Está en la página 1de 29

A U D I T O R A

I N T E R N A

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Cobertura del Riesgo


Tecnolgico: hacia una

Auditora Interna
de TI Integrada

A U D I T O R A

I N T E R N A

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Cobertura del Riesgo


Tecnolgico: hacia una

Auditora Interna
de TI Integrada
MIEMBROS DE LA COMISIN TCNICA
COORDINACIN: Marina Tourio Troitio, CIA, CRMA, CISA.
MARINA TOURIO & ASOCIADOS, S.L.

Anxo Cebro Barreiro, CISA. MAPFRE


Andrs de Benito Orbaanos, CIA, CISA. LOGISTA GROUP
Juan Jos Huerta Daz, CIA, CISA. MUTUA MADRILEA
Ricardo Martnez Martnez, CISA. DELOITTE
Ramiro Mirones Gmez, CISA. EY
Marc Munta Vergs, CISA. MUTUA UNIVERSAL
Jos Manuel Vidal Formoso, CISA. BBVA

AUDITORA INTERNA

Presentamos un nuevo documento de LA FBRICA DE PENSAMIENTO realizado


ntegramente por una Comisin Tcnica constituida por socios expertos en el
mbito de la Auditora Interna de TI (Tecnologas de la Informacin) con una dilatada trayectoria profesional.
Este documento se ha apoyado en una encuesta realizada por el Instituto de Auditores Internos de Espaa y pone de manifiesto la importancia que ha adquirido
la cobertura de los riesgos tecnolgicos en las organizaciones y la necesidad de
contar con expertos adecuadamente formados.
La funcin de Auditora Interna de TI es clave en el apoyo a la organizacin, gobierno y control de los riesgos de TI.
Quiero agradecer una vez ms a los miembros de esta Comisin la elaboracin
de este trabajo de enorme calidad que ayudar a entender la importancia de TI
en el mundo del aseguramiento y, en concreto, de la Auditora Interna.

Jos Manuel Muries


Presidente del Instituto de Auditores Internos de Espaa

AUDITORA INTERNA

ndice
RESUMEN EJECUTIVO

06

OBJETIVOS DEL DOCUMENTO

07

SITUACIN ACTUAL DE LA COBERTURA DE RIESGOS


TECNOLGICOS EN AUDITORA INTERNA EN ESPAA

07

LOS RIESGOS TECNOLGICOS EN EL NEGOCIO

10

Definicin de riesgo tecnolgico

............................................................................. 10

Percepcin del riesgo tecnolgico ........................................................................... 11


Categoras de riesgos tecnolgicos

........................................................................ 11

Universo de Auditora Interna de TI

........................................................................ 13

INTEGRACIN DE LA COBERTURA DE TI
EN AUDITORA INTERNA

14

Objetivos de la integracin de la Auditora Interna de TI

................................. 14

Auditoras integradas vs. Auditoras puras de TI ................................................. 15


Estrategias de integracin de la Auditora Interna de TI

................................... 17

Madurez en la integracin de la Auditora Interna de TI

.................................. 17

Perfil del auditor interno de TI


Metodologa de trabajo

................................................................................. 19

............................................................................................. 20

Relacin de Auditora Interna de TI con el rea de Tecnologa

....................... 20

ENFOQUE DE LAS AUDITORAS INTERNAS DE TECNOLOGA


DE LA INFORMACIN

21

HERRAMIENTAS DE SOPORTE A LAS AUDITORAS INTERNAS


DE TECNOLOGA DE LA INFORMACIN

22

ANEXOS

26

Anexo 1. Glosario Acrnimos


Anexo 2. Bibliografa

................................................................................ 26

.................................................................................................. 28

AUDITORA INTERNA

Resumen Ejecutivo

La dependencia
respecto a la tecnologa
en la toma de
decisiones hace
imprescindible la
valoracin de los
riesgos tecnolgicos.

Las organizaciones dependen cada vez ms


de la Tecnologa de la Informacin (TI1, en
adelante), pero no todas las organizaciones
perciben ni actan de igual forma ante la urgencia de los riesgos asociados al progreso
tecnolgico. Cada vez resulta ms relevante
poder confiar tanto en la informacin almacenada en los sistemas como sustento en una
efectiva y adecuada toma de decisiones, como
en el propio funcionamiento de los sistemas
que dan soporte.
Las diferencias en la percepcin del riesgo
suelen deberse a la distinta penetracin de la
tecnologa y al diferente impacto en los negocios, o bien a que no hay una clara conciencia
sobre el impacto que estos riesgos provocan.
Segn una encuesta del Instituto de Auditores
Internos de Espaa, el 31% de las organizaciones no cuentan con un rea / unidad de

Auditora Interna de TI especfica dentro de la


Direccin de Auditora Interna; el 64% tienen
slo uno o ningn auditor interno de TI
en su organizacin, y slo el 15% tiene previsto incorporar algn auditor interno de TI
en los prximos aos.
La encuesta de Instituto de Auditores Internos
de Espaa identifica los diferentes enfoques
de la Auditora Interna de TI: desde su integracin total en la Direccin de Auditora Interna, hasta su total externalizacin, pasando
por un sistema mixto. La encuesta tambin
permite observar los diferentes grados de madurez de la funcin de Auditora Interna de TI:
desde su enfoque totalmente aislado, hasta
las auditoras integradas, que combinan los
recursos de la auditora del negocio con los
propios de la Auditora Interna de TI.

1. Esta acepcin es usada en este documento tambin como equivalente a sistemas de informacin. Ambas expresiones son utilizadas habitualmente como sinnimos en distintos documentos, normas, legislacin, etc.

AUDITORA INTERNA

Objetivos del Documento


Este documento proporciona a la Direccin de
Auditora Interna unas directrices bsicas sobre Auditora Interna de TI, pero no pretende
ser una gua exhaustiva de implementacin
de la funcin. Es de mbito generalista, ya
que se abordan temas como la gestin de las
relaciones entre Auditora Interna de TI y el
rea de TI, o las herramientas que habitualmente se utilizan en esta tipologa de trabajos. Tampoco pretende sustituir a las guas y
normas oficiales para la auditora de la tecnologa de la informacin que se incluyen al final del documento, en la bibliografa.
Los objetivos del documento incluyen:
Una visin general del riesgo tecnolgico.
La exposicin del impacto que este rea de
procesos de una organizacin tiene para la

planificacin y cobertura de Auditora Interna.


Las tendencias a nivel nacional de la cobertura de TI por los Departamentos de Auditora Interna en organizaciones de distinta
dimensin y modelos de negocio diferentes.
Los aspectos ms significativos que un Departamento de Auditora Interna debera
considerar en su cobertura y planificacin, y
relacin con los clientes de TI.
Los elementos diferenciadores y anlogos
de la cobertura de Auditora Interna de TI
con respecto al resto de las tareas del rea.

Este documento
propone un esquema
para integrar la
Auditora Interna de TI
dentro de la Direccin
de Auditora Interna.

Un esquema para integrar la Auditora Interna de TI dentro de Auditora Interna, o


para evaluar el planteamiento actual, si
existe la funcin.

