ISO 15504, lo que por otra parte eleva la notoriedad del concepto

Como siempre pasa con las normas ISO, hacen más difícil su aplicación práctica, al eliminarse las guías de detalle.

Lo que podemos concluir de la nueva versión CobiT 5.0 es que la idea del modelo de madurez no solo se mantiene sino que se realza.

Modelos de madurez y Mapas de riesgos

6REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

• Los Modelos de Control son un conjunto razonablemente completo de procedimientos escritos, reglas y criterios para la ejecución de los procesos, manejo de excepciones y supervisión, vigilancia y mitigación de los riesgos.

El enfoque de los modelos de control debe ser de tipo “holístico”, teniendo en cuenta las diferentes aspectos o dimensiones de las actividades del proceso

• El desarrollo e implantación de los Modelos de Control, permiten incrementar la madurez de los procesos y por lo tanto facilitan la consecución de sus objetivos

El fin de un proceso, su razón de ser, es conseguir sus objetivos, con la mayor eficiencia posible, de forma sustentable y minimizando los riesgos.

La definición de los niveles superiores de madurez coincide con las características buscadas en la implantación de los modelos de control.

Modelos de control interno

7REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

Mod

elos

de

cont

rol

Modelos de madurez y Mapas de riesgos

REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

0incompleto

1realizado

2gestionado

3establecido

4predecible

5optimizando

Falso confort – poco útil

Falso confort ‐ reactivo

Falso confort  ~ utilidad

Útil – foco, prioridades

Muy útil – prioridades

Muy útil – prioridadeslecciones aprendidas

Util

idad

del

Map

a d

e R

iesg

os

Modelo de madurez

Mejora continua de los procesos

Gestión cualitativa

Procesos adaptados - estándares

Gestión de procesos y los productos

Se alcanzan los objetivos de los procesos

No hay implementación de procesos

Mapas de riesgos

8

©

• Tradicionalmente, en la práctica, el objetivo de la auditoría de sistemas, por paralelismo con el de la auditoría de negocio, ha sido el de realizar una serie de evaluaciones, basadas en pruebas sistemáticas, de los procesos de SSII, conducentes a identificar y evidenciar unos “Hechos Significativos”.

• Estos Hechos Significativos muestran la existencia de deficiencias o debilidades en los controles implantados para cubrir los riesgos de SSII.

Ésta sería una definición clásica de Auditoría de Sistemas.

• Conforme ha ido estabilizándose la ejecución y reporte de las auditorías, ha ido surgiendo el interés por aportar algo más de valor que la mera comunicación de “Hechos significativos”.

Parece entonces que podría incluir algún tipo de conclusión sobre la adecuación del proceso auditado y su aportación al objetivo de negocio.

Esta idea choca, sin embargo, con la interpretación más tradicional de la metodología, que es la de limitar los informes a los hechos evidenciables, normalmente alrededor de los “Hechos Significativos”.

Por lo tanto, sería interesante estudiar una perspectiva del diagnóstico que pudiera tener una base razonablemente rigurosa y ajena a la mera opinión subjetiva.

La función de Auditoría de Sistemas

9REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.

©

• Como resultado de esta reflexión, concluimos que si la implantación de los modelos de control es la llave para que los procesos puedan elevar su nivel de madurez, en el camino de la excelencia, el Diagnóstico de la auditoría podría centrarse en analizar qué gap existe en un proceso concreto y cuáles son las dificultades identificadas en el avance por este camino.

• Este análisis es complementario a la identificación de los Hechos Significativos, puesto que la correcta mitigación de los riesgos es consecuencia de una buena implantación de los modelos de control, son “dimensiones complementarias”.

• Así pues, los objetivos de la Auditoría de Sistemas podrían quedar de la siguiente forma:

1. Concluir sobre la efectividad y eficacia de los Sistemas de Control interno en el área de SSII

2. Analizar y evaluar la expresión real, inmediata o probable de los riesgos, a través de los denominados Hechos Significativos

3. Diagnosticar la idoneidad del diseño de los procesos, a través de un análisis estratégico sobre su Madurez

4. Efectuar estas tareas de forma independiente, con objeto de informar a la Comisión de Auditoría.

• Puede observarse cómo el punto 1 se bifurca en el 2 y en el 3, según lo consideremos de forma táctica o estratégica.

En la versión mas concreta y táctica del punto, la buena aplicación de los modelos de control permite tener los riesgos adecuadamente cubiertos.

En su versión más estratégica, estos modelos de control pueden conducir a los procesos a su nivel de excelencia.

El Diagnóstico

10REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.