Noviembre 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm.

32

Auditoría Interna y las Tecnologías de la Información (TI)

 2014 – 2016
ÍNDICE PÁGINA
C.P.C. Jorge Alberto Téllez Guillén
Presidente

C.P.C. Ricardo Paullada Nevárez I. Introducción 3

Vicepresidente de Desarrollo y Capacitación
Profesional
II. Objetivos de Auditoría a TI 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo
III. Auditoría a Procesos de TI 4
Comisión de Desarrollo SE Auditoría Interna – Sur
IV. Conclusión 9
Presidente
C.P.C. Agustín Francisco Albarrán Carranza Sistema Modelo de Riesgos — Ejemplo
Vicepresidente Riesgos de TI 10
C.P.C. Adolfo Ramírez Fernández del Castillo

Secretario
C.P. Salvador Cruz Hernández

Integrantes

C.P. Juan Fernando Calvillo Armendariz

C.P. Gerardo Díaz Valdez
C.P.C. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
L.A.F. Adolfo Tanda Aguayo
C.P.C. Fernando Pérez Mendoza
L.C.I. Israel Pichardo Camargo
C.P. Arturo Salvador Reyes Figueroa
C.P. Antonio Salas Hernández
C.P. Omar Cruz Fuentes
C.P. Miguel Ángel Castillo Bautista
C.P. Antonio Riverón Sarmiento

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría

Interna - Sur del Colegio, año III, núm. 32, noviembre de
2015. Boletín Informativo edición e impresión por el
Colegio de Contadores Públicos de México, A.C.
Responsables de la Edición: Alejandra Mendoza
Espinosa, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola
González. Diseño: Adriana Huescas Hernández.
Bosque de Tabachines Núm. 44, Fracc. Bosques de las
Lomas, Deleg. Miguel Hidalgo 11700. El contenido de
los artículos firmados es responsabilidad del autor;
prohibida la reproducción total o parcial, sin previa
autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

2
 I. Introducción

Actualmente, todas las empresas, sin importar su tamaño y las entidades en que se
dividen por pequeñas que sean, requieren el uso de las tecnologías de la información. El
sistema de control interno, la informática y las telecomunicaciones constituyen una
estructura de cuya solidez dependen la administración eficaz de los riesgos y la
continuidad en la vida de la empresa.

El escenario antes descrito plantea retos y oportunidades importantes para la Auditoría

Interna, pues las expectativas de las empresas sobre las tecnologías de la información
se identifican con la prevención de riesgos, el logro de los objetivos institucionales, la
generación de información para toma de decisiones correcta y oportuna, la optimización
de las operaciones de la empresa y el cumplimiento del marco legal en todas sus
vertientes.

En su Declaración sobre las responsabilidades de la Auditoría Interna, emitida en junio

de 2014, esta Comisión destacó que:

Auditoría Interna debe contribuir para el logro de los objetivos de la entidad, mediante
el valor de sus recomendaciones en materia de prevención de riesgos inherentes,
eficiencia y eficacia de las operaciones, optimización de recursos materiales y
financieros de la organización, así como respecto a la confiabilidad de la información
operativa y financiera.

En el campo de la tecnología de información las contingencias son numerosas;

amenazan las instalaciones físicas, los equipos de cómputo, la continuidad del servicio y
la integridad de los archivos; sus consecuencias pueden ser devastadoras e impactar
significativamente la continuidad de la vida de la empresa.

Auditoría Interna debe adoptar una actitud conservadora respecto a las contingencias;
asumir que ocurrirán en cualquier momento y cerciorarse de que la empresa está
preparada para enfrentarlas mediante un plan que contemple todas las amenazas
posibles.

Este documento pretende comentar la actuación del auditor interno sobre la evaluación
de procesos, riesgos y controles de TI, y no incluye las herramientas en que el auditor
interno se basa para el desarrollo de su Plan de Auditoría.

De acuerdo con lo anterior, a fin de cumplir plenamente con sus responsabilidades, la

Auditoría Interna debe incluir en sus funciones y planes de trabajo las tecnologías de la
información de la empresa.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

3
 II. Objetivos de Auditoría a TI

Auditoría Interna debe evaluar que los riesgos de TI han sido oportunamente identificados
y están administrándose a niveles aceptables, a fin de evitar eventos adversos a las
operaciones de la empresa, entre otros: seguridad física y lógica de las tecnologías de la
información, continuidad de negocio, reputación de la empresa, pérdida de confianza por
parte de los clientes, así como sanciones por parte de las autoridades; además debe
evaluar la confiabilidad de la información que contienen los archivos o bases de datos,
cerciorándose de que éstos se mantengan libres de modificaciones no autorizadas.

Es necesario destacar que Auditoría Interna debe participar bajo un rol de asesoría en el
desarrollo de los sistemas automatizados, evaluando los riesgos y recomendando
mecanismos de control que contribuyan al logro de los objetivos planteados.

III. Auditoría a Procesos de TI

Para estar en posibilidad de realizar sus evaluaciones de procesos de gobierno, riesgo y

control, Auditoría Interna debe considerar la “arquitectura de TI”, la cual se basa en la
infraestructura y comunicación entre los sistemas del negocio. Ante la falta de una
definición formal de dicha arquitectura, será necesario identificar y relacionar información
sobre la actividad del negocio, volumen de transacciones operativas y financieras,
políticas y procedimientos, tipos de equipo y aplicaciones de sistema utilizados, entre
otros factores.

Al definir el tipo y alcance de sus pruebas, Auditoría Interna debe considerar la clase de
controles a evaluar; los cuales pueden ser controles generales, que incluyen controles de
administración de recursos, administración de usuarios, seguridad lógica y física,
respaldo y recuperación y continuidad del negocio, entre otros; así como los controles
relativos a las aplicaciones de sistemas, que incorporan actividades que aseguran el
correcto ingreso de información, su procesamiento y salida.

En el Plan de Auditoría Interna se deben incluir los procesos de TI con riesgos relevantes,
contemplando su actualización al surgir nuevos riesgos (riesgos emergentes), con lo cual
deberán reevaluarse las prioridades del Plan.

Con el fin de realizar sus evaluaciones de una manera eficiente, Auditoría Interna puede
tomar como referencia lo ya definido por la ISACA (Information Systems Audit and Control
Association), en el modelo COBIT 5 (Control Objectives for Information and related
Technology). Dicho modelo se muestra en la siguiente cadena de procesos de Gobierno
de TI Empresarial:

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

4
 Evaluar, Orientar y Supervisar

Construir, Entregar, dar Supervisar,

Alinear, Planificar y
Adquirir e Servicio y Evaluar y
Organizar
Implementar Soporte Valorar

Evaluar, Orientar y Supervisar (Proceso de Gobierno de TI)

Este proceso considera principalmente lo siguiente:

 El establecimiento y mantenimiento del marco de Gobierno de TI

 La estrategia de beneficios
 La optimización del riesgo
 La optimización de los recursos
 La transparencia hacia las partes interesadas

Procesos para la Gestión de TI

1. Alinear, Planificar y Organizar

TI es un área de servicio que contribuye con las estrategias del negocio y con el curso de
las operaciones para el éxito de la empresa, proporcionando de manera oportuna y
confiable información con el perfil, características, contenidos y detalles que esperan los
usuarios.

Auditoría Interna debe cerciorarse de que el área de TI es administrada y controlada de

forma eficiente. Esto implica una estructura para optimizar los recursos humanos y
materiales que le han sido asignados, así como la existencia de políticas, normas,
procedimientos y métodos de trabajo claramente descritos, cuyos contenidos cumplan
con la estructura de los sistemas de control interno establecidos por el gobierno
corporativo para todas las áreas de la empresa.

Un factor importante para el éxito del proceso de TI, que debe ser corroborado por
Auditoría Interna, es el conjunto de mandatos por escrito que definen su obligación de
servir proactivamente a todas las áreas de la empresa, cuya gestión depende del
procesamiento electrónico de los datos, desde luego, adaptándose a las circunstancias

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

5
 y asignando prioridades de acuerdo con las oportunidades de negocios, los riesgos
implícitos y los recursos tecnológicos disponibles.

El objetivo de analizar este proceso es evaluar si las actividades y los objetivos de la TI

están correctamente alineados con las metas, propósitos y estrategias del negocio. Este
proceso apoya en la comprensión de la manera en que la Dirección General pretende
utilizar la TI para alcanzar sus metas.

Las actividades típicas que incluye este proceso son administrar o gestionar:

 El modelo de gestión de TI
 La estrategia
 La arquitectura empresarial
 La innovación
 El portafolio
 El presupuesto y costos
 Los recursos humanos
 Las relaciones
 Los acuerdos de servicio
 A los proveedores
 La calidad
 Los riesgos
 La seguridad

2. Construir, Adquirir e Implementar

Para cerciorarse de que el hardware y los sistemas adquiridos o desarrollados

internamente cumplan con las necesidades de la empresa y las expectativas de los
usuarios, es necesario que dichos sistemas sean auditables, por lo que Auditoría Interna
debe asumir una postura más activa en los procesos involucrados.

En estos casos, Auditoría Interna debe también involucrarse señalando estándares

básicos de control, antes del inicio de los trabajos de diseño y construcción. El
seguimiento de Auditoría Interna sobre la implantación de los estándares básicos de
control interno comienza una vez terminado el diseño lógico de los aplicativos y se
extiende a lo largo del diseño lógico, la construcción e implementación del sistema.

Tanto para los aplicativos actuales como para los nuevos sistemas, Auditoría Interna
debe establecer los requerimientos de control para asegurar su auditabilidad. Estos
requerimientos deben ser contemplados dentro del ciclo de vida de desarrollo de los
sistemas. Para asegurar su inclusión, los nuevos sistemas y los aplicativos actualizados
no debieran liberarse sin la anuencia de Auditoría Interna.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

6
 El objetivo de Auditoría Interna es comprender y evaluar el proceso de adquisición,
implementación y mantenimiento de las soluciones de TI (incluyendo su desarrollo y/o
compra), la implementación y mantenimiento de los sistemas de TI y el software de
aplicación que soporta la estrategia, metas y objetivos de la empresa. Las actividades
que incluye este proceso son gestionar y administrar:

 Los programas y proyectos

 La definición de requerimientos
 Las soluciones, identificación y construcción
 La disponibilidad y capacidad
 El cambio organizacional
 Los cambios a las soluciones de TI
 La aceptación y transición de los cambios
 El conocimiento
 Los activos
 La configuración

3. Entregar, dar Servicio y Soporte

Las operaciones del centro de cómputo son un segmento crítico para el Plan de Auditoría
Interna, puesto que tienen el propósito de asegurar la solidez, el control de las
transacciones y el mantenimiento diario del ambiente computacional. Por ello, los
procedimientos de auditoría en informática deben dirigirse a corroborar la autenticidad y
consistencia en el cumplimiento de los controles establecidos en el proceso.

Es importante destacar que para anticiparse a las necesidades de los cambios normales
en la plataforma de cómputo y asegurar que los cambios bajo crisis o urgentes se logren
con éxito y de manera sólida y controlada, Auditoría Interna debe cerciorarse de la
existencia de normas de comunicación institucional entre el centro de cómputo y el área
de desarrollo y mantenimiento de sistemas.

La empresa debe contar con un plan para la actualización de sus aplicativos cuyo
cronograma incluya los estándares básicos señalados por Auditoría Interna, a fin de que
participe en el seguimiento de implantación hasta que los sistemas sean liberados, una
vez concluidos los paralelos respectivos.

Los estándares básicos de control deben ser incorporados a la metodología para el

mantenimiento o cambios de los aplicativos vigentes. Esto implica que previamente
Auditoría Interna debe examinar los sistemas actuales para identificar áreas de
oportunidad y brechas de control, cuya corrección o mitigación será lograda gracias a los

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

7
 estándares ya mencionados. Es importante destacar que cada operación debe estar
plenamente documentada para asegurar que la actualización sea total.

El objetivo de Auditoría Interna es comprender y evaluar el proceso de entrega y soporte

como aquel en el cual recaen las funciones operativas del área de sistemas; identificar y
comprender riesgos y los controles relacionados; así como los mecanismos para
garantizar la continuidad de los servicios de TI, incluyendo los escenarios de contingencia
y el seguimiento que se realiza a los procesos y puntos de control dentro del entorno de
sistemas.

Las actividades que incluye este proceso son la administración de:

 La operación de TI
 Los requerimientos de servicio e incidentes
 Los problemas
 La continuidad de negocio
 La seguridad física y lógica
 Los controles de TI en los procesos del negocio

4. Supervisar, Evaluar y Valorar

Auditoría Interna debe cerciorarse de que existe una estructura de seguridad física para
salvaguardar la integridad del centro de cómputo, así como de las personas, el hardware,
el software y la información que se encuentran en su interior. Dicha estructura de
seguridad implica los siguientes mecanismos de control:

 De acceso
 Ambiental
 Para enfrentar desastres naturales

Como en toda estructura de control para prevenir siniestros, los recursos humanos son
el factor más importante; por ello la empresa debe trabajar en forma permanente para
construir y mantener una cultura de seguridad entre todo su personal.

Los mecanismos para prevenir, disuadir y enfrentar los siniestros y contingencias que
amenazan el área de tecnología de información deben ser objeto de simulacros
permanentes, no programados, totalmente sorpresivos, que permitan corroborar su
eficacia y el conocimiento absoluto por parte del personal de la empresa.

La existencia de sistemas de monitoreo ayuda a las áreas administrativas de TI a vigilar

la disponibilidad de los servicios que apoyan los procesos críticos de la organización. El
producto de estas mediciones proporciona también información sobre el uso de los

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

8
 recursos computacionales que puede ser usada para anticipar saturación de los mismos
o mejora del diseño de los sistemas.

Por su parte, Auditoría Interna deberá considerar las mejores prácticas internacionales,
previo conocimiento del Comité de Auditoría, el apoyo de la Dirección General y la
intervención del Director responsable de TI, siempre y cuando no invalide los objetivos
de auditoría, a fin de evitar daños auténticos sobre los equipos o la integridad de la
información.

Básicamente este proceso se refiere a la evaluación que se realiza como auditores a los
procedimientos establecidos para atender los puntos de mejora propuestos en alguna
auditoría realizada, ya sea por el grupo de Auditoría Interna, o bien por el grupo de
auditores externos. Las actividades son monitorear, evaluar y medir:

 El desempeño y la conformidad respecto al nivel del servicio

 El sistema de control interno
 El cumplimiento con requerimientos externos

IV. Conclusión

Con base en lo anterior, el área de Auditoría Interna, como se describe, deberá incluir
dentro de su Plan de Auditoría la revisión de los sistemas de tecnología de información
(TI). Dependiendo de la empresa en cuestión, se deberán considerar los riesgos de TI
para efectos de evaluar qué tanto afectan en los objetivos de la empresa y por ende, qué
tan dependiente de las tecnologías de información es o, en su caso, qué aplicaciones de
TI son más riesgosas considerando los objetivos de la empresa y la continuidad de las
operaciones.

A continuación presentamos un Modelo de Riesgos de las áreas de la TI en que la

empresa deberá analizar considerar nuestros enunciados de referencia del sistema de
control de TI (COBIT).

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015

9
 Sistema Modelo de Riesgos – Ejemplo Riesgos de TI
• Misión
Estrategia de negocios
Gobierno Corporativo
Legal y Regulatorio
Tendencias de Negocio
• Planeación de TI
Arquitectura
• Planeación de tecnología
• Tecnologías emergentes
• Estándares
• Administración, diseño y
arquitectura
• Software
• Infraestructura
• Seguridad
• Selección de proveedores
• Integración y consolidación
• Administración de la
configuración de seguridad
- Aplicaciones
- Sistemas operativos
- Bases de datos
- Redes
- Hardware y herramientas
• Evaluación del
impacto del negocio
• Sistemas • Estructura de
operativos BD
Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Noviembre de 2015
• Alineación del negocio y TI
Planeación y estrategia de TI
• Fuentes estratégicas
Administración de
proyectos
• Ciclo de vida para la
administración de
proyectos
• Desarrollo de sistemas
• Revisión del riesgo de
proyecto
• Revisión de post-
implementación
• Administración de
identidad y accesos
- Prevención de usuarios
- Administración de accesos
- Segregación de actividades
- Acceso remoto
- Acceso tripartita
• Planeación de
recuperación de desastres
• Redes (Internas y
perimetrales)
Gobierno de TI
• Administración del • Políticas
• Administración del portafolio
riesgo de TI
• Administración de • Controles y
• Organización de TI • Recursos humanos evaluación del riesgo métricas
Procesos de TI
Aplicaciones y Operaciones Soporte
Bases de datos • Procesamiento de datos
• Administración de
• Administración del • Administración de problemas
cambio (Aplicaciones, aplicaciones y bases de
• SLA’s
bases de datos e datos
infraestructura) • Administración de
servicios de terceros
• Respaldo y retención de
• Administración de
parches
datos • Asistencia usuario final
• Controles de • Licenciamiento de
• configuración
Integridad y calidad de software
datos
• Integridad y validación
de interfaces
Seguridad
• Administración de • Estrategia y cumplimiento de
vulnerabilidades seguridad
- Detección de intrusos / respuesta • Entrenamiento de seguridad a
- Prevención de intrusos usuarios
- Seguridad de penetración y • Seguridad física
chequeo de vulnerabilidad
• Protección y privacidad de
- Detección/prevención de virus datos
Recuperación de desastres
• Pruebas de recuperación • Actualización y
• Planes de
de desastres mantenimiento al DRP
administración de crisis
[43]
Infraestructura www.imai.org.mx/seminarios
• Herramientas (e-mail,
• Hardware • Ubicaciones
EDI, Messagin,etc.)
10