Situacin actual de la cobertura


de riesgos tecnolgicos en Auditora
Interna en Espaa
El Instituto de Auditores Internos de Espaa
evalu en abril de 2013, a travs de su encuesta, la madurez de la Auditora Interna de
TI en Espaa. El 44% de las respuestas corresponden a entidades financieras o de seguros;
el 41% a entidades con actividades relacionadas con bienes de consumo y distribucin, fa-

bricacin, transporte y logstica, sanidad, construccin, servicios y hostelera y turismo; y el


15% a otras actividades (tecnologa, medios,
energa y administraciones pblicas).
Los resultados de la encuesta realizada permiten observar cambios en la funcin de la
7

AUDITORA INTERNA

Auditora Interna de TI. Se ha incrementado


un 36% la participacin de Auditora Interna
de TI en la definicin, desarrollo, implantacin
y seguimiento de proyectos . En el 80% de los
casos, el plan de Auditora Interna de TI se basa en riesgos: a) en un 42% el anlisis de
riesgos es realizado de forma independiente
por Auditora Interna; b) en el 39% el anlisis
de riesgos es realizado por el negocio pero revisado por Auditora Interna y; c) en el 19%
NMERO DE AUDITORES INTERNOS DE TI EN PLANTILLA DENTRO DE
LA FUNCIN DE AUDITORA INTERNA

Entre 5 y 10

Ninguno

8%
2%

5%

Se observa la necesidad de una mayor integracin de la funcin de Auditora Interna de


TI en la realizacin de auditoras integradas
(operativas, financieras, etc.). De las organizaciones que han respondido a la encuesta, un
66% realiza menos de un 25% de auditoras
integradas.

GRADO DE EXPERIENCIA DE LOS AUDITORES INTERNOS DE TI


EN LA FUNCIN DE AUDITORA INTERNA
Ms de 15 aos

Cobertura externalizada

Entre 10 y 20

restante el anlisis de riesgos es realizado slo por el negocio o por TI.

Entre 7 y 15 aos
12%

Menos
de 3 aos

31%
15%
46%

21%

Entre 2 y 5

27%

33%

Uno

Entre 3 y 6 aos

Niveles de cobertura y presencia de Auditora Interna de TI:


- El 31% de las organizaciones no tiene
funcin de Auditora Interna de TI.
- En el 33% de los casos slo cuentan con
1 Auditor Interno de TI, y el 21% de las
organizaciones cuenta con, al menos, entre 2 y 5 Auditores Internos de TI. Slo el
5% tiene entre 10 y 20 Auditores Internos de TI. El 8% tiene totalmente subcontratada esta funcin.
- Un 15% de las organizaciones tiene planes para incrementar el nmero de auditores internos de TI en el prximo ejercicio.
8

- Un 56% no recurre a apoyo externo,


mientras que un 44% muestra algn grado de externalizacin.
La externalizacin, total o parcial, de las
actividades de Auditora Interna de TI, est
motivada:
- En el 33% de los casos por necesidades
de un alto grado de especializacin y actualizacin tecnolgica.
- En el 26% de los casos por la limitacin
de recursos.
El nivel medio de experiencia actual de los
auditores internos de TI: el 46% tienen entre 7 y 15 aos de experiencia.

AUDITORA INTERNA

La experiencia prctica y conocimientos


de los auditores internos de TI se centran:
- 84% en la Seguridad Lgica.

Al seleccionar Auditores Internos de TI, las


organizaciones buscan conocimientos en:

- 79% en Continuidad de Negocio.

- El 77% en seguridad lgica y estndares


relacionados.

- 74% desarrollo de Sistemas.

- El 56% en gobierno de TI.

- 63% ERPs.

- El 50% en procesos de negocio, anlisis


de aplicaciones informticas, normativa
relacionada con TI.

- 59% en Seguridad Fsica y Explotacin de


Sistemas.
- 47% Comunicaciones, Externalizacin de
TI, Normativa relacionada con TI.
En cuanto a su procedencia:
- El 45% proceden de la misma organizacin.
- El 55% de otras compaas, principalmente de servicios profesionales de Auditora o bien de Auditora Interna de TI de
otras organizaciones.
En cuanto a las certificaciones:
- El 88% de las organizaciones indica que
sus auditores internos de TI disponen de
la certificacin CISA.
- El 41% indica que sus auditores de TI tienen la certificacin CIA.
- El 23% que tienen la certificacin COBIT
Foundation.
- El 61% de las organizaciones ha manifestado que no requiere ninguna certificacin especfica como prioritaria.
- El 39% de las organizaciones indica que
requiere las certificaciones de CISA y CIA.

- El 41% en metodologas de desarrollo,


comunicaciones, hacking y forensic, y administracin de sistemas.
En cuanto a la formacin:
- El 46% de las organizaciones s establecen formacin especfica para los auditores internos.

La encuesta revela que


en el 77% de los casos
los informes emitidos
por Auditora Interna de
TI van dirigidos a las
Direcciones Generales y
los Comits de
Auditora y, en menor
medida, a las
Direcciones de TI.

- En el 80% de los casos la formacin est


enfocada a tecnologas o certificaciones
relacionadas.
Los destinatarios de los informes emitidos
por Auditora Interna de TI son:
- En el 77% de los casos, las Direcciones
Generales y los Comits de Auditora.
- En menor medida, las Direcciones de TI.
Respecto a las herramientas de apoyo a la
labor del auditor interno de TI, se observa
cierta madurez en la utilizacin de herramientas de anlisis masivo de datos y un
menor desarrollo en el uso de herramientas
de anlisis de riesgos o de auditora continua.

HABILIDADES ESPECFICAS/CONOCIMIENTOS IMPORTANTES CONSIDERADOS EN LA SELECCIN DE AUDITORES INTERNOS DE TI


Seguridad lgica y estndares relacionados

77%
56%

Gobierno de TI
Procesos de negocio. Anlisis de aplicaciones informticas. Normativa relacionada con TI
Metodologas de desarrollo. Comunicaciones. Hacking y Forensic. Administracin de Sistemas

50%
41%

AUDITORA INTERNA

Los Riesgos Tecnolgicos


en el Negocio
No se debe entender el
riesgo tecnolgico
como un riesgo
independiente, sino
est ntimamente
ligado al negocio.

Las organizaciones cada vez tienen una mayor dependencia de las Tecnologas de la Informacin Su rpido desarrollo ha motivado
la creacin de nuevos modelos de negocio
impensables hace muy pocos aos. Algunos
de los nuevos modelos de negocio, basados
en esta evolucin de la tecnologa de la informacin, se basan en el acceso y la disponibilidad de informacin y servicios desde cualquier dispositivo.

grandes riesgos: el incremento de los casos


de espionaje, robos de informacin y ataques
a travs de las redes telemticas y canales de
venta en Internet; la preocupacin creciente
en materia de privacidad, confidencialidad de
la informacin y cumplimiento de las legislaciones, nacionales e internacionales; el aumento de los casos de suplantacin de identidad (cuentas de usuarios, etc.), fraude electrnico, entre otros.

