No es que en Colombia se hable en forma exclusiva de CoBit... Lo que sucede es que son infinitamente diferentes los "Estándares de Auditoría", "Las Mejores Prácticas de Auditoría" y los "Modelos de Control".
Para el caso que ocupa este debate, es oportuno aclarar que CoBit, entra en la última clasificación, es decir Modelo de Control; de la misma forma como el MECI (Modelo Estándar de Control Interno).
MECI : La situación de MECI es particular, se trata de un modelo de control diseñado para las entidades del estado, hoy en día próxima a aplicarse en países que tienen cooperación con Estados Unidos, para citar solo uno de ellos, está el caso de Paraguay que va a emplear el MECIP, que no es otra cosa que el MECI pero para ese país.
Ahora bien, ese modelo no es de aplicación exclusiva para los sistemas de Información, es para las organizaciones y tiene unos subsistemas de Gestión, de Control y de Evaluación, se puede afirmar que es bastante vago, porque únicamente menciona los elementos que componen cada subsistema y la forma de aplicarlos.
ISO: Esa es una organización que elabora unos estándares o aproximaciones de cómo deben ser las cosas y no pasa de ser eso, una aproximación, que desde luego no se ajusta a las realidades culturales, políticas y económicas de cada nación y menos de cada organización, allí entre muchas otras cosas se han desarrollado Sistemas de Gestión (Calidad (9001), Seguridad de la Información (27001), etc.).
Esos sistemas de Gestión dentro de sus componentes o Numerales, casi siempre el Numeral 6, tienen el elemento de Auditorías Internas, que a su vez están normadas, reguladas u orientadas bajo la Norma ISO 19011 (Que son un pasquín de lo que realmente es un proceso de auditoría, máxime si se trata de Sistemas de Información y Comunicación ).
CoBit: se Trata de Los Objetivos de Control para Tecnologías de Información y Relacionados.
Este producto ha sido desarrollado por espacio superior a 40 años por más de 86,000 miembros expertos, en más de 160 países, en temas relacionados con las Tecnologías, los controles y la evaluación.
Entre otras utilidades, está diseñado para ser empleado por los Gerentes de las Organizaciones, los Gerentes de Sistemas, los Gerentes de Seguridad de la Información y Los Gerentes de Auditoria, en el diseño inversión, preparación y control de su Planeación Estratégica Corporativa; Planeación Estratégica de Sistemas de Información y Comunicación, Planeación de la Seguridad de la Información, Contingencia y Recuperación ante desastres, Planeación de Auditoria y por los equipos de Auditoria para el ejercicio propio de la evaluación y el Control.
Cada uno de esos actores emplea ese y muchos de los productos con el perfil que le compete, pero debe aportar su conocimiento , porque no son listas de chequeo, no son guías, no son manuales, ni tutoriales.
Ahora bien se han desarrollado varios estándares en Auditoria de Sistemas, bajo los parámetros de CoBit, entre otros:
S1 El Estatuto de Auditoría
S2 Independencia
S3 Ética y Estándares profesionales
S4 Competencia profesional
S5 Planeación
S6 Ejecución de la auditoría
S7 Reporte
S8 Actividades de seguimiento
S9 Irregularidades y acciones ilegales
S10 Gobernabilidad de TI
S11 Uso de la evaluación de riesgos en la planeación de auditoría ( Que es donde aplica MAGERIT)
Con ese preámbulo, yo le invitaría profesor a profundizar en la definición de:
Modelos de Control
Estándares de Auditoria
Normas de Auditoria
Directrices de Auditoría
Procedimientos de Auditoria
Pruebas de Auditoría.
Administración de Riegos
Todo ello enfocado hacia los Sistemas de Información y Comunicación, para enriquecer este dialogo.