La Funci N Del Diagn Stico Basado En CobiT En La Auditor A De Sistemas Erik De Pablo Mart Nez
Páginas: 7 (1568 palabras)
Publicado: 5 de abril de 2015
El diagnóstico basado en CobiT
Noviembre 2013
©
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
1. Desarrollo de la Auditoría de Sistemas en Repsol
2. Metodologías
3. Ley Sarbanes Oxley
4. Modelos de madurez y Mapas de riesgos
5. La función de Auditoría de Sistemas
6. El Diagnóstico
©
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
2
Desarrollo de laAuditoría de Sistemas en Repsol
•
El desarrollo de la Auditoría de Sistemas en Repsol comenzó a principios del año 2006, cuando
la obligatoriedad en el cumplimiento de la sección 404 de la Ley Sarbanes Oxley puso de
manifiesto que era imprescindible acometer una supervisión profesional de las actividades de
Sistemas de Información
•
La Auditoría de Sistemas era relativamente infrecuente hace unadécada, al menos fuera del
sector financiero, donde estaba sólidamente asentada.
•
El sector industrial tenía solo algunas empresas con esa función definida y bien diferenciada de
la Auditoría de Negocio convencional.
•
Esta no es la situación actual, pero en aquél entonces desarrollar esa actividad profesional
chocaba con una cierta incomprensión.
•
Por ello hay que reconocer que la apariciónde regulaciones como la mencionada Ley SOX, así
como la LOPD y otras similares han facilitado la aceptación de la auditoría de sistemas,
principalmente por parte de los auditados, el área de SSII.
•
Desde aquél momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12
personas basados en España y en Sudamérica.
•
Para evitar un crecimiento excesivo del equipo, decidimosañadir a nuestro equipo cada año el
apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisión, diversos
proyectos de auditoría, lo que ha permitido incrementar el alcance del área notablemente.
© REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
3
Metodologías
©
•
Una de las primeras decisiones que tuvimos que tomar fue la selección de una metodología
quesoportara nuestros análisis.
•
Obviamente la decisión fue adoptar CobiT, en aquél momento en la versión 4.0
•
Esta decisión fue comunicada formalmente al área de SSII, para que la incluyeran como
metodología de referencia junto con ITIL, ISO 17799, etc…
•
Es decir, en aquél momento ya existía en SSII una incipiente costumbre de adopción de
estándares y modelos de control, por lo que CobiT nosupuso ninguna ruptura cultural.
•
Pero adoptar CobiT provocó de inmediato la necesidad de certificar todo el equipo, al menos en
CISA, lo que se consiguió en un tiempo corto.
•
Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en
estándares estaba lograda. Esta es la posición mínima que un equipo de Auditoría de Sistemas
debe tener para acometer su función.REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
4
Ley Sarbanes Oxley
©
•
En el año 2006 pusimos en marcha el Modelo de control interno para adecuarnos a la
sección 404 de la Ley Sarbanes Oxley.
•
Este Modelo incluye una conjunto de controles (denominados Controles Generales de
Ordenador) que tienen como objetivo asegurar que los sistemas informáticos son
fiables y soportan losprocesos de negocio que producen la información financiera. Es
decir, si los procesos de negocio son correctos, los sistemas informáticos no serán la
causa de un posible fraude en la información financiera.
•
La implantación de este modelo supuso un enorme cambio en la cultura de control
interno de la compañía y fue la piedra de toque en el asentamiento de la Auditoría de
Sistemas, dado queparticipamos tanto en asesorar sobre la interpretación del Modelo
como en la revisión de la efectividad de los controles.
•
Un análisis posterior no ha revelado que el mayor incremento en la madurez de los
procesos de Sistemas de Información se produjo precisamente en el momento y
como consecuencia de la implantación de este modelo.
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre...
Noviembre 2013
©
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
1. Desarrollo de la Auditoría de Sistemas en Repsol
2. Metodologías
3. Ley Sarbanes Oxley
4. Modelos de madurez y Mapas de riesgos
5. La función de Auditoría de Sistemas
6. El Diagnóstico
©
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
2
Desarrollo de laAuditoría de Sistemas en Repsol
•
El desarrollo de la Auditoría de Sistemas en Repsol comenzó a principios del año 2006, cuando
la obligatoriedad en el cumplimiento de la sección 404 de la Ley Sarbanes Oxley puso de
manifiesto que era imprescindible acometer una supervisión profesional de las actividades de
Sistemas de Información
•
La Auditoría de Sistemas era relativamente infrecuente hace unadécada, al menos fuera del
sector financiero, donde estaba sólidamente asentada.
•
El sector industrial tenía solo algunas empresas con esa función definida y bien diferenciada de
la Auditoría de Negocio convencional.
•
Esta no es la situación actual, pero en aquél entonces desarrollar esa actividad profesional
chocaba con una cierta incomprensión.
•
Por ello hay que reconocer que la apariciónde regulaciones como la mencionada Ley SOX, así
como la LOPD y otras similares han facilitado la aceptación de la auditoría de sistemas,
principalmente por parte de los auditados, el área de SSII.
•
Desde aquél momento hemos tenido un desarrollo constante, con un grupo humano de hasta 12
personas basados en España y en Sudamérica.
•
Para evitar un crecimiento excesivo del equipo, decidimosañadir a nuestro equipo cada año el
apoyo de empresas externas, las cuales han desarrollado, con nuestra supervisión, diversos
proyectos de auditoría, lo que ha permitido incrementar el alcance del área notablemente.
© REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
3
Metodologías
©
•
Una de las primeras decisiones que tuvimos que tomar fue la selección de una metodología
quesoportara nuestros análisis.
•
Obviamente la decisión fue adoptar CobiT, en aquél momento en la versión 4.0
•
Esta decisión fue comunicada formalmente al área de SSII, para que la incluyeran como
metodología de referencia junto con ITIL, ISO 17799, etc…
•
Es decir, en aquél momento ya existía en SSII una incipiente costumbre de adopción de
estándares y modelos de control, por lo que CobiT nosupuso ninguna ruptura cultural.
•
Pero adoptar CobiT provocó de inmediato la necesidad de certificar todo el equipo, al menos en
CISA, lo que se consiguió en un tiempo corto.
•
Con todo ello, la base para realizar un trabajo profesional, argumentado y basado en
estándares estaba lograda. Esta es la posición mínima que un equipo de Auditoría de Sistemas
debe tener para acometer su función.REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre 2013.
4
Ley Sarbanes Oxley
©
•
En el año 2006 pusimos en marcha el Modelo de control interno para adecuarnos a la
sección 404 de la Ley Sarbanes Oxley.
•
Este Modelo incluye una conjunto de controles (denominados Controles Generales de
Ordenador) que tienen como objetivo asegurar que los sistemas informáticos son
fiables y soportan losprocesos de negocio que producen la información financiera. Es
decir, si los procesos de negocio son correctos, los sistemas informáticos no serán la
causa de un posible fraude en la información financiera.
•
La implantación de este modelo supuso un enorme cambio en la cultura de control
interno de la compañía y fue la piedra de toque en el asentamiento de la Auditoría de
Sistemas, dado queparticipamos tanto en asesorar sobre la interpretación del Modelo
como en la revisión de la efectividad de los controles.
•
Un análisis posterior no ha revelado que el mayor incremento en la madurez de los
procesos de Sistemas de Información se produjo precisamente en el momento y
como consecuencia de la implantación de este modelo.
REPSOL S.A. Dirección de Auditoría de Sistemas. Noviembre...
Leer documento completo
Regístrate para leer el documento completo.