Este desarrollo genera grandes oportunidades


de negocio, a la vez que tambin introduce

DEFINICIN DE RIESGO TECNOLGICO


ISACA define el riesgo tecnolgico2 como El
riesgo de negocio asociado al uso, propiedad,
operacin, participacin, influencia y adopcin de las tecnologas de la informacin (TI)
en la organizacin. Desde este punto de vista, no se debe entender el riesgo tecnolgico
como un riesgo independiente, sino como un
riesgo que est ntimamente vinculado al uso
de la tecnologa como parte del modelo de
negocio.
La adopcin de cualquier tecnologa entraa
riesgos y ante su evolucin exponencial en los

ltimos aos, es lgico intentar controlarlos y


gestionarlos de forma adecuada. El riesgo
tecnolgico viene condicionado tanto por factores tcnicos como humanos. Por un lado,
los riesgos ligados a la propia tecnologa: el
hecho de que las organizaciones demanden
soluciones ms complejas, en mercados cada
vez ms competitivos, hace que se generen
riesgos asociados a este rpido progreso que,
de no ser detectados y mitigados, pueden tener un impacto negativo en la organizacin.
Por otro lado, las organizaciones estn forma-

2. The business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an
enterprise.

10

AUDITORA INTERNA

das por personas, cuyas motivaciones y capacidades son totalmente heterogneas: esta diversidad provoca que, a menudo, el mayor

riesgo sea el propio usuario, ya sea por errores involuntarios o por actividades malintencionadas.

PERCEPCIN DEL RIESGO TECNOLGICO


No existen dos organizaciones que tengan la
misma percepcin del riesgo de TI. La evaluacin depende de la tipologa de negocio, del
apetito de riesgo de la Direccin y de la cultura corporativa en materia de riesgos. Aunque,
paradjicamente, a veces la definicin de metas y objetivos de una organizacin no se fundamenta en la tecnologa, cuando desde el
punto de vista de la gestin de TI son esenciales para alcanzar esas metas y objetivos.
La prestacin de servicios, el desarrollo de
productos, el mantenimiento de la operativa e

incluso la continuidad del negocio, dependen


del cuidado y conservacin de la base tecnolgica y del personal que la opera. El GTAG-1
muestra que todo entorno de TI es nico y
particular y, por lo tanto, representa una serie
y asociacin de riesgos nicos; los riesgos tecnolgicos evolucionan a medida que aumenta
el ritmo de desarrollo tecnolgico y la proliferacin de los riesgos est relacionada con la
naturaleza sumatoria de los riesgos de TI, en
la medida en que la suma del riesgo, considerados conjuntamente, es mayor que la suma
de los riesgos individuales.

El gobierno de TI reside
en que la estructura
organizativa, el
liderazgo y los procesos
garantizan que las
tecnologas de la
informacin soportan
las estrategias y
objetivos de una
organizacin.

CATEGORAS DE RIESGOS TECNOLGICOS


Una posible categorizacin de los riesgos asociados al uso de TI, basada en quin tiene la
responsabilidad de establecer y mantener los
controles necesarios para su gestin, podra
ser: riesgos asociados al gobierno de TI, a la
organizacin y gestin de TI (procesos de gestin) y a la capa tcnica (implementaciones
de tipo tcnico).

Riesgos asociados al gobierno de TI


El gobierno de TI reside en que la estructura
organizativa, el liderazgo y los procesos garantizan que las tecnologas de la informacin

soportan las estrategias y objetivos de una organizacin. Los cinco componentes del gobierno de TI son la organizacin y estructuras
de gobierno, el liderazgo ejecutivo y soporte,
la planificacin estratgica y operacional, la
entrega y medicin del servicio y la organizacin y gestin de riesgos de TI. Las polticas y
estndares establecidos por la organizacin,
deben establecer las formas de trabajo para
alcanzar los objetivos. La adopcin y cumplimiento de estas normas promueve la eficiencia y asegura la consistencia del entorno operativo de TI.
11

AUDITORA INTERNA

Algunos riesgos relacionados con el gobierno


de TI son:

As puede controlar de forma eficaz los riesgos organizativos y de gestin como:

- La ausencia de planificacin efectiva y de


sistemas de monitorizacin del cumplimiento de las normas.

- La asignacin de privilegios de acceso excesivos a determinadas funciones clave, y


evitar situaciones de fraude u omisiones
inadvertidas en tiempo.

- La incapacidad de cumplir la misin de la


organizacin.
- La prdida de oportunidades de negocio y
el escaso retorno de las inversiones en TI.
- La incapacidad para lograr los objetivos estratgicos de TI.
- Las potenciales ineficiencias en los procesos operativos de la organizacin.
- La falta de alineamiento entre los resultados de la organizacin y los objetivos estratgicos.

Riesgos asociados a la organizacin y


gestin de TI (procesos)
Una estructura organizativa de reporte y responsabilidad que permite implementar un sistema eficaz de control, entre otras cosas, debe tener en cuenta:

- La monitorizacin inadecuada de los proveedores externos.


- El anlisis incorrecto de riesgos medioambientales de seguridad del centro de proceso de datos.

Riesgos asociados a la capa tcnica


(implementaciones de tipo tcnico)
La infraestructura tcnica abarca los sistemas
operativos, el diseo de redes internas, el
software de comunicaciones, software de seguridad y proteccin y bases de datos, entre
otros. El objetivo es asegurar que la informacin es completa, adecuada y exacta. Como
ejemplos de riesgos relacionados con la capa
tcnica se pueden citar:

- La segregacin de funciones: las personas


involucradas en el desarrollo de los sistemas estn separadas de las dedicadas a
operaciones de TI.

- Una inadecuada segregacin de funciones


por asignacin de privilegios en el sistema
que permita realizar acciones conflictivas o
fraudulentas.

- La importancia de la gestin financiera de


las inversiones.

- Falta de un proceso adecuado de aprovisionamiento y gestin de usuarios, que entorpezca el desarrollo de la operativa.

- La gestin y el control de los proveedores,


especialmente con un alto grado de externalizacin.
- La gestin del entorno fsico, tanto del centro de proceso de datos, como de los equipos de usuario.
12

- El diseo incorrecto de indicadores econmicos para medir el ROI.

- Ausencia de segregacin de accesos, sin


control de la actividad de usuarios y tcnicos.
- Un inadecuado proceso de aplicacin de
actualizaciones de la infraestructura, sin

AUDITORA INTERNA

pruebas previas, transfiriendo problemas y


vulnerabilidades a produccin.

- Cambios en los sistemas de gestin o aplicacin no probados y validados antes de su


pase a produccin.

- Adquisicin o mantenimiento de sistemas


no establecidos formalmente, o implantacin de sistemas no probados correctamente.

UNIVERSO DE AUDITORA INTERNA DE TI


ejemplo, se puede definir el universo de Audi-

El universo de Auditora Interna de TI es un


universo complejo, con mltiples dimensiones
que abarcan los riesgos que pueden producirse en las unidades organizativas, los procesos
de negocios, las aplicaciones, en el hardware,
el software, los centros de proceso de datos, y
los procesos TI. Este universo es el punto de
partida para llevar a cabo una posterior evaluacin de riesgos de los elementos que lo
conforman y establecer un plan de Auditora
Interna sobre los mismos. Todos estos elementos estn ntimamente relacionados y, por

tora Interna de TI teniendo en cuenta las siguientes pautas:


- Obtener la relacin y descripcin de los
procesos de negocio de cada organizacin.
- Confeccionar el mapa de las aplicaciones

La definicin del
universo de Auditora
Interna de TI es el
punto de partida para
llevar a cabo una
evaluacin de riesgos y
establecer un plan de
Auditora Interna sobre
los mismos.

que soportan los procesos de negocio.


- Inventariar los equipos en los que se ejecutan las aplicaciones, tanto en centros de
proceso de datos propios como externos.

