Caso Estudio Ag

22
1 Caso de estudio Meycor COBIT AG Presentación de Meycor Cobit AG: Cobit es un marco de objetivos de control que establece un puente entre el negocio y los procesos de TI que los soportan. Permite determinar que Objetivos de control debe cumplir el área de TI de modo que efectúe un aporte positivo para alcanzar los Objetivos estratégicos de la organización. Mediante Meycor AG se puede ver el efecto que sobre los procesos del negocio tiene el nivel de cumplimiento con Cobit por parte de TI. La herramienta esta diseñada para cuando los auditores deben efectuar el enfoque de auditoria a través de un completo proceso de auditoria, que se diferencia de una auto evaluación de controles. Destacamos los siguientes puntos de Meycor Cobit AG: Trabajar en varios proyectos de auditoria en forma simultanea. Poder elaborar opcionalmente un inventario completo de los recursos de TI (y como contribuyen a cumplir los procesos del negocio) Poder definir equipos de trabajo con roles diferentes. Facilidades para elaborar variados papeles de trabajo que justifiquen los juicios emitidos. El caso: La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar COBIT para realizar su trabajo y últimamente incorporó el software Meycor COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo importante de condiciones diferentes por lo que el sistema informático de Cuentas a Cobrar resulta crítico, para alcanzar sus objetivos de negocio. Desarrolla sus actividades en una sede central (ubicada en la ciudad de Montevideo) que se focaliza en las operaciones en la Capital y en los países vecinos, y 2 sucursales ubicadas en otras partes del país. Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de

Transcript of Caso Estudio Ag

Page 1: Caso Estudio Ag

1

Caso de estudio Meycor COBIT AG Presentación de Meycor Cobit AG:

Cobit es un marco de objetivos de control que establece un puente entre el negocio y los procesos de TI que los soportan.

Permite determinar que Objetivos de control debe cumplir el área de TI de modo que efectúe un aporte positivo para alcanzar los Objetivos estratégicos de la organización.

Mediante Meycor AG se puede ver el efecto que sobre los procesos del negocio tiene el nivel de cumplimiento con Cobit por parte de TI.

La herramienta esta diseñada para cuando los auditores deben efectuar el enfoque de auditoria a través de un completo proceso de auditoria, que se diferencia de una auto evaluación de controles.

Destacamos los siguientes puntos de Meycor Cobit AG:

• Trabajar en varios proyectos de auditoria en forma simultanea.

Poder elaborar opcionalmente un inventario completo de los recursos de TI (y como contribuyen a cumplir los procesos del negocio)

• Poder definir equipos de trabajo con roles diferentes.

• Facilidades para elaborar variados papeles de trabajo que justifiquen los juicios emitidos.

El caso:

La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar COBIT para realizar su trabajo y últimamente incorporó el software Meycor COBIT AG para automatizar y facilitar la tarea.

La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo importante de condiciones diferentes por lo que el sistema informático de Cuentas a Cobrar resulta crítico, para alcanzar sus objetivos de negocio.

Desarrolla sus actividades en una sede central (ubicada en la ciudad de Montevideo) que se focaliza en las operaciones en la Capital y en los países vecinos, y 2 sucursales ubicadas en otras partes del país.

Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos.

Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de

Page 2: Caso Estudio Ag

2

desarrollo interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias del mismo mantienen algunas reservas.

Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable por la organización.

Esto es el resultado de un trabajo de identificar que en varios de los objetivos del proceso de negocio referido, los riesgos identificados tienen una valoración significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.

En el área de tecnología es necesario complementar ese análisis a efectos de evaluar

los controles generales y de aplicación existentes.

ABC AUDIT es contratada por la empresa WEST FINANCIALS para realizar una auditoría de sus sistemas de información.

El proyecto de auditoría es encomendado a Juan Márquez quien participa en las primeras reuniones con la gerencia de la financiera donde se acuerda hacer una revisión total del funcionamiento de sus sistemas en la sede central.

La misma comenzará por los Objetivos de alto nivel que fija Cobit, y en una segunda etapa atenderá los aspectos relacionados con la plataforma especifica conque cuenta la organización.

Luego de tener las primeras entrevistas con la financiera, la empresa consultora comienza a realizar el trabajo de planificación de la auditoria.

Page 3: Caso Estudio Ag

3

Tarea 1:

Se comienza a preparar el software para el trabajo.

Meycor COBIT AG viene con un solo usuario precargado que es la Cuenta Admin, mediante la cual se pueden realizar diversas tareas de mantenimiento.

En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario ‘Matinez’ al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles.

Fig. 1: Creación de un usuario

Page 4: Caso Estudio Ag

4

Tarea 2

El administrador también crea un centro de análisis Centro1 (Correspondiente a la sede central de la empresa).

