Año 2 - N°12 | Diciembre 2006

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

"Windows Vista"

"VOip"

"Island Hopping"

"Marco de Control"

"Al Qaeda"

"Diccionario Propio"

Durante los primeros años de este siglo, el contenido de los Cursos de Auditoría de Tecnologías de la Información estaba relacionado con los estándares que en aquel entonces eran difundidos por Consultoras de nivel mundial, caracterizándose el mismo por tener un enfoque técnico y de cumplimiento para las revisiones de Auditoría de los Sistemas informáticos y considerando la relación de las Tecnologías de la información con las actividades principales de los procesos de cada Organización.

Con el nuevo milenio, que motivó inversiones considerables en controles de tecnología por los riesgos que podrían afectar a las operaciones de la Organización, en el mundo globalizado y en nuestro medio comenzó a tomar fuerza el cambio en la administración tradicional de los negocios con la adopción de estándares y buenas prácticas de gestión y control probadas en las compañías del Primer Mundo.

Surge entonces el Modelo de Control Interno en Tecnologías de la Información COBIT, que existe en su primera versión desde el año 1992, alineado al Marco Integrado de Control Interno de la Comisión Treadway (C.O.S.O) para los procesos del negocio. Su meta: contar con lineamientos claros y precisos para el control de la gestión en tecnologías de la información, clarificar sus deberes y responsabilidades como ente especializado en la prestación de servicios tecnológicos en las organizaciones privadas y públicas, orientándose a la mejora continua de sus procesos de negocio.

En 2002 se descubre el fraude más grande de la historia de Estados Unidos: el “Caso Enron”, que origina la desconfianza de los Mercados de Capitales internacionales ya que era una de las empresas más reconocidas del mundo, perjudicando a miles de trabajadores y accionistas, A esto se suman otros sucesos como los de Worldcom y Parmalat, que han motivado una serie de iniciativas que llevan, sin duda, a un nuevo modelo de supervisión y control interno de los órganos de Gobierno de las Sociedades.

Influidos por la noticias y sucesos ocurridos, en los últimos cuatro años el Curso COBIT viene dictándose en la Escuela de Control y también en otras Instituciones del sector privado y público, como la Universidad Científica del Sur, Universidad Nacional de Piura, Universidad de San Marcos, Universidad Particular San Martín de Porras y la Universidad Norbert Wiener, despertando gran interés por las oportunidades de formación académica y nuevos nichos laborales que han aparecido por la necesidad de implementar la Ley Sarbanes Oxley, el Marco de Control Interno (C.O.S.O) y la Gestión de Riesgos Operacionales en empresas del sector privado peruano.

Los alumnos del sector público, concientes del valor agregado del Marco de Control según COBIT, tomaban sólo de manera referencial las buenas prácticas adquiridas sobre el Control de las Tecnologías de la Información, por existir en las Organizaciones del sector público las “Normas de Control Interno” para los sistemas computarizados como parte integrante de las “Normas Técnicas de Control Interno”, que no consideraban enfoques modernos de carácter especializado y una estructura basada en componentes del control interno reconocidos internacionalmente, con lo cual se limitaba el criterio del auditor en el momento de determinar sus hallazgos, recomendaciones u observaciones.

Actualmente, se perciben “nuevos aires” en el Sector Público que pretenden ayudar al cambio del enfoque tradicional de la Auditoría Gubernamental mediante la aplicación de buenas prácticas adquiridas, mejorar la imagen del Auditor ante la alta dirección, los dueños de los procesos y finalmente contribuir con recomendaciones eficientes y eficaces para fortalecer el control interno de las entidades públicas. En ese sentido, con fecha 3 de Noviembre del 2006, la Contraloría de la República publicó las nuevas Normas de Control Interno (RC –320-2006- CG) que han sido elaboradas en armonía con los conceptos modernos de control basados en el C.O.S.O y en la guía de auditoría para el sector público de la Organización Internacional de Entidades Fiscalizadoras Superiores INTOSAI, resaltándose en ellas su carácter “orientador, técnico, integral y dinámico”, quedando derogadas las “Normas Técnicas de Control” que hasta antes de la publicación de esta norma estuvieron vigentes.

Alineado a estas Normas, en la “Norma General para el Componente de Actividades de Control Gerencial”, en el apartado 3.10 “Controles para las tecnologías de la información y comunicaciones TIC” se establecen los lineamientos para el control de las TIC, con el fin de “Garantizar el procesamiento de la información para el cumplimiento misional y de los objetivos de la entidad, debiendo estar diseñados para prevenir, detectar y corregir errores e irregularidades mientras la información fluye a través de los sistemas”.

De esta manera, se espera que las entidades del sector público elaboren sus normas o alineen las existentes a estas nuevas definiciones que mantienen los principios de control para los procesos de tecnología de la información siendo los siguientes:

Así, apreciamos que a partir de este nuevo marco normativo, el sector público está dotándose de nuevos enfoques reconocidos internacionalmente, debiéndose iniciar un proceso de difusión y sensibilización en sus entidades con la finalidad de entender y aplicar oportunamente estas nuevas prácticas basadas en los Marcos de Control Interno COSO y COBIT.