UNIVERSO DE AUDITORA INTERNA DE TI - RIESGOS

UNIDADES
ORGANIZATIVAS

PROCESOS
DE NEGOCIO
APLICACIONES

PROCESOS
DE TI
CPD

HARDWARE/
SOFTWARE
BASE

13

AUDITORA INTERNA

- Identificar los procesos de TI empleados para la gestin de todos los elementos bsicos de tecnologa (equipos, centros de procesos de datos, aplicaciones, sistemas operativos, bases de datos, comunicaciones y
seguridad).

En base a esta informacin, la Direccin de

- Definir los riesgos asociados a estos elementos, tanto tecnolgicos como de otra
naturaleza.

preferible un enfoque integrado de evaluacin

- Establecer procesos continuos de mantenimiento de toda la informacin recabada


para disponer de un universo actualizado.

genera el conocimiento que Auditora Interna

Auditora Interna puede definir el universo de


las Auditoras Internas de TI: los sistemas de
informacin, los procesos de negocio y los
riesgos identificados en el mapa de riesgos
corporativos o el mapa de riesgos de TI. Es
de riesgos, en lugar de un anlisis especfico
para TI. As se aprovechan las sinergias que
dispone tanto del negocio como de la plataforma tecnolgica.

Sistemas de Informacin

Direccin de Auditora Interna

Universo de las Auditoras Internas de TI

Procesos de negocio

Riesgos identificados

Integracin de la Cobertura de TI
en Auditora Interna
OBJETIVOS DE LA INTEGRACIN DE LA AUDITORA INTERNA DE TI
Auditora Interna de TI es cualquier proceso
de auditora que revisa y evala los sistemas
automticos de procesamiento de la informacin. La misin del auditor interno de TI es
proporcionar las recomendaciones necesarias
a la Direccin para mejorar y lograr un ade14

cuado control de la tecnologa y los sistemas


de informacin. Tambin busca que se mejore
la eficiencia operacional y administrativa, teniendo en cuenta tanto los requisitos legales
como los objetivos de negocio de la organizacin.

AUDITORA INTERNA

Los principales objetivos de Auditora Interna


al integrar Auditora Interna de TI3 son:
- Evaluar los mecanismos que aseguran la
integridad, confidencialidad y confiabilidad
de la informacin, identificando riesgos y
proponiendo controles.
- Proporcionar apoyo a la Direccin del rea
de TI y de la organizacin para lograr los
objetivos estratgicos.
- Analizar la relacin coste-beneficio de los
sistemas de informacin y recomendar alternativas para su mejora.
- Evaluar los mecanismos para minimizar
riesgos en los sistemas de informacin.

- Analizar la seguridad de los datos, el hardware, el software y las instalaciones, as como la concienciacin en seguridad de los
usuarios.
- Analizar el grado de satisfaccin de los
usuarios de los sistemas de informacin.
Esta lista no trata de ser una relacin exhaustiva de elementos a considerar a la hora de la
definicin del universo auditable de Auditora
Interna de TI, pudiendo ser incorporados
otros muchos en funcin de la naturaleza de
la compaa, del sector en el que opere y de
la evolucin y madurez propia de la Direccin
de Auditora Interna en cuestin.

A la hora definir el
enfoque un trabajo, es
importante remarcar el
nivel de integracin
existente entre las
Auditoras Internas de
TI y el resto de
auditoras para
determinar su alcance.

AUDITORAS INTEGRADAS VS. AUDITORAS PURAS DE TI


A la hora de definir el enfoque de un trabajo,
es importante remarcar el nivel de integracin
existente entre las Auditoras Internas de TI y
el resto de auditoras (para ms detalle, ver
GTAG-11). De esta manera, no sern iguales
el alcance y el planteamiento de una audito-

ra pura de TI (por ejemplo: revisin del proceso de resolucin de incidencias de explotacin


o la seguridad perimetral), que los aspectos
de TI a revisar en una auditora integrada (por
ejemplo: revisin de la plataforma que soporta el proceso de compras).

Plan de Auditora Interna


poco integrado

Plan de Auditora Interna


parcialmente integrado

Auditoras Internas de Negocio

Auditoras Internas de Negocio

Auditora Interna Integrada

Aplicaciones y Software
- Controles de Aplicaciones
- Controles Generales

Auditora Interna
de TI exclusivamente

Auditora Interna Integrada

Auditora Interna Integrada

Controles de Infraestructura
- Base de Datos
- Sistemas Operativos
- Elementos de Red

Auditora Interna
de TI exclusivamente

Auditora Interna
de TI exclusivamente

Auditora Interna Integrada

Universo de Auditora Interna


Procesos de Negocio
- Operacionales
- Financieros
- Cumplimiento

Plan de Auditora Interna


altamente integrado

3. Consejos para la Prctica IAI 2010-1 y 2210-1del Marco Internacional para la Prctica Profesional de la Auditora Interna.
Instituto de Auditores Internos.

15

AUDITORA INTERNA

Una visin integral del


Plan de Auditora
interna permite al
Director de Auditora
Interna analizar la
relacin existente entre
los diferentes procesos
de negocio y los
procesos y activos
de TI.

Un enfoque de baja integracin entre los trabajos de Auditora Interna de TI y el del resto
de las reas de Auditora Interna, conlleva a
una evaluacin aislada de los riesgos relacionados con TI, dificultando la interrelacin de
los resultados obtenidos (por ejemplo: Cmo afecta al proceso de ventas que el entorno Windows est mal securizado, o que el diseo funcional de la base de datos est mal
diseado o gestionado?) y dando como resultado un menor nivel de certeza en las conclusiones obtenidas a nivel global.

analizar la relacin existente entre los diferentes procesos de negocio, y los distintos
procesos y activos de tecnologa que soportan su funcionamiento. As, ser posible abarcar de manera conjunta todos los riesgos que
afectan a un determinado proceso o rea de
negocio, obteniendo una visin ms completa
de su situacin y de su exposicin real, aumentando, por tanto, el nivel de aseguramiento arrojado por las conclusiones que se
obtendrn de los trabajos.
Hay que tener en cuenta que esta aproximacin no descarta la ejecucin de ciertas auditoras puras (tanto de TI como de negocio),
siempre y cuando exista una justificacin suficiente para ello (por ejemplo: resultado del
anlisis de riesgos o peticin expresa de la
Direccin).

Este nivel de certeza se ir incrementando segn se aumente el nivel de integracin entre


el Plan de Auditora Interna de TI y el de negocio, alcanzando su mximo nivel una vez
que los trabajos de Auditora Interna de TI se
integran o se relacionan con las otras auditoras del negocio. Esto permite obtener una visin integral y completa de los riesgos bajo
anlisis.

En todo caso, siempre es importante definir


de antemano la interrelacin que los resultados de estos trabajos tendrn con el resto de
riesgos o procesos del universo de Auditora
Interna.

Esta visin integral del Plan de Auditora Interna permite al Director de Auditora Interna

ARTICULACIN PROCESOS DE NEGOCIO - TECNOLOGAS DE SISTEMAS


CADENA DE VALOR DEL NEGOCIO
Operacin

Soporte

Proyectos

PROCESOS DE NEGOCIO
Procesos Operativos

Procesos de Soporte

Produccin
Ventas
Distribucin,

Finanzas
IT
Nminas,

Procesos de Proyectos
Gestin de caja
Diseo
Anlisis econmico/
Rentabilidad,

APLICACIONES
Controles Generales
de TI
Desarrollo de Sistemas
Gestin de cambios
Accesos lgicos
Controles fsicos
Seguridad
Backup y recuperacin
Service Desk

16

Aplicacin A

Aplicacin B

Aplicacin C

INFRAESTRUCTURA DE TI
Base
de Datos

Sistema
Operativo

Elementos
de Red /
Instalaciones

Controles
de Aplicacin
Autorizacin
Integridad
Disponibilidad
Confidencialidad
Segregacin
de Funciones

AUDITORA INTERNA

ESTRATEGIAS DE INTEGRACIN DE LA AUDITORA INTERNA DE TI


La estrategia de integracin de Auditora Interna de TI depende del grado de madurez de
Auditora Interna en la organizacin, de la
complejidad de TI y de los recursos econmicos disponibles.
Existen diversas posibilidades, aportando cada una de ellas beneficios e inconvenientes
implcitos.

Estrategia

Incorporacin
de personal en plantilla

Evaluando las necesidades y recursos disponibles, la organizacin deber determinar


cul de las estrategias presentadas se adecua
ms a su planteamiento de Auditora Interna
de TI.
La eleccin de una estrategia inicial puede
evolucionar con el paso del tiempo.

Beneficios
- Adquisicin de un mayor conocimiento de los flujos
de negocio de la organizacin, procesos de TI y plataformas tecnolgicas de la misma.
- Mayor integracin con el equipo actual de Auditora
Interna.
- Lograr la incorporacin de un perfil polivalente que
puede dinamizar la prctica de Auditora Interna.

Contratacin de
un proveedor externo

- Aportacin de conocimientos externos por la ejecucin de trabajos en distintas organizaciones y conocimientos tecnolgicos ms actualizados.
- Flexibilidad de contratacin segn necesidades, sin
coste fijo.
- Reduccin del riesgo en el proceso de contratacin o
incorporacin interna, si el perfil no es el adecuado.
- Posibilidad de abordar proyectos cuyo conocimiento
no dispone la funcin de Auditora Interna de TI.

Enfoque mixto

- Transferencia de la carga de trabajo del equipo interno a personal externo.


- Transferencia de conocimientos al personal interno.
- Auditora Interna siempre retiene las labores de supervisin.

Inconvenientes

- Posible desactualizacin de los conocimientos en determinadas tecnologas emergentes a lo largo del tiempo en caso de no
exista un proceso de formacin continua en
TI.

- Dependiendo de la complejidad del negocio, pueden aparecer dificultades para entender la actividad de la organizacin y sus
procesos de negocio.
- Posibilidad de que el conocimiento adquirido durante el proyecto se pierda al finalizar
la prestacin del servicio.

- Posibilidad de aumentar las horas invertidas


en los proyectos de auditora si no se aplica
un protocolo estricto de supervisin y control de las distintas participaciones.
- Incorporar un aspecto de desmoralizacin
en el personal interno si no existe una real
transferencia de conocimientos.

MADUREZ EN LA INTEGRACIN DE LA AUDITORA INTERNA DE TI


La forma de integrar la funcin de Auditora
Interna de TI dentro de las Direcciones de Auditora Interna ha ido evolucionando la actua-

lidad, cobrando cada vez un mayor peso especfico. Existen tres niveles de integracin de
Auditora Interna de TI, en funcin de la ma17

AUDITORA INTERNA

durez de la Direccin de Auditora Interna con


respecto a la cobertura de la Auditora TI:
Bsico. Es el de aquellas Direcciones de Auditora Interna que emplean auditores financieros para evaluar la efectividad de los
controles de los sistemas de informacin. Al
no disponer de auditores internos especialmente cualificados en TI, se focalizan en la
revisin a alto nivel de riesgos y controles
generales asociados a la gestin de la tecnologa de la informacin. Este planteamiento se centra bsicamente en el gobierno de TI. No tienen capacidad para valorar
la gestin o la capa tcnica. Pueden
producirse ineficiencias en la ejecucin de
las Auditoras Internas de TI por la falta de
conocimiento y/o prctica, o por la imposibilidad de analizar alcances o sistemas amplios o complejos.
Medio. Es el de aquellas Direcciones de Auditora Interna que disponen de auditores
internos con conocimientos de tecnologa
que, entre otras tareas de revisin de los
sistemas de informacin, apoyan al Departamento de Auditora Interna en la extraccin de informacin de los sistemas, tratamiento y anlisis de datos para auditoras

financieras y de procesos, y evaluacin de


los riesgos y controles asociados a procesos
de TI. En este nivel medio de integracin se
observan sinergias con el resto de trabajos
de Auditora Interna y se genera la capacidad de valorar componentes de la capa de
gestin".
Avanzado. Es el de aquellas Direcciones de
Auditora Interna que disponen de Auditores Internos de TI integrados en el equipo
de Auditora Interna (financieros, procesos,
crdito, mercados, etc...) para acometer revisiones integrales de procesos de negocio,
que incluyan dentro de su alcance la revisin de los riesgos y controles asociados a
las aplicaciones que los soportan. Los auditores internos de TI disponen de conocimientos profundos tanto de los procesos de
negocio, como del funcionamiento de las
aplicaciones. La realizacin de las Auditoras Internas empleando equipos integrados
por auditores financieros y de TI permite
opinar de una forma global sobre la efectividad de los controles manuales y automticos existentes en un proceso e incluso
evaluar el nivel de la capa tcnica.

ESQUEMA DE MADUREZ DEL NIVEL DE INTEGRACIN DE LA AUDITORA INTERNA DE TI

AVANZADO

MEDIO

- Auditores TI con conocimiento del negocio


- Riesgos tecnolgicos y riesgos de negocio integrados
- Auditoras Internas de TI y Auditoras Integradas

- Auditores TI tcnicos
- Riesgos tecnolgicos (Gobierno de TI), servicios de TI y de capa tcnica
- Auditoras Internas de TI

BSICO
- Auditores no TI
- Riesgos tecnolgicos (Gobierno de TI)
- Revisiones alto nivel

18

AUDITORA INTERNA

Una de las decisiones ms importantes de los


Directores de Auditora Interna y de las Comisiones de Auditora para minimizar los riesgos
asociados a la cobertura de los procesos tecnolgicos de la organizacin, es la creacin
de la funcin de Auditora Interna de TI den-

tro de las Direcciones de Auditora Interna,


decidir el nivel de integracin de dicha funcin (bsico, medio o alto), y fijar la adecuada
dotacin de recursos humanos, tcnicos y
econmicos.

PERFIL DEL AUDITOR INTERNO DE TI


No existe una carrera universitaria que se
oriente especficamente a la disciplina de la
Auditora Interna de TI, pero es tendencia en
el mercado que los perfiles demandados
cuenten primordialmente con estudios universitarios y con una importante experiencia tecnolgica. Adicionalmente, existe formacin
complementaria de postgrado en materia de
Auditora Interna de TI y un gran nmero de
certificaciones profesionales. Una de las ms
reconocidas mundialmente es la certificacin
CISA, expedida por ISACA. Cada da ms auditores internos de TI obtienen la certificacin
CIA del IIA (Institute of Internal Auditors).
Los conocimientos y habilidades con los que
debera contar un auditor interno de TI, son:
- Independencia en la ejecucin de sus trabajos, junto con capacidad de anlisis e interpretacin de las evidencias.

Conocimientos tcnicos
- Normas y estndares para la prctica de la
Auditora Interna.
- Tcnicas de evaluacin de riesgos.
- Conocimientos de tecnologa: programacin, redes y comunicaciones, explotacin,
seguridad informtica, planes de continuidad, etc
- Recopilacin y tratamiento de grandes cantidades de informacin.

- Identificacin de desviaciones en procesos


que implican riesgos para la organizacin.
- Monitorizacin de actividades de informtica y TI en general.
- Tcnicas estadsticas y de muestreo.

Conocimientos del negocio


- Plataformas tecnolgicas de la organizacin.

Cada da ms auditores
internos de TI obtienen
la certificacin CIA del
IIA (Institute of Internal
Auditors).

- Capacidad de asimilar y entender los procesos de la organizacin.


- Conocimiento de los interlocutores clave,
especialmente en el mbito de TI.
- Identificacin de los sistemas e infraestructuras que dan soporte a los procesos de negocio de la organizacin.

Habilidades
- Dotes de expresin oral y escrita para una
presentacin clara y objetiva de informes y
opiniones.
- Habilidad para el trabajo en equipo, capacidad analtica y sntesis, autonoma, y proactividad.
- Habilidad para relacionarse con grupos de
trabajo de diferentes niveles jerrquicos y
conocimiento de la organizacin.
- Habilidades de negociacin que le permitan
argumentar sus puntos de vista.

19

AUDITORA INTERNA

METODOLOGA DE TRABAJO
La Auditora Interna de TI debe encuadrase
dentro de las normas generales de la organizacin para Auditora Interna, con el referente especfico del Marco Internacional para la
Prctica Profesional de la Auditora Interna
del Instituto de Auditores Internos, y complementariamente, las normas y estndares promovidas por la ISACA. Estas normas determi-

nan la tica profesional de la auditora, la independencia, objetividad y diligencia. La Auditora Interna de TI sigue la metodologa de
trabajo definida por la propia Direccin de
Auditora Interna, en cuanto a directrices y
procedimientos (modo de documentar, elaboracin de entregables, etc...).

RELACIN DE AUDITORA INTERNA DE TI CON EL REA DE TECNOLOGA


Es necesario establecer los lmites entre la
funcin de Auditora Interna de TI y las reas
de TI para facilitar la gestin diaria y aprovechar las sinergias entre ambas unidades, sin
comprometer su independencia. Auditora Interna no es responsable de la ejecucin de
funciones TI, ni de la realizacin de controles
peridicos. En el estatuto de Auditora Interna
suele figurar que la Direccin de Auditora Interna puede requerir acceso a todos los datos
y sistemas informticos para realizar sus funciones.
Independientemente de esta afirmacin, la relacin entre ambos departamentos se basa en
los siguientes aspectos:

Auditora Interna de TI vs. rea de TI


- Evala el cumplimiento: detecta incidencias, ineficiencias y efecta recomendaciones de valor aadido.
- Promueve las mejores prcticas de TI.
- Colabora en la difusin de las polticas de
TI de la organizacin.
- Es asesor especialista en riesgos, con una
visin global del negocio.
20

rea de TI vs. Auditora Interna de TI


- Facilita la estandarizacin de la metodologa de Auditora Interna mediante herramientas informticas (conectividad, accesos, recopilacin de informacin de registros informticos, y datos de negocio, etc.).
- Capacita para el manejo de altos volmenes de informacin.
- Promueve anlisis de los riesgos de TI.
- Posibilita procesos de supervisin y revisin.
- Realiza el seguimiento de la implantacin
de las recomendaciones de Auditora Interna.
El auditor interno de TI tiene que estar preparado para enfrentarse a procesos y sistemas, y
estar familiarizado con el lenguaje y la comunicacin en trminos de TI. En aquellos casos
en que el Departamento de TI realice autoauditoras o contrate a proveedores externos
parar realizar auditoras dentro de su rea,
Auditora Interna debera estar informada y
tener acceso a los papeles de trabajo y a los
informes.

AUDITORA INTERNA

Enfoque de las Auditoras Internas


de TI
El enfoque a tomar en la ejecucin de una
Auditora Interna de TI depende en gran medida del rea y/o procesos a analizar y evaluar, y de las habilidades y conocimientos que
se necesitan en el auditor interno de TI para
la Auditora Interna a realizar. No es lo mismo
revisar la gestin de un proyecto de TI para
cuya ejecucin se necesitarn habilidades y
conocimientos menos tcnicos y ms orientados a los de un gestor que una revisin del
nivel de seguridad de los servidores Unix expuestos en la DMZ, para cuya tarea de eva-

CONTROLES DE GESTIN

CONTROLES CORRECTIVOS

CONTROLES DE GOBIERNO

CONTROLES DETECTIVOS

C
AP ON
LIC TRO
AC LE
I S
CONTROLES PREVENTIVOS
N

C
GE ONT
NE RO
RA LE
LE S
S

ESTRUCTURA DE CONTROLES - COSO

CN

ICO

GE

STI

GO

BIE

RN

CONTROLES TCNICOS

luacin se necesitar un dominio de aspectos


mucho ms tcnicos sobre esa tecnologa en
concreto.
Es importante diferenciar tres clases de trabajos de Auditora Interna de TI segn el tipo de
controles a evaluar:

Auditoras Internas del gobierno de TI


Trabajos orientados a la evaluacin de aquellos controles establecidos para la supervisin
de una correcta gestin de la informacin, el
establecimiento del tone at the top, as como de las polticas que marcan las guas generales de la organizacin con relacin a TI.

Auditoras Internas de la organizacin


y gestin de TI
Enfocadas a revisar aspectos generales de la
gestin de TI, tales como la proteccin fsica
de los activos de TI, la gestin de cambios, la
gestin del outsourcing (externalizacin), la
gestin de proyectos de TI o la gestin financiera de TI.

Polticas
Estndares

Auditoras Internas de la capa tcnica

Organizacin y Gestin
Controles Fsicos
y del Entorno

Controles de la Infraestructura
Controles en el Desarrollo/Adquisicin
Controles de la Aplicacin

Engloban aquellos trabajos que requieren conocimientos especficos de la plataforma tecnolgica (sistemas operativos, bases de datos, elementos de comunicaciones). Tam21

AUDITORA INTERNA

bin pueden incluir la revisin de aquellos


controles de determinada aplicacin que requiera un conocimiento profundo y tcnico
de su funcionamiento.

de, SAS99). Estos trabajos han recado histri-

Adicionalmente, y aunque no sean Auditoras


Internas de TI, habra que considerar los trabajos de anlisis masivo de datos mediante el
uso de herramientas tales como ACL o IDEA
(por ejemplo: apoyo a investigaciones de frau-

mas y a la formacin especfica recibida por

camente bajo la responsabilidad de los auditores internos de TI, aunque, recientemente debido al mayor conocimiento en sistelas nuevas generaciones de los auditores de
negocio la ejecucin de dichos trabajos va,
poco a poco, pasando a ser responsabilidad
de estos ltimos.

Herramientas de Soporte
a las Auditoras Internas de TI
En este apartado se realiza una catalogacin
y breve descripcin de las herramientas software que puede utilizar una Direccin de Auditora Interna para la gestin, planificacin y
ejecucin de Auditoras Internas de TI.

