Professional Documents
Culture Documents
Auditoria Interna y Las Tecnologias de La Informacion TI
Auditoria Interna y Las Tecnologias de La Informacion TI
32
Secretario
C.P. Salvador Cruz Hernández
Integrantes
Actualmente, todas las empresas, sin importar su tamaño y las entidades en que se
dividen por pequeñas que sean, requieren el uso de las tecnologías de la información. El
sistema de control interno, la informática y las telecomunicaciones constituyen una
estructura de cuya solidez dependen la administración eficaz de los riesgos y la
continuidad en la vida de la empresa.
Auditoría Interna debe contribuir para el logro de los objetivos de la entidad, mediante
el valor de sus recomendaciones en materia de prevención de riesgos inherentes,
eficiencia y eficacia de las operaciones, optimización de recursos materiales y
financieros de la organización, así como respecto a la confiabilidad de la información
operativa y financiera.
Auditoría Interna debe adoptar una actitud conservadora respecto a las contingencias;
asumir que ocurrirán en cualquier momento y cerciorarse de que la empresa está
preparada para enfrentarlas mediante un plan que contemple todas las amenazas
posibles.
Este documento pretende comentar la actuación del auditor interno sobre la evaluación
de procesos, riesgos y controles de TI, y no incluye las herramientas en que el auditor
interno se basa para el desarrollo de su Plan de Auditoría.
Auditoría Interna debe evaluar que los riesgos de TI han sido oportunamente identificados
y están administrándose a niveles aceptables, a fin de evitar eventos adversos a las
operaciones de la empresa, entre otros: seguridad física y lógica de las tecnologías de la
información, continuidad de negocio, reputación de la empresa, pérdida de confianza por
parte de los clientes, así como sanciones por parte de las autoridades; además debe
evaluar la confiabilidad de la información que contienen los archivos o bases de datos,
cerciorándose de que éstos se mantengan libres de modificaciones no autorizadas.
Es necesario destacar que Auditoría Interna debe participar bajo un rol de asesoría en el
desarrollo de los sistemas automatizados, evaluando los riesgos y recomendando
mecanismos de control que contribuyan al logro de los objetivos planteados.
Al definir el tipo y alcance de sus pruebas, Auditoría Interna debe considerar la clase de
controles a evaluar; los cuales pueden ser controles generales, que incluyen controles de
administración de recursos, administración de usuarios, seguridad lógica y física,
respaldo y recuperación y continuidad del negocio, entre otros; así como los controles
relativos a las aplicaciones de sistemas, que incorporan actividades que aseguran el
correcto ingreso de información, su procesamiento y salida.
En el Plan de Auditoría Interna se deben incluir los procesos de TI con riesgos relevantes,
contemplando su actualización al surgir nuevos riesgos (riesgos emergentes), con lo cual
deberán reevaluarse las prioridades del Plan.
Con el fin de realizar sus evaluaciones de una manera eficiente, Auditoría Interna puede
tomar como referencia lo ya definido por la ISACA (Information Systems Audit and Control
Association), en el modelo COBIT 5 (Control Objectives for Information and related
Technology). Dicho modelo se muestra en la siguiente cadena de procesos de Gobierno
de TI Empresarial:
TI es un área de servicio que contribuye con las estrategias del negocio y con el curso de
las operaciones para el éxito de la empresa, proporcionando de manera oportuna y
confiable información con el perfil, características, contenidos y detalles que esperan los
usuarios.
Un factor importante para el éxito del proceso de TI, que debe ser corroborado por
Auditoría Interna, es el conjunto de mandatos por escrito que definen su obligación de
servir proactivamente a todas las áreas de la empresa, cuya gestión depende del
procesamiento electrónico de los datos, desde luego, adaptándose a las circunstancias
Las actividades típicas que incluye este proceso son administrar o gestionar:
El modelo de gestión de TI
La estrategia
La arquitectura empresarial
La innovación
El portafolio
El presupuesto y costos
Los recursos humanos
Las relaciones
Los acuerdos de servicio
A los proveedores
La calidad
Los riesgos
La seguridad
Tanto para los aplicativos actuales como para los nuevos sistemas, Auditoría Interna
debe establecer los requerimientos de control para asegurar su auditabilidad. Estos
requerimientos deben ser contemplados dentro del ciclo de vida de desarrollo de los
sistemas. Para asegurar su inclusión, los nuevos sistemas y los aplicativos actualizados
no debieran liberarse sin la anuencia de Auditoría Interna.
Las operaciones del centro de cómputo son un segmento crítico para el Plan de Auditoría
Interna, puesto que tienen el propósito de asegurar la solidez, el control de las
transacciones y el mantenimiento diario del ambiente computacional. Por ello, los
procedimientos de auditoría en informática deben dirigirse a corroborar la autenticidad y
consistencia en el cumplimiento de los controles establecidos en el proceso.
