1. Gestión de Auditoría de TI tomando como referencia Cobit 4.1 utilizando
Meycor Cobit para Ecopetrol
1. Descripción del caso
Introducción
Ecopetrol SA esuna compañía dedicadaa la exploración,desarrolloyproducción de petróleo
crudo y gas natural. En 2007, Ecopetrol actualiza su estrategia corporativa con objetivos de
crecimientoclaramentedefinidosparalospróximosañosque requeríancambiosimportantes
y mejoras en la estructura de la organización y procesos que apoyan los objetivos
estratégicos.
En consecuencia,hubohitosimportantescomolatransformaciónde la naturaleza jurídica de
la empresa, el inicio de las operaciones internacionales y la adopción del marco COSO para
fortalecer el sistema de control interno. La compañía cotiza sus acciones en la Bolsa de
Valores de Nueva York desde septiembre de 2008.
Alineado con el despliegue estratégico y para dar una respuesta oportuna y efectiva a las
necesidades generadas por la situación de la empresa, la División de Tecnología de la
Información decidió, en 2008, integrar un sistema de gestión de TI, basado en un marco
adecuado. COBIT fue seleccionado como el marco de gobierno de TI adecuada para
implementar su sistema de gestión de TI.
La empresa
Ecopetrol SA esla mayor compañía integradade petróleode Colombiaconaproximadamente
7500 empleados directos. Es una de las 40 principales empresas petroleras del mundo y las
cuatro compañías petroleras más grandes de América Latina. Además de Colombia, que
representael 60 por cientode laproducción total,lacompañía tiene presenciaenactividades
de exploración y producción en Brasil, Perú y Estados Unidos (Golfo de México). La revista
Forbes la ubica en el puesto 114 de su ranking de empresas líderes (mayo 2013).
El código de buen gobierno de Ecopetrol cuenta con las mejores prácticas corporativas
necesarias para preservar la ética empresarial, la administración y el control de la compañía
de forma correcta. Esto permite que laempresapuedacompetira través del reconocimiento
y el respetode losderechosde losaccionistas,losinversoresyotraspartes interesadas sobre
la base de políticas claras de transparencia en la gestión y divulgación de la información
acerca de laempresa,que a suvezgenerauna mayorconfianzaentre laspartes interesadas y
el mercado en general. El sistema de control interno de Ecopetrol se enmarca dentro de los
estándares internacionales (COSO).
La División de Tecnología de Información de Ecopetrol depende del Vicepresidente de
Innovación y Tecnología y está a cargo del proceso de gestión de la información para la
empresa en dos frentes principales: soluciones y aprovisionamiento de tecnología de la
información y los servicios de infraestructura de desarrollo e implementación de TI para
apoyar los procesos de negocio.
2. La División de Tecnología de la Información, que tiene cerca de 180 empleados directos, es
responsable de asegurar el gobierno de TI. Tiene una muy fuerte estructura interna,
distribuida de una manera que satisfaga las necesidades de los proyectos de desarrollo de
negocios, implementación, operación y soporte de soluciones y proporciona los servicios
requeridos. Además,contieneunaunidadde gestiónyde arquitecturayunárea de seguridad
de la información en respuesta al más alto nivel de la División de TI.
Organigrama de Ecopetrol
Gobierno de TI - COBIT
En 2008, la Divisiónde Tecnologíade laInformacióneligióCOBITcomo marco de gobierno de
TI adecuadapara integrarun sistemade gestiónde TI, en base a las siguientes características
de COBIT:
Permite el mapeo de los objetivos de TI con los objetivos empresariales.
Es el resultado de una mejor alineación, basado en un enfoque de negocio.
Proporciona una visión de lo que hace que sea comprensible para la gerencia.
Indicaclaramente lapropiedadylaresponsabilidadbasadaenlaorientacióndel proceso.
En general se acepta por parte de terceros y reguladores.
Proporcionaunentendimientocompartidoentretodoslosinteresados, sobre la base de
un lenguaje común.
Cumple conlosrequisitosde COSO y Sarbanes-Oxley para el ambiente de control de TI.