Planificacin y seguimiento de los trabajos en curso, en trminos de calendario,


recursos asignados, tiempo y costes.
Seguimiento de la implantacin de los
aspectos de mejora detectados en los

Herramientas para la gestin de la Direccin de Auditora Interna


Herramientas que facilitan la gestin del
Departamento de Auditora Interna incorporando funcionalidades como:
Definicin del Plan Auditora Interna basado riesgos.
Interrelacin con la herramienta de gestin de riesgos corporativos.
22

trabajos.
Gestin de personal del equipo, en trminos de:
- Formacin.
- Evaluacin anual y por trabajo.
Herramientas de anlisis de riesgos automatizado. Son inestimables para toda la Direccin de Auditora Interna ya que permiten realizar anlisis en entornos de TI com-

AUDITORA INTERNA

plejos, que no suelen ser fciles sin la ayuda de herramientas automatizadas. Deben
incorporar funcionalidades como:
Integracin con la herramienta de gestin de riesgos corporativos.
Posibilidad de creacin y definicin de
riesgos.
Definicin del universo auditable de TI.
Facilidad para incorporar la valoracin de
los riesgos por parte de las personas interesadas.
Definicin de factores de ponderacin de
los riesgos definidos.
Reportes grficos de las reas con ms
riesgos.
Propuesta de trabajos a realizar en base
el anlisis de riesgos realizado.
Herramientas que facilitan la gestin del
ciclo de vida de una Auditora Interna incorporando funcionalidades como:
Planificacin del trabajo (desglose de tareas, asignacin de recursos, evaluacin
de riesgos).
Apertura y comunicacin del inicio del
trabajo.
Control y seguimiento de la ejecucin del
trabajo relativo a progreso, imputaciones
de horas, desviaciones, etc.
Progreso de las tareas.
Imputaciones de tiempo por recurso y/o
tarea.
Desviaciones en alcance, tiempo y coste
del trabajo.

Materializacin de los riesgos.


Gestin centralizada de los papeles de
trabajo manteniendo una trazabilidad sobre la documentacin.
Cierre electrnico del trabajo y emisin
del informe.
Seguimiento del progreso de la implantacin de los plantes correctivos previa
asignacin de los responsables de la
documentacin a entregar y de las fechas de comprometidas.

Herramientas para la ejecucin del


trabajo de campo de una Auditora Interna de TI
Herramientas de anlisis de datos que permiten al equipo de Auditora Interna realizar un anlisis estadstico slido sobre
grandes volmenes de datos. Pueden emplearse como soporte para las auditoras
internas de TI o de negocio. Algunas de sus
funcionalidades son:
Acceso a datos de distintos entornos y
sistemas.
Analizar el 100% de la poblacin de datos.
Funciones propias de Auditora Interna
como estratificacin, identificacin de
duplicados, faltantes, muestreo estadstico, comparaciones, clculos, etc.
Automatizacin de tareas repetitivas.
Resultados grficos.
Proteccin de los datos originales.
23

AUDITORA INTERNA

Herramientas de anlisis de la seguridad.


Pueden clasificarse en funcin del mbito
de aplicabilidad:

La existencia de un
Auditor Interno de TI
experto en
determinadas
herramientas de
software, no implica
tener implantada la
funcin de Auditora
Interna de TI.

Herramientas de anlisis de redes. Son


programas que pueden ser ejecutados en
una red informtica que recopilan datos
sobre ella. Pueden ser utilizadas para verificar la exactitud de los diagramas de la
red o identificar los dispositivos de red
ms vulnerables a ataques.
Herramientas de hacking. La mayora de
las tecnologas poseen vulnerabilidades
estndar (identificaciones, contraseas o
parmetros por defecto cuando se instala
la tecnologa sin personalizarla). Las herramientas de hacking proporcionan un
mtodo automtico para la verificacin
de las vulnerabilidades estndar. Dichas
herramientas, tras fijar los objetivos de la
infraestructura de TI (cortafuegos, servidores, redes y sistemas operativos), proporcionan un listado de las vulnerabilidades de los mismos.
La importancia de estas herramientas radica en que son utilizadas por intrusos
para atacar organizaciones. Con el fin de
repeler estos ataques, la organizacin
debe tener acceso a la misma informacin. Ya que el uso de estas herramientas
puede ser potencialmente peligroso de
cara a la integridad de los sistemas que
analizan, el auditor interno de TI debe
coordinar con el rea de TI la planificacin y el alcance de la prueba, para no
afectar al normal funcionamiento de los
sistemas.
Herramientas especficas para ciertos
entornos. Estas herramientas sirven para
el anlisis de la seguridad para determi-

24

nados entornos. Muchas de ellas tienden


a ser especializadas para un entorno
(PeopleSoft, SAP, o Oracle), analizando la
seguridad de usuarios contra reglas preconfiguradas. Estas herramientas tambin pueden evaluar la segregacin de
funciones dentro de la aplicacin. Adems cuentan con unos parmetros preconfigurados, o las mejores prcticas
promovidas por el proveedor, que deberan ser adaptados a la realidad del negocio.
Herramientas transversales que por su heterogeneidad no han sido incluidas en las
categoras anteriores:
Sistemas de mensajera y comunicacin.
Programa para la realizacin de diagramas de flujo.
Herramientas de cifrado.
Plataforma colaborativa de trabajo.
Etc.

Auditora con medios informticos vs.


Auditora Interna de TI
La existencia de auditores internos usando
una herramienta de software como apoyo a
auditoras de negocio, no significa que se estn cubriendo los riesgos asociados a TI y, por
lo tanto, no se puede considerar que se estn
realizando Auditoras Internas de TI. Por eso
la existencia de un Auditor Interno de TI experto en determinadas herramientas de software (por ejemplo: extraccin de datos o tratamiento de grandes volmenes de informacin financiera) no implica tener implantada
la funcin de Auditora Interna de TI. Para que
as sea, los auditores internos de TI deben

AUDITORA INTERNA

centrar la mayor parte de su actividad en la


evaluacin relacionada con los activos de TI
(personas, procesos y sistemas) con el fin de
verificar si cumplen con los objetivos asignados y si estn alineados con los fines de la organizacin.

Gestin de las herramientas de software de la Direccin de Auditora


Interna
Las herramientas de software de la Direccin
de Auditora Interna deben ser gestionadas
con el mayor rigor posible, para cumplir las
normas y/o polticas de la organizacin y las
buenas prcticas del negocio. Debe establecerse un estricto control del proceso de aprovisionamiento de usuarios, especialmente en
las bajas, para evitar accesos no autorizados;

hay que gestionar correctamente el proceso


de licencias (si aplica); y realizar con una periodicidad adecuada el proceso de copias de
seguridad.
Algunas de las herramientas de software, sobre todo las orientadas a la gestin de la Direccin de Auditora Interna, almacenan evidencias asociadas a los procesos de auditora
que se han ejecutado. Es de vital importancia
que esta herramienta est correctamente gestionada y securizada, debido a la importancia
de la informacin almacenada. A su vez, hay
que evaluar si la gestin de alguna de las herramientas se quiere internalizar dentro de la
Direccin de Auditora Interna (un recurso total o parcialmente dedicado a tareas de gestin y mantenimiento) o externalizar en el
rea de TI, evaluando, en este caso, los riesgos de confidencialidad.

Las herramientas de
software de Auditora
Interna deben estar
correctamente
gestionadas y
securizadas, debido a la
importancia de la
informacin que
almacenan.

25

AUDITORA INTERNA

Anexo 1 Glosario - Acrnimos

26

ACL

Herramienta de tratamiento masivo de datos.

BASES DE DATOS

Programa informtico que permite el almacenaje y posterior acceso a datos de


manera rpida y estructurada.

CIA

Certified Internal Auditor (Auditor Interno Certificado). Certificacin profesional


emitida por el IIA.