Es importante destacar que para anticiparse a las necesidades de los cambios normales
en la plataforma de cómputo y asegurar que los cambios bajo crisis o urgentes se logren
con éxito y de manera sólida y controlada, Auditoría Interna debe cerciorarse de la
existencia de normas de comunicación institucional entre el centro de cómputo y el área
de desarrollo y mantenimiento de sistemas.
La empresa debe contar con un plan para la actualización de sus aplicativos cuyo
cronograma incluya los estándares básicos señalados por Auditoría Interna, a fin de que
participe en el seguimiento de implantación hasta que los sistemas sean liberados, una
vez concluidos los paralelos respectivos.
La operación de TI
Los requerimientos de servicio e incidentes
Los problemas
La continuidad de negocio
La seguridad física y lógica
Los controles de TI en los procesos del negocio
Auditoría Interna debe cerciorarse de que existe una estructura de seguridad física para
salvaguardar la integridad del centro de cómputo, así como de las personas, el hardware,
el software y la información que se encuentran en su interior. Dicha estructura de
seguridad implica los siguientes mecanismos de control:
De acceso
Ambiental
Para enfrentar desastres naturales
Como en toda estructura de control para prevenir siniestros, los recursos humanos son
el factor más importante; por ello la empresa debe trabajar en forma permanente para
construir y mantener una cultura de seguridad entre todo su personal.
Los mecanismos para prevenir, disuadir y enfrentar los siniestros y contingencias que
amenazan el área de tecnología de información deben ser objeto de simulacros
permanentes, no programados, totalmente sorpresivos, que permitan corroborar su
eficacia y el conocimiento absoluto por parte del personal de la empresa.
Por su parte, Auditoría Interna deberá considerar las mejores prácticas internacionales,
previo conocimiento del Comité de Auditoría, el apoyo de la Dirección General y la
intervención del Director responsable de TI, siempre y cuando no invalide los objetivos
de auditoría, a fin de evitar daños auténticos sobre los equipos o la integridad de la
información.
Básicamente este proceso se refiere a la evaluación que se realiza como auditores a los
procedimientos establecidos para atender los puntos de mejora propuestos en alguna
auditoría realizada, ya sea por el grupo de Auditoría Interna, o bien por el grupo de
auditores externos. Las actividades son monitorear, evaluar y medir:
IV. Conclusión
Con base en lo anterior, el área de Auditoría Interna, como se describe, deberá incluir
dentro de su Plan de Auditoría la revisión de los sistemas de tecnología de información
(TI). Dependiendo de la empresa en cuestión, se deberán considerar los riesgos de TI
para efectos de evaluar qué tanto afectan en los objetivos de la empresa y por ende, qué
tan dependiente de las tecnologías de información es o, en su caso, qué aplicaciones de
TI son más riesgosas considerando los objetivos de la empresa y la continuidad de las
operaciones.
Procesos de TI
Administración de Aplicaciones y Operaciones Soporte
Arquitectura
proyectos
• Planeación de tecnología Bases de datos • Procesamiento de datos
• Ciclo de vida para la
• Administración de
• Tecnologías emergentes administración de • Administración del • Administración de problemas
proyectos cambio (Aplicaciones, aplicaciones y bases de
• Estándares • SLA’s
bases de datos e datos
• Desarrollo de sistemas
• Administración, diseño y infraestructura) • Administración de
arquitectura servicios de terceros
• Revisión del riesgo de • Respaldo y retención de
• Software • Administración de
proyecto
parches
datos • Asistencia usuario final
• Infraestructura
• Seguridad • Revisión de post- • Controles de • Licenciamiento de
implementación • configuración
Integridad y calidad de software
• Selección de proveedores
datos
• Administración de la • Administración de
Seguridad
• Administración de • Estrategia y cumplimiento de
configuración de seguridad identidad y accesos
vulnerabilidades seguridad
- Aplicaciones - Prevención de usuarios
- Detección de intrusos / respuesta • Entrenamiento de seguridad a
- Sistemas operativos - Administración de accesos
- Prevención de intrusos usuarios
- Bases de datos - Segregación de actividades - Seguridad de penetración y • Seguridad física
- Redes - Acceso remoto chequeo de vulnerabilidad
• Protección y privacidad de
- Hardware y herramientas - Acceso tripartita - Detección/prevención de virus datos
Recuperación de desastres
• Evaluación del • Planeación de • Pruebas de recuperación • Actualización y
recuperación de desastres • Planes de
impacto del negocio de desastres mantenimiento al DRP
administración de crisis
[43]
Infraestructura www.imai.org.mx/seminarios
• Sistemas • Estructura de • Redes (Internas y • Herramientas (e-mail,
operativos BD perimetrales) • Hardware • Ubicaciones
EDI, Messagin,etc.)