Herramientas para auditar las TI

ISACA liberó la versión 4.0 de Cobit, herramienta cuya misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información internacionales, actualizados y aceptados, para que los utilicen gerentes de negocio y auditores.

ISACA (Asociación de Auditoría y Control de Sistemas de Información, por sus siglas en inglés) es una asociación profesional no lucrativa cuyos miembros se dedican a la auditoría, control y seguridad de sistemas de información. El Capítulo Ciudad de México consta de más de 250 miembros, que organizan los cursos de preparación para los exámenes de certificación CISA y CISM.
Carlos Zamora, director general de ISACA, explicó que la organización surgió con el propósito de establecer las mejores prácticas relacionadas con la gestión y el seguimiento de las tecnologías de información.
Por tal motivo, nació Cobit (Control Objectives for Information and Related Technology), que se encuentra en su versión cuatro. Esta herramienta ha tomado mucha fuerza, porque en Estados Unidos y Europa se han implantado esquemas de gobierno corporativo y administración de riesgos, “pero 80% del riesgo operativo se concentra en las tecnologías de información”, destacó.
En materia de auditoría, se revisan las prácticas contables y financieras de una empresa, mientras que con el uso de Cobit, que cuenta con una serie de principios y estándares, se revisa y controla el uso de las TI.
Algunos propósitos de esta herramienta son los siguientes:
-Servir como mecanismo para asegurar que los objetivos de la empresa y los de tecnología se encuentren alineados.
-Tener claras las necesidades de información en sistemas y tecnología.
-Proporcionarle a la organización un mecanismo para tener un control de tecnología y contar con la certeza de las inversiones, los riesgos y los principios de orden: información confiable y accesible.
A decir del entrevistado, esta versión presenta las siguientes diferencias sustanciales respecto de la anterior: controles, procesos y estándares; cubre el tema de Sarbanes Oxley (SOX) y ayuda al tema de gobierno y seguridad de información IT (Security gobernance).
Además, antes contaba con controles para sectores específicos como farmacéuticos, que no eran aplicables a las cuestiones gubernamentales o a otras organizaciones. Ahora le permite a la Pyme plantear la necesidad de establecer controles.
“Los cambios se promueven después de hacer un consenso entre todos los miembros de la asociación y funcionarios de gobierno”, explicó Carlos Zamora.
La nueva versión de Cobit se orienta a la gestión de riesgos de la tecnología, al tema de la seguridad; su mayor beneficio consiste en la aplicación de los conceptos de gobierno y de TI.
La expectativa de ISACA para este año en México es difundir las bondades y ventajas de la nueva versión a través de eventos y conferencias en las que estará presente el líder del proyecto, Erick Woldentoks. La primera se llevará a cabo a finales del mes de marzo.
Se realizará una mesa redonda para discutir el enfoque más adecuado respecto de las Pymes y presentar diversas perspectivas para el aprovechamiento de la herramienta.
Hay una versión de Cobit 4.0 recortada, disponible en www.isaca.org. Los lectores de eSemanal interesados en revisarla pueden dirigirse a Carlos Zamora a través del correo [email protected] (a cambio se les obsequiará una publicación de ISACA).