Nota: un centro de análisis ,es el objeto de la auditoría, es el escenario sobre el que debe emitirse la opinión. Puede ser físico (el centro de cómputos principal, una sucursal) o puede ser un aplicativo (el sistema de tarjeras de Crédito) o incluso una plataforma o sistema operativo (el equipo central).

La alternativa sería manejar diversos proyectos, dependiendo de la necesidad de compartir información o comparar resultados.

Fig. 2: Creación de un centro de análisis

Page 5: Caso Estudio Ag

5

Tarea 3

El supervisor Martínez ingresa al software .

A partir de la selección del centro de análisis en que va a trabajar (puede tener asignados varios) crea el Proyecto de auditoria al cual se da el nombre de “ Sistema de Cuentas a Cobrar WF”

Nota: El proyecto es la base de la administración de los procesos de auditoria en Meycor Cobit AG. En el mismo se define nombre, código, objetivo, alcance, fecha de creación, fecha estimada de finalización, auditores asignados, centro de análisis que incluye.

Fig.3: Creación del proyecto y definición de su objetivo y alcance.

Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditoría a nivel de los Objetivos de Control de alto nivel de Cobit).

También se define la escala de evaluación aplicable, entre las que están disponibles en el software.

Se asignan los auditores a usar en el proyecto.

Identificación del negocio.

Como ayuda a la selección de los procesos de TI a evaluar y posteriormente a la tarea de auditoría en sí, es posible evaluar el ambiente del negocio.

Para ello es posible crear el organigrama de la empresa.

Page 6: Caso Estudio Ag

6

Tarea 4

Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama.

Es posible documentar información sobre los diversos departamentos o gerencias.

Esto es creado por el supervisor. Menú: Centro de Análisis

Fig. 4: Organigrama

Identificación de los procesos de Negocio

Permite ingresar que procesos de negocio se cumplen en la organización.

Page 7: Caso Estudio Ag

7

Tarea 5

Se ingresa el o los procesos de negocio que son de interés. Menú :Centro de Análisis

Fig. 5: Definición de proceso de negocio.

Identificación de los Requerimientos de Información del Proceso

Estos pueden ser varios y son la información necesaria para que el proceso de negocio pueda cumplir en forma exitosa sus objetivos. Un proceso de negocio tendrá varios objetivos que son las metas a alcanzar por las unidades de la organización, para cumplirlas requieren diversos tipos de recursos.

Nota: Se pueden derivar de Meycor Coso en el cual se releva y documenta esta información. Veamos acá el ejemplo de dos de los objetivos ,en los que se determinó en una etapa previa a este trabajo que existía un conjunto de riesgos no cubiertos.

Page 8: Caso Estudio Ag

8

Objetivo del Proceso Requerimientos de información

A. Cobrar en Plazo todos los saldos adeudados

1.Saldos actualizados en tiempo y forma para los cobradores

2.información de las direcciones de los clientes

3.Información de los Cobradores

4:Libretas de recibos de cobro

5.Telecomunicaciones con sucursales

B. Efectuar sólo losdescuentos que estén admitidos por la política de la empresa

1.Los criterios de autorización para aplicar descuentos.

2.Tablas de cálculos de descuentos

3. Personal que verifica los cálculos

Como se ve en este ejemplo, usamos el concepto “Requerimientos de Información” en sentido amplio. Ocurre entonces, que no todos están relacionados con la tecnología (aunque deben poderse identificar todos, si se quiere tener una documentación completa). Notar que en el ejemplo anterior en el Objetivo tiene requerimientos de información como el numero 1 que requerirá obviamente un listado informático diario de saldos entregado a cada cobrador (veremos a continuación que requerimientos de información implica).

Por otra parte, el requerimiento 3 (Cobradores) que corresponde a personal y el 4 materiales (libretas de recibos) no están afectados por TI (si podría estarlo si los documentos se generaran por computadora)

Page 9: Caso Estudio Ag

9

Tarea 6

Se identifican cuales son los requerimientos de la información necesarios que debe disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.

El poder ingresar cuales de los criterios de información deben ser cumplidos permite vincularlos con los objetivos de Cobit de alto nivel.

En la Fig. 6 al seleccionarse Integridad y Confiabilidad como criterios Primarios se esta relacionando este requerimiento con la necesidad de verificar el Proceso de Alto Nivel ES11, Administración de los datos de Cobit.

Los requerimientos de información se relacionan con los diversos procesos de negocio identificados previamente.

Fig. 6: Requerimientos de Información.

Page 10: Caso Estudio Ag

10

Explicación de los criterios de Información de Cobit

Vemos que se determinan los criterios de Información de Cobit que son aplicables.

