Los sistemas de información de Abengoa sirven de apoyo al propio entorno general de control de la compañía. Los sistemas de información de Abengoa están gestionados en base a varios marcos de referencia, que se detallan a continuación.
Dentro de los Sistemas Comunes de Gestión, existe una normativa interna sobre la Gestión de Recursos Informáticos. Esta normativa persigue cuatro objetivos:
Los aspectos más relevantes relacionados con el control interno de los Sistemas de Información, son las actividades de control automáticas y el proceso de Gestión de Sistemas Informáticos, que se han visto reforzados a raíz de la implantación SOX.
Las actividades de control automáticas, son controles que forman parte de las aplicaciones que integran los Sistemas de Información de Abengoa, que evitan y previenen errores en los datos introducidos, aprobaciones, etc. Los controles automáticos contribuyen a asegurar la integridad y fiabilidad de la información financiera.
El proceso de Gestión de Sistemas Informáticos se centra en los aspectos más concretos y particulares de los sistemas de información. Basado en marcos de gestión y mejores prácticas de mercado, tales como Cobit e ITIL (Information Technology Infrastructure Library), cumple los requisitos de control estipulados por SOX en relación con el desarrollo de programas, cambios a programas, operaciones en el entorno informático y acceso a los sistemas y datos.
Se trata de una combinación de actividades manuales y automáticas en todas las áreas de Sistemas, incluyendo control y gestión de proyectos, desarrollo, soporte, gestión de incidencias, gestión de proveedores y clientes, seguridad física, seguridad lógica y continuidad de negocio.
Con objeto de gestionar las medidas de seguridad relativa a las comunicaciones y sistemas de información corporativos de Abengoa, la empresa cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) como herramienta que nos permita alcanzar los objetivos de seguridad, entendida en términos de:
Este sistema, certificado bajo los criterios de la normativa ISO 27.001, comprende una política de seguridad, un análisis de riesgos, controles de seguridad en 11 áreas, y un ciclo de mejora continua para integrar la seguridad en las funciones laborales de todos los empleados.
El SGSI se revisa anualmente por la dirección y se repite en cada revisión el análisis de riesgos, teniendo en cuenta los cambios en el entorno informáticos, además de nuevas amenazas a los sistemas de información.
Los controles de seguridad abarcan 11 áreas generales: las administrativas (política de seguridad, clasificación de activos, seguridad en relaciones con terceros, aspectos de seguridad en recursos humanos), técnicas (seguridad física, seguridad en operaciones y comunicaciones, control de accesos; desarrollo, adquisición y mantenimiento de software), operacionales (gestión de incidencias, gestión de la continuidad), y normativas (cumplimiento de normativa y aspectos legales).
El ciclo de mejora continua del SGSI aprovecha las herramientas corporativas de acciones preventivas y correctivas, integrando el sistema aún más en el negocio.
Además del marco de gestión anteriormente descrito, Abengoa cuenta con un conjunto de aplicaciones que apoyan este entorno de control, entre las que destaca la Aplicación de Segregación de Funciones (ASF).
El sistema tiene los siguientes objetivos:
De esta forma, el sistema asegura que al asignar una persona a un puesto de trabajo, ésta no desempeñe funciones incompatibles entre si. Es decir, ASF proporciona un sistema eficaz y eficiente de gestión de usuarios y accesos en la compañía.
Durante el año 2009 se han producido avances significativos en el proceso de implantación del nuevo ERP (SAP), como son:
El calendario de implantación del nuevo ERP en el grupo es el siguiente: