Auditoria de TI

Introducción a la Auditoría de TI

Este artículo forma parte del libro en portugués Qual a importância do GRC? https://fortinux.com/livro_grc/ publicado en 2018 y es una breve introducción a la auditoría de TI. Finalmente he podido traducirlo al español y he aprovechado para actualizar las normas ISO que se comentan en el mismo.

¿Qué son las auditorías de TI/SI?

Según el Instituto de Auditores Internos (IIA – The Institute of Internal Auditors) (1), son diversos los tipos de auditoría que se pueden realizar; una auditoría puede ser financiera, operacional (SOC 1, 2, e 3), integrada (SAS-94), de conformidad (compliance), administrativa, y de sistemas de información; siendo este último el objetivo de este texto.

Auditoría de Sistemas de Información

La auditoría de TI (Tecnología de la Información) o SI (Sistemas de Información) consiste en verificar si los sistemas de información de las organizaciones está en conformidad con las políticas, normas y procedimientos establecidos por los respectivos consejos directivos.

Para Manotti (2010) la auditoría de sistemas de información es:
La revisión y evaluación de los controles, desarrollo de sistemas, procedimientos de TI, infraestructura, operación, desempeño y seguridad de la información que envuelve el procesamiento de las informaciones críticas para la toma de decisiones.

ISACA® (Information Systems Audit and Control Association) por otro lado, establece que el auditor debe desempeñar su trabajo siguiendo las buenas prácticas profesionales, y las normas y estándares internacionales como los elaborados por la propia organización (2), o las organizaciones PCAOB (Public Company Accounting Oversight Board) (3), IIA (4), y/o AICPA (American Institute of Certified Public Accountants) (5).

De acuerdo con el código de ética profesional de ISACA® (6), el auditor debe poseer conocimiento técnico y capacidad profesional adecuada para realizar las tareas necesarias de forma ética e independiente, manteniendo la privacidad y confidencialidad de las informaciones obtenidas.

Gobernanza de TI, riesgos y control

Un aspecto crítico de la auditoría es la evaluación del proceso de gobernanza de la organización (políticas y controles) y del proceso de gestión de riesgos (RM – Risk Management o ERM – Enterprise Risk Management) para identificar los objetivos de control y evaluar su efectividad.

ISACA® manifiesta que debe ser utilizado en todo momento, tanto en el proceso de decisión en relación a la selección de proyectos a ser desarrollados, cuanto en el soporte operacional de las actividades de negocios.

El proceso de Auditoría de Sistemas de Información

Según Cannon et al. (2016) el proceso de auditoría está basado en una serie de procedimientos generalmente aceptados de auditoría.

Una auditoría consiste en definir el alcance y los objetivos de la misma, la obtención de evidencias (sampling plan), el test de evidencia, comparar los resultados con los criterios previamente establecidos en la auditoría, y finalmente, emitir el parecer del auditor en los informes de auditoría.

Cuando el objeto de la auditoría está definido, se crea el plan de auditoría que presentará el objetivo establecido, objetivos y procedimientos necesarios para la obtención de la evidencia.

Esta sería la descripción general del trabajo a ser realizado por el auditor o por el equipo de auditores conteniendo las informaciones anteriormente descriptas.

Una parte importante del plano de auditoría es el programa de auditoría, que generalmente documenta los procedimientos a ser realizados para la verificación y pruebas o tests de efectividad de los controles.

El marco ITAF™

Desarrollado por ISACA®, el marco ITAF™ (IT Assurance Framework™) provee estándares obligatorios con informaciones y guías para la operación de las práctica de auditoría de TI.

El framework también ofrece herramientas, técnicas y modelos para la realización de los procesos del programa de auditoría.

El auditor certificado CISA® debe seguir los procedimientos establecidos por la asociación ISACA® en el marco ITAF™ para elaborar el plan de auditoría (7).

Dividido en tres grandes fases:

  • Planeamiento,
  • trabajo de campo/documentación, y
  • informes/seguimiento.

Cada una de ellas tendrá procedimientos específicos para alcanzar los resultados esperados.

En la fase de planeamiento por ejemplo, se identifica la área a ser auditada, el objeto de la auditoría, el alcance de la misma, se evalúan los riesgos, y se determinan los procedimientos de la auditoría y pasos para la colecta de los datos.

Normas y técnicas de auditoría de TI

Dependiendo del alcance u objeto de la auditoría de SI, se pueden utilizar normas y framewoks internacionalmente conocidos como:

  • ISO 9000:2015 Quality management systems Fundamentals and vocabulary
  • ISO 9001:2015 Quality management systems
  • ISO 9004:2018 Quality management Quality of an organization – Guidance to achieve sustained success
  • ISO 15489-1:2016 Information and documentation — Records management — Part 1: Concepts and principles
  • ISO/IEC 20000-1:2018 Information technology — Service management — Part 1: Service management system requirements
  • ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems — Overview and vocabulary
  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements
  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls
  • ISO 31000:2018 Risk management – Guidelines
  • IEC 31010:2019 Risk management – Risk assessment techniques
  • ISO Guide 73:2009 Risk management Vocabulary
  • COSO Gestión de riesgos corporativos – Estructura Integrada
  • NIST Cybersecurity Framework Audit Program
  • CMMI Calidad del software (capability maturity model integration)

En cuanto a las técnicas generales de auditoría, las más populares son el examen físico, inspección (realización de entrevistas o solicitación de documentos), examen de documentos originales, investigación minuciosa, consultas (por contacto directo, telefónico o vía postal), muestras (estadística o subjetiva), y observación. (LIMA et al. 2003)

Para las auditorías de SI, Imoniana (2005) lista las siguientes técnicas: datos de pruebas (test data), Integrated Test Facility (ITF), simulación paralela, lógica de auditoría embutida en los sistemas, rastreamento y mapeamiento, y análisis de la lógica de programación.

Herramientas para la auditorías de TI

En el mercado informático se pueden encontrar numerosos programas que sirven para ayudar al auditor en la gestión de los procesos de auditoría y en el desempeño de sus actividades, como realizar pruebas de controles generales, pruebas de transacciones, testes analíticos y substantivos, y para generar muestras.

Las herramientas de extracción y análisis de datos – CAATs (Computer Assisted Audit Techniques) sirven para extraer datos de los sistemas de información.

Las CAATs pueden ser herramientas genéricas de auditoria, estar especialmente desarrolladas para determinadas tareas a ser realizadas, o pueden ser programas utilitarios genéricos que se pueden adquirir en el mercado.

Dentro del software genérico para auditoría encontramos el programa ACL (Audit Command Language) (8), IDEA (Interactive Data Extraction & Analysis) (9), AAF (Audit Automation Facilities) (10), Galileo (11) y Pentana (12), entre otros.

De los programas utilitarios, se pueden mencionar por ejemplo Calc (13) de LibreOffice.org, MariaDB (14) o MySQL (15) para la manipulación de datos.

Enlaces

(1) IIA. The Institute of Internal Auditors. (30 de Julio de 2016). https://theiia.org.
(2) ISACA. ITAF®: A Professional Practices Framework for IS Audit/Assurance, 3rd Edition. (30 de Julio de 2016). http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/Pages/default.aspx.
(3) PCAOB. Standards. (30 de Julio de 2016). http://pcaobus.org/Standards/Auditing/Pages/AS2101.aspx.
(4) IIA. Standards. (30 de Julio de 2016). https://na.theiia.org/standards-guidance/Public%20Documents/IPPF%202013%20English.pdf.
(5) AICPA. Standards. (30 de Julio de 2016). http://www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-C-00300.pdf.
(6) ISACA. Code of Professional Ethics. (30 de Julio de 2016). http://www.isaca.org/Certification/Code-of-Professional-Ethics/Pages/default.aspx.
(7) ISACA. Information Systems Auditing: Tools and Techniques. (30 de Julio de 2016). http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/information-systems-auditing-tools-and-techniques.aspx.
(8) ACL. Página principal. (22 de Setiembre de 2017). http://www.acl.com.
(9) IDEA. Página principal. (22 de Setiembre de 2017). http://www.casewareanalytics.com.
(10) AAF. Página principal. (22 de Setiembre de 2017). http://aaf.wj.com.br.
(11) GALILEO. Página principal. (22 de Setiembre de 2017). http://magiquegalileo.com/.
(12) PENTANA. Página principal. (22 de Setiembre de 2017). http://www.ideagen.com/pentana.
(13) LIBREOFFICE.ORG. Página principal. (22 de Setiembre de 2017). http://www.libreoffice.org/.
(14) MARIADB. Página principal. (22 de Setiembre de 2017). https://mariadb.org/.
(15) MYSQL. Página principal.(22 de Setiembre de 2017). https://www.mysql.com/.

Imagen de portada: Pixabay.

Si buscas un formador para realizar este curso u otra actividad formativa (webinar, workshops, bootcamps, etc.) en tu organización, me puedes ubicar a través de la página de contacto. Muchas gracias.

Si te ha gustado el artículo puedes ayudarme haciendo una donación con criptomonedas. Gracias!!!