En el últimotrimestre de 2008, la Divisiónde TIdefinióloslineamientos,procesosy objetivos
de control a implementar. Del mismo modo, la división identificó los recursos internos que
apoyarían laimplementacióndel sistema y los recursos asignados para la contratación de los
consultores externos requeridos.
3. El equipo estableció un proyecto, prestando especial atención a las siguientes cuestiones:
La asignaciónde recursos yun equipointerdisciplinario con representantes de las áreas
involucradas en TI.
Definición de los puntos de relación con las unidades de negocio y otras unidades de
apoyo y la interacción con las áreas clave: Finanzas, Riesgos, Estrategia, Calidad y
Auditoría Interna y Externa-de manera continua
Alineación con los proyectos empresariales: el fortalecimiento del sistema de control
interno (COSO) y cumplimiento (Ley Sarbanes-Oxley). Se consideraron las distintas
iniciativas de negocio y proyectos en curso para asegurar la coordinación e integración
de esfuerzos.
Una política de presentación de informes al más alto nivel de gestión, y cada semana
reuniones de seguimiento del proyecto
Identificaciónde lasaplicaciones (Sarbanes-Oxley, componente en SAP) y otros críticos
de los procesos de negocio. Del mismo modo, la comprensión de las personas, los
recursos y las infraestructuras asociadas a estas aplicaciones.
Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de
control que apoyan el cumplimiento de la ley Sarbanes-Oxley.
El equipo del proyecto desarrolló el diseño y la documentación de los procesos y,
posteriormente, la aplicación y el seguimiento de la operación para la realización de los
ajustesnecesarios. Comoresultadode ello,enjuniode 2009, laDivisiónhabía implementado
y asegurado14 procesos de COBITde altaprioridad. Para diciembre de 2009, los 28 se habían
implementado.
Durante el segundo semestre de 2009 y el primer trimestre de 2010, se realizaron auditorías
internasyexternas paraevaluarel cumplimientode laley Sarbanes-Oxley. Se implementaron
varias medidas para la recuperación y mejora de los procesos y controles de TI clave. Como
resultado de ello, el auditor externo informó que no había deficiencias significativas o
debilidades materiales en los controles de TI que necesitan ser reportado por el CIO, el
director financiero, el director general o el auditor.
Durante el último trimestre de 2009, la División de TI contrató a un consultor externo para
llevar a cabo la evaluación del nivel de madurez de COBIT para los catorce procesos
críticos. La evaluaciónconfirmólaconsecucióndelnivel 3endoce procesosy el nivel 4 en dos
procesos. Asimismo,lacompañíareestructuróel áreade Cumplimientode TI, tomando como
referencia las buenas prácticas del marco COBIT.
Para el año 2011, Ecopetrol tenía implementados los 31 procesos de COBIT integrados en su
sistema de gestión de TI, todos operando entre los niveles 3 y 4. Para los siguientes años se
espera alcanzar el nivel 4 en todos los procesos.
La Divisiónde Tecnologíade la Informaciónestáestudiandolaposibilidadde migrar a COBIT 5
a través de un plan similar a la implementación de COBIT 4.1 lo que consideraron como un
caso de éxito.
4. 2. Gestión de auditoría con Meycor Cobit
Para alcanzar el nivel 4 en todos los procesos de COBIT, la División de TI debe realizar
auditorías internas que le permitan visualizar el cumplimiento de los requisitos en cada
proceso.
La herramienta de software elegida para gestionar estas auditorías fue Meycor Cobit,
utilizando los módulos Router Finder – RF y Audit Guidelines – AG.
Meycor Cobit RF
Es el módulo central, contiene una guía metodológica para implementar el Gobierno de TI.
Este módulo permite a los usuarios:
Adaptarla guía metodológicapordefectoincluida en el software o incluso utilizar varias
guías.
Acceder a los diferentes módulos Suite.
Definir permisos de acceso a cada módulo.
Mantener el COBIT COBIT 4.1 y 5 bases de conocimiento.
Definir y realizar múltiples análisis
Meycor Cobit AG
Permite realizar auditorías de sistemas de información mediante la administración de
proyectosy personal de auditoría. Los proyectos pueden abarcar varios centros de análisis y
para cada uno de ellos se puede ingresar toda la información necesaria para lograr el
entendimientode laorganización.El productopermite realizarauditoríassegún los objetivos
de control de CobiT mediante la obtención del entendimiento, evaluación de los controles
existentes,realizaciónde pruebasde cumplimientoyrealización de pruebas sustantivas para
finalmente decidir si se alcanza ó no el objetivo de control.