CISA

Certified Information Systems Auditor (Auditor de Sistema de Informacin Certificado). Certificacin profesional emitida por ISACA.

CORTAFUEGOS

Firewall. Elemento de red cuya funcin principal es el filtrado de las comunicaciones entre las diferentes redes, autorizndolas o denegndolas en funcin de las
reglas que le hayan sido configuradas.

COBIT

Control Objectives for Information and Related Technology (Objetivos de Control


para Informacin y Tecnologas Relacionadas) es un marco de gobierno para las
tecnologas de la informacin, publicado por ISACA.

COSO

Committee of Sponsoring Organizations of the Treadway Commission. Entidad formada por una unin de entidades del sector privado, incluido el IIA, emisora de los
marcos de control interno (Internal Control-Integrated framework) y gestin de
riesgos (Enterprise Risk Management-Integrated framework).

DMZ

Demilitarized Zone. Zona de la red de una compaa en la que se suelen ubicar


aquellos servidores que pueden ser accesibles desde el exterior, estando stos, por
lo tanto, expuestos a un mayor riesgo.

ELEMENTOS DE RED

Dispositivos que permiten la comunicacin entre los diferentes sistemas informticos y que conforman las redes de comunicaciones (por ejemplo, router).

ERP (SAP)

Enterprise Resource Planning o Sistema de Planificacin de Recursos. Sistemas informticos que integran y dan soporte a los procesos de negocio de manera conjunta y coordinada (por ejemplo, SAP).

GTAG

Global Technology Audit Guidelines - Guas publicadas por el IIA para la Auditora
Interna de los sistemas de informacin.

HACKING

Cualquier accin encaminada a obtener acceso, de forma ilegal y sin el consentimiento del propietario, a un sistema informtico con el objetivo de sustraer informacin. Se conoce como hacking tico los accesos de este tipo autorizados para la realizacin de auditoras de seguridad.

IDEA

Herramienta de tratamiento masivo de datos.

AUDITORA INTERNA

ISACA

Information Systems Audit and Control Association (Asociacin de Auditora y


Control de los Sistemas de Informacin). Asociacin internacional para el desarrollo de metodologas para la realizacin de actividades de auditora y control en los
sistemas de informacin, Asociacin independiente, global y sin nimo de lucro,
involucrada en el desarrollo, adopcin y utilizacin de buenas prcticas globalmente aceptadas para los sistemas de informacin.

ROI

Return on investment. Retorno de la inversin.

SAS99

Statement on Auditing Standards n 99. Consideraciones sobre fraude en auditoras de los estados financieros, emitido por The American Institute of Certified Public
Accountants.

SISTEMAS OPERATIVOS Software de base instalado en un sistema informtico que interacta con el hardware y permite la ejecucin de las aplicaciones instaladas en l (por ejemplo: Windows 8 o Red Hat Enterprise Linux).
TONE AT THE TOP

Camino que marca la Direccin de la Organizacin.

UNIX

Familia de sistemas operativos multiusuario y multitarea, tanto para ordenadores


personales como para mainframes.

27

AUDITORA INTERNA

Anexo 2 Bibliografa
Guas Globales de Auditora Interna de Tecnologas de la Informacin (GTAG) (www.globaliia.org).
- GTAG-1 Information Technology Risks and Control - 2nd Edition
- GTAG-2 Change and Patch Management Controls: Critical for Organizational Success - 2nd
Edition
- GTAG-3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
- GTAG-4 Management of IT Auditing. 2nd Edition
- GTAG 5 Auditing Privacy Risks - 2nd Edition
- GTAG-7 Information Technology Outsourcing
- GTAG-8 Auditing Application Controls
- GTAG-9 Identity and Access Management
- GTAG-10 Business Continuity Management
- GTAG-11 Developing the IT Audit Plan
- GTAG-12 Auditing IT Projects
- GTAG-13 Fraud Prevention and Detection in an Automated World
- GTAG-14 Auditing User-developed Applications
- GTAG-15 Information Security Governance
- GTAG-16 Data Analysis Technologies
- GTAG-17 Auditing IT Governance

Guas para la Evaluacin del Riesgo de TI (GAIT) (www.globaliia.org).


- GAIT The GAIT Methodology.
- GAIT for IT General Control Deficiency Assessment.
- GAIT for Business and IT Risk.
Marco Internacional para la Prctica Profesional de la Auditora Interna
(www.auditoresinternos.es).
28

AUDITORA INTERNA

Internal Control-Integrated Framework COSO (Committee of Sponsoring Organizations of the


Treadway Comisin) 2013 (www.coso.org).
COBIT 5 The framework for governance and management of enterprise IT (www.isaca.org).
Estndares, Guas, Tcnicas y Procedimientos para la Auditora de TI (www.isaca.org).
- Estndares de auditora y aseguramiento de SI: 1001 Audit Charter; 1002 Organizational Independence; 1003 Professional Independence; 1004 Reasonable Expectation; 1005 Due Professional
Care; 1006 Competence; 1007 Assertions; 1008 Criteria; 1201 Engagement Planning; 1202 Risk
Assessment in Audit Planning; 1203 Performance and Supervision; 1204 Materiality; 1205 Evidence; 1206 Using the Work of Other Experts; 1207 Irregularity and Illegal Acts; 1401 Reporting; 1402
Follow-up Activities.
- Directrices y Guas de auditora y aseguramiento de SI: 2001 Audit Charter (G5); 2002 Organisational Independence (G12); 2003 Professionals Independence (G17); 2004 Reasonable Expectation
In development; 2005 Due Professional Care (G7); 2006 Proficiency (G30); 2007 Assertions In development; 2008 Criteria In development; 2201 Engagement Planning (G15); 2202 Risk Assessment
in Audit Planning (G13); 2203 Performance and Supervision (G8); 2204 Materiality (G6); 2205 Evidence (G2); 2206 Using the Work of Other Experts (G1); 2207 Irregularity and Illegal Acts (G9);
2208 Audit Sampling (G10); 2401 Reporting (G20); 2402 Follow-up Activities (G35).
- Tcnicas y herramientas para la auditora de TI y el aseguramiento
COBIT 5 family of products
IS Audit and Assurance Programmes
IT Audit Basics
Technical and Risk Management Reference Series
White papers

29

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Primera produccin de LA FBRICA DE PENSAMIENTO que aborda el


mundo de la tecnologa en Auditora Interna.
La importancia que han adquirido las Tecnologas de la Informacin (TI)
en las organizaciones ha sido un factor diferenciador en el posicionamiento
en el mercado, pero tambin lo est siendo en el mundo del aseguramiento
y, en concreto, de la Auditora Interna.
Este documento destaca la importancia de la figura de la funcin de
Auditora Interna de TI en su apoyo a la organizacin en la gestin,
gobierno y control de los riesgos de TI.
Se han estudiado temas relacionados con la gestin de las relaciones
entre Auditora Interna de TI y el rea de TI, destinatarios de los informes
de Auditora Interna de TI o las herramientas que habitualmente se
utilizan en esta tipologa de trabajos.
El documento pretende ser de utilidad tanto al Director de Auditora
Interna (DAI) como a las ms altas instancias de la Direccin de una
organizacin, en la implantacin de la funcin de Auditora Interna de
TI, como un elemento ms de Auditora Interna. Incluye una bibliografa
para aqullos que quieran profundizar sus conocimientos sobre la temtica
tratada.