Producto 1 Tabla de Intereses a aplicar ( El sistema debe permitir tener en forma oportuna los interese a aplicar sobre los recargos. Los mismos se deben calcular diariamente teniendo en cuenta varias variables tales como el tipo de cambio del dólar o el interés legalmente aplicable)

Prod EFE EFI CONF INT DISP CUM CONFI COMENTARIOS

1 P P Interesa el reporte en forma oportuna, No se trata de información reservada La información debe ser completa dada la cantidad de situaciones posibles. La confiabilidad aparece como importante en todos los casos

Detalle de las columnas: Efectividad o Eficacia, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad de la información.

Identificación de los recursos de TI

En esta etapa es posible hacer un inventario de los recursos de TI donde se puede ingresar una información detallada de los mismos.

Además se relacionan con los requerimientos de información identificados en la tarea anterior. Así podemos saber que personas, datos y equipos son necesarios para obtener el requerimiento de información “Tabla de Intereses a cobrar “ en forma oportuna para el negocio.

En general se tendrá presentes tecnología (hardware), Aplicativos (software) y Datos (archivos o tablas), en cuanto a los otros recursos puede depender de la situación.

Un proceso que implique atención al publico (Producto :Cobranzas por Caja) involucra a las Instalaciones (cámaras de video de seguridad, etc.)

Un proceso que no sea totalmente automatizado involucra a las Personas.

Page 11: Caso Estudio Ag

11

Tarea 7

Se ingresa la información de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnológica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de información previamente identificados.

Menú Centro de Análisis /Recursos de TI

Selección de procesos a auditar

Se debe determinar cuales de los 34 procesos de Cobit se deben evaluar.

MEYCOR COBIT AG asiste en la selección. Es posible obtener una relación entre los 34 procesos de Cobit con los Procesos de Negocio a través de los requerimientos de información de Cobit y los recursos de TI que son usados por los mismos. Igualmente el Supervisor puede usando su criterio, variar esa sugerencia (ampliándola o modificándola)

Fig. 7: Relación entre procesos de negocio y procesos de Cobit.

Page 12: Caso Estudio Ag

12

Planillas de Auditoria

En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para obtener una información primaria de los procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales.

Fig. 8: Planillas de auditoria.

Asignación de Procesos de Cobit para auditar

Como se indicó, los pasos anteriores asisten y documentan los criterios usados en la selección de los procesos de Cobit a verificar.

Page 13: Caso Estudio Ag

13

Tarea 8

Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel ), para la auditoría, al equipo de evaluadores asignados al proyecto. Menú: Proyectos/ mantenimiento/ asignar Objetivos.

También se seleccionan primariamente las Guías de Auditoria de Cobit que se considera oportuno aplicar.

Fig. 9: Ejemplo de la asignación de procesos de Cobit a un revisor.

Page 14: Caso Estudio Ag

14

Comienzo de la auditoria

El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE Alerta que le indica que ha sido asignado a un proyecto de auditoria.

Puede ver la información del mismo (organigrama, procesos de negocio. recursos de Ti, etc.)

Puede ver los Procesos de Cobit asignados y comenzar así su trabajo.

Fig. 10: Se determina sobre que objetivos de control auditar

Tarea 9

Mediante el botón “Comenzar con la Auditoria” iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados.

Page 15: Caso Estudio Ag

15

Tarea 10

A partir de aquí MEYCOR COBIT AG asiste al auditor en el proceso de arribar a una conclusión sobre el Objetivo de control de alto nivel (en este caso).Se van registrando las tareas efectuadas. Para lo cual están disponibles las guías de auditoria que corresponden a cada etapa. Se pueden registrar hallazgos y recomendaciones, las que posteriormente serán evaluadas por el supervisor.

Etapa 1: Entrevistas

Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visión del objeto de la auditoría.

En este caso son con los usuarios del sistema para entender su visión en cuanto al funcionamiento. Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo. Las entrevistas podrán planificarse de modo de que se obtenga simultáneamente toda la información requerida para los procesos de Cobit bajo revisión.

Fig. 11: Ejemplo de un hallazgo en la etapa de entrevistas

Etapa 2: Documentación

En este caso se obtienen los manuales técnicos y de usuarios de la aplicación,

Page 16: Caso Estudio Ag

16

Fig. 12: Registro de las tareas efectuadas

A partir de las entrevistas y de la documentación que se obtuvo y se analizo, se pide que se determine si se consideran (en primera instancia que los controles son efectivos o no).En este ejemplo si bien se han detectado algunas problemáticas (actualización de cierta documentación , amigabilidad de ciertos módulos, dificultades en las asignaciones de códigos de recargo), estos hallazgos van quedando registrados para su análisis posterior.

Si bien las etapas 1 y 2 se presentan en forma secuencial, es posible pasar de una a otra en forma recurrente, hasta completar el conocimiento de la realidad del objeto de la auditaría.

Etapa 3: Emisión de una primera opinión

A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.

Si el juicio es que, en forma primaria, dichos controles no son suficientes se seguirá un camino de procedimientos de auditoria tendiente a evaluar cual es el riesgo de que esos controles u otros sustitutivos no existan.

En caso de que se juzguen adecuados, se probará que en la practica funcionen tal y como se había descrito. Puede ser deseable que las opiniones se registren en consulta previa con el supervisor pero ello dependerá del caso concreto.

Page 17: Caso Estudio Ag

17

Fig. 13: Evaluación de Controles.

Page 18: Caso Estudio Ag

18

Etapa 4: Verificar el cumplimiento de los controles

Aquí se revisa que esos controles estén funcionando.

Para ello deberá probarse con procedimientos específicos de auditoria la existencia de los controles descriptos. Estas pruebas pueden ser muy variadas, desde ver un proceso de control en acción a recolectar la necesaria evidencia, u otras.

Por ejemplo en el caso de que se indique que existe un control en la aplicación que evita que se autoricen descuentos superiores al margen autorizado por la gerencia de Créditos se podrá:

a) Hacer una prueba de datos, intentando ingresar transacciones que superen ese porcentaje.

b) Solicitar el archivo de las transacciones del ultimo año y compararlo con la tabla de tasas autorizadas que estuvieron vigentes en el periodo (por ejemplo mediante el uso del software de auditoría ACL)

Fig. 14: Verificación de controles

Page 19: Caso Estudio Ag

19

Etapa 5: Realización de muestreos

Fig. 15: Determinación del muestreo

El tamaño de la muestra (pocos o muchos) si bien es subjetivo, esta relacionado con la cantidad de casos que deberán ser revisados y tiene en cuenta la confianza que se ha obtenido hasta esa etapa en cuanto al control interno en TI. Tendrá en cuenta entre otras cosas:

� Consideraciones del riesgo de auditoría.

� Si hay medidas de control.

� Si las medidas de control existentes fueron evaluadas como no suficientes.

� Si las pruebas primarias de cumplimiento determinaron que los controles no son aplicados en forma consistente y adecuada.

Page 20: Caso Estudio Ag

20

Etapa 6: Emisión de una conclusión final

Se emite una conclusión (en este caso es para los Objetivos de control que forman un proceso)

En otro caso será para el proceso en su conjunto.

La conclusión se respalda en todos los pasos anteriores del proceso de auditoria. Además debe tener en cuenta los hallazgos. Nótese que la escala de evaluación corresponde a la que fuera seleccionada al comienzo por el Administrador. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.

En este ejemplo concreto , el sistema de control permite detectar los problemas que se producen por usar códigos incorrectos. Es posible tomar acciones para que esos errores se minimicen o se tomen acciones correctivas en una etapa mas temprana del proceso de modo de evitar que se tenga que anular la operación al finalizarla.

Fig. 16: Se indica si hay o no aseguramiento.

Page 21: Caso Estudio Ag

21

PARTICIPACION DEL SUPERVISOR

Mientras que los auditores están efectuando el trabajo de campo, el supervisor puede examinar los avances. También puede dejar establecido sí esta o no de acuerdo con las observaciones efectuadas.

Mediante el botón Retroceder se puede desmarcar una etapa en la que se emitió un juicio de modo de que se pueda cambiar por parte del auditor.

PAPELES DE TRABAJO

Es posible obtener un reporte sobre las pruebas de auditoria que fueron efectuadas y el tiempo invertido en las mismas.

Fig. 17: Ejemplo de Papel de trabajo.

Page 22: Caso Estudio Ag

22

Fig. 18: Informe Final

Vemos en este ejemplo que para el Objetivo de Control Evaluado se han detectado algunos problemas sin embargo la evaluación final se entendió satisfactoria.

CONCLUSIÓN:

Meycor Cobit AG asiste en el proceso de auditar basado en las guías de auditoría de Cobit 3ª Edición. Define una metodología de trabajo que permite su aplicación a diversas auditorias simultaneas, pudiéndose comparar los resultados. Para ello tiene la facilidad de efectuarlas como diversos centros de Análisis del mismo Proyecto general.

Una vez finalizado el ciclo de la auditoría , el supervisor cierra el proyecto.

Es posible efectuar una planificación de revisiones que tenga en cuenta los riesgos detectados y los recursos disponibles.

Un proyecto puede ser duplicado, conservando la información básica relevada, para poder luego efectuar una nueva evaluación.