2.1.Identificación del negocio
Creación de centros de análisis
Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe
emitirse laopinión.Puedeserfísico,comoel centrode cómputo,unasucursal o puede ser
un aplicativo comoel ERP de una industria o incluso una plataforma o sistema operativo.
En Meycor Cobit RF realizar las siguientes acciones para crear un centro de análisis:
1. Meycor Cobit viene con una sola cuenta predeterminada para
utilizar. Ingresar con cuenta de usuario ADMIN. Con esta cuenta
se pueden crear nuevos usuarios y centros de análisis para los
diversos proyectos de auditoría.
2. Se debencrearlas cuentasde los usuariosque formaránparte del equipodel proyecto
de auditoría. Para esto hacer clic en el menú Permisos/Usuarios, se visualizará la
siguiente ventana.
5. Haz clic en el botón Agregar e ingresa los siguientes datos:
Login: SVALLES
Nombre: Sandro Valles
Cargo: Jefe proyecto
Iniciales: SV
Contraseña: svalles123
Email:
Permisos: asignar todas las opciones de AG y RF pues es el jefe del proyecto y debe
tener acceso a la aplicación completa.
Una vez creado el usuario lo verás en la lista de la izquierda. Siguiendo los mismos
pasosse puedencrearlosdemásusuariosque formaránparte del equipodel proyecto
de auditoría. Para el caso de las auditorías a Ecopetrol, crearemos dos usuarios más:
Alex Guerra y Gisela López
3. Los centros de análisis los creamos haciendo clic en el menú Permisos/Centro de
análisis, se visualizará la siguiente ventana.
Como se observa en la imagen, el Meycor Cobit RF viene con 5 centros de análisis
predeterminados, cada centro de análisis tiene asignados procesos de Cobit que se
tomarán como referencia para la auditoría y los usuarios.
6. Crearemos el centro de análisis Área de TI – Ecopetrol haciendo clic en el botón
Agregar, como el caso dice que se han implementado los 31 procesos de Cobit 4.1
seleccionaremostodos los procesos y asignaremos a los 3 usuarios creados para este
proyecto y también la cuenta ADMIN. .
Una vez creado el centro de análisis debemos activarlo,
esto se logra haciendo clic en Centro de análisis/Activar
centro.En la ventanaque se visualizahacerdoble clicsobre
el nombre del centro de análisis creado.
2.2.Planificación de la auditoría
Creación del proyecto
El proyecto es la base de la administración de los procesos de auditoria en Meycor Cobit
AG. En el mismo se define nombre, código, objetivo, alcance, fecha de creación, fecha
estimada de finalización, auditores asignados, centro de análisis que incluye.
En Meycor Cobit AG realizar las siguientes acciones para crear y planificar el proyecto de
auditoría:
1. Desde la ventana del Meycor Cobit RF activar el Meycor Cobit AG haciendo clic en el
siguiente ícono o en el menú Aplicaciones/Meycor Cobit AG. Ingresar a la
aplicación con cuenta de usuario ADMIN.
2. Para crear el proyecto hacer clic en la ruta Proyectos/Mantenimiento/Crear proyecto,
al visualizar la ventana ingresar los datos (tal como se muestra en la imagen)
En Tipo,elegimosCumplimientopueslaauditoríaconsiste enevaluarel cumplimiento
de losrequisitos del nivel 4del modelode madurez. LuegohacemosclicenSiguientey
seleccionamoslasopcionessegúnvemosenlaimagen.
7. Luegohacer clicen Siguiente,yelegirel centrode análisiscorrespondiente.
Hacer clic enSiguiente yasignarlosmiembrosdelequipoparael proyectode auditoría.
Hacer clic ensiguiente,seleccionarlos10 procesosdel dominioPO.
8. FinalmentehacerclicenCrear,el Meycor Cobit AG creará el proyectoy le preguntarási
deseaactivarlo,hagaclicen Si y luegose mostrarála siguiente ventana,enlaque
deberáactivarel centrode análisishaciendodoble clicsobre el.
Asignación de objetivos:
Una vez creado el proyecto, se deben asignar procesos y objetivos de control a cada uno
de los auditores asignados al proyecto.
1. En Meycor Cobit AG, hacer clic en Proyectos/Mantenimiento/Asignar objetivos, se
mostrará la siguiente ventana.
Por cada usuario asignadoal proyectose deben seleccionar Procesos de COBIT, como
se muestra en la siguiente ventana para el usuario Alex Guerra.
9. Luego por cada Proceso se deben seleccionar los Objetivos de Control que se
considerarán en la auditoría, esto debe estar de acuerdo con el objetivo y alcance
definidos en la creación del proyecto. En la siguiente imagen vemos que para el
proceso PO1 se están seleccionando todos los Objetivos de control.
Para el proyecto de auditoría de Ecopetrol seleccionaremos todos los objetivos de
control de cada proceso del dominio PO, pues debemos evaluar el cumplimiento de
los requisitos para verificar si se ha alcanzado el nivel 4 del modelo de madurez.
2.3.Ejecución de la auditoría
Cada auditoringresaráal Meycor CobitAG con su cuentade usuario,al hacerlorecibiráuna
notificacióndel proyectoque se le asignóyde lastareas pendientesque tiene.
La siguienteimagenmuestralasnotificacionesque el auditorAlex Guerratiene al entrar
con su cuentaa la aplicación.
Nota importante: Cada vezque el usuarioingrese al MeycorCobitAG deberáactivarel
proyectoque va a trabajar,puespuede tenermuchosproyectosasignados.
Hacer clic enel menúProyectos/Activarproyecto,enlaventanaque se muestradeberá
hacer doble clicsobre el centrode análisiscorrespondiente.
10. Registro de evaluaciones
Una vez que el auditoriniciaconlasevaluacionessobre losprocesosyobjetivosde control
que le fueronasignados,deberáregistrarlos“hallazgos” realizandolassiguientesacciones:
1. Hacer clic enel menúEvaluaciones/Mostrarlosobjetivos/Asignados,enlasiguiente
imagense muestralosprocesosyobjetivosde control que le fueronasignadosal
auditorAlex Guerra.
En el ladoizquierdode laventana,vemoslalistade procesosyobjetivosde control
asignadosal usuario.Al ladoderechose observalainformacióncorrespondienteal
objetivode control seleccionado.Explicaremosdetalladamente este ladode laventana.
En la parte superiorse muestrandatosgeneralesdel objetivode
control,al procesoque pertenece,el nombre del objetivo,la
clasificaciónylacantidadde controlesque seránevaluados,eneste
caso son 6. Luegovemosuncuadro Evaluación,al desactivarel
check,se activará la escalade medidadel modelode madurez
desde Inexistente hastaOptimizado.
En la parte inferioresel áreadonde se registranlasobservaciones,documentosy
tareascorrespondientesacada objetivode control evaluado.
Observaciones:sonaquellasque se producenaraíz de los“hallazgos” y las“no
conformidades”
2. Para ingresarunaobservación,seleccionaremosel objetivo4- Planestratégicode TI.
Vemosque tiene 5controlesaevaluar.
Despuésrealizarlaevaluaciónde laexistenciadel Planestratégicosegúnlos
requerimientosde Cobitse procede aregistrarlas“observaciones”de loshallazgos
11. obtenidos. Hazclicenel botónverde +, ingresalosdatossegúncomose muestraenla
siguiente imagen.
Se puede registrara losinvolucradoseneste hallazgo.Hazclicenel botónInvolucrados
que se ve enla parte superiorderechade laventana.Ingresalossiguientes
involucrados:Directorde TI,Directoresde áreasde TI.
3. Para registrarlas“evidencias”utilizamosla
opciónDocumentos,ingresamoslos
documentosque sustentesloshallazgos
obtenidos.
Luegorelacionamosestosdocumentosalos
hallazgos,asignandolosque correspondena
cada Observación.
4. Las recomendacionesse lasregistraenla
fichaRecomendaciones.Ingresalas
recomendacionessegúnse muestranenla
ventanasiguiente: